{"id":298,"date":"2026-03-19T12:51:52","date_gmt":"2026-03-19T12:51:52","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/19\/el-kit-de-explotacion-darksword-ios-utiliza-6-fallas-y-3-dias-cero-para-la-adquisicion-total-del-dispositivo-cyberdefensa-mx\/"},"modified":"2026-03-19T12:51:52","modified_gmt":"2026-03-19T12:51:52","slug":"el-kit-de-explotacion-darksword-ios-utiliza-6-fallas-y-3-dias-cero-para-la-adquisicion-total-del-dispositivo-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/19\/el-kit-de-explotacion-darksword-ios-utiliza-6-fallas-y-3-dias-cero-para-la-adquisicion-total-del-dispositivo-cyberdefensa-mx\/","title":{"rendered":"El kit de explotaci\u00f3n DarkSword iOS utiliza 6 fallas y 3 d\u00edas cero para la adquisici\u00f3n total del dispositivo \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Un nuevo kit de exploits para dispositivos Apple iOS dise\u00f1ado para robar datos confidenciales est\u00e1 siendo utilizado por m\u00faltiples actores de amenazas desde al menos noviembre de 2025, seg\u00fan informes de Grupo de inteligencia sobre amenazas de Google<\/a> (GTIG), iVerificar<\/a>y Estar atento<\/a>.<\/p>\n

Seg\u00fan GTIG, m\u00faltiples proveedores de vigilancia comercial y presuntos actores patrocinados por el estado han utilizado el kit de explotaci\u00f3n de cadena completa, cuyo nombre en c\u00f3digo Espada oscura<\/strong>en distintas campa\u00f1as dirigidas a Arabia Saudita, Turqu\u00eda, Malasia y Ucrania. <\/p>\n

El descubrimiento de DarkSword lo convierte en el segundo kit de exploits para iOS, despu\u00e9s de Coru\u00f1a, descubierto en el lapso de un mes. El kit est\u00e1 dise\u00f1ado para iPhones que ejecutan versiones de iOS entre iOS 18.4 y 18.7, y se dice que fue implementado por un presunto grupo de espionaje ruso llamado UNC6353 en ataques dirigidos a usuarios ucranianos.<\/p>\n

Vale la pena se\u00f1alar que UNC6353 tambi\u00e9n se ha relacionado con el uso de Coruna en ataques dirigidos a ucranianos mediante la inyecci\u00f3n del marco JavaScript en sitios web comprometidos.<\/p>\n

\u00abDarkSword tiene como objetivo extraer un amplio conjunto de informaci\u00f3n personal, incluidas credenciales del dispositivo y apunta espec\u00edficamente a una gran cantidad de aplicaciones de billeteras criptogr\u00e1ficas, insinuando un actor de amenazas con motivaci\u00f3n financiera\u00bb, dijo Lookout. \u00abEn particular, DarkSword parece adoptar un enfoque de ‘atacar y huir’ al recopilar y exfiltrar los datos espec\u00edficos del dispositivo en segundos o como m\u00e1ximo minutos, seguido de la limpieza\u00bb.<\/p>\n

Las cadenas de exploits como Coruna y DarkSword est\u00e1n dise\u00f1adas para facilitar el acceso completo al dispositivo de la v\u00edctima con poca o ninguna interacci\u00f3n por parte del usuario. Los hallazgos muestran una vez m\u00e1s que existe un mercado de segunda mano para exploits que permite a grupos de amenazas con recursos limitados y objetivos no necesariamente alineados con el ciberespionaje adquirir \u00abexploits de primera l\u00ednea\u00bb y utilizarlos para infectar dispositivos m\u00f3viles.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abEl uso de DarkSword y Coru\u00f1a por parte de una variedad de actores demuestra el riesgo continuo de proliferaci\u00f3n de exploits entre actores de diferentes geograf\u00edas y motivaciones\u00bb, dijo GTIG.<\/p>\n

La cadena de exploits vinculada al kit reci\u00e9n descubierto utiliza seis vulnerabilidades diferentes para implementar tres cargas \u00fatiles, de las cuales CVE-2026-20700, CVE-2025-43529 y CVE-2025-14174 fueron explotadas como de d\u00eda cero, antes de que Apple las parcheara:<\/p>\n