- Exploits avanzados como DarkSword y Coruna demuestran que iOS puede ser vulnerado si no está actualizado.
- El Modo de aislamiento reduce drásticamente la superficie de ataque y ha frenado intentos de spyware mercenario.
- No existe ransomware real para iPhone, pero sí estafas que lo imitan mediante scareware y secuestro de iCloud.
- La mejor defensa combina actualizaciones, buenas prácticas de seguridad y cautela ante phishing e ingeniería social.
Durante años se ha repetido que el iPhone es prácticamente inexpugnable, pero la realidad actual es bastante más matizada. El ecosistema de Apple sigue siendo muy seguro en comparación con otras plataformas, sin embargo eso no significa que sea inmune a ataques avanzados, espionaje o estafas bien montadas. Desde kits de exploits como DarkSword o Coruna hasta técnicas de “falso ransomware”, los atacantes han encontrado formas cada vez más creativas de sacar partido de cualquier descuido o sistema desactualizado.
Si usas un iPhone o un iPad, te interesa conocer estas tácticas no para volverte paranoico, sino para estar un paso por delante. Actualizar iOS, entender qué es el Modo de aislamiento, cómo se abusa de iCloud o por qué el phishing sigue funcionando son claves para no acabar con tus mensajes, fotos, criptomonedas o cuentas secuestradas. En las siguientes secciones repasamos, con bastante detalle, los escenarios de ataque reales que se han visto en los últimos años y qué puedes hacer para protegerte sin necesidad de ser experto en ciberseguridad.
La postura oficial de Apple frente al hacking y el software no autorizado
Lo primero que hay que tener claro es que Apple tiene una posición muy tajante frente a cualquier modificación del sistema. La compañía desaconseja totalmente instalar software que altere iOS o iPadOS, ya sea mediante jailbreak, herramientas de terceros no autorizadas o parches que manipulen el funcionamiento normal del sistema operativo.
Desde el punto de vista legal y de soporte, cambiar iOS de forma no autorizada viola el contrato de licencia que aceptas al usar un iPhone o un iPad. Esto le da a Apple margen para negarse a reparar o atender en garantía dispositivos donde detecte software no aprobado, aunque el problema parezca no tener relación con esa modificación.
Además, Apple intenta dejar muy claro que no respalda ni recomienda webs, productos o servicios de terceros que no controla o no ha evaluado. Cualquier enlace o referencia a soluciones externas viene acompañado, en la letra pequeña, de una renuncia de responsabilidad sobre la precisión, seguridad o rendimiento de esos contenidos ajenos.
Traducido al día a día, esto significa que si instalas algo fuera de los cauces habituales —por ejemplo, perfiles extraños, repositorios alternativos tras un jailbreak o herramientas que prometen “hackear tu propio iPhone para tener más control”—, quedas fuera del paraguas de seguridad y soporte que Apple está dispuesta a ofrecerte. Y, además, te conviertes en un objetivo mucho más atractivo para los atacantes.
DarkSword y Coruna: dos kits de hacking capaces de comprometer cientos de millones de iPhones
En los últimos tiempos han salido a la luz dos herramientas de ataque muy potentes contra iOS: DarkSword y Coruna. No son simples virus caseros, sino kits de explotación complejos descubiertos por el Grupo de Análisis de Amenazas de Google, la empresa de ciberseguridad Lookout y la firma de seguridad móvil iVerify.
DarkSword es especialmente inquietante porque se ha encontrado oculto en decenas de webs ucranianas totalmente legítimas. Hablamos de un ataque de tipo watering hole: los hackers comprometen sitios confiables que su público objetivo visita a diario. Con solo cargar una de estas páginas desde un iPhone vulnerable, el código malicioso se ejecuta de forma silenciosa, sin clics, sin avisos y sin que el usuario tenga que hacer nada.
Una vez en marcha, DarkSword es capaz de acceder prácticamente a todo lo interesante del dispositivo. Puede robar contraseñas, conversaciones de iMessage, WhatsApp y Telegram, historial de navegación, datos de la app Salud, notas, entradas de calendario e incluso credenciales de monederos de criptomonedas. Es un escenario en el que tu móvil pasa de ser “seguro” a convertirse en un libro abierto para quien esté detrás del ataque.
Los investigadores calculan que, en su momento álgido, entre 220 y 270 millones de iPhones que ejecutaban versiones de iOS 18 vulnerables (aproximadamente de iOS 18.4 a iOS 18.7, según las distintas fuentes) podían verse afectados. Eso supone alrededor del 14% de todos los iPhone en uso, una cifra enorme para una herramienta que se activa simplemente visitando una web.
A nivel técnico, DarkSword encadena hasta seis vulnerabilidades diferentes, desde WebKit (el motor de Safari) hasta el kernel, para escalar privilegios y tomar control del sistema. En lugar de instalar un spyware tradicional que deje muchos archivos y rastros, secuestra procesos legítimos del sistema operativo y opera de forma mucho más sigilosa, en línea con lo que se conoce como malware sin archivos.
Ese enfoque tiene una consecuencia: la infección no persiste tras reiniciar el iPhone. DarkSword se comporta como un ataque “smash-and-grab”: entra, roba la mayor cantidad de información en los primeros minutos y desaparece cuando el dispositivo se apaga o reinicia. Aun así, el daño ya está hecho, porque todos esos datos pueden acabar en manos de grupos de espionaje o ciberdelincuentes.
Coruna, por su parte, es otro kit de explotación para iOS que combina unas 23 vulnerabilidades con cinco cadenas de ataque completas, capaz de afectar a dispositivos con versiones desde iOS 13 hasta iOS 17.2.1. Fue localizado en la misma infraestructura de servidores que DarkSword, gestionada por un grupo con vínculos con servicios de inteligencia rusos.
Aunque ambos se han empleado en operaciones de espionaje, el patrón de uso sugiere que estas herramientas han terminado también en manos de ciberdelincuentes. En el caso de Coruna, por ejemplo, pasó de un cliente gubernamental a espías rusos y, más tarde, a grupos chinos que la usaron para montar falsas webs de criptomonedas y robar carteras digitales. Con DarkSword, se han visto campañas en Ucrania, Arabia Saudí, Turquía y Malasia, con clientes de empresas de vigilancia como la turca PARS Defense en el punto de mira.
Un detalle que ha desconcertado a los analistas es que el código de DarkSword aparecía sin ofuscar, con comentarios en inglés explicando cada pieza. Es decir, cualquiera con unos mínimos conocimientos técnicos podía copiar, adaptar y desplegar el exploit en sus propios servidores. Investigadores de iVerify han llegado a decir que está tan bien documentado que prácticamente cualquiera podría reciclarlo.
En cuanto al origen, no está del todo claro. La relación con Coruna y con intermediarios de técnicas de hacking como Operation Zero apunta a que podría haber sido desarrollado por una empresa que “fabrica y revende exploits” a distintos gobiernos y actores. En el caso de Coruna, se ha vinculado con Trenchant, filial de L3Harris en Estados Unidos, cuyos empleados llegaron a vender herramientas internamente desarrolladas a intermediarios rusos, según causas judiciales conocidas.
Actualizaciones de iOS: tu escudo más inmediato contra estos exploits
Ante este panorama, la línea de defensa más efectiva sigue siendo la más aburrida: mantener iOS actualizado a la última versión disponible. Tanto DarkSword como Coruna se apoyan en fallos de seguridad concretos que Apple ha ido parcheando en distintas actualizaciones mayores y menores.
En el caso de DarkSword, Apple lanzó correcciones de emergencia para todas las ramas afectadas de iOS 18 y selló los agujeros de forma completa en una versión mayor posterior del sistema. Aun así, la adopción de esa versión fue más lenta de la cuenta por cambios polémicos como la interfaz “Liquid Glass”, considerada por muchos usuarios demasiado animada y menos legible. Esa resistencia a actualizar dejó a cientos de millones de teléfonos expuestos más tiempo del deseable.
No es un caso aislado. En los últimos años, Apple ha tenido que distribuir varias actualizaciones de emergencia para tapar vulnerabilidades de día cero que ya estaban siendo explotadas, a menudo en ataques “zero-click” a través de iMessage u otros servicios. En 2025, por ejemplo, se corrigieron fallos en componentes como CoreAudio y RPAC que permitían ejecutar código malicioso sin interacción del usuario.
La recomendación general es muy clara: activar las actualizaciones automáticas y, si todavía no la tienes, instalar cuanto antes la versión más reciente de iOS compatible con tu modelo. Puedes hacerlo desde Ajustes → General → Actualización de software. Si tu dispositivo es más antiguo y no admite la versión más moderna, Apple suele publicar parches de seguridad específicos que al menos corrigen los agujeros más críticos.
Conviene recordar que, además del sistema, también hay que actualizar las aplicaciones. Muchos vectores de ataque pasan por apps que utilizan librerías desfasadas, componentes multimedia vulnerables o gestores de documentos poco revisados. Mantener la App Store al día y revisar de vez en cuando las apps que ya no usas ayuda a reducir la superficie de ataque.
Modo de aislamiento: el “modo blindaje” que espanta al spyware
Uno de los cambios más importantes que Apple introdujo para frenar el spyware de alto nivel fue el Modo de aislamiento (Lockdown Mode). Lleva ya varios años disponible y la compañía repite el mismo mensaje cada vez que se le pregunta: hasta la fecha, no tienen constancia de ni un solo iPhone con ese modo activado que haya sido comprometido por software espía mercenario.
Investigadores de Google han observado algo aún más llamativo: algunas herramientas de espionaje ni siquiera se molestan en atacar cuando detectan que el Modo de aislamiento está encendido. El exploit simplemente aborta, sin intentar buscar un plan B. El motivo más probable es que, al estar todo tan recortado, la probabilidad de fallo o de dejar rastro aumenta y el juego deja de merecer la pena para los atacantes.
Organizaciones como Amnesty International, que llevan años analizando ataques con spyware como Pegasus o Predator, respaldan esta percepción. Su laboratorio de seguridad no ha visto un solo caso documentado de iPhone comprometido con el Modo de aislamiento activo, y en un par de incidentes concretos han comprobado cómo esta función logró bloquear intentos de intrusión en tiempo real.
Es importante entender qué es exactamente este modo. No actúa como un antivirus clásico que detecta y desinfecta. Lo que hace es cerrar directamente muchas de las puertas de entrada habituales a los exploits: limita tipos de adjuntos en mensajes, restringe funciones avanzadas de WebKit, bloquea ciertas conexiones y recorta múltiples mecanismos que los atacantes suelen encadenar para ejecutar código de forma remota.
Varios expertos lo describen como la medida de protección “de consumo” más agresiva que se ha lanzado nunca. Y no exageran: reduce tanto la superficie de ataque que muchos flujos cotidianos se vuelven molestos. No podrás abrir ciertos enlaces con normalidad, algunos adjuntos se quedarán bloqueados y hay funciones que simplemente dejan de estar disponibles.
Para activarlo, basta con ir a Ajustes → Privacidad y seguridad → Modo de aislamiento, seguir las indicaciones y aceptar el reinicio del dispositivo para que se apliquen los cambios. Desactivarlo es igual de sencillo, por lo que puedes usarlo de forma puntual si vas a viajar a un país con alto riesgo o si sospechas que podrías ser objetivo de vigilancia.
Eso sí, Apple diseñó esta función pensando sobre todo en personas con perfiles de alto riesgo: periodistas, activistas, abogados en casos delicados, disidentes políticos, altos cargos empresariales o funcionarios. Para el usuario medio, cuyos riesgos más habituales son el phishing cutre, las estafas por SMS o los enlaces trampa de mensajería, este modo suele ser como usar un martillo para clavar una chincheta: funciona, pero las incomodidades superan el beneficio en la mayoría de los casos.
Amenazas reales del día a día: zero-click, apps maliciosas, SIM swap y phishing
Más allá de los exploits de película, la mayoría de riesgos que corren los usuarios de iPhone se concentran en unas pocas categorías muy concretas. Los atacantes combinan vulnerabilidades técnicas con ingeniería social para sacar partido tanto de los fallos del software como de los despistes humanos.
Uno de los escenarios más temidos son los ataques zero-click a través de iMessage u otros servicios. En estos casos, el atacante envía un mensaje especialmente construido que explota una vulnerabilidad en el sistema. El usuario ni siquiera tiene que abrirlo: el simple procesamiento en segundo plano puede servir para instalar spyware y conceder control remoto al adversario.
Operaciones como “Operation Triangulation” o las campañas relacionadas con Pegasus han demostrado que este tipo de ataques pueden robar mensajes, fotos, datos de ubicación, grabaciones de audio y mucha más información sin necesidad de que la víctima haga absolutamente nada. Apple, por su parte, lleva tiempo enviando avisos a usuarios en más de 100 países cuando detecta indicios de que podrían haber sido objetivos de este tipo de spyware “mercenario”.
Otro vector muy frecuente es el de las aplicaciones y archivos multimedia maliciosos. A lo largo de los años se han descubierto exploits que se activan al procesar determinados audios, vídeos o documentos. También ha habido casos en que, tras convencer al usuario para instalar una app sospechosa (ya sea por fuera de la App Store o abusando de certificados empresariales), el software escalaba privilegios y se hacía con más acceso del debido.
Para minimizar estos riesgos, se repiten siempre los mismos consejos: instalar apps solo desde la App Store oficial, revisar opiniones y permisos, desactivar accesos (micrófono, cámara, ubicación) que no tengan sentido y ser prudente al abrir archivos enviados por desconocidos, sobre todo si llegan por canales inesperados.
No todo es cuestión de software. Los ataques de SIM swap o robo de número son un buen ejemplo de cómo los ciberdelincuentes aprovechan la parte humana y procedimental de las operadoras. Si logran engañar al servicio de atención al cliente para que asocien tu número a otra SIM, de repente pierdes cobertura, mientras ellos reciben tus SMS y llamadas. Con eso pueden restablecer contraseñas, saltarse autenticaciones en dos pasos basadas en SMS y tomar el control de tus cuentas bancarias, redes sociales o incluso tu Apple ID.
Casos documentados muestran cómo, tras un cambio no autorizado de los datos de cuenta, se han llegado a comprar varios iPhones a nombre de la víctima, cargar compras fraudulentas o vaciar servicios asociados. Poner un PIN adicional en la cuenta del operador, activar bloqueos de portabilidad y priorizar métodos de doble factor que no dependan de SMS (como aplicaciones de autenticación o llaves físicas) reduce bastante este riesgo.
El otro gran frente es el del phishing y el smishing (phishing vía SMS). Aquí no se explota un fallo técnico, sino el error humano. Los ciberdelincuentes se hacen pasar por bancos, por Apple, por empresas de paquetería o incluso por amigos o familiares para que pulses un enlace, introduzcas tu contraseña o aceptes la instalación de un perfil de configuración sospechoso.
A pesar de los años de advertencias, los estudios siguen mostrando que una proporción notable de usuarios pincha en enlaces trampa cuando se juega con el miedo (“tu cuenta será cerrada”), la urgencia (“tiene un paquete retenido”) o la codicia (“has ganado un premio”). En iPhone esto se lleva muchas veces a la práctica con mensajes que intentan robar credenciales de Apple ID, datos bancarios o códigos de verificación.
La defensa aquí pasa por la prudencia: desconfiar de enlaces inesperados, comprobar siempre la dirección real de la web, buscar errores de ortografía o dominios raros y, en caso de duda, acudir directamente a la app oficial del servicio en lugar de al enlace del mensaje. Aprender a identificar estas señales de alerta es tan importante como instalar cualquier parche de seguridad.
Por último, aunque menos frecuentes, existen ataques que requieren acceso físico al iPhone. Algunos intentan aprovecharse de vulnerabilidades en el Modo restringido USB —la función que impide el acceso a datos por cable cuando el dispositivo está bloqueado— o de herramientas forenses que se conectan por el puerto Lightning/USB-C para extraer información.
Para reducir esa superficie, conviene activar en Ajustes → Face ID y código la opción de bloquear el acceso USB cuando el teléfono está bloqueado, usar un código de desbloqueo robusto (evitar PIN de cuatro dígitos triviales) y plantearse activar la eliminación automática de datos tras varios intentos fallidos, si estás dispuesto a asumir ese riesgo.
Ransomware en iPhone: por ahora, solo imitaciones y sustos
Una duda recurrente es si un iPhone puede llegar a quedar secuestrado por ransomware auténtico, como ocurre a menudo en PCs o servidores. A día de hoy, la respuesta es clara: no se ha documentado ninguna familia de ransomware operativa para iOS que cifre tus archivos o bloquee el dispositivo hasta que pagues un rescate.
Lo que sí existe —y es lo que aprovechan muchos estafadores— son técnicas que imitan el comportamiento del ransomware para asustarte y hacerte creer que tu móvil está totalmente bloqueado o que todos tus datos han sido cifrados. En realidad, suelen ser trucos de scareware o abusos de funciones legítimas del ecosistema Apple.
Un ejemplo clásico fue una campaña de scareware en 2017 que explotaba una vulnerabilidad en la gestión de ventanas emergentes de Safari. Las víctimas, al navegar, se encontraban con una secuencia interminable de pop-ups que parecía impedirles usar el navegador, acompañada de mensajes exigiendo el pago de un supuesto “rescate”. No había ningún archivo cifrado ni infección profunda: simplemente, el navegador quedaba atrapado en un bucle de alertas.
Apple cerró ese agujero con una actualización de iOS (a partir de la versión 10.3, el ataque ya no funcionaba), pero el caso ilustra cómo se juega con el miedo del usuario para que acabe pagando por nada. En los dispositivos que no se habían actualizado aún, bastaba con forzar el cierre de Safari y borrar la caché e historial para deshacerse de las ventanas emergentes.
Otra técnica más sofisticada planteada a nivel teórico es el llamado trustjacking, que abusa de la función de sincronización Wi‑Fi entre iPhone y ordenadores de escritorio. Si un atacante logra que tu dispositivo “confíe” en un equipo controlado por él —por ejemplo, en una red pública con un ordenador trampa—, podría tratar de usar esa confianza para instalar software, acceder a datos o hacer capturas de pantalla sin que lo notes.
Aunque no se ha masificado como ataque en la vida real, el trustjacking recuerda la importancia de ser muy selectivo al aceptar la opción de “Confiar en este ordenador”, evitar conectarse a puertos USB desconocidos y usar redes Wi‑Fi públicas con cautela. Siempre es mejor sincronizar tu iPhone solo con tus propios equipos o con dispositivos en los que tengas plena confianza.
Uno de los escenarios que más se confunde con el ransomware es el llamado secuestro de iCloud mediante el robo del Apple ID. Si alguien consigue tu contraseña —normalmente, a través de phishing o filtraciones previas—, puede iniciar sesión en iCloud, acceder al servicio Buscar mi iPhone y bloquear tu dispositivo de forma remota. Lo mismo que harías tú si te lo roban, pero esta vez, contra ti.
El atacante puede entonces mostrar un mensaje en la pantalla de bloqueo pidiendo un “rescate” para liberar el teléfono, simulando el comportamiento de un ransomware. Sin embargo, el problema real no es un malware sofisticado, sino la cuenta comprometida. La solución pasa por restablecer la contraseña del Apple ID, algo que puedes hacer desde otro dispositivo o navegador, y reforzar la protección con autenticación en dos pasos.
En el hipotético caso de que alguna vez apareciera un ransomware real y masivo para iOS, los expertos coinciden en que los proveedores de seguridad tardarían un tiempo en desarrollar herramientas específicas. Aun así, las mismas recomendaciones generales seguirían vigentes: aislar el dispositivo afectado de la red, tratar de identificar el tipo de amenaza, no pagar el rescate bajo ningún concepto y recuperar datos desde copias de seguridad cuando sea posible.
Mientras tanto, la mejor defensa es preventiva. iOS realiza copias de seguridad automáticas en iCloud de muchos tipos de datos (fotos, contactos, calendarios, ajustes, apps, mensajes, según configuración), por lo que, aunque una amenaza llegase a cifrar el contenido del dispositivo físico en el futuro, todavía podrías restaurar gran parte de tu información desde la nube. Y, por supuesto, cualquier sospecha de “pantalla de rescate” debe investigarse antes de ceder al chantaje: con frecuencia se trata de un simple engaño diseñado para exprimir dinero del susto inicial.
Mirando todo este panorama, queda claro que el iPhone no es un búnker perfecto, pero tampoco es un coladero. Las amenazas más sofisticadas, como DarkSword, Coruna o el spyware mercenario, se centran en objetivos muy concretos, mientras que la gran mayoría de usuarios se enfrenta sobre todo a estafas de ingeniería social, phishing, falsas alertas de ransomware y abusos de cuentas mal protegidas. Entre mantener iOS y las apps actualizadas, usar el Modo de aislamiento si tu perfil lo requiere, blindar tu Apple ID y tu línea móvil, y desarrollar cierto instinto de desconfianza ante enlaces y mensajes sospechosos, puedes hacer que tu iPhone sea un objetivo tan incómodo de atacar que la mayoría de ciberdelincuentes prefiera irse a por alguien menos preparado.