¿Vendes tu iPhone? Esto es lo que el restablecimiento de fábrica deja atrás

TL;DR

El restablecimiento de fábrica en un iPhone marca los bloques de almacenamiento como disponibles pero no los sobrescribe. Las fotos, mensajes y archivos eliminados siguen siendo recuperables de la memoria NAND flash hasta que el controlador reclama esos bloques, un proceso que las herramientas forenses pueden desencadenar. Fotos de iCloud mantiene una copia completa en los servidores de Apple incluso después de borrar el dispositivo. El Destructor de Archivos de AppVault sobrescribe los archivos de la bóveda con múltiples pasadas de escritura antes de eliminarlos, y la lista de verificación previa a la venta que aparece a continuación cubre cada paso antes de entregar el teléfono a un comprador, un programa de intercambio o un familiar.

Lo que realmente hace el restablecimiento de fábrica

Al tocar “Borrar contenido y configuración”, iOS hace dos cosas: destruye las claves de cifrado del sistema de archivos y marca cada bloque de almacenamiento como disponible para su reutilización. Los datos en sí — el texto cifrado que reside en la memoria NAND flash — permanecen intactos hasta que el controlador de almacenamiento escribe nuevos datos sobre ellos.

En iOS 15 y posteriores, Apple rediseñó la jerarquía de claves para que destruir la clave del sistema de archivos haga que el texto cifrado sea prácticamente irrecuperable sin esa clave. Esto es una mejora significativa. Pero “prácticamente irrecuperable” no es “físicamente eliminado”. Los bloques aún contienen los datos antiguos. Una herramienta forense con acceso directo a la NAND — del tipo que usan las fuerzas de seguridad y los laboratorios de recuperación de datos — puede leer esos bloques directamente, evitando por completo el sistema de archivos.

En iOS 14 y anteriores, la situación es peor. La jerarquía de claves de cifrado era menos granular, y descartar la clave del sistema de archivos dejaba más datos subyacentes accesibles. Los dispositivos que se enviaron con iOS 14 o que lo ejecutaron en algún momento de su ciclo de vida pueden tener datos residuales en bloques que nunca fueron recifrados bajo el esquema más nuevo.

La conclusión: el restablecimiento de fábrica es un borrado lógico, no físico. Le dice al sistema operativo que los bloques están vacíos. No escribe ceros ni datos aleatorios sobre el contenido antiguo.

Lo que sobrevive en el álbum Eliminados Recientemente

La app Fotos no elimina las imágenes cuando tocas el icono de la papelera. Las mueve al álbum Eliminados Recientemente, donde permanecen durante 30 días. Durante ese plazo, los archivos están completamente intactos: misma resolución, mismos metadatos, mismas etiquetas de ubicación. El usuario puede recuperarlos con un solo toque.

El restablecimiento de fábrica no borra este álbum. El temporizador de 30 días está vinculado a los metadatos del sistema de archivos, y cuando el restablecimiento destruye las claves, el contenido del álbum se vuelve inaccesible para la app Fotos, pero los datos subyacentes permanecen en los bloques NAND. Si el dispositivo ejecutó iOS 14 o anterior, esos datos son recuperables con herramientas forenses.

Antes de vender o intercambiar un iPhone, vacía el álbum Eliminados Recientemente manualmente. Abre Fotos, ve a Álbumes, toca Eliminados Recientemente, selecciona todo y elimina. Luego continúa con el resto de la lista de verificación a continuación.

Fotos de iCloud vive en los servidores de Apple

Borrar un iPhone elimina la copia local de cada foto. No hace nada a la biblioteca de Fotos de iCloud. Esa biblioteca reside en los servidores de Apple, vinculada al Apple ID, y se sincronizará con cualquier nuevo dispositivo que inicie sesión con la misma cuenta.

Esto crea dos problemas para alguien que vende un iPhone.

Primero, si el vendedor olvida cerrar sesión en iCloud antes de borrar, el Bloqueo de Activación permanece activo. El nuevo propietario no puede configurar el teléfono. El vendedor tiene que ir a appleid.apple.com, iniciar sesión y eliminar manualmente el dispositivo de la cuenta. Esto es un dolor de cabeza de soporte, no una filtración de datos, pero retrasa la venta.

Segundo, si el vendedor quiere que la biblioteca de Fotos de iCloud desaparezca, esa es una acción separada. Cerrar sesión en iCloud detiene la sincronización. Eliminar la biblioteca requiere visitar iCloud.com u otro dispositivo con el mismo Apple ID y eliminar las fotos allí. El paso de borrar todo en el iPhone no hace ninguna de estas cosas.

Memoria NAND flash y recuperación forense

Cada iPhone almacena datos en chips de memoria NAND flash. La NAND flash funciona en páginas (normalmente 4 KB) y bloques (normalmente 256 páginas). Las escrituras ocurren a nivel de página. Los borrados ocurren a nivel de bloque. Cuando iOS elimina un archivo, marca las páginas como inválidas pero no borra el bloque. El bloque permanece sucio — lleno de datos antiguos — hasta que el proceso de recolección de basura del controlador flash lo reclama.

Las herramientas forenses explotan esto. La forense de extracción de chip implica desoldar el chip NAND y leerlo directamente con un programador. Esto evita por completo el sistema de archivos de iOS. La herramienta lee cada bloque, válido o no, y reconstruye los archivos a partir de los datos en bruto. Esta técnica funciona en cualquier iPhone independientemente de la versión de iOS, siempre que los bloques no hayan sido sobrescritos.

Las herramientas de extracción lógica como Cellebrite UFED y GrayKey operan a un nivel más alto: se comunican con el sistema de archivos de iOS a través de la interfaz de depuración del dispositivo. En iOS 14 y anteriores, estas herramientas pueden recuperar fotos, mensajes y datos de apps eliminados de bloques no utilizados. En iOS 15 y posteriores, la jerarquía de claves rediseñada dificulta esto, pero no es imposible si el dispositivo está desbloqueado o la herramienta puede explotar una vulnerabilidad.

La única defensa tanto contra la extracción de chip como contra la extracción lógica es la sobrescritura física. Escribe nuevos datos sobre los bloques antiguos para que el contenido original desaparezca a nivel de hardware.

Lo que hace el Destructor de Archivos de AppVault

El Destructor de Archivos de AppVault sobrescribe los archivos de la bóveda con múltiples pasadas de escritura antes de eliminarlos. El proceso apunta al texto cifrado almacenado en el sandbox de la app — los archivos cifrados con AES-256-GCM que AppVault guarda en nombre del usuario.

Esta es la secuencia. El usuario selecciona archivos para destruir. AppVault abre cada archivo y escribe datos aleatorios sobre toda su longitud, repitiendo la escritura en múltiples pasadas. Luego elimina el archivo mediante la llamada estándar al sistema de archivos de iOS. El resultado: los bloques NAND que contenían el texto cifrado original ahora contienen datos aleatorios. Incluso si una herramienta forense lee esos bloques, encuentra las pasadas de sobrescritura, no el contenido cifrado original.

Esto no protege los archivos fuera del sandbox de la app. Las fotos en el Carrete de la Cámara, los mensajes en la app Mensajes, los datos en otras apps — todo eso está fuera del control de AppVault. El Destructor de Archivos está diseñado para los archivos propios de la bóveda: las fotos y documentos que el usuario importó a AppVault para almacenamiento cifrado.

Para una sobrescritura completa del dispositivo, el usuario aún necesita realizar el restablecimiento de fábrica. El Destructor de Archivos cierra la brecha para los archivos específicos que más importan: aquellos que el usuario movió a la bóveda precisamente porque no quería que fueran recuperables.

La lista de verificación previa a la venta

Sigue esta lista en orden antes de entregar el iPhone a un comprador, un programa de intercambio o un familiar.

1. Vacía el álbum Eliminados Recientemente. Abre Fotos, ve a Álbumes, toca Eliminados Recientemente, selecciona todo, elimina. Esto elimina la ventana de recuperación de 30 días para las fotos del Carrete de la Cámara.

2. Cierra sesión en iCloud. Ajustes → [tu nombre] → Cerrar sesión. Introduce la contraseña del Apple ID, elige si conservar o eliminar datos locales (no importa, estás a punto de borrar todo). Esto desactiva el Bloqueo de Activación.

3. Cierra sesión en iMessage. Ajustes → Mensajes → Enviar y recibir → toca el Apple ID → Cerrar sesión. Esto evita que el nuevo propietario reciba mensajes dirigidos a tu número de teléfono.

4. Elimina el dispositivo de tu Apple ID. Visita appleid.apple.com, inicia sesión, ve a Dispositivos, selecciona el iPhone y elimínalo. Este es un paso de respaldo por si el cierre de sesión en el dispositivo no se completó.

5. Ejecuta el Destructor de Archivos de AppVault. Abre AppVault, selecciona todos los archivos de la bóveda, ejecuta el Destructor de Archivos. Esto sobrescribe los datos cifrados de la bóveda con bytes aleatorios antes de eliminarlos. Si usas la Bóveda Señuelo, destruye también los archivos señuelo: la bóveda señuelo es matemáticamente independiente y sus archivos ocupan bloques separados.

6. Borra todo el contenido y la configuración. Ajustes → General → Transferir o restablecer iPhone → Borrar contenido y configuración. Introduce el código de acceso, confirma el borrado. iOS destruirá las claves del sistema de archivos y se reiniciará a la pantalla de configuración.

7. Verifica la pantalla de configuración. Después del borrado, el iPhone debería mostrar la pantalla de configuración “Hola” con opciones de varios idiomas. Si pide un Apple ID y contraseña, el Bloqueo de Activación sigue activo: vuelve al paso 2.

8. Retira la tarjeta SIM. Si el iPhone usa una SIM física, extráela. Si usa eSIM, el proceso de borrado debería eliminar el perfil eSIM, pero verifica en Ajustes → Datos móviles que no queden planes.

Contra qué no protege esto

El Destructor de Archivos de AppVault sobrescribe los archivos dentro del sandbox de la app. No sobrescribe el Carrete de la Cámara, la base de datos de Mensajes, la caché de Mail ni los datos de otras apps. Para esos, el restablecimiento de fábrica es la única herramienta, y como se explicó antes, el restablecimiento de fábrica es un borrado lógico, no físico.

Si el iPhone ejecutó iOS 14 o anterior, los datos residuales del Carrete de la Cámara y Mensajes pueden sobrevivir en los bloques NAND incluso después del borrado. El riesgo es mayor en dispositivos que nunca se actualizaron a iOS 15, o que pasaron un tiempo significativo en iOS 14 antes de actualizar.

Los datos de iCloud son un modelo de amenaza aparte. Si las fotos del vendedor se sincronizaron con iCloud, esas fotos existen en los servidores de Apple independientemente de lo que le pase al dispositivo. El vendedor debe eliminar la biblioteca de Fotos de iCloud por separado, o las fotos persistirán en la nube y se sincronizarán con el próximo dispositivo que inicie sesión con el mismo Apple ID.

AppVault no realiza llamadas de red por defecto. No tiene sincronización en la nube, ni cuenta, ni telemetría. La arquitectura de conocimiento cero significa que AppVault no puede ver los archivos del usuario, y no puede filtrarlos. Pero esto también significa que AppVault no puede eliminar archivos de iCloud ni de otras apps en el dispositivo. El alcance es el propio sandbox de la bóveda.

Cómo se diferencia esto de la guía práctica

La guía complementaria en /guides/wipe-photos-before-selling-iphone/ recorre los mismos pasos como un tutorial lineal — abre este menú, toca ese botón, confirma la eliminación. Está escrita para usuarios que quieren instrucciones que puedan seguir en el teléfono.

Esta página está escrita para usuarios que quieren entender el problema antes de actuar. Por qué el restablecimiento de fábrica es insuficiente. Qué hace la memoria NAND flash con los datos eliminados. Qué guarda iCloud en sus servidores. La lista de verificación anterior es la misma secuencia, pero el contexto aquí es el modelo de amenaza, no la ruta de toques.

Si estás listo para actuar, la lista de verificación está completa. Si quieres entender por qué cada paso importa, las secciones anteriores explican el mecanismo.

Por qué AppVault para este caso de uso

AppVault almacena archivos con cifrado AES-256-GCM — nonce único de 96 bits por archivo, derivación de claves PBKDF2-SHA256 con 600,000 iteraciones, vinculado al hardware a través del Secure Enclave del iPhone. El propio catálogo de la bóveda está cifrado, por lo que un atacante con acceso directo a la NAND ni siquiera puede determinar cuántos archivos existen.

El Lanzador de Calculadora le da a la app una interfaz de calculadora iOS totalmente funcional con un atajo de pulsación larga en la tecla igual para acceder a la bóveda. La Bóveda Señuelo proporciona un segundo patrón 5×5 que abre un catálogo independiente y matemáticamente separado. Ambas funciones están diseñadas para los escenarios que aborda esta página: entregar un dispositivo a alguien que pueda desplazarse por la biblioteca de apps, o vender un teléfono a un comprador que pueda examinar su contenido.

El Destructor de Archivos es la función que cierra la brecha que deja el restablecimiento de fábrica. Sobrescribe los archivos de la bóveda, luego borra el dispositivo. El comprador recibe un iPhone limpio. El vendedor obtiene la certeza de que el contenido de la bóveda ha desaparecido a nivel de hardware.

Para una comparación función por función con otras apps de bóveda, consulta AppVault vs Keepsafe y AppVault vs Vaultaire.

Fuentes

• NIST SP 800-88 Rev. 1: Directrices para la sanitización de medios
• Guía de seguridad de la plataforma Apple: Resumen de protección de datos
• Soporte de Apple: Qué hacer antes de vender, regalar o intercambiar tu iPhone
• NIST FIPS 197: Estándar de cifrado avanzado