En el reciente juicio por los actos vandálicos en el centro de detención de Prairieland, Texas, agentes del FBI confirmaron que los investigadores pudieron recuperar mensajes cifrados de Signal que el sospechoso había borrado. Incluso después de desinstalar la aplicación, el contenido pudo ser extraído gracias a la base de datos interna de notificaciones del dispositivo.
El caso involucra a varios acusados que lanzaron fuegos artificiales y causaron daños a la propiedad en el centro de detención, incidente durante el cual uno de ellos disparó contra un oficial de policía. El agente del FBI Clark Wiethorn testificó que, aunque la aplicación Signal había sido eliminada, el sistema conservó los mensajes entrantes debido a que las notificaciones se guardan por defecto.
Una brecha de seguridad en la configuración de privacidad
Un activista presente en la sala del tribunal señaló que el iPhone almacena en su memoria interna tanto las notificaciones como las vistas previas que aparecen en la pantalla de bloqueo. Aunque el usuario haya configurado los mensajes de Signal para que se autodestruyan, si el teléfono recibió la notificación, el sistema la conserva en su base de datos subyacente.
La abogada defensora Harmony Schuerman, tras revisar las pruebas, declaró: "Pudieron acceder a estos chats porque el acusado tenía activada la vista previa de las notificaciones. En cuanto una notificación aparece en la pantalla de bloqueo, el dispositivo de Apple la guarda en su almacenamiento interno".
La extracción de pruebas se limitó únicamente a los mensajes recibidos; no se hallaron registros de los mensajes enviados. La investigación revela que el problema radica en la incompatibilidad entre el cifrado de las aplicaciones de mensajería y la forma en que el sistema operativo de Apple gestiona las notificaciones. Independientemente de si el usuario borra la aplicación, si las autoridades tienen acceso físico al dispositivo, el software forense puede recuperar estos datos almacenados.
Signal permite a los usuarios limitar el contenido de las notificaciones en sus ajustes de privacidad, ofreciendo opciones como "mostrar solo el nombre" o "sin nombre ni contenido". Sin embargo, muchos usuarios no son conscientes de que la configuración predeterminada, que muestra el contenido del mensaje, anula la protección de la autodestrucción de la aplicación.
Informes previos ya indicaban que Apple ha entregado miles de registros de notificaciones a petición de las autoridades. El caso de Prairieland confirma que, incluso sin la cooperación directa de Apple, los cuerpos de seguridad pueden obtener pruebas forenses si tienen acceso físico al terminal, aprovechando las copias de seguridad de las notificaciones que el sistema conserva. Actualmente, todos los acusados en este caso han sido declarados culpables.