Este software espía hackea tu iPhone con solo visitar una página web infectada

Google no ha querido hacer más comentarios que la entrada de su blog sobre los hallazgos de DarkSword. WIRED también se puso en contacto con PARS Defense a través de su cuenta X, pero no recibió respuesta.

Qué recopila la herramienta DarkSword

Según Lookout, DarkSword está diseñado para robar datos de iPhones vulnerables que incluyen contraseñas y fotos; registros de iMessage, WhatsApp y Telegram; historial del navegador; datos de Calendario y Notas; e incluso datos de la aplicación Salud de Apple. A pesar del aparente enfoque de espionaje de la campaña de hacking, DarkSword también roba las credenciales de las billeteras de criptomoneda de los usuarios, lo que sugiere que los hackers pueden haber llevado a cabo un posible negocio paralelo de ciberdelincuencia con fines de lucro.

En lugar de instalar spyware que persiste en los teléfonos de los usuarios, DarkSword utiliza técnicas más sigilosas que se ven más a menudo en el malware «sin archivos» que normalmente se dirige a dispositivos Windows, secuestrando los procesos legítimos en el sistema operativo de un iPhone para robar datos. «En lugar de utilizar una carga útil de software espía para abrirse paso por la fuerza bruta a través del sistema de archivos, lo que deja toneladas de artefactos de explotación que son bastante fáciles de detectar, esto simplemente utiliza los procesos del sistema de la forma en que están destinados a ser utilizados. Y deja muchos menos rastros», afirma Cole de iVerify.

Esa técnica sin archivos también significa que una infección DarkSword no persiste en un teléfono después de que se reinicie, indica Cole. En su lugar, roba datos del teléfono en los primeros minutos después de ser hackeado, lo que él llama un enfoque ‘smash-and-grab’ (robo relámpago).

Mientras que el kit de herramientas de hackeo de Coruna para iOS expuesto a principios de este mes funciona con las versiones 13 a 17 de iOS, DarkSword funciona con la mayoría de las versiones de iOS 18, la versión anterior del sistema operativo móvil de Apple antes de que la compañía lanzara iOS 26 el pasado otoño. Concretamente, DarkSword contiene dos «cadenas» de exploits distintas que aprovechan diferentes vulnerabilidades en versiones anteriores y posteriores de iOS 18, dependiendo de cuál esté ejecutando el dispositivo objetivo. Eso significa que muchos más teléfonos siguen estando en riesgo de DarkSwords que Coruna, especialmente dada la adopción relativamente lenta y la impopularidad de iOS 26, que ha sido criticado por nuevas características como una interfaz de Liquid Glass que algunos usuarios se han quejado de que es demasiado animada y reduce la legibilidad.

Tanto la propia Apple como StatCounter, que realiza un seguimiento de la adopción de sistemas operativos, publicaron el mes pasado cifras que muestran que cerca de una cuarta parte de los usuarios de iPhone siguen con iOS 18. Para actualizar tu iPhone, toca Ajustes, luego General y, por último, Actualización de software. Tanto iVerify como Lookout aseguran que sus aplicaciones de seguridad también pueden detectar si un teléfono está comprometido con DarkSword en la forma en que lo han observado.

Guía para probar iOS 26, iPadOS 26 y macOS Tahoe 26 antes que nadie

Quienes deseen probar anticipadamente las funciones de iOS 26, iPadOS 26 y macOS Tahoe 26 pueden hacerlo mediante el programa Apple Beta Software.

Quién creó DarkSword sigue siendo un misterio

Los investigadores que lo encontraron coinciden en que no fue creado por los hackers rusos que lo desplegaron. En su lugar, sospechan de una empresa «intermediaria» que compra y vende técnicas de hacking. Aparte de los comentarios en inglés en el código de DarkSword, probablemente escritos para explicar su uso a un cliente, la pista más clara sobre su origen es su asociación con Coruna: TechCrunch informó la semana pasada de que Coruna fue creado por Trenchant, una filial del contratista del gobierno estadounidense L3Harris que crea técnicas de hacking para el gobierno de Estados Unidos. El exempleado de Trenchant, Peter Williams, se declaró culpable el año pasado de vender las herramientas de la compañía a una empresa intermediaria rusa llamada Operation Zero, que desde entonces ha sido sancionada por el gobierno de EE UU.

Aunque no hay indicios claros de que DarkSword también haya sido creado por Trenchant o diseñado para el gobierno estadounidense, su uso por parte de los mismos hackers rusos que probablemente adquirieron acceso a Coruna sugiere que DarkSword también pudo haber sido vendido por Operation Zero u otro intermediario de técnicas de hacking. Operation Zero no respondió a la solicitud de comentarios de WIRED. Además de los espías rusos que lo utilizaron, Coruna también fue utilizado posteriormente por ciberdelincuentes para robar criptomonedas a víctimas chinas, un uso aún más temerario de un kit de herramientas para hackear iPhones, y una posible señal de que Operation Zero revenderá sus productos a cualquier grupo de hackers dispuesto a pagar.