La cadena de vulnerabilidad de Apple iOS expone una nueva ruta de ataque, dicen los investigadores

Un conjunto recientemente identificado de vulnerabilidades de iOS está en el centro de un sofisticado método de ataque conocido como “DarkSword”, según una nueva investigación del Threat Intelligence Group de Google, junto con las firmas de ciberseguridad Lookout e iVerify. Sus hallazgos muestran cómo múltiples fallas en el sistema operativo móvil de Apple pueden vincularse para violar silenciosamente las capas de seguridad del iPhone.

Aunque este ataque potencialmente afecta iOS 18 usuarios de la versión, un grupo extremadamente grande, la investigación indica que se utilizó activamente contra usuarios de iPhone en cuatro países: Arabia Saudita, Turquía, Malasia y Ucrania.

Básicamente, DarkSword es lo que los investigadores describen como una cadena de exploits. En términos simples, esto significa que los atacantes no se basan en un solo error, sino que combinan múltiples debilidades, usando una para desbloquear la siguiente, hasta obtener un acceso más profundo al dispositivo. Este enfoque en capas es lo que hace que la técnica sea poderosa y difícil de detectar.

La investigación apunta al uso de vulnerabilidades previamente desconocidas, a menudo llamadas día cerolos cuales son fallos de seguridad que los desarrolladores aún no han solucionado porque no son de conocimiento público. Al encadenarlos, los atacantes pueden pasar del acceso limitado al control total del sistema, incluidas partes sensibles del sistema operativo que normalmente están bloqueadas.

Un ataque a un abrevadero

Lo que destaca en este caso es cómo se lleva a cabo el ataque. En lugar de exigir a los usuarios que instalen aplicaciones maliciosas, la cadena DarkSword puede activarse a través de sitios web comprometidos. Simplemente visitar una de estas páginas iniciará el proceso en segundo plano, sin ninguna advertencia obvia para el usuario. Este método, a veces denominado ataque de abrevadero, funciona infectando sitios web que es probable que visiten los objetivos.

Una vez que la cadena se ejecuta con éxito, los atacantes pueden ejecutar lo que es esencialmente software espía. Esto les permite extraer datos del dispositivo, monitorear la actividad y acceder a información privada. En algunos casos, el código malicioso no permanece en el teléfono después de reiniciarlo, lo que dificulta mucho el análisis y la detección forense.

El informe sugiere que herramientas como DarkSword ya no se limitan a operaciones de espionaje muy específicas. Si bien anteriormente estas cadenas de explotación estaban asociadas principalmente con actores respaldados por el gobierno, los investigadores ahora ven señales de que capacidades similares se están extendiendo más ampliamente. Esto genera preocupación sobre la rapidez con la que las técnicas avanzadas pueden ir más allá del uso específico y alcanzar una circulación más amplia.

Barreras más bajas al ataque.

Otro aspecto notable de la investigación es la indicación de que partes de la estructura del exploit pueden haber quedado expuestas en línea. Si se confirma, esto podría reducir la barrera para que otros grupos repliquen o adapten el método, acelerando su uso en diferentes campañas.

Los hallazgos subrayan un cambio más amplio en la seguridad móvil. A medida que las defensas de los teléfonos inteligentes han mejorado, los atacantes han respondido creando métodos de intrusión más complejos y de varios pasos. Cada falla individual puede parecer pequeña por sí sola, pero cuando se combinan, pueden paralizar incluso sistemas estrictamente controlados.

Los investigadores dicen que las vulnerabilidades utilizadas en la cadena DarkSword se han solucionado en actualizaciones de iOS más recientes. El reciente iOS 26.3.1 de Apple se lanzó a principios de este mes. Para los usuarios que no pueden actualizar inmediatamente sus dispositivos, los investigadores sugieren habilitar el “Modo de bloqueo”, que es una característica de seguridad reforzada diseñada para reducir la superficie de ataque al limitar ciertas funciones que los atacantes suelen aprovechar. Aún así, el episodio destaca cómo las actualizaciones oportunas siguen siendo críticas, especialmente a medida que las técnicas de ataque continúan evolucionando en escala y sofisticación.