Tu iPhone podría estar en peligro: así funciona el nuevo ataque masivo que preocupa a los expertos en ciberseguridad
Investigadores de seguridad han descubierto una familia de malware activa desde noviembre del año pasado, capaz de robar toda la información de iPhone.
El Grupo de Análisis de Amenazas de Google (GTIG), en colaboración con Lookout y iVerify, ha identificado un nuevo kit avanzado de explotación de iOS, que permite el control total de un iPhone en cuestión de segundos.
La amenaza, a la que han llamado DarkSword, lleva desde noviembre de 2025 siendo utilizada por diferentes actores maliciosos a nivel mundial, así como grupos patrocinados por el Estados.
A diferencia de lo que suele ocurrir con las campañas de malware persistente, en este caso concreto, DarkSword destaca por ejecutarse en apenas unos segundos tras visitar un sitio web infectado y, tras exfiltrar la información, se elimina a sí mismo para no dejar rastro alguno.
Según detalla el equipo de inteligencia de Google en su investigación, los lugares identificados han sido Arabia Saudí, Turquía, Malasia y Ucrania, pero es más que probable que también se haya extendido a otro tipo de servicios y actores.
Sea como sea, el primer punto se identificó en noviembre del año pasado en Arabia Saudí, aprovechando un sitio web temático de Snapchat que tenía código JavaScript incrustado con esta amenaza.
A su vez, esta amenaza incluye varias puertas traseras para instalar Ghostknife, escrito también en JavaScript y con capacidad para robar toda la información disponible en el navegador Safari, en las versiones de iOS que van desde la 18.3 a la 18.7.
"Ghostknife, escrito en JavaScript, tiene varios módulos para filtrar diferentes tipos de datos, incluyendo cuentas de inicio de sesión, mensajes, datos del navegador, historial de ubicación y grabaciones", alertan los investigadores. "También es compatible con la descarga de archivos desde el servidor C2, la toma de capturas de pantalla y la grabación de audio desde el micrófono del dispositivo".
En el caso de otros países, como Malasia, se ha observado actividad más reciente, durante enero de este mismo año, con una carga diferente para el análisis de la huella digital de un dispositivo, denominado Ghostsaber.
"Sus capacidades incluyen la enumeración de dispositivos y cuentas, la lista de archivos, la exfiltración de datos y la ejecución de código JavaScript arbitrario", añade el equipo de inteligencia de Google.
Por último, Ucrania también ha sido uno de los países que ha sufrido DarkSword, en este caso con cargas activas que se han mantenido al menos hasta marzo de 2026, con el objetivo de desplegar Ghostblade en dispositivos iPhone.
Esta última familia de malware tiene prácticamente el mismo objetivo que las anteriores, que es recopilar y exfiltrar datos del iPhone comprometido, aunque en su caso no funciona de forma continuada.
"En particular, la muestra de Ghostblade analizada contiene un comentario y un bloque de código que ejecuta condicionalmente el código en versiones de iOS mayores o iguales a 18.4, que es la versión mínima soportada por DarkSword", agregan.
De momento, se desconoce cuántos iPhone han podido ser vulnerados, aunque ya se ha convertido en una de las amenazas más peligrosas para el ecosistema de Apple.