Una técnica de piratería de iPhone recientemente descubierta, denominada DarkSword, representa una amenaza significativa para cientos de millones de dispositivos iOS en todo el mundo. La herramienta, que se encuentra integrada en sitios web comprometidos, permite a los atacantes robar silenciosamente datos de iPhones vulnerables, un riesgo que subraya una tendencia creciente: las herramientas de piratería sofisticadas se están volviendo más accesibles e indiscriminadas.
La amenaza de DarkSword
Investigadores de Google, iVerify y Lookout han revelado conjuntamente la existencia de DarkSword. Esta técnica explota vulnerabilidades en versiones anteriores del sistema operativo iOS de Apple, específicamente iOS 18, que todavía se ejecuta en aproximadamente el 25% de los iPhone hasta el mes pasado. Los atacantes inyectan la herramienta en sitios web; cualquier iPhone que visite el sitio infectado puede verse comprometido instantáneamente.
La gravedad radica en su simplicidad: los piratas informáticos pueden implementar fácilmente DarkSword en sus propios servidores, convirtiendo cualquier sitio web en un potencial vector de infección. Esta facilidad de implementación se ve exacerbada por el hecho de que el código de la herramienta quedó completamente documentado, con comentarios explicativos, en los sitios web comprometidos.
Espionaje y proliferación rusos
DarkSword ya ha sido vinculado a grupos de espionaje patrocinados por el estado ruso, que lo utilizaron junto con otro conjunto de herramientas avanzado, Coruña. Ambas herramientas se implementaron a través de sitios web ucranianos para recopilar datos de los visitantes.
However, the threat extends beyond state-sponsored actors. DarkSword también se ha observado en ataques dirigidos a víctimas en Arabia Saudita, Turquía y Malasia, lo que indica su proliferación entre múltiples grupos de piratas informáticos. La amplia disponibilidad de la herramienta sugiere que ahora es un activo comercializable en el ecosistema del cibercrimen.
Robo de datos y técnicas sigilosas
DarkSword está diseñado para robar datos confidenciales, incluidas contraseñas, fotos, mensajes, historial del navegador, entradas del calendario, datos de salud e incluso credenciales de billeteras de criptomonedas. Opera utilizando malware “sin archivos”, que aprovecha procesos legítimos del sistema para evitar la detección y dejar rastros mínimos.
A diferencia del software espía tradicional, DarkSword no persiste en un dispositivo después de reiniciarlo. En lugar de ello, realiza una rápida operación de “aplastar y capturar”, extrayendo datos a los pocos minutos de la infección.
Por qué esto es importante
La disponibilidad generalizada de herramientas como DarkSword es alarmante porque reduce la barrera de entrada del ciberdelito. Anteriormente, estas técnicas estaban reservadas para ataques muy específicos contra personas específicas. Ahora son accesibles a una gama más amplia de actores, incluidos delincuentes con motivaciones financieras, lo que aumenta el riesgo para los usuarios promedio de iPhone.
Apple ha lanzado actualizaciones de seguridad, incluidos parches de emergencia para dispositivos más antiguos, pero la gran cantidad de dispositivos sin parches que ejecutan versiones vulnerables de iOS crea una superficie de ataque masiva. La empresa enfatiza que mantener el software actualizado es el paso más crítico que pueden dar los usuarios.
El mercado de explotación en expansión
La aparición de DarkSword junto con Coruña apunta a un mercado cada vez más activo para los exploits de día cero. Los expertos sospechan que una empresa “corredor”, posiblemente Trenchant (una filial de L3Harris), está vendiendo estas herramientas sin una investigación significativa, lo que les permite caer en manos tanto de actores estatales como de ciberdelincuentes.
Esta tendencia sugiere que las técnicas de piratería altamente efectivas ya no son exclusivas de los Estados-nación o de los grupos de piratería de élite. La mercantilización de los exploits amenaza con desestabilizar la seguridad digital, ya que los atacantes ahora ven los días cero como activos desechables en lugar de armas cuidadosamente protegidas.
En última instancia, la rápida proliferación de herramientas como DarkSword significa un cambio hacia ataques cibernéticos más indiscriminados, donde se prioriza la explotación masiva sobre el espionaje dirigido.
