Apple da el raro paso de hacer backport de parches a iOS 18 porque DarkSword es así de grave

Cuando Apple rompe sus propias reglas, sabes que algo va muy mal

Apple no hace favores a quienes se saltan las actualizaciones de software. La filosofía general de la empresa siempre ha sido simple: actualiza o acepta las consecuencias. Así que cuando Cupertino anuncia que lanzará parches de seguridad con backport específicamente para iOS 18, sabes que algo verdaderamente alarmante está ocurriendo.

Ese algo es DarkSword, un kit de exploits que lleva comprometiendo iPhones silenciosamente desde al menos noviembre de 2025 y que ahora se ha hecho público de forma inquietante. Apple ha confirmado a WIRED que entregará correcciones específicas para iOS 18 a los millones de propietarios de iPhone que aún ejecutan esa versión, en lugar de obligarles a pasarse a iOS 26. Para Apple, esto es el equivalente en seguridad de una visita a domicilio.

¿Qué es exactamente DarkSword?

Descubierto y analizado por el Grupo de Inteligencia de Amenazas de Google (GTIG), la empresa de seguridad móvil iVerify y Lookout, DarkSword es una sofisticada cadena de exploits que tiene como objetivo iPhones con iOS 18.4 hasta 18.7. Explota seis vulnerabilidades distintas, tres de las cuales eran zero-days, lo que significa que Apple no tenía conocimiento de ellas antes de que se estuvieran usando activamente en la práctica.

El método de ataque es lo que los investigadores de seguridad llaman un exploit de "drive-by". Visita un sitio web comprometido desde un iPhone vulnerable y DarkSword puede tomar el control de tu dispositivo de forma silenciosa. Sin instalaciones de aplicaciones sospechosas. Sin solicitudes de permisos extrañas. Solo una página web haciendo el trabajo sucio mientras navegas sin preocuparte.

Una vez que entra, la cadena de exploits despliega tres familias de malware distintas: GHOSTBLADE, GHOSTKNIFE y GHOSTSABER. Sí, alguien en el comité de nombres claramente lo estaba pasando bien, pero la amenaza en sí misma no tiene nada de divertido.

La escala del problema

Aquí es donde las cosas se ponen realmente incómodas. A fecha de febrero de 2026, aproximadamente una cuarta parte de todos los usuarios de iPhone seguían usando iOS 18. Los propios datos de la App Store de Apple del 12 de febrero mostraban un 20% entre dispositivos recientes, con estimaciones más amplias que incluyen hardware más antiguo que elevan esa cifra hasta alrededor del 24-25%. Dependiendo de en quién confíes para hacer los cálculos, eso se traduce en algún número entre 220 millones y 270 millones de iPhones afectados.

Para ponerlo en perspectiva, eso equivale aproximadamente a la población de Indonesia usando un sistema operativo vulnerable.

Los objetivos confirmados hasta ahora incluyen usuarios en Malasia, Arabia Saudí, Turquía y Ucrania, pero la situación escaló de forma dramática cuando el código de DarkSword fue filtrado en GitHub alrededor del 23 de marzo de 2026. Lo que antes era una herramienta de vigilancia dirigida es ahora efectivamente armamento de código abierto.

También hay informes no verificados de un investigador de seguridad que indica que se ha identificado un nuevo dominio activo de DarkSword dirigido a usuarios en Estados Unidos, aunque esta afirmación no ha sido confirmada de forma independiente más allá de una única fuente.

De espías a criminales: el recorrido de DarkSword

El equipo de inteligencia de amenazas de Google ha seguido un patrón deprimententemente familiar con DarkSword. Comenzó como una herramienta de vigilancia comercial, el tipo de cosa que se vende a gobiernos que prometen solemnemente que solo la usarán contra amenazas genuinas. Desde ahí, migró al grupo de espionaje ruso UNC6353, antes de llegar a los ciberdelincuentes con motivaciones económicas.

La progresión de herramienta patrocinada por el Estado a mercancía criminal se está convirtiendo en un camino muy transitado en el mundo de la seguridad. Las empresas de seguridad Malfors y Proofpoint ya han advertido que TA446 (también conocido como Star Blizzard o COLDRIVER), un grupo de hackers vinculado al FSB del Kremlin, comenzó a enviar correos de phishing con DarkSword como arma desde el 26 de marzo en adelante. Estos correos suplantaban específicamente invitaciones del Atlantic Council y tenían como objetivo funcionarios gubernamentales, grupos de reflexión, universidades, instituciones financieras y entidades legales.

Patrick Wardle, ex hacker de la NSA y CEO de la empresa de seguridad centrada en Apple DoubleYou, ha sido uno de los que ha dado la voz de alarma. Cuando alguien con su trayectoria dice que la situación es grave, merece la pena prestar atención.

Por qué Apple está rompiendo precedentes

La decisión de Apple de hacer backport de parches a iOS 18 es genuinamente inusual. La empresa ya lo ha hecho antes, especialmente cuando se descubrió el kit de exploits Coruna y Apple envió correcciones de seguridad de vuelta a iOS 17, pero sigue siendo la excepción y no la norma.

El precedente de Coruna merece analizarse porque los paralelismos son llamativos. Ese kit de herramientas fue supuestamente desarrollado por la división Trenchant de L3Harris para el gobierno estadounidense antes de que se extendiera a grupos de espionaje rusos y finalmente a ciberdelincuentes chinos. Afectó al menos a 42.000 dispositivos, lo que en su momento se consideró masivo para iOS. DarkSword amenaza con hacer que esas cifras parezcan insignificantes.

El problema central es que Apple no puede simplemente decirle a una cuarta parte de su base de usuarios que se actualice a iOS 26. Muchos usuarios se han quedado deliberadamente en iOS 18, y no porque sean vagos o tecnófobos.

El problema de iOS 26

iOS 26, lanzado en septiembre de 2025 con su controvertido rediseño "Liquid Glass", ha tenido una adopción históricamente baja. A enero de 2026, solo el 18,1% de los iPhones habían dado el salto, frente al 77,1% de iOS 18 en la misma fase de su ciclo de vida. Es una caída asombrosa.

Las razones son múltiples. La renovación de la interfaz Liquid Glass recibió críticas significativas de usuarios que la encontraron un paso atrás en usabilidad. En el Reino Unido en particular, iOS 26.4 introdujo funciones de verificación de edad obligatoria que provocaron una mayor resistencia de usuarios reacios a proporcionar datos personales adicionales.

Decirle a cientos de millones de personas que adopten un sistema operativo que han rechazado activamente no es una estrategia de seguridad viable. De ahí los parches con backport.

Qué deberías hacer ahora mismo

Si estás usando iOS 18.4 hasta 18.7, el consejo es claro:

• Instala los parches con backport en cuanto lleguen. Apple ha confirmado que vienen. No te demores.
• Ten especial cuidado con los enlaces. DarkSword funciona a través de sitios web comprometidos, y la campaña de phishing vinculada al FSB significa que se están distribuyendo activamente enlaces maliciosos por correo electrónico.
• Comprueba tu versión de iOS. Ve a Ajustes, luego a General, luego a Información. Si estás en el rango afectado, mantente alerta ante la notificación de actualización.
• Considera si iOS 26 podría merecer realmente el cambio. Sí, Liquid Glass requiere cierta adaptación. Pero usar un sistema operativo que recibe actualizaciones de seguridad completas es generalmente preferible a depender de correcciones de emergencia con backport.

El panorama general

DarkSword pone de manifiesto una tensión creciente en el modelo de seguridad de los smartphones. Apple ha sostenido durante mucho tiempo que la mejor protección es simplemente ejecutar el software más reciente. Pero cuando las tasas de adopción se desploman porque a los usuarios genuinamente no les gusta una nueva versión, ese modelo falla estrepitosamente.

La empresa merece reconocimiento por elegir el pragmatismo sobre el orgullo en este caso. Hacer backport de parches a iOS 18 es una admisión implícita de que la adopción de iOS 26 no ha ido según lo planeado, y Apple no hace esas admisiones a la ligera.

Rocky Cole, cofundador de iVerify, ha sido vocal sobre la necesidad de este tipo de flexibilidad. Cuando cientos de millones de dispositivos están en riesgo, el mantra de "simplemente actualiza" suena hueco.

Por ahora, la amenaza inmediata es clara y la solución está en camino. Pero la pregunta más profunda permanece: ¿qué ocurre la próxima vez que surja un exploit crítico y una parte significativa de la base de usuarios esté en un sistema operativo más antiguo que se niegan a abandonar? Apple puede necesitar replantear su enfoque sobre el soporte a largo plazo, porque DarkSword no será el último kit de herramientas en explotar esta brecha.

Lee el artículo original en la fuente.