Cómo ocultar fotos en iPhone: cada método, evaluado con honestidad

TL;DR

El Álbum Oculto integrado del iPhone retira las fotos de la vista principal de la biblioteca, pero las deja visibles en un álbum «Oculto» que cualquiera puede abrir. La Carpeta Bloqueada de iOS 16+ añade protección con Face ID, pero sigue mostrando la existencia de la carpeta. Las aplicaciones bóveda como AppVault cifran los archivos con AES-256-GCM, derivan las claves mediante PBKDF2 con 600.000 iteraciones y pueden disfrazar la propia app como una calculadora — nada de esto lo ofrecen las herramientas nativas. El método correcto depende de contra quién te proteges.

El Álbum Oculto integrado: qué hace realmente

Apple añadió el Álbum Oculto a iOS como una función de comodidad. Retira las fotos y vídeos seleccionados de la vista principal de la biblioteca — la pestaña Fotos, la pestaña Para ti y Recuerdos. Los archivos se reubican en un álbum dedicado que se encuentra en Álbumes → Utilidades → Oculto.

Ese es todo el mecanismo. Sin contraseña. Sin puerta biométrica. Sin cambio de cifrado. Los archivos permanecen en el mismo contenedor sin cifrar que cualquier otra foto del dispositivo, indexados por la misma base de datos, visibles para cualquiera que navegue hasta la pantalla correcta.

Apple añadió un interruptor en iOS 14 que permite ocultar el listado del Álbum Oculto. Ve a Ajustes → Fotos y desactiva «Álbum Oculto». El álbum desaparece de la sección Utilidades. Pero las fotos siguen indexadas. Siguen apareciendo en los resultados de búsqueda. Siguen surgiendo en las sugerencias de Siri. El interruptor es un cambio de interfaz, no un control de seguridad.

Cuándo el Álbum Oculto es suficiente: Quieres evitar que manos curiosas — un amigo hojeando tu carrete, un niño tocando la pantalla — tropiecen con imágenes específicas. El Álbum Oculto retira las fotos del flujo de navegación predeterminado. Para ese propósito limitado, funciona.

Cuándo no es suficiente: Cualquiera que abra la app Fotos con intención puede encontrar el Álbum Oculto en menos de cinco segundos. No requiere ningún paso de autenticación. Si tu modelo de amenaza incluye a una persona que sabe lo que busca, el Álbum Oculto no es una barrera.

La Carpeta Bloqueada (iOS 16 y posteriores)

iOS 16 introdujo la Carpeta Bloqueada, que añade protección con Face ID o Touch ID a las fotos ocultas. Cuando mueves fotos a la Carpeta Bloqueada, la app Fotos requiere autenticación biométrica antes de mostrarlas.

Esto supone un avance significativo respecto al Álbum Oculto. Una persona que hojea tu teléfono no puede abrir la Carpeta Bloqueada sin tu rostro o huella. Además, los archivos quedan excluidos de la sincronización de Fotos de iCloud — solo permanecen en el dispositivo.

Pero la Carpeta Bloqueada tiene sus propios límites. La carpeta en sí es visible en la app Fotos. Un observador puede ver que existe una Carpeta Bloqueada e inferir que contiene contenido que has decidido proteger. La carpeta muestra un icono de candado y una etiqueta. Anuncia su propia existencia.

La Carpeta Bloqueada tampoco cifra los archivos de forma independiente del resto del sistema de protección de datos de iOS. Cuando el dispositivo está bloqueado, todos los archivos están protegidos por el cifrado hardware vinculado a tu código de acceso. Cuando el dispositivo está desbloqueado, la Carpeta Bloqueada añade una puerta biométrica — pero el almacenamiento subyacente es el mismo volumen APFS cifrado que protege todo lo demás en el teléfono.

Cuándo la Carpeta Bloqueada es suficiente: Quieres protección biométrica frente a alguien que tiene tu teléfono desbloqueado en la mano. Un compañero de trabajo, un familiar, un amigo — alguien que puede interactuar físicamente con el dispositivo pero no puede autenticarse como tú.

Cuándo no es suficiente: La Carpeta Bloqueada no oculta el hecho de que existe contenido oculto. No protege frente a alguien que conoce el código de acceso de tu dispositivo (ya que el código puede anular Face ID). No cifra los archivos con una clave separada. Y no ayuda si necesitas que la propia app bóveda sea invisible.

Donde fallan las herramientas nativas

El problema central de ambas opciones nativas de Apple es arquitectónico. La app Fotos es una única aplicación con un único almacén de datos. Ocultar una foto significa cambiar una bandera en una fila de la base de datos. El archivo permanece en el mismo directorio, en el mismo almacenamiento flash, referenciado por el mismo índice.

Esto tiene consecuencias concretas:

Búsqueda y Siri. Incluso con el interruptor del Álbum Oculto desactivado, las fotos pueden aparecer en la búsqueda de Spotlight, en las sugerencias de Siri y en la barra de búsqueda dentro de Fotos. El pipeline de indexación de Apple no respeta completamente la bandera de oculto.

Álbumes compartidos y AirDrop. Las fotos ocultas aún pueden seleccionarse para AirDrop o álbumes compartidos si el usuario navega hasta ellas mediante búsqueda o un enlace compartido. El mecanismo de ocultación es un filtro de visualización, no un control de acceso.

Copias de seguridad. Las fotos del Álbum Oculto y de la Carpeta Bloqueada se incluyen en las copias de seguridad de iCloud y de iTunes/Finder. Si alguien obtiene acceso a tu cuenta de iCloud o a un archivo de copia de seguridad local, las fotos ocultas están ahí.

Eliminados Recientemente. Cuando eliminas una foto — oculta o no — pasa a la carpeta Eliminados Recientemente y permanece recuperable durante 30 días. El Álbum Oculto no cambia este comportamiento.

Acceso forense. Las herramientas utilizadas en la informática forense leen directamente el almacenamiento flash o extraen la base de datos de Fotos. Una bandera booleana en una columna SQLite no detiene a un examinador forense.

Para los modelos de amenaza que importan — inspecciones aduaneras, iPads familiares compartidos, prestar el teléfono a alguien, vender o permutar un dispositivo — las herramientas nativas dejan huecos que una app bóveda dedicada está diseñada para cerrar.

Cómo funcionan las aplicaciones bóveda

Una app bóveda adopta un enfoque fundamentalmente diferente. En lugar de activar una bandera de visibilidad dentro de la app Fotos, retira los archivos de la biblioteca de Fotos por completo y los almacena en un contenedor cifrado que la app controla.

El flujo de trabajo típico:

1. Importación. El usuario selecciona fotos o vídeos de la biblioteca de Fotos. La app bóveda los copia en su propio almacenamiento aislado.
2. Cifrado. Cada archivo se cifra con una clave simétrica derivada de la frase de contraseña o patrón del usuario. En el caso de AppVault, el cifrado es AES-256-GCM con un nonce único de 96 bits por archivo, y la clave se deriva mediante PBKDF2-SHA256 con 600.000 iteraciones y una sal de 128 bits por instalación.
3. Eliminación de originales. La app elimina los archivos originales de la biblioteca de Fotos, incluida la carpeta Eliminados Recientemente, de modo que no quede rastro en la base de datos nativa de fotos.
4. Almacenamiento. Los archivos cifrados residen dentro del entorno limitado de la app. El sandbox de iOS impide que otras aplicaciones lean los datos. El cifrado impide que cualquiera que extraiga el contenido del sandbox lea los archivos sin la clave.

El resultado: las fotos ya no existen en la app Fotos, ni en la búsqueda, ni en las sugerencias de Siri, ni en los álbumes compartidos, ni en el carrete. Existen solo como texto cifrado dentro del contenedor de la app bóveda.

Qué significa realmente el cifrado aquí

La pila criptográfica de AppVault se publica completa en la página de cifrado. La versión resumida:

• AES-256-GCM (modo Galois/Counter) proporciona cifrado autenticado. Cada archivo recibe un nonce único de 96 bits, por lo que dos fotos idénticas producen textos cifrados completamente diferentes. El algoritmo está especificado en NIST FIPS 197 y NIST SP 800-38D.
• PBKDF2-SHA256 con 600.000 iteraciones convierte el patrón del usuario en una clave criptográfica. El número de iteraciones sigue la recomendación de OWASP para 2026 para la derivación de claves basada en contraseñas. Una sal aleatoria de 128 bits, generada una vez durante la instalación, asegura que dos dispositivos con el mismo patrón produzcan claves diferentes.
• Envoltorio del Secure Enclave. La salida de PBKDF2 se envuelve con una clave generada dentro del Secure Enclave del iPhone. La clave del Enclave nunca sale del chip. En dispositivos con Secure Enclave (iPhone 5s y posteriores), esto significa que el material clave está vinculado al hardware y no se puede extraer solo con software.

Esto no es lenguaje de marketing. Cada una de estas elecciones tiene una propiedad de seguridad específica. El alto número de iteraciones hace que los ataques de fuerza bruta sobre el patrón sean computacionalmente costosos. El nonce por archivo evita el análisis de patrones entre textos cifrados. La vinculación al Secure Enclave significa que, incluso si alguien copia el contenedor cifrado a otro dispositivo, los archivos no se pueden descifrar sin el hardware original.

El Lanzador de Calculadora: ocultar al que oculta

El cifrado protege los archivos. Pero si la propia app bóveda es visible en la pantalla de inicio, un observador sabe que existe contenido oculto. El icono de la app es una señal.

El Lanzador de Calculadora de AppVault aborda esto ofreciendo una calculadora iOS completamente funcional como interfaz principal de la app. El usuario abre la app, ve una calculadora estándar y puede realizar cálculos con normalidad. Una pulsación larga en la tecla de igual abre la bóveda cifrada.

No es una calculadora falsa. Es una calculadora real que además tiene una bóveda tras un gesto específico. El diseño está pensado para cumplir con la directriz 4.3 de Apple (iconos alternativos) al ofrecer funcionalidad genuina de calculadora.

El Lanzador de Calculadora cambia el modelo de amenaza. Una persona que coge tu teléfono y ve una app de calculadora en la pantalla de inicio no tiene motivos para sospechar que contiene fotos cifradas. Un agente de aduanas que hojea las apps ve una calculadora. Un amigo que te pide prestado el teléfono ve una calculadora.

Esto no es invisibilidad. Un examen forense del identificador de paquete y los permisos de la app revelaría su verdadera naturaleza. Pero para los escenarios prácticos a los que se enfrenta la mayoría — una persona con acceso físico e intención casual — el Lanzador de Calculadora eleva la barrera de «abre la app bóveda obvia» a «descubre que la calculadora no es una calculadora».

La Bóveda Señuelo: dos álbumes, un dispositivo

Algunas situaciones requieren más que una app oculta. Si alguien sabe que usas una app bóveda y exige acceso, una sola contraseña crea un problema: negarse implica culpa, y cumplir derrota el propósito.

La Bóveda Señuelo de AppVault proporciona un segundo patrón 5×5 que abre un catálogo de bóveda separado y matemáticamente independiente. La bóveda señuelo es un espacio cifrado completamente funcional. Puede contener sus propias fotos, vídeos y archivos. Las claves de cifrado de la bóveda señuelo se derivan del patrón señuelo — no están relacionadas con las claves de la bóveda principal. No hay ningún vínculo criptográfico entre ambas.

Esto es útil en escenarios específicos: un iPad familiar compartido donde se espera que una persona tenga acceso a la bóveda, un dispositivo utilizado por más de una persona, o cualquier situación en la que la negación plausible tenga valor práctico.

La bóveda señuelo no es un escudo mágico. No protege contra un análisis forense que examine todo el almacenamiento de la app. Protege contra el escenario social en el que alguien sabe que la bóveda existe y quiere ver su interior.

Bloqueo por patrón: por qué importa la cuadrícula

AppVault utiliza un bloqueo por patrón 5×5 en lugar de un PIN numérico o una contraseña alfanumérica. La cuadrícula proporciona 25 nodos, y el patrón los conecta en secuencia. El número total de patrones posibles es grande — significativamente mayor que un PIN de 4 dígitos (10.000 combinaciones) y comparable a un PIN de 6 dígitos, aunque el recuento exacto depende de las restricciones de nodo mínimo y máximo.

El patrón no es la clave de cifrado. El patrón es la entrada de PBKDF2, que lo estira hasta convertirlo en una clave de 256 bits. La seguridad proviene de la función de derivación de clave, no del patrón en sí. Un PIN de 4 dígitos procesado con PBKDF2 a 600.000 iteraciones también es seguro contra fuerza bruta — el número de iteraciones es lo que hace que cada intento sea costoso.

El bloqueo por patrón es una elección de usabilidad. La mayoría de las personas recuerdan una forma geométrica de forma más fiable que una cadena aleatoria. La cuadrícula 5×5 es familiar por la pantalla de bloqueo heredada de Android. Y la naturaleza visual del patrón hace que sea más rápido de introducir que una contraseña escrita en una pantalla táctil.

Contra qué no protegen las aplicaciones bóveda

La honestidad sobre los límites es más útil que la exageración. Esto es contra lo que una app bóveda como AppVault no defiende:

Ataques forenses de extracción de chip. Un laboratorio que desolda el chip de memoria flash NAND y lo lee directamente puede extraer el contenedor cifrado. AES-256-GCM con una clave fuerte hace inviable el descifrado, pero el texto cifrado está físicamente presente. Si la clave es débil (un patrón simple, bajo número de iteraciones), el cifrado puede romperse. PBKDF2 con 600.000 iteraciones y el envoltorio del Secure Enclave de AppVault elevan el coste sustancialmente, pero ninguna solución puramente software derrota a un laboratorio forense bien financiado.

Descifrado forzado. En algunas jurisdicciones, las autoridades pueden obligarte legalmente a proporcionar una contraseña o dato biométrico. Una app bóveda no puede proteger contra una orden judicial. La Bóveda Señuelo puede proporcionar negación plausible en entornos informales, pero no es un escudo legal.

Compromiso del código de acceso del dispositivo. Si alguien conoce tu código de acceso, puede desbloquear el teléfono e intentar abrir la app bóveda. El patrón de la bóveda es un factor de autenticación separado, pero el código de acceso del dispositivo es la primera línea de defensa. Un código de acceso fuerte (alfanumérico, no de 4 dígitos) sigue siendo esencial.

Grabación de pantalla y shoulder surfing. Una app bóveda no puede evitar que alguien te vea introducir tu patrón o grabe la pantalla mientras hojeas las fotos cifradas. La seguridad física — conciencia del entorno, filtros de privacidad en la pantalla — es una capa aparte.

Copia de seguridad de iCloud del contenedor de la bóveda. Si el usuario opta por la copia de seguridad de iCloud, el contenedor cifrado de la bóveda se respalda. Los archivos permanecen cifrados y la clave de la copia de seguridad es diferente de la clave de la bóveda. Pero el texto cifrado existe en los servidores de Apple. El cifrado de la copia de seguridad de AppVault utiliza una clave por dispositivo que Apple no posee, pero los metadatos (la copia existe, la app está instalada) son visibles.

La página completa del modelo de amenaza detalla estos escenarios con más precisión.

Comparando AppVault con la categoría

La categoría de calculadora bóveda en la App Store incluye docenas de aplicaciones. La mayoría comparte una premisa similar — un icono disfrazado, un bloqueo por patrón o PIN, almacenamiento cifrado — pero la calidad de implementación varía enormemente.

Keepsafe es el líder de la categoría por número de instalaciones. Ofrece sincronización en la nube, un modelo de suscripción y una interfaz pulida. El desglose completo función por función está en la página de comparación AppVault vs Keepsafe. La arquitectura en la nube de Keepsafe significa que los archivos pasan por los servidores de Keepsafe, lo que es un modelo de confianza fundamentalmente diferente al de una app solo local.

Vaultaire es el competidor más cercano en el nicho de calculadora bóveda. Utiliza un disfraz de calculadora y almacenamiento local. Las diferencias arquitectónicas — derivación de clave, modo de cifrado, uso del Secure Enclave — se detallan en la página de comparación AppVault vs Vaultaire.

La mayoría de las demás apps de calculadora bóveda en la tienda no publican su pila criptográfica. Sin iteraciones, modos de cifrado y detalles de derivación de clave publicados, no hay forma de evaluar si el cifrado es significativo o decorativo. Una app que afirma tener «cifrado de grado militar» pero ejecuta PBKDF2 con 1.000 iteraciones no proporciona una protección real.

AppVault publica su pila completa con citas de fuentes primarias. El cifrado, el número de iteraciones, la generación de la sal y la vinculación con el hardware están documentados en la página de cifrado. Este es el estándar mínimo para un producto que pide a los usuarios que confíen en él con archivos privados.

Escenarios prácticos: qué método usar

Inspecciones aduaneras. Un agente que coge tu teléfono y hojea las apps y fotos. El Lanzador de Calculadora aborda esto: la app parece una calculadora. Los archivos cifrados no están en la app Fotos. El agente no tiene una razón obvia para sospechar contenido oculto. Este es el escenario en el que una app bóveda con icono disfrazado aporta más valor que las herramientas nativas.

iPad familiar compartido. Varias personas usan el mismo dispositivo. La Carpeta Bloqueada ofrece protección biométrica, pero la carpeta es visible. Una app bóveda con un patrón separado mantiene los archivos fuera de la app Fotos por completo. La Bóveda Señuelo añade una segunda capa si se espera que un miembro de la familia tenga acceso.

Prestar el teléfono. Un amigo toma una foto grupal y desliza más allá. El Álbum Oculto retira las fotos de la vista principal, pero un desliz decidido puede alcanzarlo. Una app bóveda retira los archivos de la app Fotos por completo.

Vender o permutar un iPhone. Antes de un restablecimiento de fábrica, mueve los archivos sensibles a la app bóveda, luego usa la función de borrado seguro de la app. Después de eliminar la app y realizar un restablecimiento de fábrica, el contenedor cifrado se destruye. El Álbum Oculto nativo y la carpeta Eliminados Recientemente se borran con el restablecimiento de fábrica, pero una app bóveda te da control explícito sobre el momento de la eliminación.

Periodistas, abogados, profesionales médicos. Material de trabajo privilegiado que no debería ser accesible para nadie con acceso al dispositivo. Una app bóveda con cifrado fuerte y sin sincronización en la nube mantiene los archivos locales y cifrados. La arquitectura de conocimiento cero — detallada en la página de conocimiento cero — significa que el desarrollador de la app no tiene acceso al contenido ni a los metadatos de los archivos.

Cómo configurar AppVault para ocultar fotos

El proceso de configuración está diseñado para minimizar la ventana durante la cual los archivos existen tanto en la biblioteca de Fotos como en la bóveda simultáneamente.

1. Instala AppVault desde la App Store. La app aparece como una calculadora en la pantalla de inicio.
2. Establece el patrón principal. Elige un patrón 5×5 que puedas recordar. Este patrón deriva la clave de cifrado para tu bóveda principal.
3. Establece el patrón señuelo (opcional). Abre un catálogo de bóveda separado con sus propias claves de cifrado.
4. Genera la frase de recuperación. AppVault crea una frase de recuperación escrita durante la configuración. Guárdala en un lugar físicamente separado del teléfono. Si olvidas