¿Son seguras las aplicaciones de vault de fotos? Una auditoría de seguridad de 2026
La mayoría de las aplicaciones de vault de fotos para iOS protegen la pantalla, no los archivos. En nuestra auditoría de junio de 2026 de 12 de las aplicaciones de vault más instaladas, solo una nombró un cifrado específico en su listado de la App Store, y 7 de 12 declararon que te rastrean. Las aplicaciones que vale la pena confiar son la minoría que nombra un cifrado real, no posee ninguna clave de tus datos y no recopila nada.
Las aplicaciones de vault de fotos no son uniformemente seguras. En nuestra auditoría de junio de 2026 de 12 de las aplicaciones de vault para iOS más instaladas, 7 de 12 declararon que rastrean a los usuarios en aplicaciones y sitios web, solo 1 nombró un cifrado específico en su listado, y una década de investigación independiente ha encontrado repetidamente aplicaciones que comercializan "cifrado" mientras almacenan archivos en texto claro o detrás de una ofuscación trivial. Las seguras nombran un cifrado real, no requieren cuenta y no poseen ninguna clave de tus datos.
Qué auditamos y qué no probamos
Obtuvimos la etiqueta de privacidad de la App, la política de privacidad publicada y la descripción de la App Store de las principales aplicaciones de vault de fotos y ocultación de fotos en la App Store de Estados Unidos en junio de 2026, clasificadas por posición en la tienda y volumen de valoraciones. Clasificamos cada aplicación según su modelo de seguridad real y cotejamos una década de fallos documentados de aplicaciones de vault, conservando solo los incidentes rastreables a una fuente primaria o corroborada.
Dos limitaciones son importantes. Primero, las etiquetas de privacidad de la App Store son declaradas por los propios desarrolladores; Apple no las audita, por lo que una aplicación podría declarar menos de lo que recopila. Segundo, esta es una revisión de etiquetas, políticas y arquitectura más un registro de incidentes públicos. No realizamos capturas de tráfico de red en tiempo real, por lo que no hacemos ninguna afirmación sobre el tráfico que no observamos personalmente. Todo lo aquí expuesto es verificable con las fuentes listadas al final de esta página.
Hallazgo 1: "Cifrado" es generalmente una palabra, no un hecho verificable
La categoría funciona con la frase "cifrado de grado militar". Por sí sola no significa nada. AES-256 es un estándar público sin grado militar; la frase es marketing que sobrevive porque suena a especificación. Lo que realmente importa es si una aplicación nombra un cifrado, una longitud de clave y un método de derivación de claves que puedas evaluar.
En la auditoría de etiquetas de las 12 aplicaciones, exactamente una nombró un cifrado específico en su descripción de la App Store: Secret Photos KYMS, que dice "AES". Todas las demás dijeron "cifrado de grado militar", "almacenamiento cifrado", "arquitectura de conocimiento cero", o no nombraron ningún cifrado. Al profundizar en los sitios web y las políticas de ocho desarrolladores, solo tres nombraron un cifrado real en algún lugar de sus materiales oficiales: LockMyPix nombra AES-CTR, el vault en la nube opcional de Private Photo Vault nombra AES-256, y Calculator# divulga AES-256 con PBKDF2 a 200.000 iteraciones. Esas tres merecen crédito por mostrar su trabajo.
Hay una distinción que la mayoría de los listados de vault difuminan: ocultar una foto no es cifrarla. Ocultar mueve un archivo a un lugar menos visible. Cifrar lo transforma en texto cifrado que es inútil sin una clave. Una pantalla de PIN que protege una carpeta de archivos ordinarios es una cortina, no una pared. Cualquiera que acceda a los archivos subyacentes a través de una copia de seguridad, una herramienta forense o un comando adb entra directamente.
Hallazgo 2: Las etiquetas de privacidad dicen más que el marketing
Las etiquetas de privacidad de aplicaciones de Apple son la página más honesta de la App Store, porque mentir en ellas constituye una violación de la política. Es donde el texto de marketing y las prácticas reales de datos dejan de coincidir. Nuestra auditoría de junio de 2026 encontró que 7 de las 12 aplicaciones declaran "Datos utilizados para rastrearte", que es el término de Apple para datos compartidos para rastrearte en aplicaciones y sitios web de otras empresas. Solo 2 de 12 tienen la etiqueta "Datos no recopilados" de Apple, la atestación de privacidad más sólida de la tienda: Safe Lock y Secret Photo Vault Lock Photos.
Las dos aplicaciones con mayor valoración del conjunto, Private Photo Vault (Pic Safe) y SV Private Photo Vault PRO, están publicadas por Legendary Software Labs y juntas tienen aproximadamente 1,026 millones de valoraciones combinadas. Ambas rastrean a los usuarios y, según sus propias etiquetas, vinculan tus fotos, vídeos e identificadores de dispositivo a tu identidad. Best Secret Folder tiene la huella "vinculada a ti" más amplia del conjunto: ubicación, información de contacto completa incluyendo nombre, correo electrónico y teléfono, y tus fotos, vídeo y audio, mientras muestra anuncios. Una aplicación de fotos privadas que vincula tus fotos a tu identidad y te rastrea en otras aplicaciones está resolviendo un problema diferente al que la descargaste para resolver.
Las demás aplicaciones de la auditoría cuentan su propia historia. Private Photo Vault (Pic Safe) y SV Private Photo Vault PRO no nombran ningún cifrado en sus listados, usando solo la frase "valor secreto para cifrar/descifrar". Keepsafe describe su cifrado como "de grado militar" sin nombrar ningún cifrado. Privault dice "almacenamiento cifrado". HiddenVault afirma "arquitectura de conocimiento cero" pero no nombra ningún algoritmo. Calculator# no nombra ningún cifrado en su listado de la App Store. Best Secret Folder y Hide It Pro no nombran nada en absoluto. Solo KYMS nombra AES, y solo Encamera es de código abierto, lo que ofrece un tipo diferente de verificabilidad.
Hallazgo 3: Una cuenta y un backend en la nube son una segunda superficie de ataque
El manejo local de archivos puede ser impecable y la aplicación aún puede filtrar datos, porque el backend es una superficie de ataque separada. Las aplicaciones que requieren una cuenta y almacenan tus archivos en sus servidores te piden que confíes en una base de datos que no puedes inspeccionar.
Keepsafe es el ejemplo más claro de esta decisión estructural. Requiere una dirección de correo electrónico antes de poder usarla, almacena el contenido en sus propios servidores, y un análisis de seguridad independiente encontró que la empresa conserva la capacidad de acceder a las fotos de los usuarios. Su política de privacidad también es la única en nuestro conjunto que admite que parte del intercambio de datos puede clasificarse bajo la ley de California como venta o intercambio de tu información personal. Esa es una divulgación que las demás no hicieron, y te dice quién posee la clave. Cuando un proveedor posee la clave de cifrado, una filtración del proveedor es tu filtración. El modelo que evita esto es el cifrado de conocimiento cero, donde el proveedor no puede leer tus datos porque nunca posee la clave.
El ejemplo concreto de lo que sale mal llegó en 2025. Una aplicación separada llamada Photo Vault, publicada por el desarrollador Brain Craft, dejó su base de datos de Firebase sin protección por contraseña. La exposición fue reportada por Cybernews en 2025 y corroborada por The Dead Pixels Society. Expuso direcciones de correo electrónico de usuarios, contraseñas en texto plano, nombres de archivos y carpetas, y el contenido de la función de notas seguras de la aplicación, para una aplicación con aproximadamente 72.000 descargas. Para ser precisos: esta aplicación de Brain Craft no es el mismo producto que Private Photo Vault o Pic Safe de Legendary Software Labs, a pesar del nombre similar. Las fotos en sí no estaban en la base de datos, pero todo lo necesario para atacar las cuentas estaba allí, incluidas contraseñas almacenadas en texto plano, que una aplicación de vault nunca debería poseer en forma legible, y mucho menos exponer.
Hallazgo 4: El SDK publicitario dentro de la aplicación "privada"
Siete de las ocho políticas de privacidad que leímos hacían referencia a publicidad de terceros. El caso más llamativo es NQ Vault, también distribuido como Vault-Hide, cuya política lista seis SDK publicitarios integrados en la aplicación: AdMob, Facebook Audience Network, InMobi, MoPub, AppLovin y Unity. La función de una red publicitaria es construir un perfil del usuario. Incluir seis de ellas dentro de una aplicación cuya premisa principal es la privacidad es la ironía definitoria de la categoría, y está expresada en el texto de la política, no en nuestra especulación.
El patrón más amplio del análisis de políticas de ocho aplicaciones: solo una de las ocho, LockMyPix, se posiciona como libre de anuncios en su modelo principal. Private Photo Vault menciona cookies de terceros y publicidad. Privault lista AdMob y analytics de Umeng. Best Secret Folder hace referencia a anuncios personalizados, Google Analytics y Firebase. Hide It Pro hace referencia a un SDK publicitario de terceros. Las aplicaciones que no tienen nube, no requieren cuenta y nombran un cifrado son la excepción, no el estándar.
Una década de fallos documentados
Nada de esto es nuevo. El patrón de "cifrado" que no es cifrado ha sido documentado repetidamente desde 2014, por investigadores nombrados y estudios revisados por pares. Lo que sigue es el registro de incidentes con niveles de confianza, porque algunos están mejor documentados que otros.
En septiembre de 2014, el investigador forense Jonathan Zdziarski demostró que Private Photo Vault, que entonces reportaba más de 3 millones de usuarios, no aplicaba ningún cifrado más allá del almacenamiento predeterminado de iOS. Las fotos eran recuperables en texto claro en aproximadamente cinco minutos. Este incidente está verificado con una fuente primaria en zdziarski.com.
En abril de 2015, The Register y Slate informaron que NQ Mobile Vault, que comercializaba "cifrado" y tenía más de 10 millones de descargas, aplicaba una operación XOR de un solo byte solo a los primeros 128 bytes de cada archivo. Eso deja 256 posibles claves y el resto de cada archivo en texto plano. Este incidente está verificado.
En noviembre de 2015, el investigador de IOActive Michael Allen probó Private Photo Vault, una aplicación llamada "My Media" y Keepsafe, y vulneró las tres en menos de 30 minutos cada una. Los métodos incluyeron PIN en texto plano almacenados en archivos de lista de propiedades, un servidor web no autenticado ejecutándose en el puerto 5555, y contraseñas de álbumes devueltas en texto plano desde el servidor. Este incidente está verificado.
En 2017, Zhang, Baggili y Breitinger publicaron un estudio revisado por pares en Computers and Security (volumen 70) analizando 18 aplicaciones de vault de Android con aproximadamente 220 millones de descargas combinadas. Seis no cifraban las fotos almacenadas, 7 almacenaban contraseñas en texto claro, y 10 exponían datos ocultos sin acceso root. La investigación ayudó a recuperar evidencia en un caso criminal: 66 imágenes y 18 vídeos. Este estudio está verificado.
En junio de 2019, un investigador que publica como forensicmike1 encontró que Private Photo Vault había añadido cifrado AES mediante RNCryptor, pero la clave maestra estaba almacenada de forma estática en el iOS Keychain y nunca se rotaba cuando el usuario cambiaba su PIN. Un PIN de 4 dígitos hacía que la clave fuera trivialmente descifrable por fuerza bruta. Este incidente está verificado.
En 2022, Ruffin y colegas publicaron un estudio revisado por pares en ACM WPES analizando 20 aplicaciones de vault de Android populares con más de 10 millones de descargas cada una. Solo 5 de 20 intentaron cifrado de archivos. 15 eran completamente recuperables con un simple adb pull, y 7 almacenaban PINs o correos de recuperación en texto claro. Este estudio está verificado.
En febrero de 2025, Kaspersky reportó la campaña SparkCat: malware encontrado en aplicaciones tanto en la App Store como en Google Play que usaba reconocimiento óptico de caracteres en el dispositivo para escanear las bibliotecas de fotos de los usuarios en busca de frases semilla de criptomonedas y capturas de pantalla de contraseñas, y luego exfiltraba las coincidencias. Apple y Google eliminaron las aplicaciones. Fue el primer ladrón de fotos basado en OCR conocido en pasar la revisión de la App Store. Este incidente está verificado.
Dos incidentes adicionales tienen verificación parcial y deben leerse con esa advertencia. Un análisis de 2021 encontró una familia de aplicaciones de vault estilo calculadora en Android que compartían una única clave AES-CBC codificada de forma fija en cada instalación, lo que significa que una clave conocida descifraba los medios de todos los usuarios. Esto está parcialmente verificado, de un único investigador técnicamente específico. Por separado, la aplicación Vault-Hide fue señalada por el Ministerio de Electrónica y Tecnología de la Información de India en 2017 por exfiltrar números de teléfono, números IMEI y listas de aplicaciones instaladas, y supuestamente evadió su eliminación renombrándose. Esto está parcialmente verificado a través de fuentes secundarias de Cybernews y CPO Magazine.
Un dato es notable por su ausencia: no encontramos ningún CVE asignado a ninguna aplicación de vault de fotos de consumo. La divulgación formal más cercana es un aviso de 2018 sobre un producto "Photo Vault" no relacionado con un servidor WiFi no autenticado, calificado con severidad media (CVSS 4.8), sin CVE emitido (seclists.org Full Disclosure, enero de 2018). La categoría no está rastreada formalmente, lo que significa que la mayoría de estos fallos fueron detectados por investigadores independientes fuera de cualquier proceso de divulgación coordinada.
Cómo evaluar realmente una aplicación de vault
No necesitas hacer ingeniería inversa de nada. Cinco preguntas filtran la mayor parte del riesgo. Primero: ¿nombra un cifrado? "AES-256" o "AES-GCM" es una afirmación que puedes verificar. "Grado militar" no lo es. Segundo: ¿requiere una cuenta? Un correo electrónico y una contraseña crean un almacén de credenciales que puede filtrarse, como mostró el incidente de Firebase de Brain Craft. Tercero: si hace copias de seguridad en la nube, ¿quién posee la clave? Si el proveedor puede restablecer tu contraseña y recuperar tus fotos, el proveedor puede leer tus fotos, y también quien vulnere al proveedor.
Cuarto: ¿qué dicen la etiqueta de privacidad de la App y la política? Abre la sección de privacidad de la App. Si te rastrea o vincula tus fotos a tu identidad, créelo. Lee la política para conocer las divulgaciones sobre SDK publicitarios. Quinto: ¿es auditable? "Datos no recopilados", cifrados nombrados con detalles de derivación de claves y código de fuente abierta son señales de que una aplicación espera ser examinada. Las aplicaciones que no pueden verificarse están confiando en que tú no las verifiques.
Dónde encaja Vaultaire en este panorama
Construimos Vaultaire en torno a las clases de fallos específicas documentadas anteriormente, por lo que es justo medirlo frente a ellas en lugar de frente al marketing. Vaultaire deriva tu clave de cifrado AES-256-GCM de un patrón de 5x5 que dibujas; el patrón genera la clave y nunca se almacena, por lo que no hay ningún archivo de contraseñas que pueda filtrarse y nada en un servidor que pueda ser descifrado por fuerza bruta. No hay ninguna cuenta, lo que significa que no hay dirección de correo electrónico ni almacén de credenciales. Eso es exactamente lo que se filtró en el incidente de Brain Craft.
Vaultaire es de conocimiento cero: tus archivos y claves nunca abandonan el dispositivo en forma legible. La copia de seguridad opcional en iCloud se cifra antes de salir de tu teléfono, por lo que nosotros no podemos leerla y tampoco quien vulnere un servidor. No poseemos ninguna clave de tus datos, lo que significa que una filtración de nosotros no es una filtración de ti. Eso no es afirmar que Vaultaire es la única opción segura. Es una afirmación sobre arquitectura: el modelo que evita los fallos documentados es aquel donde el proveedor nunca posee tu clave y nunca recopila tus datos. Algunas otras aplicaciones aciertan en partes de esto, y las nombramos a lo largo de esta auditoría. El objetivo de la auditoría es que ahora puedes verificar cualquier afirmación tú mismo.
Lectura relacionada:
- ¿Son seguras las aplicaciones de vault de fotos? La versión corta
- Qué significa realmente el cifrado AES-256
- El cifrado de conocimiento cero, explicado
- Lo que realmente dicen las políticas de privacidad del almacenamiento de fotos en la nube
- Cómo el cifrado basado en patrones convierte tu patrón en la clave
Fuentes
- Private Photo Vault: Not So Private (Zdziarski, 2014)
- NQ Mobile Vault XOR encryption analysis (The Register, 2015)
- Breaking into and Reverse Engineering iOS Photo Vaults (IOActive, Michael Allen, 2015)
- iOS Photo Vault Still Pwnable in 2019 (forensicmike1, 2019)
- Breaking into the Vault: Privacy, Security, and Forensic Analysis of Android Vault Applications (Zhang, Baggili and Breitinger, Computers and Security vol. 70, 2017)
- Casing the Vault: Security Analysis of Android Vault Applications (Ruffin et al., ACM WPES, 2022)
- SparkCat: OCR-based photo stealer found on App Store and Google Play (Kaspersky Securelist, 2025)
- iOS photo vault app exposes private user data via Firebase (Cybernews, 2025)
- Photo Vault unauthenticated WiFi server disclosure (Full Disclosure, seclists.org, 2018)
- App Privacy Details (Apple App Store policy)
Preguntas frecuentes
¿Son realmente seguras las aplicaciones de vault de fotos?
Depende completamente de la aplicación, y la mayoría son más débiles de lo que parecen. En nuestra auditoría de junio de 2026, 7 de 12 de las aplicaciones de vault para iOS más instaladas declararon que te rastrean, y solo 1 nombró un cifrado específico en su listado. Una década de investigación ha encontrado repetidamente aplicaciones que comercializan "cifrado" mientras almacenan archivos en texto claro o detrás de una ofuscación trivial. Las seguras nombran un cifrado real, no requieren cuenta y no poseen ninguna clave de tus datos.
¿Puede el desarrollador de una aplicación de vault ver mis fotos?
Si la aplicación almacena tus fotos en su propia nube y puede recuperar tu cuenta cuando olvidas tu contraseña, entonces sí: el desarrollador posee la clave de cifrado y puede acceder técnicamente a tus fotos, igual que cualquiera que vulnere los servidores del desarrollador. Un análisis independiente encontró que este es el caso de Keepsafe. Las aplicaciones que son de conocimiento cero o solo locales no pueden ver tus fotos porque nunca poseen la clave.
¿Está realmente cifrado Private Photo Vault (Pic Safe)?
El Cloud Vault opcional de Private Photo Vault nombra AES-256, que es un cifrado real. Pero la aplicación tiene un historial documentado de debilidades: no se encontró cifrado en 2014 (Zdziarski), vulnerado en menos de 30 minutos en 2015 (IOActive), y una clave maestra estática y no rotante encontrada en 2019 (forensicmike1). Su etiqueta actual de privacidad en la App Store también declara que te rastrea y vincula tus fotos a tu identidad.
¿Las aplicaciones de vault de fotos realmente usan cifrado, o solo un PIN?
Muchas usan solo un PIN sobre una carpeta oculta, que no es cifrado. Ocultar mueve un archivo a una ubicación menos visible; el archivo sigue siendo legible por cualquiera que acceda a él a través de una copia de seguridad o herramienta forense. Un estudio revisado por pares de 2022 sobre 20 aplicaciones de vault de Android (Ruffin et al., ACM WPES) encontró que solo 5 intentaban cifrado de archivos real, y 15 eran completamente recuperables con un simple adb pull. El cifrado real transforma el archivo en texto cifrado que requiere una clave.
¿Qué pasa con mis fotos si elimino una aplicación de vault?
Si la aplicación solo ocultó los archivos (sin cifrado), los archivos pueden permanecer en el dispositivo en una ubicación accesible o en copias de seguridad. Si la aplicación cifró los archivos localmente y eliminas la aplicación sin exportarlos, el texto cifrado puede volverse irrecuperable porque la clave desaparece. Si la aplicación usó almacenamiento en la nube, los archivos pueden persistir en los servidores del proveedor. Revisa la documentación de exportación y eliminación de la aplicación antes de desinstalarla.
¿Pueden las herramientas forenses o la policía saltarse el PIN de un vault de fotos?
La protección solo con PIN ofrece poca resistencia a las herramientas de extracción forense. Investigaciones de 2014, 2015, 2017 y 2022 mostraron que los PINs de aplicaciones de vault se eludían en minutos o se recuperaban archivos sin ninguna autenticación. Un PIN de 4 dígitos encontrado en la implementación de 2019 de Private Photo Vault se señaló como trivialmente descifrable por fuerza bruta. El cifrado de archivos real con una función de derivación de claves robusta eleva significativamente el listón; una puerta de PIN sola no lo hace.
¿Vende Keepsafe mis datos?
La política de privacidad de Keepsafe es la única en nuestro conjunto de auditoría que afirma explícitamente que algunos intercambios de datos pueden clasificarse bajo la ley de California como "venta" o "intercambio" de información personal. La política también hace referencia a socios publicitarios. Esa es una divulgación que las demás aplicaciones de nuestro conjunto no hicieron. Si eso constituye una venta depende de la definición legal aplicada, pero la política es la más explícita de la categoría en este punto.
¿Cuál es la diferencia entre ocultar fotos y cifrarlas?
Ocultar mueve un archivo a un lugar menos visible en el dispositivo; el archivo subyacente no cambia y es legible por cualquiera con acceso al almacenamiento, incluidas las herramientas de copia de seguridad o el software forense. Cifrar transforma el archivo en texto cifrado que es ilegible sin la clave correcta. Muchas aplicaciones de vault solo ocultan. Un estudio académico de 2022 (Ruffin et al.) encontró que 15 de 20 aplicaciones de vault de Android populares eran recuperables con un adb pull básico, sin necesidad de descifrado.
¿Es seguro habilitar la copia de seguridad en la nube en una aplicación de vault de fotos?
Solo si la copia de seguridad se cifra antes de salir de tu dispositivo y el proveedor no puede descifrarla. Si el proveedor puede recuperar tus archivos cuando pierdes tu contraseña, la copia de seguridad es legible por el proveedor y queda expuesta en cualquier filtración de servidor. El incidente de Firebase de Brain Craft en 2025 expuso correos electrónicos, contraseñas en texto plano y nombres de carpetas precisamente porque el lado de la nube no tenía protección. Busca arquitectura de conocimiento cero con cifrado antes de la carga.
¿Qué aplicación de vault de fotos no requiere cuenta ni acceso a internet?
Varias aplicaciones funcionan completamente sin conexión y sin cuenta. En nuestra auditoría, dos tenían la etiqueta "Datos no recopilados" de Apple: Safe Lock y Secret Photo Vault Lock Photos. Vaultaire no requiere ninguna cuenta, dirección de correo electrónico ni conexión de red para cifrar y almacenar archivos. No requerir ninguna cuenta elimina por completo la superficie de ataque del almacén de credenciales, que es exactamente la clase de exposición que demostró el incidente de Firebase de Brain Craft en 2025.