Cientos de millones de iPhones son vulnerables a dos kits de hacking de nivel gubernamental que han acabado en manos de espías rusos y cibercriminales. DarkSword y Coruna son dos conjuntos de exploits —programas que aprovechan fallos de seguridad para tomar el control de un dispositivo— descubiertos por investigadores de Google, iVerify y Lookout. Ambos pueden comprometer un iPhone en silencio con solo visitar una página web infectada: sin descargas, sin tocar nada, sin aviso. Y según las estimaciones de iVerify y Lookout, entre 220 y 270 millones de iPhones siguen ejecutando versiones de iOS vulnerables a estos ataques.
La noticia no es solo que existan herramientas así. Es que han pasado de operaciones quirúrgicas de inteligencia a campañas masivas de robo de criptomonedas. El arsenal se ha descontrolado.
¿De dónde salen estas herramientas?
La historia empieza con un exempleado de Trenchant, una división de la contratista de defensa L3Harris. Peter Williams se declaró culpable en octubre de vender al menos ocho exploits a un bróker ruso conocido como Operation Zero, sancionado por el Departamento del Tesoro de EE.UU. el mes pasado.
Coruna, revelado el 3 de marzo por Google e iVerify, encadena 23 vulnerabilidades distintas para penetrar iPhones desde iOS 13 hasta iOS 17.2.1 mediante cinco técnicas de ataque independientes. La sofisticación técnica es de nivel estatal: los payloads (la carga útil del malware) van cifrados con ChaCha20, empaquetados en un formato propietario con una cabecera 0xf00dbeef y comprimidos con el algoritmo Lempel-Ziv-Welch. El kit incluso detecta si el dispositivo está en Modo Aislamiento o navegación privada, y en ese caso aborta la operación para no delatarse.
DarkSword, revelado hoy, ataca iPhones con iOS 18 (versiones 18.4 a 18.6.2) y fue encontrado plantado en docenas de webs ucranianas. Investigadores de Google observaron a múltiples proveedores comerciales de vigilancia y grupos vinculados a estados utilizándolo contra objetivos en Arabia Saudí, Turquía, Malasia y Ucrania. Las campañas en Malasia y Turquía fueron asociadas al proveedor turco de vigilancia PARS Defense.
¿Qué pueden robar exactamente?
Según Lookout, DarkSword está diseñado para extraer contraseñas y fotos, registros de iMessage, WhatsApp y Telegram, historial de navegación, datos del Calendario, Notas e incluso información de la app Salud de Apple. También roba credenciales de monederos de criptomonedas, lo que sugiere que los operadores combinan espionaje con cibercrimen con ánimo de lucro.
Lo más inquietante es su técnica. En lugar de instalar spyware persistente —un programa que se queda en el teléfono—, DarkSword utiliza técnicas «fileless» más propias de malware para Windows: secuestra procesos legítimos del sistema operativo del iPhone para robar datos sin dejar rastro visible. Esto lo hace especialmente difícil de detectar con herramientas de seguridad convencionales.
¿Estoy en riesgo? ¿Qué puedo hacer?
Apple ha parcheado las vulnerabilidades explotadas por ambos kits en versiones recientes de iOS. La versión actual es iOS 26.3. Si tu iPhone ejecuta iOS 26, no estás expuesto a estos exploits concretos. El problema es que, según Apple, aproximadamente una cuarta parte de los iPhones activos siguen en iOS 18, lo que deja a cientos de millones de dispositivos potencialmente vulnerables.
La recomendación es directa: actualiza tu iPhone ahora mismo. Ve a Ajustes > General > Actualización de software e instala la última versión disponible. Si tu dispositivo no soporta iOS 26, Apple ha lanzado parches de emergencia para versiones anteriores.
Además, activar el Modo Aislamiento (Lockdown Mode) reduce significativamente la superficie de ataque. Coruna, de hecho, aborta su ejecución si detecta que está activo. No es una solución perfecta, pero sí una capa de protección adicional para usuarios de alto riesgo.
¿Por qué esto importa más allá de la seguridad?
iVerify describió la campaña de Coruna como el «primer ataque masivo conocido contra iOS» de este tipo. La frase es importante. Hasta ahora, los exploits de nivel gubernamental para iPhone eran armas de francotirador: caras, escasas y dirigidas a objetivos individuales de alto valor —periodistas, activistas, políticos—. Lo que estamos viendo ahora es que esas armas han llegado al mercado secundario y se usan como ametralladoras.
Google advierte que este arsenal ya existe en circulación libre y puede ser adoptado o adaptado por cualquier grupo de hackers. Y la aparición consecutiva de Coruna y DarkSword, posiblemente vendidos por el mismo bróker sin mucha discreción, apunta a un mercado cada vez más activo de compraventa de exploits de «segunda mano».
Mi lectura: la narrativa de Apple sobre la seguridad del iPhone como fortaleza inexpugnable necesita un matiz importante. iOS sigue siendo más seguro que Android en términos generales, pero cuando las herramientas de ataque vienen de contratistas gubernamentales con presupuestos millonarios, ningún sistema es inmune. La lección para el usuario es sencilla pero urgente: actualiza. Siempre. Sin excusas.
Preguntas frecuentes sobre DarkSword y Coruna
¿Qué son DarkSword y Coruna? Son dos kits de hacking de nivel gubernamental que explotan vulnerabilidades en iPhones para robar datos de forma silenciosa con solo visitar una web infectada, sin necesidad de que el usuario descargue nada.
¿Cuántos iPhones están en riesgo? Entre 220 y 270 millones de dispositivos que ejecutan versiones vulnerables de iOS (desde iOS 13 hasta iOS 18.6.2), según estimaciones de iVerify y Lookout.
¿Cómo me protejo? Actualiza tu iPhone a la última versión de iOS disponible. Activa el Modo Aislamiento si eres un usuario de alto riesgo (periodista, activista, ejecutivo). Los iPhones con iOS 26 no están afectados por estos exploits.
¿Quién está detrás de estos ataques? Los exploits tienen probable origen en contratistas del gobierno de EE.UU., fueron vendidos a un bróker ruso (Operation Zero) y utilizados por espías rusos y cibercriminales para campañas masivas de espionaje y robo de criptomonedas.