Apple ha puesto en circulación un parche de seguridad crítico en iOS 18.7.7 e iPadOS 18.7.7 para contener DarkSword, una cadena de exploits capaz de comprometer iPhone y iPad con solo cargar una página web manipulada. La actualización apunta sobre todo a esos millones de dispositivos que siguen en versiones de iOS 18 vulnerables, incluidos muchos en España y en el resto de Europa, ya sea porque no pueden o porque no han querido dar el salto a iOS 26.
La compañía reacciona así a la filtración pública del kit de ataque DarkSword en Internet, un movimiento que ha disparado las alarmas en la comunidad de ciberseguridad. Lo que empezó como campañas dirigidas en determinados países ha pasado a ser una amenaza mucho más amplia, aprovechable por cualquier actor que encuentre un iPhone o iPad desactualizado y sin este nuevo parche.
Qué es DarkSword y qué puede hacer en un iPhone o iPad
DarkSword es un conjunto de herramientas de explotación diseñado específicamente contra iOS 18.4, 18.5, 18.6 y 18.7. No funciona como el típico engaño que obliga al usuario a instalar una app rara o a aceptar varios avisos extraños: en este caso basta con visitar una web que albergue el código malicioso para que arranque la cadena de ataque.
Los operadores de DarkSword utilizan sobre todo ataques de tipo watering hole, una técnica en la que se inyecta el exploit en sitios creados por los propios atacantes o en páginas legítimas que previamente han sido comprometidas. Desde la perspectiva del usuario, la experiencia es la misma de siempre: la página se carga, el contenido aparece y, mientras tanto, en segundo plano se puede estar ejecutando todo el proceso de intrusión.
Una vez que la explotación tiene éxito, DarkSword es capaz de extraer un conjunto muy amplio de datos privados. Entre la información mencionada por las investigaciones se incluyen mensajes, historiales de navegación, datos de geolocalización y credenciales asociadas a servicios financieros y apps de criptomonedas, lo que abre la puerta a fraudes de todo tipo.
El enfoque es rápido y discreto: el spyware entra, recopila datos y los envía a servidores controlados por los atacantes en cuestión de segundos, para después tratar de borrar rastros. En muchos casos el usuario no llega a notar nada fuera de lo normal, aunque su información ya haya salido del teléfono o la tableta rumbo a una infraestructura remota.
Firmas especializadas han señalado que DarkSword comparte enfoque con cadenas de exploits previas, como Coruna, orientada a versiones aún más antiguas de iOS. En todos los casos el punto de partida vuelve a ser WebKit, el motor del navegador de Apple, que sirve de puerta de entrada al resto del sistema operativo.
Cómo explota DarkSword las vulnerabilidades de iOS 18
Los análisis publicados coinciden en que DarkSword se apoya en varias vulnerabilidades de día cero presentes en iOS 18.4 a 18.7. La primera fase del ataque pasa por lograr ejecución de código en el navegador cuando la víctima abre una página web infectada, sin que tenga que descargar nada ni pulsar en botones sospechosos.
A partir de ahí, la cadena encadena diferentes fallos para escalar privilegios dentro del sistema y acceder a áreas normalmente protegidas. Ese escalado es lo que permite saltar de un simple fallo en el navegador a la obtención de acceso a datos de aplicaciones, bases de datos internas y ficheros de configuración que, en condiciones normales, estarían aislados.
La información extraída se empaqueta y se envía a servidores bajo el control de los operadores de DarkSword. En ese paquete pueden viajar desde conversaciones personales hasta patrones de localización, algo especialmente delicado cuando el dispositivo se utiliza para trabajo remoto, banca online o autenticación en servicios empresariales.
En el terreno de los criptoactivos, el impacto puede ser todavía mayor, porque gran parte de las apps de monedero, exchanges y gestores de claves se usan directamente desde el iPhone o el iPad. Si un atacante consigue hacerse con frases semilla, claves privadas o tokens de sesión, el siguiente paso lógico es intentar vaciar cuentas o mover fondos sin permiso del titular.
La publicación del kit de explotación en repositorios públicos ha cambiado por completo el panorama. Ya no hablamos solo de unos pocos grupos muy sofisticados con herramientas propias, sino de cualquier actor con cierto nivel técnico que sea capaz de descargar el código, adaptarlo mínimamente y probarlo contra dispositivos que sigan en versiones vulnerables de iOS 18.
El papel de iOS 18.7.7 e iPadOS 18.7.7: un parche a contrarreloj
Apple llevaba meses desplegando defensas frente a cadenas como Coruna y DarkSword en distintas ramas de su ecosistema. Para cubrir modelos más antiguos lanzó, por ejemplo, iOS 15.8.7 y iPadOS 15.8.7, así como iOS 16.7.15 y iPadOS 16.7.15, dirigidos a terminales que ya no pueden aspirar a saltar a las versiones más recientes, pero que siguen en uso.
En la línea de iOS 18, la primera oleada de iOS 18.7.7 e iPadOS 18.7.7 llegó a dispositivos que no podían ejecutar iOS 26, como iPhone XS, XS Max, XR o el iPad de séptima generación. Con esa maniobra, la compañía blindaba a esos equipos frente a DarkSword sin obligar a un cambio de generación de sistema operativo.
El problema estaba en que quedaba un grupo muy amplio de usuarios en tierra de nadie: quienes tenían móviles y tabletas plenamente compatibles con iOS 26, pero habían decidido mantenerse en iOS 18 por preferencia personal. Entre los motivos se cita con frecuencia el rechazo a cambios estéticos como la nueva interfaz de «cristal líquido» o el simple hábito de aplazar las grandes actualizaciones.
Tras la proliferación de DarkSword en la red y el aumento de la presión por parte de la comunidad de seguridad, Apple confirmó a medios especializados que haría un backport de las correcciones de iOS 26 a iOS 18. Es decir, llevaría a la rama antigua las mismas protecciones ya presentes en la versión más moderna del sistema.
En la práctica, eso se traduce en que los usuarios que siguen en iOS 18 ven aparecer una nueva actualización de seguridad, identificada como 18.7.7, junto a la opción de migrar directamente a iOS 26. Apple insiste en que la seguridad más completa se alcanza con la versión actual, pero ofrece la alternativa parcheada para quienes todavía no quieren dar ese paso.
Qué dispositivos quedan cubiertos y cómo afecta en España y Europa
La documentación de soporte de la compañía detalla que iOS 18.7.7 e iPadOS 18.7.7 se están desplegando progresivamente en una larga lista de modelos, muchos de ellos especialmente populares en el mercado europeo.
Entre los teléfonos, la actualización llega a iPhone XR, iPhone XS, iPhone XS Max, todas las gamas de iPhone 11, 12, 13, 14, 15 y 16, además de los iPhone SE de segunda y tercera generación. En la práctica, esto cubre buena parte del parque de terminales activos en España, donde muchos usuarios alargan la vida útil del dispositivo varios años.
En el terreno de las tabletas, el parche se distribuye a múltiples generaciones de iPad, iPad Air, iPad mini e iPad Pro, desde modelos con chips A16 y A17 Pro hasta las versiones con procesadores M2, M3 y M4. Son precisamente estos equipos los que suelen utilizarse en entornos profesionales y educativos, donde la exposición a sitios web de terceros es constante.
Apple remarca que se trata de una actualización de seguridad crítica recomendada para todos los usuarios. Recuerda también que parte de las correcciones relacionadas con DarkSword ya se habían incorporado a iOS 26 con anterioridad, pero que la publicación del kit obligaba a extender el paraguas de protección a quienes continuaban en la rama 18.
En Europa, y particularmente en España, la distribución se realiza de forma escalonada, aunque la mayoría de usuarios debería ver disponible el parche en Ajustes > General > Actualización de software en un plazo muy corto. Conviene comprobarlo manualmente, sobre todo si las actualizaciones automáticas están desactivadas o restringidas solo a Wi‑Fi.
Dónde se han visto ataques con DarkSword y qué riesgo hay para Europa
Antes de hacerse público el código, las campañas con DarkSword se habían documentado contra usuarios en China, Malasia, Turquía, Arabia Saudí y Ucrania. En esos casos se trataba de operaciones bastante dirigidas, algunas vinculadas a contextos geopolíticos y a actividades de vigilancia de alto nivel.
La publicación del kit en Internet ha cambiado el mapa. Cuando una herramienta de este tipo pasa a ser accesible para cualquiera con conocimientos suficientes, deja de ser un recurso reservado a un puñado de grupos avanzados y se convierte en una opción más para ciberdelincuentes con motivaciones económicas o políticas.
Para usuarios en España y el resto de la Unión Europea, eso significa que no basta con no aparecer en la lista inicial de países atacados. El tráfico web no entiende de fronteras, y una campaña oportunista que recicle el exploit puede dirigirse a cualquier región donde haya suficientes dispositivos sin parchear como para que compense el esfuerzo.
El sector de las criptomonedas ha seguido este caso con especial atención porque DarkSword apunta de forma explícita a datos y aplicaciones vinculadas a activos digitales. Un descuido con una actualización puede convertirse en accesos no autorizados a billeteras, exchanges o servicios financieros si el atacante consigue hacerse con las claves o tokens adecuados.
Más allá del dinero, el robo de mensajes, historiales de navegación y localización abre la puerta a chantajes, fraudes dirigidos y suplantaciones de identidad. No hace falta ser una figura pública para llamar la atención: basta con que los datos se puedan traducir en beneficio económico o ventaja estratégica para quien los explota.
Modo Aislamiento, buenas prácticas y qué deberían hacer los usuarios
Junto con el despliegue del parche, Apple ha vuelto a poner el foco en el Modo Aislamiento (Lockdown Mode), una función opcional orientada a personas que puedan ser objetivo de amenazas especialmente sofisticadas, como periodistas, activistas, cargos públicos o directivos con información sensible.
Cuando se activa, este modo endurece de forma drástica el comportamiento del sistema: limita determinados tipos de contenido en apps de mensajería, recorta la superficie de ataque del navegador y bloquea funciones que, en circunstancias normales, podrían ser aprovechadas por exploits avanzados. La compañía afirma que, hasta la fecha, no tiene constancia de intrusiones exitosas con spyware gubernamental en dispositivos que tuvieran esta opción habilitada.
Para el usuario medio puede resultar excesivo vivir siempre con esas restricciones, pero puede ser una buena idea activarlo en situaciones concretas, como viajes a países con alto riesgo, proyectos laborales delicados o cuando exista la sospecha de estar en el punto de mira de algún tipo de vigilancia digital.
Al margen de esta capa extra, las recomendaciones básicas siguen siendo las de siempre: mantener el sistema y las aplicaciones al día, revisar los permisos concedidos a cada app, desconfiar de enlaces y webs de procedencia dudosa y evitar instalar software fuera de los canales oficiales. Con DarkSword en circulación, la prioridad inmediata es que ningún iPhone ni iPad se quede sin las correcciones de iOS 18.7.7 o, en su caso, sin la actualización a iOS 26.
En un contexto como el español, donde el móvil se ha convertido en la herramienta principal para banca, compras en línea y comunicaciones, aplazar una actualización crítica por motivos estéticos o de costumbre puede salir caro. Aunque el dispositivo no se utilice para manejar criptomonedas, la cantidad de datos personales y profesionales que almacena basta para convertirlo en un objetivo atractivo.
Al final, la llegada de iOS 18.7.7 e iPadOS 18.7.7 muestra cómo una filtración pública como la de DarkSword puede acelerar los calendarios de seguridad de un fabricante. Apple ha optado por extender las defensas incluso a quienes habían decidido quedarse en iOS 18, importando mecanismos de protección ya presentes en iOS 26. Para los usuarios de iPhone y iPad en España y en el resto de Europa, el mensaje es claro: comprobar qué versión del sistema tienen instalada, aplicar el parche sin dejarlo para luego y, en los perfiles más expuestos, valorar seriamente el uso del Modo Aislamiento y de hábitos de seguridad más estrictos en el día a día.
