Cómo evitar que contacten y fotos sean accesadas en un iPhone iOS 9 bloqueado

Qué descubrieron y por qué importa

Un investigador probó iOS 9 y encontró una secuencia de acciones que, en un iPhone bloqueado, permite abrir la interfaz de crear/editar contactos y desde allí acceder a la galería de fotos del dispositivo sin desbloquearlo. No permite desbloquear el teléfono ni leer mensajes, pero sí ver contactos y fotos (no compartirlas ni reenviarlas desde esa interfaz limitada).

Definición rápida: una vulnerabilidad es un comportamiento no deseado en el software que permite hacer algo que no debería ser posible sin autorización.

Paso a paso del problema (secuencia original)

1. Introduce cuatro códigos erróneos distintos (en la quinta entrada el sistema bloquea temporalmente el iPhone).
2. En el quinto intento, escribe 3 dígitos en el cuadro del código erróneo y mantén pulsado el botón Inicio para invocar a Siri; acto seguido escribe el 4.º dígito.
3. El sistema se bloqueará temporalmente por un minuto, pero Siri ya habrá sido invocado.
4. Pregunta a Siri la hora.
5. Toca el icono del Reloj para abrir la app Reloj.
6. Toca el icono + en la esquina superior derecha para añadir una alarma.
7. Escribe algo incorrecto en el campo Elegir una ciudad.
8. Toca en el campo para que aparezca el menú copiar/pegar y elige Seleccionar todo → Compartir…
9. En la hoja para compartir, toca el icono Mensajes.
10. Escribe algo en el campo Para y pulsa Retorno.
11. Toca dos veces el nombre de contacto incorrecto en el campo Para para abrir la página de información.
12. Toca Crear nuevo contacto.
13. Toca Añadir foto.
14. Toca Elegir foto.
15. Se mostrarán todas las fotos y álbumes disponibles en el dispositivo. Ahora se pueden ver las imágenes una por una.

Si en el paso 12 en vez de Crear nuevo contacto eliges Añadir a contacto existente, accederás a la lista de contactos y podrás ver la información disponible.

Importante: esta secuencia permite visualizar fotos y contactos, pero no compartirlas ni exportarlas desde esa interfaz limitada.

Por qué ocurre (en términos simples)

iOS permite que ciertas funciones de Siri y la hoja de compartir interactúen con aplicaciones desde la pantalla bloqueada. La secuencia explota esa interacción para llegar a la interfaz de contactos y, desde ahí, al selector de fotos. Es un ejemplo de escape de contexto entre componentes que no deberían combinarse en el estado “bloqueado”.

Limitaciones y contraejemplos (cuándo no funciona)

• No desbloquea el iPhone ni permite leer mensajes, correos o archivos protegidos por el sistema.
• En dispositivos con versiones de iOS posteriores a la que contenía el fallo, la secuencia deja de funcionar si Apple aplicó un parche.
• Algunos ajustes de seguridad (Siri desactivada en pantalla bloqueada) impiden por completo la cadena de pasos.
• Si el dispositivo tiene perfiles de gestión o ajustes empresariales que restrinjan la hoja de compartir, la explotación puede fallar.

Medidas recomendadas (rápidas y detalladas)

Recomendación inmediata (más eficaz): Desactiva el acceso a Siri desde la pantalla bloqueada.

Cómo hacerlo (iOS, etiquetas localizadas):

1. Abre Configuración.
2. Ve a Touch ID y código (o Código) e introduce tu código.
3. Bajo Permitir acceso al estar bloqueado, desactiva Siri.

Alternativa y medidas adicionales:

• Actualiza iOS a la versión más reciente disponible. Las actualizaciones contienen parches de seguridad.
• Usa un código más fuerte (alfa-numérico) en lugar de 4 dígitos.
• Considera desactivar funciones de la pantalla bloqueada que no necesites (Vista Hoy, Centro de control, Respuestas y búsquedas rápidas).
• Para entornos corporativos, aplica perfiles de gestión que limiten Siri y la hoja de compartir en dispositivos gestionados.

Checklist rápido (para usuarios)

• Actualizar iOS a la última versión.
• Desactivar Siri en pantalla bloqueada: Configuración → Touch ID y código → Permitir acceso al estar bloqueado → Siri = off.
• Cambiar a un código largo/alfanumérico.
• Revisar las opciones de pantalla bloqueada (Centro de control, Vista Hoy).

Playbook breve para administradores de TI

1. Detectar: identificar dispositivos con iOS 9 en la flota.
2. Mitigar inmediatamente: imponer política que desactive Siri en pantalla bloqueada mediante MDM.
3. Actualizar: priorizar actualización de dispositivos a versiones soportadas de iOS.
4. Comunicar: enviar instrucciones a usuarios finales con pasos claros y checklist.
5. Verificar: auditar configuraciones y confirmar cumplimiento.

Riesgos y mitigaciones

Riesgo: exposición no autorizada de contactos y fotos. Mitigación principal: desactivar acceso de Siri en pantalla bloqueada y actualizar iOS.

Riesgo residual: usuarios que no actualicen. Mitigación: políticas corporativas y educación del usuario sobre la importancia de actualizaciones de seguridad.

Preguntas frecuentes breves

• ¿Se pueden descargar o compartir las fotos desde esa zona? No; la vulnerabilidad solo permite ver las fotos en la interfaz de selección.
• ¿Afecta a versiones posteriores? Apple publica parches: versiones posteriores a iOS 9 suelen corregir este tipo de fallos.

Resumen

Este fallo en iOS 9 mostró que funciones diseñadas para conveniencia (Siri, hoja de compartir) pueden combinarse para crear vectores de acceso desde la pantalla bloqueada. La acción más práctica y rápida es desactivar Siri en la pantalla bloqueada y mantener los dispositivos actualizados. Para organizaciones, aplique políticas MDM para forzar estas configuraciones y priorice las actualizaciones de seguridad.

Notas finales:

• Los sistemas operativos son complejos y las actualizaciones son la principal defensa.
• Si te preocupa ampliamente la seguridad física de un dispositivo, usa códigos fuertes y considera políticas adicionales que limiten funciones desde la pantalla bloqueada.

Resumen ejecutivo: desactiva Siri en la pantalla bloqueada y actualiza iOS.