Según un nuevo informe de 404 Media, el FBI logró recuperar mensajes eliminados de Signal de un iPhone extrayendo datos almacenados en la base de datos de notificaciones del dispositivo. Aquí están los detalles.

Acceso al historial de notificaciones a pesar de la eliminación de Signal

Según 404 Media, en un caso relacionado con "un grupo de personas que dispararon fuegos artificiales y destruyeron propiedad" en el Centro de Detención ICE Prairieland en Texas, el FBI logró recuperar el contenido de los mensajes de Signal provenientes del iPhone de un acusado, a pesar de que Signal había sido eliminado del dispositivo:

Uno de los acusados era Lynette Sharp, quien había admitido anteriormente haber proporcionado apoyo material a terroristas. En un día del juicio, el agente especial del FBI, Clark Wiethorn, testificó sobre algunas pruebas recogidas. El resumen de la exhibición número 158 publicada en el sitio web de los partidarios decía: "Los mensajes fueron recuperados del teléfono de Sharp a través del almacenamiento interno de notificaciones de Apple - Signal había sido eliminado, pero las notificaciones entrantes se almacenaron en la memoria interna. Solo se capturaron los mensajes entrantes (no había mensajes salientes)."

404 Media señala que Signal tiene una opción en la configuración que impide la vista previa del contenido real de los mensajes en las notificaciones. Sin embargo, parece que el acusado no activó esta configuración, lo que parece haber permitido que el sistema almacenara el contenido en la base de datos.

404 Media se puso en contacto con Signal y Apple, pero ambas compañías no hicieron ningún comentario sobre cómo se procesan o almacenan las notificaciones.

¿Cómo funciona este almacenamiento interno?

Dado que hay muy pocos detalles técnicos sobre el estado completo del iPhone del acusado, es imposible determinar el método exacto que utilizó el FBI para recuperar la información.

Por ejemplo, hay muchos estados del sistema en los que un iPhone puede encontrarse, y cada uno tiene sus propias restricciones de seguridad y acceso a datos; como BFU (Antes de Desbloquear) y AFU (Después de Desbloquear) modo.

Además, cuando el dispositivo está desbloqueado, la seguridad y el acceso a datos cambian de manera aún más dramática, ya que el sistema asume que el usuario está presente y otorga un acceso más amplio a los datos protegidos.

En este caso, iOS almacena y almacena en caché una gran cantidad de datos localmente, confiando en estos diferentes estados para guardar la información de manera segura en caso de que el verdadero propietario del dispositivo la necesite.

Otro factor importante a considerar: el token utilizado para enviar notificaciones push no se invalida inmediatamente cuando se elimina una aplicación. Y dado que el servidor no sabe si la aplicación todavía está instalada después de la última notificación enviada, puede continuar enviando notificaciones, lo que deja a iPhone decidir si mostrarlas o no.

Curiosamente, Apple cambió el método de validación de tokens de notificación push en iOS 26.4. Aunque es imposible determinar si este asunto fue el resultado de ese cambio, la sincronización es notable.

Publicación por @_inside@mastodon.social Ver en Mastodon

Volviendo al caso, según la declaración de la exhibición número 158 de que "los mensajes fueron recuperados del teléfono de Sharp a través del almacenamiento interno de notificaciones de Apple", es posible que el FBI haya extraído la información de una copia de seguridad del dispositivo.

En este caso, hay muchas herramientas comercialmente disponibles que podrían haber utilizado vulnerabilidades de iOS para ayudar al FBI a acceder a esta información.

Para leer el informe original de 404 Media sobre este caso, siga este enlace.

Productos que vale la pena revisar en Amazon

  • David Pogue – 'Apple: Los Primeros 50 Años'
  • MacBook Neo
  • Logitech MX Master 4
  • AirPods Pro 3
  • AirTag (2ª Generación) – Paquete de 4
  • Apple Watch Series 11
  • Adaptador inalámbrico CarPlay