Apple ha dado un paso poco habitual en su estrategia de actualizaciones al extender la disponibilidad de iOS 18.7.7 e iPadOS 18.7.7 a un número significativamente mayor de dispositivos. El motivo es la detección de DarkSword, un potente exploit kit utilizado en ciberataques dirigidos que permite comprometer iPhone y iPad simplemente mediante la navegación web, sin necesidad de interacción adicional por parte del usuario.
Apple extiende iOS 18.7.7 para más dispositivos ante la amenaza de DarkSword
El 1 de abril de 2026, Apple incorporó a la lista de modelos soportados por la actualización de seguridad a dispositivos que son compatibles con iOS 26 pero aún permanecen en ramas anteriores de iOS 18. Según la compañía, los usuarios con Automatic Updates activadas recibirán de forma transparente «importantes protecciones frente a ataques web relacionados con DarkSword».
La versión iOS 18.7.7 e iPadOS 18.7.7 se lanzó inicialmente el 24 de marzo de 2026 y solo estaba disponible para iPhone XS, iPhone XS Max, iPhone XR y iPad de 7.ª generación. Ahora, la actualización se ofrece a un espectro mucho más amplio de dispositivos que podrían dar el salto a iOS 26, pero que continúan operando en la rama 18.x, un escenario muy habitual en entornos corporativos y entre usuarios cautelosos con los cambios de funcionalidad.
Una política de parches poco frecuente en el ecosistema Apple
Apple suele backportar parches críticos a versiones anteriores solo cuando la vulnerabilidad tiene un impacto de alta gravedad. En este caso, la compañía permite a los usuarios de iOS 18 cerrar los fallos explotados por DarkSword sin verse obligados a instalar la última versión principal del sistema operativo. Aunque los parches que corrigen estas vulnerabilidades ya se habían introducido en 2025, la empresa ha optado ahora por simplificar al máximo la instalación de las correcciones para quienes no han migrado a iOS 26.
Esta decisión responde a un problema estructural: diversos estudios de la industria estiman que alrededor de una quinta parte de los usuarios permanece en versiones antiguas de iOS, a menudo sin recibir parches críticos. En un contexto de creciente mercado de vulnerabilidades 0‑day y exploit kits comerciales, depender únicamente de una gestión de parches “a la carta” ya no resulta suficiente para mitigar el riesgo.
Cómo funciona el exploit kit DarkSword contra iOS e iPadOS
Investigaciones de Google Threat Intelligence Group (GTIG), iVerify y Lookout indican que DarkSword se utiliza al menos desde julio de 2025 en campañas dirigidas contra usuarios en Arabia Saudí, Turquía, Malasia y Ucrania. El kit se centra en vulnerabilidades presentes en iOS e iPadOS desde la versión 18.4 hasta la 18.7, lo que lo convierte en una amenaza especialmente seria para dispositivos que no instalan actualizaciones de forma regular.
La técnica principal son las campañas watering hole. En este tipo de ataque, los actores maliciosos comprometen un sitio web legítimo y con alto volumen de tráfico —por ejemplo, un medio de comunicación o un portal institucional— e inyectan código malicioso. Cuando un usuario con un dispositivo vulnerable visita esa página, el exploit kit ejecuta de forma automática una cadena de explotación que suele incluir remote code execution y escalado de privilegios, sin que la víctima tenga que hacer clic en nada.
Tras explotar la vulnerabilidad, DarkSword descarga en el dispositivo un backdoor y un módulo de exfiltración de datos, que permiten a los atacantes mantener un acceso persistente y robar de forma sistemática información sensible: mensajes, historiales de navegación, datos de localización o documentos corporativos, entre otros. Una versión más reciente del kit habría sido filtrada en GitHub, lo que incrementa el riesgo de que grupos con menor nivel técnico puedan reutilizar estas capacidades avanzadas.
Ciberespionaje móvil: uso de DarkSword por grupos avanzados
Según datos de Proofpoint y Malfors, DarkSword ya se encuentra en el arsenal de la denominada COLDRIVER (TA446), una conocida amenaza de origen ruso. En sus campañas, el kit se emplea para desplegar GHOSTBLADE, un malware orientado al robo de información en objetivos de alto interés estratégico: organismos gubernamentales, think tanks, universidades, así como entidades financieras y despachos jurídicos.
Este tipo de operaciones confirma una tendencia clara: el teléfono móvil se ha convertido en un vector prioritario de ciberespionaje. A diferencia de los equipos de escritorio, los smartphones agrupan comunicaciones personales y profesionales, autenticadores de acceso, aplicaciones bancarias y datos de geolocalización. Un compromiso silencioso a través de un ataque watering hole puede proporcionar a los atacantes una visibilidad muy amplia del perfil y actividad de la víctima.
Medidas de protección: qué deben hacer usuarios y organizaciones
Acciones recomendadas para usuarios de iPhone y iPad
Para los usuarios finales, el paso más importante es instalar de inmediato iOS 18.7.7 o iPadOS 18.7.7 si el dispositivo aún no ha sido actualizado a iOS 26. También es recomendable:
- Activar las actualizaciones automáticas de iOS y iPadOS.
- Reiniciar el dispositivo con regularidad para interrumpir posibles sesiones temporales de intrusos.
- Instalar aplicaciones exclusivamente desde la App Store oficial y evitar el jailbreak.
- Prestar atención a los avisos de Apple sobre amenazas y actualizaciones críticas, incluidos los mensajes en la pantalla de bloqueo.
Estrategias clave para empresas y administraciones
En el ámbito corporativo, la protección frente a DarkSword y otros exploit kits móviles exige una aproximación estructurada:
- Implantar soluciones de MDM (Mobile Device Management) para forzar versiones mínimas de iOS y controlar el ciclo de parches.
- Restringir el acceso a recursos corporativos desde dispositivos que no cumplan los requisitos de seguridad (por ejemplo, sin iOS 18.7.7 o iOS 26).
- Monitorizar el tráfico web y DNS en busca de indicios de ataques watering hole y dominios comprometidos.
- Incluir la seguridad móvil en los programas de concienciación, explicando el impacto de visitar sitios aparentemente legítimos pero comprometidos.
La situación creada por DarkSword demuestra que incluso un ecosistema tan orientado a la seguridad como el de Apple no es inmune a exploit kits avanzados y a un dinámico mercado de vulnerabilidades 0‑day. Verificar la versión de iOS instalada y aplicar todas las actualizaciones de seguridad disponibles es un requisito mínimo, pero crítico. Tanto usuarios como organizaciones deberían tratar los parches de iPhone y iPad con la misma prioridad que los de estaciones de trabajo y servidores: la rapidez en actualizar marcará la diferencia entre formar parte de las estadísticas de ataques exitosos o mantener sus dispositivos fuera del alcance de estas campañas de ciberespionaje.
