Google ha revelado la cadena de exploits DarkSword para iOS, un sofisticado ataque de múltiples etapas activo desde finales de 2025 que compromete silenciosamente los iPhones, representando una amenaza directa para los usuarios de cripto que almacenan claves y aplicaciones de billetera en sus dispositivos.

Google ha revelado una cadena de exploits sofisticada para iOS llamada DarkSword, que ha sido utilizada activamente desde finales de 2025 para comprometer silenciosamente iPhones, poniendo en riesgo aproximadamente 270 millones de dispositivos y aumentando las preocupaciones urgentes para usuarios de criptomonedas que almacenan aplicaciones de billetera, frases semilla y credenciales de intercambio en sus teléfonos.

El Grupo de Inteligencia de Amenazas de Google (GTIG) publicó sus hallazgos el 18 de marzo de 2026, identificando DarkSword como un exploit de cadena completa para iOS capaz de tomar el control total del dispositivo. La investigación fue realizada en coordinación con las firmas de seguridad móvil Lookout y iVerify.

Una "cadena de exploits" significa que los atacantes unieron varias vulnerabilidades separadas en secuencia, cada una desbloqueando la siguiente fase, hasta que el efecto combinado otorga control total sobre el dispositivo objetivo. DarkSword apunta a las versiones iOS 18.4 a 18.7 y utiliza JavaScript puro para todas las fases del ataque.

Seis vulnerabilidades, tres zero-days, tres grupos de amenazas

DarkSword encadena seis vulnerabilidades en total: tres zero-days que eran desconocidas para Apple en el momento de la explotación, y tres fallos previamente parcheados que seguían siendo efectivos contra dispositivos sin actualizar. Los zero-days incluyen CVE-2026-20700, una bypass PAC en dyld; CVE-2025-43529, una falla de corrupción de memoria en JavaScriptCore; y CVE-2025-14174.

GTIG confirmó tres grupos distintos de actores de amenazas desplegando la cadena de exploits. UNC6353, un grupo sospechoso de espionaje ruso que apunta a Ucrania; UNC6748, que atacó Arabia Saudita usando un sitio señuelo con temática de Snapchat; y PARS Defense, un proveedor comercial turco de vigilancia cuyos clientes desplegaron DarkSword tan recientemente como enero de 2026 en Malasia.

Una vez que un dispositivo es comprometido, DarkSword despliega tres familias de malware: GHOSTBLADE, GHOSTKNIFE y GHOSTSABER. GHOSTKNIFE en particular recolecta cuentas con sesión iniciada, mensajes, datos de navegador, historial de ubicación, capturas de pantalla y audio de micrófono. El ataque opera silenciosamente sin síntomas visibles para el usuario.

Por qué los usuarios de criptomonedas en iPhone enfrentan mayor riesgo

El kit de herramientas DarkSword post-explotación es un escenario de peor caso para cualquiera que mantenga activos de criptomonedas en un iPhone. La capacidad de GHOSTKNIFE para recolectar cuentas con sesión activa, datos de navegador y datos de aplicaciones significa que sesiones de intercambio, credenciales de billetera y códigos de autenticador están al alcance de un atacante.

Las frases semilla almacenadas en la aplicación Notas, iCloud Keychain o gestores de contraseñas de terceros en un dispositivo comprometido quedan efectivamente expuestas. Billeteras móviles populares como MetaMask Mobile, Trust Wallet, Coinbase Wallet y Exodus funcionan dentro del sandbox de aplicaciones de iOS que un exploit de cadena completa como DarkSword puede evadir completamente.

El exploit adopta lo que los investigadores de Lookout describieron como un enfoque “hit-and-run”, recolectando y exfiltrando datos en segundos o minutos antes de limpiar rastros. Un usuario podría nunca saber que su dispositivo fue comprometido, mientras sus claves de billetera y tokens de sesión de intercambio ya habrían sido extraídos.

Cadenas de exploits zero-day previas para iOS como FORCEDENTRY y Operation Triangulation fueron usadas principalmente para espionaje dirigido contra individuos específicos. DarkSword es diferente. GTIG lo describió como “ampliamente utilizado”, y investigadores de Lookout advirtieron que su proliferación entre múltiples grupos de actores indica un mercado secundario donde atacantes menos sofisticados pueden adquirir exploits de primer nivel.

Matthias Frielingsdorf, cofundador de iVerify, destacó una razón para esa proliferación: “Los hackers rusos dejaron descuidadamente el código completo expuesto en sus sitios, lo que significa que cualquiera que reuniera manualmente todas las partes diferentes del exploit podría ponerlas en su propio servidor web y comenzar a infectar teléfonos.”

Damon McCoy, profesor del Centro de Ciberseguridad de NYU, agregó: “Esta es una amenaza bastante significativa. Probablemente todavía hay bastantes personas que usan esta versión anticuada de iOS, y esas personas son bastante vulnerables.”

Parchea ahora y mueve tus llaves fuera del teléfono

Apple ha parcheado las seis vulnerabilidades de DarkSword. iOS 26.3 aborda la cadena completa de exploits, y la mayoría de los fallos individuales se habían parcheado en actualizaciones previas. GTIG reportó las vulnerabilidades a Apple a finales de 2025, y los dominios de entrega asociados a DarkSword han sido añadidos a Google Safe Browsing.

Acción inmediata: actualiza tu iPhone a la versión más reciente de iOS. Cualquier dispositivo que todavía ejecuta iOS 18.4 hasta 18.7 sigue siendo vulnerable a la cadena completa de exploits.

Para titulares de criptomonedas, actualizar iOS es necesario pero no suficiente. El principio central es simple: las tenencias significativas no deberían depender de la seguridad de un dispositivo de consumo conectado a la red. Traslada saldos importantes a una billetera hardware. No almacenes frases semilla en Notas del iPhone, iCloud, ni en ninguna aplicación de un teléfono que se conecte a internet.

Los usuarios que no puedan migrar sus activos de inmediato deberían habilitar el Modo Lockdown de iOS, que restringe la superficie de ataque deshabilitando ciertas características que suelen ser objetivo de exploits, incluyendo el procesamiento de JavaScript en algunos contextos. No es garantía contra una cadena tan sofisticada como DarkSword, pero eleva el estándar.

Revisa qué aplicaciones de intercambio y billetera están logueadas en tu dispositivo. Revoca sesiones activas que no reconozcas. Habilita la lista blanca de direcciones de retiro en los intercambios que lo soporten, para que incluso un token de sesión comprometido no pueda redirigir fondos a una billetera controlada por el atacante.

La valoración de GTIG fue tajante sobre la tendencia más amplia: “El uso tanto de DarkSword como de Coruna por una variedad de actores demuestra el riesgo continuo de proliferación de exploits entre actores de diversa geografía y motivación.” Combinado con una cadena de exploits más antigua llamada Coruna, los investigadores estiman que cientos de millones de dispositivos sin parchear desde iOS 13 hasta 18.6.2 siguen en riesgo.

El momento para actuar es ahora. Los dispositivos con versiones anticuadas de iOS no solo son teóricamente vulnerables; están siendo activamente atacados por al menos tres grupos separados con campañas confirmadas en cuatro países.