Un cofre de fotos diseñado para periodistas que llevan material sensible en el iPhone

TL;DR

AppVault cifra fotos, notas y listas de contactos detrás de una app con icono de calculadora utilizando AES-256-GCM con claves protegidas por el Secure Enclave del iPhone. Para los periodistas, la amenaza no es un servidor pirateado, sino un oficial de aduanas deslizando tu carrete de fotos. El Lanzador de Calculadora y el Cofre Señuelo de AppVault existen para ese momento.

La amenaza es física

La mayoría de las herramientas de privacidad asumen que el adversario está remoto — un hacker, un corredor de datos, una agencia gubernamental pinchando la fibra. Para los periodistas que cubren zonas de conflicto, estados autoritarios o crimen organizado, el adversario es la persona que está frente a ti en el control de carretera, sosteniendo tu teléfono.

El modelo de amenaza es sencillo: un oficial se lleva tu dispositivo a una sala trasera, o lo revisa en la frontera, o lo confisca durante una redada. Abre Fotos. Ve la imagen del manifestante cuyo rostro prometiste proteger. Ve la lista de contactos con el nombre real de la fuente. Ve la foto con geolocalización del lugar de la reunión.

Ninguna app de mensajería cifrada de extremo a extremo protege lo que ya está en el dispositivo. Signal, WhatsApp e iMessage protegen los datos en tránsito. AppVault protege los datos en reposo — las fotos, notas y archivos que viven en el propio teléfono.

Lee el modelo de amenaza completo para saber contra qué defiende AppVault y contra qué no.

Por qué iCloud Fotos anula la protección en el dispositivo

iCloud Fotos sincroniza todo tu carrete con los servidores de Apple. Si usas iCloud Fotos — y la mayoría de los usuarios de iPhone lo hacen — entonces cada foto que tomas se sube, a menudo en minutos, a través de la red que el teléfono pueda alcanzar.

Para un periodista, esto significa:

• La foto que tomaste de la reunión con la fuente está en los servidores de Apple, protegida por la jerarquía de claves de Apple, no por la tuya.
• Un oficial de fronteras que te obligue a desbloquear el teléfono puede navegar por la biblioteca sincronizada. El cifrado en el dispositivo es irrelevante una vez que el dispositivo está desbloqueado.
• Si Apple recibe una orden judicial, las fotos son accesibles. Apple publica un informe de transparencia. Los datos existen.

AppVault almacena los archivos localmente, cifrados con claves derivadas de tu patrón y encapsuladas por el Secure Enclave del iPhone. Los archivos nunca salen del dispositivo a menos que actives explícitamente la copia de seguridad cifrada de iCloud — e incluso entonces, se sellan con una clave de copia de seguridad por dispositivo antes de la subida. Apple recibe solo texto cifrado.

La página de arquitectura de conocimiento cero explica lo que AppVault no puede ver, no puede saber y no puede entregar.

Lanzador de Calculadora: la capa operativa

El Lanzador de Calculadora es una calculadora iOS totalmente funcional. Realiza operaciones aritméticas. No tiene una interfaz visible de cofre. El cofre se accede mediante un gesto optativo de pulsación larga en la tecla igual.

Esto no es un truco. La calculadora funciona. Un oficial de fronteras que toque el icono ve una calculadora. No hay motivo para pedir más.

El diseño cumple con la directriz 4.3 de Apple (iconos alternativos) porque la calculadora no es una fachada — es una calculadora funcional que también protege un cofre. El atajo de pulsación larga es optativo durante la configuración. Si nunca lo activas, la aplicación es solo una calculadora.

Para el periodista en el control de carretera, el oficial ve una calculadora. Las fotos de las fuentes, las notas cifradas, la lista de contactos — todo está tras AES-256-GCM, sellado con una clave que vive dentro del Secure Enclave.

Cofre Señuelo: cuando un dispositivo sirve para más de un propósito

El Cofre Señuelo es un segundo patrón de 5×5 que abre un catálogo de cofre separado, matemáticamente independiente. Los dos cofres no comparten claves, metadatos de archivos ni relación visible.

El caso de uso no es el engaño por sí mismo. Es la realidad operativa:

• Un iPad familiar compartido donde un periodista también guarda archivos personales.
• Un dispositivo que debe entregarse a un colega o enlace que necesita acceso a parte del material, pero no a todo.
• Un control donde el oficial espera ver algo y necesitas mostrar cumplimiento sin exponer el catálogo real.

El cofre señuelo no es un cofre “falso”. Es un cofre real con cifrado real, derivación de clave real y protección real de archivos. Simplemente contiene un conjunto diferente de archivos. El oficial que lo abre ve un cofre de fotos funcional. No sabe que existe otro.

Lee la página de Bloqueo por Patrón para las matemáticas detrás de la cuadrícula de 5×5 y la derivación de clave que mantiene ambos cofres independientes.

Notas cifradas para listas de contactos de fuentes

Las fotos no son el único vector de filtración. Las aplicaciones de notas, las listas de contactos y los historiales de mensajes contienen las identidades de las fuentes, las ubicaciones de las reuniones y los patrones de comunicación.

AppVault cifra archivos — incluyendo notas de texto, PDFs e imágenes — tras la misma capa AES-256-GCM. El propio catálogo está cifrado: un atacante con acceso sin procesar no puede saber cuántos archivos existen, cómo se llaman ni cuándo se crearon.

Un periodista puede almacenar:

• Listas de contactos de fuentes con nombres y números reales.
• Notas de reuniones con ubicaciones y marcas de tiempo.
• Documentos escaneados, pasaportes o credenciales de prensa.
• Grabaciones de audio de entrevistas.

Todo está sellado tras la misma pila de cifrado. El cifrado es AES-256-GCM con un nonce único de 96 bits por archivo. La derivación de clave es PBKDF2-SHA256 con 600.000 iteraciones y una sal de 128 bits por instalación. La clave derivada se encapsula con una clave generada dentro del Secure Enclave — una clave que nunca sale del chip.

Fuentes primarias: NIST FIPS 197 para AES, RFC 5116 para AES-GCM, Seguridad de la plataforma Apple para el Secure Enclave, y OWASP Password Storage Cheat Sheet para el número de iteraciones.

Contra qué no protege AppVault

La honestidad sobre los límites es una característica, no una debilidad.

AppVault no protege contra un adversario de nivel estatal con un exploit de clic cero. El spyware comercial — el que se vende a gobiernos — opera a nivel del sistema operativo. Puede interceptar pulsaciones de teclas, activar la cámara y extraer datos antes de que se aplique cualquier cifrado a nivel de aplicación. AppVault opera a nivel de aplicación. Eleva el coste del acceso, pero no derrota a un adversario que ya controla el sistema operativo.

AppVault no protege contra la coacción legal. Si un tribunal te ordena revelar tu patrón, AppVault no puede resistirse. El cofre es tan fuerte como tu disposición a cumplir — o no cumplir — con la orden. La frase de recuperación opcional la almacenas tú, en papel, fuera del dispositivo. AppVault no tiene copia.

AppVault no protege contra ti mismo. Si tomas una foto de una fuente y la guardas en el carrete en lugar del cofre, AppVault no puede ayudar. Si activas iCloud Fotos y la foto se sincroniza antes de que la muevas, la imagen ya está en los servidores de Apple. La seguridad operativa es una práctica, no un producto.

La página del modelo de amenaza cubre esto en detalle.

Cómo se compara AppVault con la categoría

Keepsafe es el líder de la categoría por número de instalaciones. El desglose completo función por función está en la página AppVault vs Keepsafe. La diferencia arquitectónica: AppVault usa claves vinculadas al hardware, publica toda su pila criptográfica con citas de fuentes primarias y no realiza ninguna llamada de red por defecto.

Vaultaire es el competidor más cercano en la categoría de cofres-calculadora. La comparación detallada está en la página AppVault vs Vaultaire.

La mayoría de las aplicaciones de cofre de fotos con publicidad incorporan SDKs de terceros que envían telemetría de uso fuera del dispositivo. AppVault no incluye ningún SDK de terceros. La etiqueta de privacidad nutricional declara que no se recopilan datos.

Configuración para uso en campo

Un periodista que se prepara para un cruce de frontera o una redada no tiene tiempo para ajustar la configuración bajo presión. La configuración de AppVault está diseñada para completarse una vez, en un lugar seguro, antes de que el dispositivo entre en un entorno de amenaza.

1. Elige un patrón que puedas reproducir bajo estrés. La cuadrícula de 5×5 ofrece más de 700 millones de patrones posibles de 4 puntos. Elige uno que esté memorizado a nivel motor, no intelectual. Lo necesitarás cuando te tiemblen las manos.

2. Activa el Lanzador de Calculadora. Configura el atajo de pulsación larga en la tecla igual. Pruébalo. Asegúrate de que la calculadora funciona para aritmética — porque será probada.

3. Configura el Cofre Señuelo. Rellénalo con material plausible pero no sensible. Algunas fotos personales. Una nota que parezca una lista de la compra. El señuelo solo funciona si es creíble.

4. Genera la frase de recuperación. Escríbela en papel. Guárdala separada del dispositivo. Esta es la única forma de volver a entrar si olvidas el patrón. No hay restablecimiento. No hay línea de soporte.

5. Desactiva iCloud Fotos para el carrete. Mueve las fotos sensibles existentes al cofre. Verifica que el carrete está limpio. El oficial que deslice la aplicación Fotos no debería ver nada que no fuera ya público.

6. Prueba el flujo completo. Bloquea el dispositivo. Desbloquéalo. Abre la calculadora. Pulsa largamente la tecla igual. Introduce el patrón. Verifica que el cofre se abre. Repite hasta que sea automático.

El cálculo de la incautación del dispositivo

Un oficial de fronteras que se lleva tu teléfono a una sala trasera tiene un lapso de atención limitado y un mandato limitado. Busca contrabando, pruebas o inteligencia. No está ejecutando herramientas forenses — al menos no en la línea de inspección primaria.

Lo que ve es la pantalla de inicio. Ve las aplicaciones. Abre Fotos. Desliza. Busca lo obvio.

El Lanzador de Calculadora de AppVault asegura que lo obvio sea una calculadora. El Cofre Señuelo asegura que, si encuentran un cofre, contenga lo que esperan encontrar. El cifrado asegura que, si extraen el almacenamiento bruto, obtengan texto cifrado.

Nada de esto es absoluto. Un laboratorio forense con una orden judicial y un dispositivo Cellebrite es una amenaza diferente a un oficial de aduanas con expresión aburrida. AppVault está diseñado para lo segundo. Para lo primero, necesitas un abogado.

Pero el oficial de aduanas es la amenaza más común. El control de carretera es el encuentro más frecuente. El momento de entregar el dispositivo es el momento que importa.

AppVault está construido para ese momento.