la vulnerabilitat DarkSword s'ha convertit en un dels errors de seguretat més delicats descoberts recentment a iPhone. Es tracta d'una cadena d'exploits per a iOS capaç de prendre el control del mòbil només carregant una pàgina web manipulada, sense que l'usuari toqui res ni vegi un avís en pantalla.
Aquest kit d'atac, analitzat per equips de seguretat de Google, iVerify i Lookout, afecta principalment als iPhone que segueixen usant iOS 18 en versions compreses aproximadament entre la 18.4 i la 18.7. El risc no és teòric: hi ha campanyes actives, s'han vinculat a grups de vigilància comercial i actors amb possible suport estatal, i posa en el punt de mira tant usuaris particulars com persones amb perfils d'alt valor, inclosos els que manegen criptomonedes des del mòbil.
Què és DarkSword i com explota iOS
DarkSword és un exploit de tipus zero clic orientat a iOS, és a dir, un conjunt de vulnerabilitats que permet comprometre el dispositiu sense que l'usuari hagi de prémer enllaços, descarregar fitxers o concedir permisos de forma explícita. Només cal visitar una web compromesa a Safari oa través del navegador integrat en una altra app perquè la cadena d'atac es dispari de manera transparent.
Segons l'informe tècnic fet públic per l'equip d'amenaces de Google (GTIG) amb iVerify i Lookout, la cadena de DarkSword encadena almenys sis errors de seguretat diferents, com recullen les anàlisis sobre errors crítics en macOS i iOS, fins aconseguir executar codi amb privilegis de kernel. Aquest nivell d'accés és especialment crític perquè atorga a l'atacant un control molt profund sobre el sistema, fins i tot per sobre de moltes aplicacions de seguretat.
Els investigadors han explicat que l'exploit s'ha dissenyat per a dispositius amb iOS 18 en versions com la 18.4, 18.6.2 o 18.7, un rang que al seu moment cobria centenars de milions de telèfons. Tot i que Apple ha anat corregint les bretxes en successives actualitzacions, una part significativa del parc d'iPhones va seguir ancorada a iOS 18 durant mesos, cosa que obria una finestra d'oportunitat molt àmplia per als atacants. En particular, moltes de les correccions van arribar en pegats relacionats amb iOS 18.6 que van mitigar diverses de les vulnerabilitats explotades.
El més inquietant de la investigació és que DarkSword no s'amaga després d'una enginyeria social sofisticada: l'usuari pot estar llegint una notícia en una web legítima, o consultant un portal oficial, i que l'atac s'executi en segon pla si aquest lloc ha estat compromès.
Campanyes detectades i objectius: d'Ucraïna a l'ecosistema cripte
Els primers indicis sòlids de DarkSword van aparèixer a webs legítimes d'Ucraïna, on els investigadors de Google van localitzar codi maliciós incrustat a desenes de llocs, entre ells mitjans de comunicació i pàgines d'organismes públics. Des d'allà, la campanya es va estendre a altres escenaris geopolíticament sensibles.
GTIG i iVerify han atribuït l'ús d'aquest kit a múltiples actors diferents, inclosos proveïdors de vigilància comercial i grups presumptament vinculats a serveis d'intel·ligència. Entre els països on s'han observat operacions figuren Aràbia Saudita, Turquia, Malàisia i Ucraïna, cosa que deixa clar que no era un experiment aïllat, sinó una campanya sostinguda en el temps.
Un dels elements que més ha preocupat el sector financer digital és que l'ecosistema de les criptomonedes s'ha convertit en un objectiu explícit. Binance, un dels exchanges més grans del món, va llançar una alerta específica per a usuaris d'iPhone i iPad després de conèixer-se els detalls de DarkSword, recordant que el problema no resideix en una wallet o plataforma concreta, sinó a la pròpia capa del sistema operatiu.
A les anàlisis publicades s'esmenta la família de malware associada coneguda com GHOSTBLADE, que es recolza en les bretxes explotades per DarkSword per desplegar implants capaços de recol·lectar dades rellevants per al robatori de criptoactius. Entre ells, els investigadors enumeren clauers del sistema, arxius a iCloud Drive, historials d'ubicació, contrasenyes de xarxes WiFi i, de manera assenyalada, informació vinculada a carteres de criptomonedes i comptes de serveis financers.
Quines dades pot robar i per què és tan difícil de detectar
Quan la cadena d'exploits s'executa amb èxit, l'atacant obté accés a una quantitat d'informació enorme. Els informes de Lookout i Google assenyalen que DarkSword està preparat per extreure pràcticament tot el que fa valuós un iPhone per a lusuari: contrasenyes, fotos, contactes, historials d'iMessage, WhatsApp i Telegram, notes, calendaris, registres de l'app Salut, historials de navegació i dades de comptes emmagatzemats al clauer.
En el terreny econòmic, l'eina s'enfoca a credencials de moneders de criptomonedes i dades relacionades amb serveis d'intercanvi. Aquest punt explica bona part de l'interès de grups criminals purament econòmics, que reutilitzen tecnologies de nivell governamental per muntar campanyes de robatori massiu de fons, sovint combinades amb webs de criptomonedes fraudulentes.
En lloc d'instal·lar una aplicació espia visible o un spyware persistent tradicional, DarkSword aplica tècniques «fileless» o sense fitxers, més típiques del codi maliciós avançat en ordinadors. Això significa que segresta processos legítims del sistema i opera en memòria, actuant durant els primers minuts després de la infecció per recopilar i exfiltrar dades sense gairebé deixar rastres evidents.
En adoptar aquest enfocament, la infecció pot desaparèixer després de reiniciar l'iPhone, mentre que les dades ja hauran estat copiades. Per a l'usuari i per a moltes eines de seguretat, l'incident passa desapercebut, i l'únic que queda és un rastre mínim en els registres interns, que en alguns casos el malware mateix intenta esborrar de manera explícita per entorpir l'anàlisi forense.
Advertiments oficials i resposta d'Apple
Després de la publicació de l'informe conjunt de Google, iVerify i Lookout, fabricants i plataformes van començar a emetre avisos coordinats als usuaris de iOS. Binance va difondre una alerta en què parlava d'«explotació crítica» i demanava actualitzar immediatament, subratllant que qualsevol dispositiu que hagués passat per iOS 18.4 a 18.7 s'havia de considerar en risc si no s'havia mantingut al dia.
Pocs dies després, Apple en va publicar una nota de suport en què reconeixia atacs basats en contingut web maliciós dirigits a versions desactualitzades del sistema. En aquest comunicat, la companyia insistia que mantenir el programari a la darrera versió és la mesura de protecció més important per a l'usuari mitjà, i recordava que les versions actuals d'iOS ja inclouen les correccions necessàries. Més informació sobre les novetats i pegats de iOS 26.3 amplia aquests detalls.
D'acord amb la informació aportada per Google, totes les vulnerabilitats associades a DarkSword van quedar tancades amb iOS 26.3, encara que diverses s'havien pegat parcialment o totalment en revisions anteriors. Apple esmenta així mateix iOS 26.3.1 com a actualització recent amb millores addicionals de seguretat, disponible per als models compatibles.
A més dels pegats, la companyia remarca que el Mode de Bloqueig (Lockdown Mode), introduït per protegir usuaris d'alt risc, ajuda a mitigar atacs d'aquest tipus en endurir la manera com el sistema tracta el contingut rebut per Internet. Tot i així, Apple insisteix que la primera barrera és actualitzar com més aviat millor a l'edició més nova del sistema operatiu.
Quants iPhones segueixen sent vulnerables i qui està més exposat
Un dels elements més cridaners del cas DarkSword és la mida de la base instal·lada afectada. Estimacions d'iVerify, Lookout i dades d'ús esmentades per mitjans especialitzats apunten que, al moment àlgid de la campanya, entre 220 i 270 milions d'iPhones seguien en versions vulnerables d'iOS 18. En percentatge, això suposa entre un 14% i al voltant d'una quarta part de tots els iPhone actius, segons les diferents fonts.
Aquest desfasament s'explica, en part, per la reticència de molts usuaris a fer el salt a iOS 26, ja sigui per costum, per por de canvis en la interfície o per problemes de rendiment percebuts en models més antics. A Europa ia Espanya, on l'adopció d'actualitzacions sol ser superior a la mitjana global però amb grans diferències per franja d'edat i tipus d'usuari, això encara deixa milions de dispositius amb una capa de protecció insuficient.
Els perfils més sensibles són aquells que manegen informació crítica des del telèfon: periodistes, activistes, càrrecs públics, directius, professionals que viatgen amb freqüència a països amb alt nivell de vigilància i, per descomptat, persones que gestionen quantitats rellevants de criptomonedes o actius financers des d'apps mòbils.
Tot i així, la investigació suggereix que l'escala de les campanyes fa que ja no estiguem davant d'atacs selectius de franctirador, sinó davant d'escenaris molt més amplis en què es dispara contra grans grups d'usuaris aprofitant bretxes de seguretat molt potents però relativament fàcils de reutilitzar un cop filtrades.
Recomanacions pràctiques per a usuaris d'iPhone a Espanya i Europa
El missatge principal dels equips de seguretat i del propi fabricant és directe: si el teu iPhone ha estat a iOS 18 i encara no s'ha actualitzat a la branca 26, el més prudent és revisar la versió actual i actualitzar a iOS 26 i aplicar els pegats disponibles com més aviat millor. El procés es realitza des d'Ajustos > General > Actualització de programari, i en la majoria dels casos és qüestió de minuts.
Per als que tinguin dispositius que no suporten iOS 26, Apple ha llançat pegats de seguretat específics per a versions anteriors, de manera que almenys les vulnerabilitats més greus associades a DarkSword quedin mitigades. No ofereixen el mateix nivell de protecció que la versió més moderna, però redueixen significativament la superfície datac. Consulta els pegats de seguretat específics publicats per Apple.
En entorns europeus on l'ús del mòbil per a banca en línia i pagaments digitals està molt estès, convé aplicar a més mesures complementàries: activar el Mode de Bloqueig si es maneja informació especialment delicada, limitar el nombre d'apps amb accés a dades sensibles, evitar navegar a webs desconeguts des d'enllaços rebuts per missatgeria i, si s'utilitzen wallets de criptomonedes, considerar l'ús de moneders de maquinari desconnectats del telèfon per guardar-ne grans quantitats.
Eines especialitzades com iVerify o solucions de seguretat mòbil per a empreses poden ajudar a detectar signes de compromís, encara que en el cas concret de DarkSword la detecció és complexa per la naturalesa efímera i per les tècniques d'esborrament de rastres. Per a usuaris particulars, mantenir-se al corrent dels avisos oficials d'Apple i d'organismes europeus de ciberseguretat és un bon complement.
Amb tot, el cas DarkSword deixa una lliçó clara per a l'ecosistema d'iPhone: les armes digitals de nivell governamental ja no es queden sempre a mans d'uns quants serveis d'intel·ligència, sinó que poden acabar en campanyes àmplies que afecten milions de persones corrents, moltes vegades sense que aquestes arribin a saber-ho. La diferència entre ser un blanc fàcil o un objectiu molt més complicat sol reduir-se a una cosa tan poc glamurosa com mantenir el sistema operatiu actualitzat, reforçar la configuració de seguretat i desconfiar de la idea que “a l'iPhone aquestes coses no passen”.
