El problema que nadie explica en el juzgado
Su cliente está en prisión preventiva. La Policía Judicial ha incautado su iPhone. El Ministerio Fiscal presenta como prueba de cargo el volcado forense realizado por el laboratorio policial. Usted quiere encargar un peritaje de parte para auditar ese volcado, verificar su integridad o extraer datos exculpatorios que la acusación no ha incluido. Y entonces aparece el primer problema técnico: el teléfono tiene activada la función Protección en caso de robo de Apple, y su cliente no puede desactivarla desde la celda.
Este artículo explica qué es esa función, por qué bloquea métodos forenses concretos, y qué vías existen para el perito de la defensa cuando la cooperación del propietario del dispositivo no es posible.
Qué es Protección en caso de robo y cuándo entró en vigor
Apple introdujo la función Protección en caso de robo con iOS 17.3, en enero de 2024, y la reforzó y activó por defecto en iOS 18. Su propósito declarado es proteger al usuario frente a robos en los que el ladrón ha observado previamente el código PIN de la víctima: aunque conozca el código numérico, no podrá realizar determinadas operaciones sensibles sin la biometría del propietario (Face ID o Touch ID).
Desde el punto de vista de la seguridad del consumidor es una medida razonable. Desde el punto de vista forense crea un obstáculo serio en determinados escenarios de extracción.
Qué bloquea concretamente esta función
Para entenderlo hay que conocer cómo funciona la extracción forense lógica avanzada en iPhone.
El método estándar de extracción lógica avanzada se basa en el protocolo de backup de iTunes/AFC. Cuando se conecta un iPhone a un ordenador, el dispositivo pide al usuario que «confíe» en ese equipo (trust). Históricamente, ese gesto de confianza se completaba introduciendo el código PIN del dispositivo. Una vez establecida esa relación de confianza o pairing, la herramienta forense podía generar un backup completo del dispositivo, incluyendo mensajes, contactos, aplicaciones, fotos y, en ciertos casos, datos del llavero (keychain).
Con Protección en caso de robo activa, introducir el PIN ya no es suficiente para establecer el pairing con un nuevo ordenador. El sistema exige adicionalmente la autenticación biométrica del propietario: Face ID o Touch ID. Si el propietario no está presente o no puede físicamente colocar el dedo o acercar la cara al dispositivo, el pairing no se completa y la extracción lógica avanzada mediante iTunes queda bloqueada.
Esto afecta a todas las herramientas que dependen de este protocolo, no solo a Cellebrite. Es una restricción impuesta por el sistema operativo de Apple, no por ningún fabricante concreto de software forense.
Además, desactivar la función desde los ajustes del propio dispositivo también requiere biometría, y si el iPhone no se encuentra en una «ubicación familiar» para el sistema (concepto que Apple determina a través de las Significant Locations del dispositivo, registradas en las bases de datos Cloud-v2.sqlite y local.sqlite en la ruta /private/var/mobile/Library/Caches/com.apple.routined), se aplica un retardo adicional de una hora: el usuario debe autenticarse con biometría una primera vez para iniciar el proceso y una segunda vez, pasada la hora, para confirmarlo. En un laboratorio forense o en una sala de la prisión, la probabilidad de que el dispositivo reconozca esa ubicación como «familiar» es prácticamente nula.
El escenario más difícil: el cliente en prisión
Imagine el caso concreto que más frecuentemente llega al despacho de un penalista: el detenido ingresó en prisión provisional y su iPhone fue intervenido como pieza de convicción. Han pasado semanas. La defensa quiere realizar un peritaje independiente para verificar el volcado policial o buscar evidencias que la acusación no aportó.
El propietario del teléfono está físicamente inaccesible para el proceso de autenticación biométrica. No puede acercar su cara al dispositivo desde la celda. No puede poner el dedo en el sensor. Esto significa que:
- La extracción lógica avanzada por protocolo iTunes quedará bloqueada por Protección en caso de robo.
- Desactivar la función de forma remota o mediante instrucciones verbales al perito no es posible: Apple no ofrece ningún mecanismo para ello.
- La única manera de desactivar la función pasa por que el propio propietario, con el dispositivo físicamente en la mano, complete el proceso biométrico.
Aquí es donde la defensa puede encontrarse con una asimetría técnica relevante: si el laboratorio policial realizó su extracción en las primeras horas o días tras la detención, cuando aún era posible conseguir la colaboración del detenido o cuando el dispositivo aún conservaba una sesión de pairing previa, los datos extraídos por la acusación pueden ser más completos que los que el perito de la defensa podrá obtener semanas o meses después con la función ya activa e inoperante sin biometría.
Qué métodos sí funcionan y cuáles no
No todos los métodos de extracción forense quedan bloqueados por Protección en caso de robo. La distinción técnica es importante y tiene consecuencias directas para la estrategia procesal.
Método bloqueado: la extracción lógica avanzada basada en el protocolo iTunes/AFC (backup). Es el método más extendido y el que usa la mayoría de herramientas forenses en su modalidad de acceso consentido o semijudicializado. Requiere establecer un nuevo pairing con el ordenador del perito, y ese paso exige biometría cuando la Protección en caso de robo está activa.
Método no bloqueado: volcado FFS (Full File System). El método de extracción FFS accede al sistema de archivos completo del dispositivo a través de un agente que se instala directamente en el iPhone, sin necesidad de establecer un nuevo pairing mediante el protocolo iTunes. Cellebrite UFED, cuando opera en modo FFS a través de la suite Inseyets, no se ve afectado por Protección en caso de robo siempre que se conozca el código PIN del dispositivo.
Quien suscribe este artículo dispone de licencia de Cellebrite Inseyets con capacidad de extracción FFS, lo que significa que, conocido el código PIN, es posible realizar un volcado forense completo del sistema de archivos del iPhone con independencia de que la función Protección en caso de robo esté activa.
Esto tiene una implicación procesal directa: si la acusación presentó una extracción lógica (backup iTunes) como fuente de las evidencias, el perito de la defensa puede realizar una extracción FFS del mismo dispositivo obteniendo un volumen de datos significativamente mayor, incluyendo artefactos que el método iTunes no recupera (bases de datos SQLite de aplicaciones, registros de sistema, archivos borrados en espacio libre, historial de ubicaciones, datos del llavero bajo ciertas condiciones). La comparación entre ambos volcados puede ser por sí sola fuente de argumentos relevantes sobre completitud e integridad de la prueba de cargo.
Qué necesita el perito para superar esta barrera
Cuando el cliente está en prisión y la biometría no es accesible, el camino viable pasa por el volcado FFS. Para ello el perito necesita:
El código PIN del dispositivo. Sin el código de desbloqueo, ningún método de extracción forense estándar —ni lógico ni FFS— funciona en iPhones modernos con Secure Enclave activo. Obtener este dato del propio cliente a través de canales de comunicación tutelados por la defensa (comunicación verbal con el abogado, por ejemplo) es el paso previo imprescindible.
Autorización judicial o del órgano instructor. El perito de la defensa necesita acceso físico a la pieza de convicción. Esto se articula habitualmente mediante un escrito al Juzgado solicitando que se autorice el examen pericial del dispositivo bajo supervisión del Letrado de la Administración de Justicia o en el propio laboratorio del juzgado. Es un trámite habitual y no debería generar resistencia procesal, pero hay que solicitarlo expresamente y con fundamento técnico.
Herramienta forense con capacidad FFS. La extracción FFS no es el método que usan todos los peritos. Muchos laboratorios —incluyendo algunos policiales— trabajan principalmente con backups iTunes por razones de simplicidad y rapidez. Si la extracción de la acusación fue un backup iTunes y la defensa puede realizar un FFS, la diferencia en datos accesibles puede ser sustancial.
La implicación procesal que no conviene ignorar
Si el laboratorio policial realizó la extracción en las primeras horas y la documentó correctamente, y la defensa recibe el dispositivo semanas después con Protección en caso de robo activa sin posibilidad de cooperación biométrica del detenido, existe una asimetría en el acceso a la prueba que puede argumentarse procesalmente.
La defensa puede no estar en igualdad de condiciones técnicas para realizar el peritaje de contradicción si el único método disponible sin biometría (FFS) no fue el utilizado por la acusación, o si el Juzgado no autoriza el acceso al dispositivo original y solo se facilitan los ficheros exportados del volcado policial. En ese caso, la defensa no está discutiendo la fuente original sino un producto ya procesado, lo que limita la contradicción técnica efectiva.
Este argumento conecta directamente con la doctrina del TEDH sobre acceso a los datos originales cuando la prueba tiene peso determinante en la acusación (STEDH Gran Sala Yalçinkaya c. Turquía, 26/09/2023), y con la propia doctrina de la Audiencia Nacional que, en el contexto de Sky ECC, delegó expresamente en el perito la verificación de autenticidad de los archivos incorporados al procedimiento (AAN 6099/2024, Sección 2ª).
Recomendaciones prácticas para el abogado penalista
Cuando reciba un asunto en el que el iPhone del cliente haya sido intervenido como prueba:
Solicite desde el primer momento copia del informe de extracción policial, incluyendo la metodología utilizada (si fue backup iTunes o FFS), el valor hash del volcado y la versión de iOS del dispositivo en el momento de la extracción. Estos datos no siempre se incluyen en el atestado pero son técnicamente imprescindibles para evaluar la integridad de la prueba.
Obtenga el código PIN del dispositivo de su cliente en la primera comunicación. Si el PIN no se conoce, muchas vías de extracción quedan cerradas independientemente de la función Protección en caso de robo.
Solicite autorización judicial para el examen pericial del dispositivo original antes de que el expediente llegue a juicio oral. Un volcado FFS realizado por el perito de la defensa sobre el dispositivo original puede revelar datos que el volcado policial no contiene.
Verifique si la versión de iOS del dispositivo en el momento de la incautación era anterior o posterior a iOS 17.3. Si era anterior, Protección en caso de robo no existía y las restricciones biométricas descritas en este artículo no aplican.
Gustavo Martínez Luengo es Perito Informático Forense Judicial con más de 12 años de experiencia y 600 casos tramitados. Titular de peritodigital.es y murciaperitoinformatico.com.
