Por el ‘Lockdown Mode’ del iPhone, el FBI no pudo desbloquear el iPhone de una periodista del Washington Post

 (404media.co)
1 puntos por GN⁺ 2026-02-05 | 1 comentarios | Compartir por WhatsApp
  • Documentos judiciales revelan que el FBI no pudo realizar un análisis forense del dispositivo incautado a una periodista debido a que era un iPhone con Lockdown Mode activado
  • El iPhone de una periodista del Washington Post estaba encendido al momento de la incautación, pero no se pudo extraer información debido a Lockdown Mode
  • Documentos del gobierno indican explícitamente que el Computer Analysis Response Team (CART) del FBI no pudo extraer datos de ese iPhone
  • Aunque Lockdown Mode fue diseñado originalmente para defender contra spyware altamente dirigido, también se confirmó que limita el acceso forense físico
  • Es un caso que muestra cómo las funciones avanzadas de seguridad de Apple pueden bloquear el acceso digital de las agencias de investigación, y refleja la competencia entre el fortalecimiento de la seguridad móvil y la informática forense de las autoridades

Resumen del caso

  • En enero de 2026, la casa de la periodista del Washington Post Hannah Natanson fue allanada por el FBI como parte de una investigación por filtración de información confidencial
  • La investigación está relacionada con las acusaciones contra el contratista del gobierno Aurelio Perez-Lugones por posesión y entrega de información clasificada
  • El gobierno considera que Perez-Lugones fue la fuente que proporcionó información confidencial a Natanson

Dispositivos incautados y resultado del acceso

  • Entre los dispositivos incautados había un iPhone 13, dos MacBook Pro, un disco duro externo y una grabadora
  • El iPhone estaba encendido y cargándose, y en la pantalla se veía la indicación de ‘Lockdown Mode’
  • Según los documentos judiciales, se establece que “debido a Lockdown Mode, CART no pudo extraer datos de ese iPhone”
  • Tras la incautación, el FBI permaneció más de dos semanas sin poder acceder al iPhone

Significado técnico de Lockdown Mode

  • Lockdown Mode minimiza la superficie de ataque de iOS al restringir adjuntos en mensajes, renderizado web, conexiones de FaceTime y más
  • Al conectar dispositivos externos, es obligatorio desbloquear el dispositivo
  • Bloquea las principales vías de acceso de herramientas forenses basadas en conexión física, como Graykey y Cellebrite
  • El CEO de la empresa de forense digital Garrett Discovery mencionó que “muchas técnicas avanzadas de investigación quedan bloqueadas por Lockdown Mode”

Autenticación biométrica y desbloqueo forzado por vía legal

  • La orden de allanamiento incluía la autorización para forzar el uso de huellas dactilares o reconocimiento facial para desbloquear dispositivos
  • Natanson no usaba autenticación biométrica en su iPhone y, en estado de Lockdown Mode, ni siquiera era posible intentarlo
  • En cambio, el segundo MacBook Pro sí pudo desbloquearse mediante reconocimiento de huella

Datos a los que sí se pudo acceder

  • El FBI obtuvo fotos y grabaciones de voz de conversaciones dentro de la app Signal en el MacBook Pro desbloqueado
  • Aun así, incluso de esa laptop todavía no ha podido obtener una imagen física completa (full physical image)

Competencia de seguridad entre las autoridades y las plataformas

  • También se reportó que en 2024 Apple modificó el sistema para que el iPhone se reinicie automáticamente tras un largo tiempo sin uso
  • Eso hace que el dispositivo pase al estado BFU (Before First Unlock), aumentando la dificultad del análisis forense
  • Este caso queda registrado como un ejemplo de cómo el fortalecimiento de la seguridad por software funciona en investigaciones reales

Postura oficial

  • Apple y The Washington Post no respondieron a las solicitudes de comentarios
  • El FBI se negó a hacer comentarios oficiales sobre el caso

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-02-05
Opiniones en Hacker News
  • Enlace archivado del artículo original
  • Hay que recordar que se puede obligar a usar Touch ID, pero no se puede exigir por la fuerza la contraseña
    Según este tuit relacionado, el FBI accedió a mensajes de Signal en la MacBook de trabajo de la periodista Hannah Natanson usando Touch ID. Como la laptop permitía autenticación con Touch ID, legalmente podían exigir el desbloqueo
    • Comparten un enlace espejo de Twitter, con la intención de no apoyar directamente una plataforma propiedad de cierto multimillonario
    • El comando de configuración de reposo de MacBook que antes se había sugerido para otro problema también ayuda aquí
      Ver el enlace explicativo. Cuando se cierra la laptop o entra en reposo, escribe la RAM al disco y se apaga por completo. Reanudar tarda más, pero en el primer desbloqueo no se permite la autenticación por huella, así que se mantiene una seguridad a nivel de arranque en frío
    • Si no entregas la contraseña, puedes quedar detenido hasta 18 meses por desacato al tribunal (contempt)
      Caso relacionado
    • Nuestros derechos no vienen de la ley natural; hay que luchar para que el gobierno los respete
    • Se preguntan si el conocimiento mismo de qué dedo usar está protegido tanto como una contraseña
      Las fuerzas del orden pueden obligarte físicamente a poner un dedo, pero podrías tener derecho a negarte a revelar cuál es el correcto. Si fallan varias veces, el dispositivo se bloquea y exige contraseña. Por eso, bromean con que mejor usarían la nariz de su perro
  • El Lockdown Mode de Apple frustra porque es demasiado de “todo o nada”
    Quieren activar solo algunas funciones —bloquear FaceTime de desconocidos, desactivar vistas previas de enlaces, bloquear conexiones de dispositivos externos mientras está bloqueado, etc.— pero no quieren el resto de las restricciones. Sería bueno poder activar o desactivar opciones específicas por separado.
    Por ejemplo, desactivar el JIT de JavaScript perjudica el rendimiento web y la batería. También bloquea los álbumes compartidos y la instalación de fuentes personalizadas. Esta falta de configuraciones de seguridad granulares termina debilitando la seguridad
    • También están de acuerdo con la limitación de los álbumes compartidos. Solo después se dieron cuenta de que, con Lockdown Mode activado, no podían ver el álbum familiar. Tuvieron que desactivarlo temporalmente, compartir las fotos y volver a activarlo.
      Además, las solicitudes de Screen Time tampoco funcionan. La notificación llega, pero no se puede responder.
      Entienden por qué Apple lo diseñó como todo o nada: si permite aunque sea una configuración riesgosa, se rompe todo el modelo de seguridad.
      Aun así, la mayor molestia es no poder saber si un problema ocurre por culpa de Lockdown Mode, así que terminan apagándolo y encendiéndolo con frecuencia
    • Significa que en Lockdown Mode no se pueden cambiar los perfiles. Los perfiles existentes se mantienen
    • Los álbumes familiares sí funcionan en Lockdown Mode. También se pueden quitar las restricciones web por app o por sitio web
    • Desactivar el JIT de JavaScript en el navegador más bien deja la lección de que “navegar por la web desde un smartphone siempre fue una mala idea”
  • Es lamentable que hayan hackeado la app de escritorio de Signal de la periodista. La versión de escritorio es mucho más vulnerable si la laptop cae en manos del atacante
    • Piden que expliquen concretamente por qué Signal de escritorio es menos seguro
    • Si no configuras los mensajes sensibles para borrado automático, al final no son muy distintos de los SMS
    • Pensaban que una periodista de este nivel habría mantenido una higiene de seguridad básica. Ojalá este incidente sirva de advertencia para otros periodistas
    • La conclusión del artículo genera dudas. No queda claro si no pudieron desbloquear el iPhone, o si ya tenían todos los datos necesarios por sincronización con iCloud. Si ya tenían la laptop, seguramente también tendrían iMessage, historial de llamadas y datos de iCloud, así que se preguntan para qué ir también por el teléfono
    • También se preguntan si rompieron el cifrado de disco como BitLocker o FileVault, o si en realidad accedieron mientras ya estaba encendido
  • Se preguntan si el hecho de que Lockdown Mode lo haya bloqueado implica que, con una configuración de seguridad más baja, el gobierno sí habría podido entrar
    Con Advanced Data Protection se puede proteger con E2EE la información de iCloud, y Face ID se puede forzar físicamente, pero al presionar 5 veces el botón de encendido se cambia al modo PIN y ya no te lo pueden exigir legalmente.
    Si Lockdown Mode lo bloqueó, ¿eso significa que el gobierno tenía un zero-day que no funcionaba en modo PIN?
    • Lo que usa el gobierno, en su mayoría, es spyware como Pegasus de NSO Group
  • La periodista dijo que “no usa reconocimiento de huellas”, pero los investigadores pusieron su dedo y la laptop se desbloqueó, lo que resulta extraño
    • Probablemente lo configuró alguna vez y luego se le olvidó. Puede que lo haya registrado durante la configuración inicial
    • Si realmente fue así, entonces tal vez sí lo había registrado en el pasado. Queda la duda de cómo reconoció la huella
    • También hay comentarios preguntando por qué eso sería extraño
    • Si no registró ninguna huella, simplemente no puede reconocerla. Aunque el sensor fallara, por defecto no desbloquearía nada
  • Resulta interesante la frase “Lockdown Mode es una función que dificulta el hackeo”
    Si su función es apagar funciones, quizá sería mejor llamarlo simplemente una configuración.
    La mayoría de los usuarios de iPhone no cambia la configuración predeterminada. Google le paga miles de millones de dólares a Apple justamente por la búsqueda predeterminada.
    Lockdown Mode no viene activado por defecto y casi nadie lo usa.
    Si este modo realmente hace al iPhone más seguro, entonces la configuración predeterminada en realidad facilita el hackeo
    • Lockdown Mode es una protección para un grupo pequeño, como periodistas o activistas de derechos humanos, que pueden convertirse en objetivo de ataques como Pegasus.
      Bloquear adjuntos en mensajes, FaceTime de desconocidos y limitar funciones de Safari genera mucha fricción para usuarios comunes.
      Por eso no es realista dejarlo como configuración predeterminada, y tampoco ayudaría mucho a la seguridad del usuario promedio
    • Reducir la superficie de ataque también podría significar menos recolección de datos y menos seguimiento publicitario, lo que afectaría los ingresos de Apple.
      Esa podría ser una de las razones por las que no viene activado por defecto
  • En algunas regiones, Face ID es más seguro que la huella porque no desbloquea si tienes los ojos cerrados
    En algunos países de Europa está permitido obligarte a poner el dedo, pero forzarte a abrir los ojos es ilegal
    • Pero también responden que han visto Face ID funcionar con la cara de alguien dormido
  • Tener que activar todo Lockdown Mode solo para proteger las conexiones con dispositivos externos es ineficiente
    Hay quien nunca conecta su iPhone a nada que no sea corriente eléctrica.
    Si existiera un “modo de protección de accesorios externos” por separado, lo activarían de inmediato, pero Apple advierte que “el dispositivo no funcionará como de costumbre”
    • Desde iOS 26, en Privacy & Security > Wired Accessories se puede hacer que siempre pregunte si se permite el acceso al conectar un dispositivo nuevo
    • GrapheneOS solo permite energía cuando está bloqueado de forma predeterminada, y con bloqueo por hardware es completamente inmune a herramientas de ataque por USB
    • En realidad, desde 2014 cualquiera podía implementar esto con Pair Lock/Supervise
      Ver artículo de 2014 y guía reciente
    • La ruta de configuración es Settings > Privacy & Security > Wired Accessories, y se puede hacer que pregunte cada vez que se conecta un accesorio nuevo
    • El mayor problema es que la falta de configuraciones de seguridad granulares termina llevando a que los usuarios renuncien a su propia seguridad