- iOS 18.7.7 e iPadOS 18.7.7 blindan a iPhone y iPad antiguos frente a DarkSword
- El exploit compromete iOS 18.4 a 18.7 con solo visitar una web manipulada
- El kit ya se ha filtrado en Internet y amplía el riesgo a usuarios de todo el mundo, también en Europa
- Apple recomienda actualizar de inmediato y valora el uso del Modo Aislamiento en perfiles de alto riesgo
Apple ha empezado a desplegar un parche de seguridad específico para iPhone y iPad que siguen en iOS 18 con el objetivo de cerrar la puerta a DarkSword, un conjunto de herramientas de ataque capaz de comprometer el dispositivo con solo cargar una página web. La actualización, que llega en forma de iOS 18.7.7 e iPadOS 18.7.7, busca proteger a millones de usuarios que utilizan equipos más antiguos o que habían decidido no dar el salto a la última gran versión del sistema.
El movimiento cobra especial relevancia después de que el código de DarkSword se difundiera públicamente en Internet, rebajando el listón técnico necesario para explotar la vulnerabilidad. Lo que en un primer momento parecía un ataque dirigido contra objetivos muy concretos se ha transformado en un riesgo potencial para cualquier persona que mantenga su iPhone o iPad en versiones vulnerables de iOS 18, también en España y el resto de Europa.
Qué es DarkSword y por qué pone en jaque a los dispositivos con iOS 18
DarkSword es un exploit kit diseñado específicamente para iPhone y iPad que encadena varias vulnerabilidades de día cero presentes en versiones comprendidas entre iOS 18.4 e iOS 18.7. A diferencia de otros casos en los que el usuario tiene que instalar aplicaciones extrañas o conceder permisos sospechosos, aquí basta con visitar una página web que aloje el código malicioso para que empiece el ataque.
Los operadores de DarkSword recurren a lo que se conoce como ataque de tipo watering hole: comprometen webs propias o sitios legítimos que previamente han hackeado, de forma que la víctima solo ve que la página carga de manera normal. En segundo plano, sin embargo, el navegador se convierte en la puerta de entrada que permite ejecutar el primer eslabón de la cadena de explotación.
Una vez superado ese punto inicial, el exploit escala privilegios dentro del sistema hasta acceder a procesos y datos que deberían permanecer aislados. A partir de ahí, las herramientas de DarkSword pueden robar mensajes, historiales de navegación, información de ubicación y datos relacionados con apps financieras y de criptomonedas, enviándolo todo a servidores controlados por los atacantes.
Este enfoque de ataque rápido, en el que se entra, se exfiltran datos en cuestión de segundos y se borran rastros, dificulta el trabajo de los analistas forenses. Muchos usuarios no notan nada extraño en su día a día, aunque parte de su vida digital ya haya salido del dispositivo sin que sean conscientes de ello.
Distintos investigadores han vinculado DarkSword con cadenas de explotación anteriores como Coruna, orientada a iOS 13 a 17.2.1. En ambos casos, el punto de partida son fallos en WebKit, el motor del navegador de Apple, que se aprovechan para ir ganando control sobre el sistema operativo.
Cómo aprovecha DarkSword las brechas de iOS 18.4 a 18.7
Los análisis técnicos señalan que DarkSword se apoya en hasta media docena de vulnerabilidades de alta gravedad en iOS 18.4, 18.5, 18.6 y 18.7. El primer paso es un exploit en el navegador que permite ejecutar código arbitrario al cargar una web comprometida, sin que el usuario tenga que hacer nada más.
A partir de ese momento, la cadena de ataque va encadenando fallos para elevar sus privilegios hasta alcanzar procesos internos que normalmente no deberían ser accesibles. De esta manera, los atacantes pueden leer bases de datos de aplicaciones, ficheros de configuración y contenidos privados que el sistema intenta proteger mediante aislamiento.
La información extraída se envía de forma automática a servidores controlados por los responsables de DarkSword. El paquete puede incluir conversaciones personales, patrones de ubicación, actividad en el navegador y detalles ligados a servicios bancarios o de inversión que se gestionen desde el teléfono o la tableta.
En el terreno cripto, el escenario es todavía más delicado: muchas personas usan su iPhone o iPad para manejar monederos, exchanges o gestores de claves. Si alguien consigue obtener frases semilla, claves privadas o tokens de sesión, el siguiente paso puede ser el vaciado de cuentas y carteras sin que el propietario tenga margen para reaccionar.
Hasta hace poco, estas capacidades parecían reservadas a grupos muy sofisticados. Sin embargo, la filtración del kit DarkSword en repositorios públicos como GitHub ha cambiado por completo ese panorama. A partir de ahora, cualquier actor con ciertos conocimientos puede descargar el código, adaptarlo y tratar de utilizarlo contra dispositivos que sigan en versiones vulnerables de iOS 18.
La respuesta de Apple: iOS 18.7.7 e iPadOS 18.7.7 para cerrar el hueco
Apple llevaba meses introduciendo mitigaciones frente a cadenas de exploits como Coruna y DarkSword en las diferentes ramas de su sistema operativo. En paralelo al desarrollo de versiones más recientes, la compañía ha ido publicando actualizaciones de seguridad específicas para modelos que ya no reciben grandes novedades, pero sí parches críticos.
En la línea de los dispositivos más veteranos, se han liberado versiones como iOS 15.8.7 y iPadOS 15.8.7 —para modelos como iPhone 6s, iPhone 7, iPhone SE de primera generación, iPad Air 2, iPad mini 4 o iPod touch de 7ª generación— y iOS 16.7.15 y iPadOS 16.7.15 para iPhone 8, 8 Plus, X y determinados iPad Pro y iPad de quinta generación.
En el caso concreto de iOS 18, la versión 18.7.7 nació inicialmente para los equipos que no podían actualizar a la rama más reciente del sistema, como los iPhone XS, XS Max, XR o ciertos modelos de iPad que se habían quedado fuera del salto a la nueva gran versión. Con ese parche, estos dispositivos ganaban defensas específicas frente a DarkSword pese a no poder instalar el software más moderno.
El problema era que seguía habiendo un grupo amplio de usuarios en una especie de limbo: personas con móviles y tabletas técnicamente compatibles con la última versión del sistema, pero que habían decidido quedarse en iOS 18. Entre los motivos más repetidos se citan el rechazo a cambios estéticos como la interfaz «cristal líquido» y el temor a posibles fallos en las primeras compilaciones.
Ante la publicación de DarkSword en Internet y el consiguiente aumento del riesgo, Apple confirmó a medios especializados que extendería la disponibilidad de una versión de iOS 18 parcheada contra este exploit a más modelos. El objetivo es importar a iOS 18 las mismas protecciones que ya disfrutan quienes se han pasado a la versión más reciente del sistema.
En la práctica, los usuarios que no tienen las actualizaciones automáticas activadas se encuentran ahora con dos opciones en Ajustes > General > Actualización de software: instalar la nueva revisión de iOS 18.7.7 con el parche de seguridad o actualizar directamente a la versión de sistema más reciente, que integra además capas adicionales de endurecimiento de la plataforma.
Qué dispositivos quedan cubiertos y cómo afecta a usuarios en España y Europa
Según la información de soporte de la propia compañía, iOS 18.7.7 e iPadOS 18.7.7 se están habilitando de forma progresiva para una lista extensa de iPhone y iPad que todavía tienen una presencia notable en mercados como el español y el europeo.
Entre los teléfonos, la actualización alcanza a modelos como iPhone XR, iPhone XS y XS Max, las gamas iPhone 11, 12, 13, 14, 15 y 16, así como los iPhone SE de segunda y tercera generación. En la práctica, supone que una parte muy importante del parque de móviles activos en España puede recibir el parche aunque no haya dado el salto a la última edición del sistema.
En el apartado de tabletas, iPadOS 18.7.7 se extiende a iPad de séptima generación, distintas generaciones de iPad Air (desde la tercera hasta modelos recientes con chip M2 y M3) y buena parte de las líneas iPad Pro de 11, 12,9 y 13 pulgadas. Son precisamente estos dispositivos los que, por su potencia y tamaño de pantalla, muchos usuarios emplean para tareas sensibles como trabajo remoto, acceso corporativo o banca en línea.
Apple recalca que se trata de una actualización de seguridad catalogada como crítica y que, por tanto, está recomendada para todos los usuarios afectados. La compañía recuerda asimismo que parte de las correcciones contra DarkSword ya se habían distribuido meses atrás, pero que la filtración pública del kit hacía necesario ampliar la protección a quienes seguían en versiones intermedias de iOS 18.
En Europa, el despliegue se realiza de forma escalonada, pero la mayoría de los iPhone y iPad deberían mostrar la actualización disponible en cuestión de horas o pocos días. Si no llega la notificación, merece la pena entrar de forma manual en Ajustes > General > Actualización de software para comprobar si iOS 18.7.7 o iPadOS 18.7.7 ya se pueden descargar.
Extensión global de los ataques y el salto del espionaje dirigido al riesgo masivo
Las primeras investigaciones situaban a DarkSword en el terreno del espionaje altamente dirigido. Se detectaron campañas en países como China, Malasia, Turquía, Arabia Saudí y Ucrania, donde los atacantes parecían ir a por perfiles muy concretos en contextos geopolíticos sensibles.
Esa realidad ha cambiado en cuanto las herramientas se han filtrado abiertamente. Cuando un kit de este tipo pasa de manos muy especializadas a foros o repositorios de acceso público, las fronteras dejan de marcar la diferencia. Cualquier grupo con motivaciones económicas o políticas puede intentar adaptar el exploit para usarlo contra víctimas en otros mercados, incluida la Unión Europea.
Para usuarios de España y del resto de Europa, no estar en la lista inicial de países afectados no supone un escudo real. Si el móvil o la tableta se utilizan para entrar a webs de terceros, gestionar cuentas bancarias, operar con brokers o mover criptomonedas, la exposición aumenta de forma considerable cuando el dispositivo sigue en una versión vulnerable del sistema.
El ecosistema cripto ha seguido muy de cerca este caso porque DarkSword apunta de forma explícita a datos ligados a monederos y otros servicios de activos digitales. Un simple descuido a la hora de instalar un parche puede traducirse en pérdidas directas si un atacante consigue hacerse con claves, frases semilla o tokens de autenticación.
Más allá del ámbito financiero, la combinación de mensajes, historiales de navegación y datos de localización en manos equivocadas abre la puerta a campañas de sextorsión, fraudes personalizados o suplantaciones de identidad. No hace falta ser una figura pública para convertirse en un objetivo apetecible para grupos que manejan bases de datos de víctimas a gran escala.
Modo Aislamiento, buenas prácticas y recomendaciones para minimizar riesgos
Junto a los parches de software, Apple ha vuelto a destacar el papel del Modo Aislamiento (Lockdown Mode), una opción incluida en sus sistemas pensada para personas que pueden ser objetivo de amenazas avanzadas: periodistas, activistas, cargos públicos o perfiles profesionales especialmente delicados.
Al activarse, este modo endurece de forma notable el comportamiento del sistema: restringe ciertos tipos de contenido en apps de mensajería, reduce la superficie de ataque del navegador y limita funcionalidades susceptibles de ser explotadas de forma remota. Según la compañía, no se ha constatado ningún ataque exitoso con spyware de tipo gubernamental contra dispositivos que tuvieran este modo activo.
Para el usuario medio quizá no tenga sentido vivir permanentemente con todas esas limitaciones, pero puede ser una herramienta útil en situaciones concretas, como viajes de trabajo sensibles, asistencia a eventos delicados o contextos en los que se sospeche un riesgo específico de vigilancia digital.
Más allá de esa capa extra, las recomendaciones básicas de ciberseguridad siguen plenamente vigentes: mantener el sistema operativo y las aplicaciones actualizados, desconfiar de enlaces y adjuntos que lleguen por canales no verificados, evitar webs de procedencia dudosa y revisar con calma los permisos que se conceden a cada app, especialmente las que tienen acceso a cámara, micrófono, localización o datos financieros.
En un país como España, donde el móvil ya es la herramienta principal para banca, compras, firma de documentos y comunicaciones del día a día, posponer una actualización crítica por pereza o por rechazo a un cambio estético puede salir caro. Aunque el dispositivo no se utilice para criptomonedas, la cantidad de información que concentra basta para convertirlo en un objetivo rentable.
La publicación de iOS 18.7.7 e iPadOS 18.7.7 ilustra cómo una filtración pública de un kit como DarkSword puede forzar a un fabricante a acelerar su calendario de seguridad y a ampliar la protección a equipos que en teoría ya estaban fuera del foco principal. Para los usuarios de iPhone y iPad, tanto en España como en el resto de Europa, el mensaje es directo: comprobar qué versión del sistema se está utilizando, instalar el parche sin dejarlo para luego y, en los casos más sensibles, considerar seriamente el uso del Modo Aislamiento y de hábitos de seguridad más estrictos para mantener a raya este tipo de amenazas.
