iOS

El iPhone ya no es invencible: un análisis de DarkSword y Coruna

La aparición de DarkSword y Coruna (nuevo malware dirigido a iOS) muestra exactamente cómo las herramientas de inteligencia de los gobiernos se están reutilizando como armas para los ciberdelincuentes. Desglosamos cómo funcionan estos ataques, por qué son tan peligrosos y qué puedes hacer para no infectarte.

Alanna Titterington
26 Abr 2026

DarkSword y Coruna son dos nuevas herramientas para desplegar ataques invisibles en dispositivos iOS. Estos ataques no requieren la interacción del usuario y ya están siendo utilizados activamente por los actores maliciosos en el mundo real. Antes de que surgieran estas amenazas, la mayoría de los usuarios de iPhone no se preocupaban por la seguridad de sus datos. En realidad, la protección solo era un problema importante para un grupo reducido (políticos, activistas, diplomáticos, ejecutivos de empresas de alto nivel y otras personas que manejan datos extremadamente confidenciales) que podría ser el objetivo de las agencias de inteligencia extranjeras. Ya hemos cubierto el spyware sofisticado usado contra un grupo de este tipo y hemos notado lo difícil que era conseguir esas herramientas.

Sin embargo, DarkSword y Coruna, descubiertos por investigadores a principios de este año, son revolucionarios. Este malware se está utilizando para infecciones masivas de usuarios cotidianos. En esta publicación, explicamos por qué ha ocurrido este cambio, por qué estas herramientas son tan peligrosas y cómo puedes mantener tu protección.

Lo que sabemos sobre DarkSword y cómo puede dirigirse a tu iPhone

A mediados de marzo de 2026, tres equipos de investigación independientes coordinaron la publicación de sus hallazgos sobre una nueva variedad de spyware llamada DarkSword. Esta herramienta es capaz de hackear silenciosamente dispositivos que ejecutan iOS 18 sin que el usuario sepa que algo anda mal.

Primero deberíamos aclarar una confusión: iOS 18 no es tan antiguo como suena. A pesar de que la versión más reciente es iOS 26, Apple ha renovado recientemente su sistema de numeración de versiones, lo que ha dejado a todo el mundo desconcertado. Han decidido saltarse ocho versiones —pasando directamente de la 18 a la 26— para que el número del sistema operativo coincida con el año en curso. A pesar del salto, Apple estima que alrededor de una cuarta parte de todos los dispositivos activos aún se ejecutan con iOS 18 o una versión anterior.

Con eso aclarado, volvamos a DarkSword. Las investigaciones muestran que este malware infecta a las víctimas cuando visitan sitios web perfectamente legítimos que han sido inyectados con códigos maliciosos. El spyware se instala sin ninguna interacción del usuario: solo tienes que llegar a una página infectada. Esto es lo que se conoce como técnica de infección de clic cero (zero-click). Los investigadores informan de que varios miles de dispositivos ya se han visto afectados de esta manera.

Para poner en riesgo un dispositivo, DarkSword utiliza una cadena de exploits de seis vulnerabilidades para escapar del entorno aislado, escalar privilegios y ejecutar código. Una vez que está dentro, el malware recopila datos del dispositivo infectado, por ejemplo:

Contraseñas
Fotos
Chats y datos de iMessage, WhatsApp y Telegram
Historial de navegación
Información de las aplicaciones Calendario, Notas y Salud de Apple

Además de todo eso, DarkSword permite a los atacantes obtener datos de carteras de criptomonedas, lo que lo convierte en un malware esencialmente de doble finalidad que funciona como una herramienta de espionaje y una forma de vaciar tus criptomonedas.

La única buena noticia es que el spyware no sobrevive a un reinicio. DarkSword es un malware sin archivos, lo que significa que vive en la memoria RAM del dispositivo y nunca llega a integrarse en el sistema de archivos.

Coruna: cómo se están atacando las versiones anteriores de iOS

Apenas dos semanas antes de que los hallazgos de DarkSword se hicieran públicos, los investigadores señalaron otra amenaza de iOS denominada Coruna. Este malware es capaz de poner en riesgo dispositivos que ejecutan software anteriores, específicamente iOS 13 a 17.2.1. Coruna utiliza exactamente el mismo método que DarkSword: las víctimas visitan un sitio web legítimo en el que se ha inyectado código malicioso, que a su vez instala el malware en el dispositivo. Todo el proceso es totalmente invisible y no requiere ninguna intervención por parte del usuario.

Un análisis en profundidad del código de Coruna reveló que aprovecha un total de 23 vulnerabilidades de iOS diferentes, varias de las cuales están ocultas en el WebKit de Apple. Vale la pena recordar que, en general (fuera de la UE), todos los navegadores de iOS deben usar el motor de WebKit. Esto significa que las vulnerabilidades no solo afectan a los usuarios de Safari, sino que también son una amenaza para cualquiera que use un navegador de terceros en su iPhone.

La versión más reciente de Coruna, al igual que DarkSword, incluye modificaciones diseñadas para vaciar las carteras de criptomonedas. También recopila fotos y, en ciertos casos, datos de correo electrónico. Por lo que podemos observar, el robo de criptomonedas parece ser el motivo principal del despliegue generalizado de Coruna.

¿Quién creó Coruna y DarkSword, y cómo terminaron en el mundo real?

El análisis de código de ambas herramientas sugiere que Coruna y DarkSword probablemente fueron creados por diferentes desarrolladores. Sin embargo, en ambos casos, vemos software creado originalmente por empresas afiliadas al estado, posiblemente de los EE. UU. La alta calidad del código apunta a eso; no son solo kits de Frankenstein improvisados a partir de partes aleatorias, sino exploits diseñados de manera uniforme. En algún momento, estas herramientas acabaron en manos de bandas de cibercriminales.

Los expertos del Equipo de Análisis e Investigación Global de Kaspersky analizaron todos los componentes de Coruna y confirmaron que este kit de exploits es en realidad una versión actualizada del marco utilizado en la Operación Triangulación. Ese ataque anterior tuvo como objetivo a los empleados de Kaspersky, una historia que cubrimos en detalle en este blog.

Una teoría sugiere que un empleado de la empresa que desarrolló Coruna se lo vendió a los cibercriminales. Desde entonces, el malware se ha utilizado para vaciar las carteras de criptomonedas que pertenecen a usuarios en China. Los expertos estiman que solo allí se infectaron al menos 42 000 dispositivos.

En cuanto a DarkSword, los ciberdelincuentes ya lo han utilizado para poner en riesgo a usuarios en Arabia Saudita, Turquía y Malasia. El problema se ve agravado por el hecho de que los atacantes que primero desplegaron DarkSword dejaron el código fuente completo en los sitios web infectados, lo que significa que otros grupos delictivos podrían detectarlo fácilmente.

El código también incluye comentarios detallados en inglés que explican exactamente qué hace cada componente, lo que respalda la teoría de sus orígenes occidentales. Estas instrucciones paso a paso facilitan que otros ciberdelincuentes adapten la herramienta para sus propios fines.

Cómo protegerte de Coruna y DarkSword

El malware altamente peligroso que permite la infección masiva de dispositivos iPhone sin requerir ninguna interacción del usuario ahora ha aterrizado en manos de un grupo esencialmente ilimitado de ciberdelincuentes. Para elegir Coruna o DarkSword, simplemente debes visitar el sitio equivocado en el momento equivocado. Por lo tanto, este es uno de esos casos en los que todos los usuarios deben tomarse en serio la seguridad de iOS, no solo los de grupos de alto riesgo.

Lo mejor que puedes hacer para protegerte de Coruna y DarkSword es actualizar tus dispositivos a la versión más reciente de iOS o iPadOS 26, lo antes posible. Si no puedes actualizar al software más reciente, por ejemplo, si tu dispositivo es más antiguo y no es compatible con iOS 26, debes instalar la última versión disponible. Específicamente, busca las versiones 15.8.7, 16.7.15 o 18.7.7. En un movimiento poco habitual, Apple parcheó una amplia gama de sistemas operativos más antiguos.

Para proteger tus dispositivos Apple de malware similar que probablemente aparecerá en el futuro, recomendamos lo siguiente:

Instala las actualizaciones de inmediato en todos tus dispositivos Apple. La empresa lanza regularmente versiones del sistema operativo que parchean las vulnerabilidades conocidas; por lo que no debes omitirlas.
Activa las mejoras de seguridad en segundo plano. Esta función permite que tu dispositivo reciba correcciones de seguridad críticas por separado de las actualizaciones completas de iOS, lo que reduce la ventana para que los cibercriminales aprovechen las vulnerabilidades. Para activarla, ve a Configuración → Privacidad y seguridad → Mejoras de seguridad en segundo plano y activa la opción Instalar automáticamente.
Considera usar el Modo de aislamiento. Esta es una configuración de seguridad mejorada que limita algunas funciones del dispositivo pero, al mismo tiempo, bloquea o complica significativamente los ataques. Para activar esta opción, ve a Configuración → Privacidad y seguridad → Modo de aislamiento → Activar el modo de aislamiento.
Reinicia tu dispositivo una vez al día (o más). Esto detiene en seco el malware sin archivos, ya que estas amenazas no están integradas en el sistema y desaparecen después de un reinicio.
Utiliza almacenamiento cifrado para datos confidenciales. Guarda información como claves de carteras de criptomonedas, fotografías de identificaciones e información confidencial en un almacén seguro. Kaspersky Password Manager es ideal para esto; administra tus contraseñas, tokens de autenticación de dos factores y llaves de acceso en todos tus dispositivos, al mismo tiempo que mantiene tus notas, fotografías y documentos sincronizados y cifrados.

La idea de que los dispositivos de Apple son infalibles es un mito. Son vulnerables a los ataques de clic cero, los troyanos y las técnicas de infección de ClickFix, e incluso hemos visto aplicaciones maliciosas deslizarse en App Store más de una vez. Obtén más información aquí:

Predator frente al iPhone: el arte de la vigilancia invisible

AirBorne: ataques a dispositivos Apple a través de vulnerabilidades en AirPlay

¿Tus auriculares Bluetooth te están espiando?

El troyano ladrón SparkCat se infiltra en App Store y Google Play, y roba datos de fotografías

Banshee Stealer: un ladrón que ataca a usuarios de macOS

Arquitectura de gestión de vulnerabilidades de código abierto

Cómo gestionar las vulnerabilidades al desarrollar o usar software de código abierto.

Privacidad y niños

El iPhone ya no es invencible: un análisis de DarkSword y Coruna

Lo que sabemos sobre DarkSword y cómo puede dirigirse a tu iPhone

Coruna: cómo se están atacando las versiones anteriores de iOS

¿Quién creó Coruna y DarkSword, y cómo terminaron en el mundo real?

Cómo protegerte de Coruna y DarkSword

El troyano ladrón SparkCat se infiltra en App Store y Google Play, y roba datos de fotografías

Configurar Atajos y Siri en Kaspersky para iOS

Arquitectura de gestión de vulnerabilidades de código abierto

Consejos

Del CVSS a la RBVM: cómo priorizar correctamente las vulnerabilidades

Todo sobre el CVSS: la evolución de la puntuación de vulnerabilidades

Lluvia de bitcoins: Falso regalo de Nvidia

Te chantajean porque te han pillado viendo porno

Soluciones domésticas

Para pequeñas empresas

Para empresas medianas

Para empresas grandes

Securelist

Eugene Personal Blog

Enciclopedia