Por Canuto  

La filtración pública de una versión más reciente del kit DarkSword encendió las alarmas en la industria de ciberseguridad. Expertos advierten que el código filtrado puede facilitar ataques contra cientos de millones de iPhone e iPad que siguen usando versiones antiguas del sistema operativo de Apple.
***

  • Investigadores aseguran que la versión filtrada de DarkSword es fácil de reutilizar y no exige experiencia avanzada en iOS.
  • Apple dijo que los equipos actualizados no están en riesgo y recordó que emitió un parche de emergencia el 11 de marzo.
  • Según cifras de Apple, cerca de una cuarta parte de los iPhone e iPad activos aún usan iOS 18 o versiones anteriores.

 

La filtración pública de un kit de exploits conocido como DarkSword elevó de nuevo la preocupación sobre la seguridad del ecosistema móvil de Apple. La herramienta, que ya había sido identificada en una campaña de hackeo contra usuarios de iPhone, apareció ahora en GitHub en una versión más reciente, lo que según especialistas podría facilitar su uso por parte de actores maliciosos con poca preparación técnica.

De acuerdo con lo reportado por TechCrunch, el riesgo se concentra en dispositivos que todavía ejecutan versiones antiguas del software de Apple y no han sido actualizados a iOS 26. Esa condición no sería marginal. Según los propios datos de Apple, podría abarcar a cientos de millones de iPhone e iPad en uso activo.

El caso ilustra un patrón que se repite con frecuencia en ciberseguridad. Cuando una herramienta de intrusión sofisticada se hace pública, la barrera técnica cae de forma abrupta. Lo que antes requería recursos, conocimiento especializado o acceso restringido, de pronto puede copiarse, montarse en un servidor y ponerse en marcha en poco tiempo.

En este episodio, la gravedad no solo radica en la existencia del spyware. También influye la facilidad de despliegue descrita por investigadores que revisaron los archivos publicados. Esa combinación entre alcance potencial y simplicidad operativa es lo que explica la alarma de la industria.

Expertos alertan sobre reutilización inmediata del código

Matthias Frielingsdorf, cofundador de la firma de seguridad móvil iVerify, dijo a TechCrunch que la situación es grave porque estas nuevas versiones de DarkSword comparten la misma infraestructura que las muestras previamente analizadas por su equipo, aunque los archivos presentan ligeras diferencias. Su valoración fue directa: “Esto es malo. Son demasiado fáciles de reutilizar”.

Frielingsdorf añadió que no cree que la filtración pueda contenerse a estas alturas y que ahora cabe esperar que criminales y otros actores empiecen a desplegar la herramienta. Según explicó, los archivos subidos a GitHub no son complejos. Se trata solo de HTML y JavaScript, algo que permitiría a cualquier persona copiarlos, pegarlos y alojarlos en un servidor en cuestión de minutos u horas.

Su otra afirmación encendió aún más las alertas. “Los exploits funcionarán nada más sacarlos de la caja”, dijo, al tiempo que remarcó que no se requiere experiencia en iOS para ponerlos a operar. En otras palabras, el problema ya no sería únicamente un spyware avanzado, sino su posible transformación en un recurso accesible para atacantes de menor nivel técnico.

Kimberly Samra, portavoz de Google, afirmó que los investigadores de la compañía coinciden con esa evaluación. Ese consenso entre firmas que ya habían estudiado DarkSword refuerza la idea de que la amenaza no es teórica, sino operacional y de corto plazo.

Un investigador aficionado que utiliza el alias matteyeux también dijo a TechCrunch que el uso de las muestras filtradas es trivial. En una publicación en X, aseguró que logró comprometer una tableta iPad mini con iOS 18, la generación previa del sistema operativo que es vulnerable a DarkSword, utilizando una muestra “in the wild” que circula en línea.

Qué puede hacer DarkSword dentro de un iPhone o iPad

La publicación no enlazó el código filtrado por el riesgo de que sea utilizado en ataques activos, pero sí detalló parte de su funcionamiento. Los archivos incluyen varios comentarios que explican cómo operan los exploits y cómo deben implementarse. Eso aporta una guía adicional a quienes intenten reutilizarlos.

Uno de esos comentarios, aparentemente escrito por un desarrollador vinculado al proyecto, indica que el exploit “lee y exfiltra archivos relevantes para análisis forense de dispositivos iOS vía HTTP”. En términos prácticos, eso significa que puede extraer información del iPhone o iPad de una víctima y enviarla por internet a un servidor controlado por un atacante.

Otro fragmento precisa que la carga útil debe inyectarse en un proceso con clase de acceso al sistema de archivos. El detalle importa porque sugiere que el malware no solo busca acceso inicial, sino también privilegios suficientes para revisar y copiar datos sensibles alojados dentro del dispositivo.

En uno de los archivos se menciona además la “actividad posterior a la explotación”. Esa fase describe lo que ocurre una vez que el malware ya obtuvo acceso al teléfono. Según el reporte, el spyware puede extraer contactos, mensajes, historial de llamadas y el llavero de iOS, donde se almacenan contraseñas de redes WiFi y otros secretos, para luego volcar esa información a un servidor remoto.

Otro archivo hace referencias a la carga de datos hacia un popular sitio web ucraniano de ropa, aunque no quedó claro por qué aparece ese dominio en el código. El artículo original señala que no fue posible determinar de inmediato el motivo de esa referencia.

Apple insiste en actualizar y recuerda parche de emergencia

Apple reconoció que conoce el exploit dirigido contra dispositivos que ejecutan sistemas operativos antiguos y desactualizados. Sarah O’Rourke, portavoz de la empresa, dijo que la compañía emitió una actualización de emergencia el 11 de marzo para equipos que no pueden ejecutar versiones recientes de iOS.

La vocera insistió en un mensaje que Apple repite con frecuencia ante incidentes de esta clase: mantener el software actualizado es la medida más importante para conservar la seguridad de sus productos. También sostuvo que los dispositivos con software al día no estaban en riesgo frente a estos ataques reportados.

Apple añadió otro dato relevante para usuarios de alto perfil o contextos de riesgo. Según O’Rourke, el modo Lockdown también bloquearía estos ataques específicos. Esa función, diseñada para endurecer la seguridad del dispositivo, ha sido promovida por la empresa para periodistas, activistas y personas susceptibles de ser blanco de spyware avanzado.

Microsoft, propietaria de GitHub, no respondió de inmediato a una solicitud de comentarios, según el reporte. Esa ausencia de reacción deja abierta la discusión sobre la velocidad con que las grandes plataformas pueden actuar cuando aparece código que puede utilizarse para comprometer dispositivos a gran escala.

El alcance potencial y el contexto geopolítico

DarkSword no afecta a todos los equipos Apple por igual. De acuerdo con análisis previos de iVerify, Google y Lookout, este spyware funciona específicamente contra iPhone y iPad que ejecutan iOS 18. Ese dato es central para entender el alcance real del incidente.

Sin embargo, la base instalada sigue siendo enorme. Según cifras de Apple citadas en el reporte, alrededor de una cuarta parte de todos los usuarios de iPhone e iPad continúa utilizando iOS 18 o una versión anterior. Si se toma en cuenta que Apple reporta más de 2,5 mil millones de dispositivos activos, el universo vulnerable probablemente asciende a cientos de millones de personas.

Por eso Frielingsdorf recomendó a todos los usuarios actualizar el sistema operativo de su iPhone. La recomendación parece sencilla, pero en la práctica suele tropezar con hábitos de uso, equipos antiguos o demoras normales de adopción, un patrón que suele dejar una ventana de oportunidad para campañas maliciosas después de que una vulnerabilidad se vuelve pública.

El trasfondo del caso también incorpora un componente geopolítico. DarkSword habría sido utilizado por hackers del gobierno ruso contra objetivos ucranianos. Aunque la filtración actual cambia el escenario y amplía el riesgo a actores no estatales, el origen atribuido del spyware sugiere que se trató inicialmente de una herramienta de alto nivel vinculada a operaciones dirigidas.

El hallazgo se produce apenas semanas después de que investigadores descubrieran otro kit avanzado de hackeo para iPhone llamado Coruna. Como ya se había informado, Coruna fue desarrollado originalmente por el contratista de defensa L3Harris, cuya división Trenchant fabrica herramientas de hackeo para el gobierno de Estados Unidos y sus aliados.

La sucesión de casos muestra una tendencia inquietante. Las herramientas de intrusión móvil, antes asociadas a gobiernos y proveedores especializados, pueden filtrarse, circular en repositorios públicos y terminar al alcance de un espectro mucho más amplio de atacantes. En ese contexto, las actualizaciones de software dejan de ser una recomendación rutinaria y pasan a ser una defensa crítica.

Para los usuarios, el mensaje inmediato es claro. Si el dispositivo sigue corriendo iOS 18 o una versión anterior, posponer la actualización ya no es solo una cuestión de rendimiento o nuevas funciones. Puede convertirse en la diferencia entre permanecer fuera del radio de ataque o quedar expuesto a una herramienta que, según los investigadores, ahora es trivial de reutilizar.

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.

Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.


ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín

Artículos Relacionados