Un grupo de hackers con lazos a Rusia ha introducido Darksword, un exploit capaz de infiltrarse en cientos de millones de iPhone, en múltiples páginas web ucranianas. Un exploit es un fragmento de software, datos o secuencia de comandos que aprovecha una vulnerabilidad o fallo de seguridad en un sistema operativo, en una aplicación o en el dispositivo entero. Su objetivo es provocar un comportamiento no deseado para tomar el control de todo el dispositivo infectado, robar sus datos o instalar software malicioso sin el consentimiento del usuario.
Empresas como Google, Lookout e iVerify han confirmado que este software malicioso roba contraseñas, fotografías, mensajes de WhatsApp y Telegram, así como el historial de navegación e incluso criptomonedas almacenadas en billeteras digitales.
Este incidente no es único. El 3 de marzo, se descubrió Coruna, otro kit de exploits para iOS, originalmente desarrollado por el contratista estadounidense L3Harris para gobiernos aliados que forman parte de la alianza Five Eyes. Sin embargo, terminó en manos de espías rusos y ciberdelincuentes chinos, quienes lo utilizan contra ciudadanos ucranianos.
Cabe señalar que Darksword comparte servidores con Coruna, lo que indica un ecosistema en crecimiento de herramientas de vigilancia que fluyen desde los estados hacia las manos del crimen organizado.
Los ataques se aprovechan de vulnerabilidades presentes en las versiones iOS 18.4 a 18.6.2, lanzadas entre marzo y agosto del año 2025. Aunque Apple ya ha lanzado parches en actualizaciones recientes, entre 220 y 270 millones de iPhone siguen siendo vulnerables porque muchos usuarios no realizan las actualizaciones necesarias. Con solo visitar una página infectada en Ucrania, el malware puede infiltrarse, extraer información en cuestión de minutos y desaparecer sin dejar rastro alguno.
Justin Albrecht, representante de Lookout, describe al grupo conocido como UNC6353 como bien financiado y con objetivos duales: espionaje y robo financiero. Este grupo también ha llevado a cabo ataques en lugares como Arabia Saudí, Turquía y Malasia, vinculado a la firma turca PARS Defense. Por su parte, Rocky Cole, de iVerify, señala que su operativa es descuidada, lo cual expone su código: utilizan nombres en inglés como «cassowary» o «Neutron», además de posibles conexiones con exploits relacionados con la Operation Triangulation (2023), atribuidos por Rusia a la NSA. Sin embargo, desde Kaspersky desmienten esta afirmación: no hay pruebas concluyentes sobre reutilización del código.
Avances en IA alimentan esta amenaza
La evolución de la inteligencia artificial ha acelerado el desarrollo de estos spywares. Herramientas basadas en IA permiten generar exploits más rápida y eficientemente, tal es el caso del diseño de Darksword, que adapta ataques específicamente a sus objetivos. Imagina cómo los hackers están utilizando modelos como los desarrollados por Anthropic para probar vulnerabilidades a gran escala, algo que antes requería una inversión millonaria y meses de trabajo.
- La automatización mediante IA está revolucionando los ciberataques: crea JavaScript malicioso para iframes ocultos, similar a lo que se ve con Coruna, capaz de comprometer iPhones aprovechando fallos tanto en WebKit como en el kernel.
- Por otro lado, mientras la UE prohíbe aplicaciones de IA «nudify» por cuestiones relacionadas con la privacidad, los hackers las emplean para llevar a cabo vigilancia masiva
- En cuanto al mercado negro, kits como estos ahora se comercializan a precios bajos, gracias a la IA que reduce significativamente los costos asociados al desarrollo.
Desde Apple, están bloqueando dominios maliciosos en su navegador Safari y enfatizan la necesidad urgente de actualizar: «Lo más relevante para mantener la seguridad». Sin embargo, con el avance constante de la IA, los spywares están convirtiéndose en herramientas desechables. Como bien apunta Cole, no les preocupa ser descubiertos; siempre hay más alternativas esperando ser utilizadas.
En Ucrania, cualquier iPhone conectado a sitios locales se convierte en víctima fácil. Lo curioso es que Darksword roba criptomonedas, algo poco habitual entre espías estatales. Esto sugiere una posible implicación rusa con fines lucrativos. Google ha detectado campañas geolocalizadas dirigidas exclusivamente a iPhones ucranianos visitando páginas relacionadas con equipos industriales o comercio electrónico.
Consejos prácticos para usuarios
Es crucial actualizar tu dispositivo si tienes un iPhone. Evita navegar por páginas sospechosas especialmente si te encuentras cerca de zonas conflictivas. Utiliza el sistema Safe Browsing proporcionado por Apple. Se estima que millones continúan siendo vulnerables ante estas amenazas.
Este auge del malware para iOS, impulsado por los avances en IA, nos recuerda que el ámbito de la ciberseguridad es una lucha constante. Los hackers rusos reciclan herramientas desarrolladas por estadounidenses mientras la inteligencia artificial multiplica las amenazas existentes. Aunque Apple responde con parches necesarios, la verdadera responsabilidad recae sobre ti: no ignores las notificaciones para actualizar tu dispositivo. Mañana podría ser tu turno.
