Hay varias utilidades que puedes usar en tu Mac para protegerlo en el arranque. Aquí te mostramos cómo usarlos para mantener tu Mac y tus datos seguros.
La seguridad informática es un tema importante en el mundo digital de hoy en día y la mayoría de los dispositivos electrónicos están en riesgo en mayor o menor grado.
Apple ha hecho todo lo posible para que sus plataformas sean seguras, pero todavía hay formas en que los atacantes pueden entrar, robar datos y comprometer los sistemas de Apple.
Siempre ten en cuenta que no existe la seguridad perfecta.
Lo mejor que puedes hacer es minimizar las vías de ataque de un dispositivo o sistema para que sea lo más difícil posible para un actor de amenazas acceder a los sistemas.
Desde el principio, Apple ha hecho que macOS sea muy seguro. Es uno de los sistemas operativos más seguros del mundo.
Los dispositivos iOS y tvOS son aún más seguros, ya que solo pueden cargar software desde la App Store supervisada por Apple (ahora en Europa ya no). Es decir, a menos que la seguridad de los dispositivos se eluda mediante el uso de software ilegal de jailbreak.
Índice
Vectores de inicio
Uno de los puntos más vulnerables para un ataque a un dispositivo informático es cuando el dispositivo se arranca por primera vez.
La mayoría de los ordenadores, incluidos los teléfonos inteligentes y las tabletas, pasan por un proceso durante el encendido conocido como arranque. Durante este proceso, el sistema operativo aún no se ha cargado, y se está ejecutando muy poco software en el dispositivo.
En este punto, un atacante puede realizar varios ataques para eludir el sistema operativo. También podrían instalar software malicioso como virus, troyanos y firmware para permitir que se ejecute el código personalizado, o incluso para dañar el dispositivo.
En los dispositivos iOS más nuevos, Apple resuelve este problema con el Enclave seguro o un chip de seguridad T2.
El Enclave seguro es un área protegida de hardware en el dispositivo que utiliza tanto hardware como cifrado para proteger el dispositivo.
Los Mac no son tan seguros como los dispositivos iOS por razones históricas, por lo que los actores de amenazas pueden instalar software en Macs anteriores, lo que puede comprometer su seguridad.
Los Mac posteriores que contienen CPU Intel incluyen un chip de seguridad T2 para evitar estos problemas. Los Macs con Apple Silicon basados en M2 y posteriores tienen el Secure Enclave integrado.
El dispositivo de almacenamiento de un Mac que contiene un chip T2 está cifrado con claves vinculadas a su hardware para proporcionar niveles adicionales de seguridad.
Esto significa que recuperar archivos perdidos o dañados en un Mac basado en T2 es difícil. Cualquier utilidad que intente recuperar un volumen de almacenamiento cifrado debe saber cómo usar las claves seguras vinculadas al hardware del Mac.
Eso es algo sobre lo que Apple no publica documentación por razones obvias.
En los Mac de Apple Silicon, todos los volúmenes de disco de inicio de macOS están cifrados. Apple los llama volúmenes de sistema firmados.
Los Mac con chip de Apple no ejecutarán ningún archivo del sistema en volúmenes de sistema firmados que no tengan una firma criptográfica válida de Apple.
Esto hace que sea más difícil manipular los archivos del sistema de macOS y seguir ejecutándolos en Macs Apple Silicon.
El disco de arranque
Sin embargo, uno de los mayores vectores de ataque en los Mac es el propio disco de inicio.
Cuando tu Mac se inicia, primero carga un poco de firmware, la ROM de arranque, para encender todos sus sistemas internos. Luego ejecuta algo de firmware para inicializar cosas, como la pantalla y la red.
La mayor parte de este código está contenido en el hardware del propio Mac.
A continuación, la ROM de arranque de Mac se entrega a dos piezas más de firmware: LLB y iBoot.
iBoot en realidad tiene dos partes, y si la segunda parte confirma que todo está bien, busca un dispositivo de almacenamiento interno o conectado para cargar el núcleo de macOS.
Aquí es donde pueden surgir los problemas de seguridad.
Tal vez el mayor riesgo de seguridad durante el arranque es el hecho de que se pueden conectar dispositivos de almacenamiento adicionales a un Mac a voluntad, a través de los puertos USB, Thunderbolt o de red.
Los volúmenes del sistema firmados garantizan que solo se puedan arrancar versiones válidas de macOS. Pero todavía existe la posibilidad de que los actores de amenazas inyecten código malicioso en este momento.
Pero siempre ten en cuenta que, a menos que la secuencia de inicio de tu Mac esté protegida, cualquier actor de amenazas puede simplemente conectar un dispositivo externo a él, reiniciar el Mac y forzarlo a arrancar en ese dispositivo.
Hay formas de proteger con contraseña el disco de inicio y el Mac en general, que se discutirán en un momento.
Una vez arrancado en un dispositivo externo, los actores pueden copiar y robar archivos, plantar código malicioso en tu Mac e incluso usarlo como un terminal remoto para llevar a cabo una guerra cibernética a través de Internet.
A muchas empresas, incluida Apple, les han robado secretos comerciales usando el método de copiar archivos a dispositivos externos.
Incluso los secretos del proyecto de automóviles de Apple fueron robados de esta manera.
Asegurando tu Mac
Hay varias formas de proteger tu Mac. Usando el software integrado de Apple, puedes:
- Utilizar la Utilidad de seguridad de arranque
- Utilizar arranque seguro y arranque externo
- No permitir el arranque desde dispositivos externos
- Proteger tu Mac con contraseña en el arranque
- Restringir usuarios y contraseñas de inicio de sesión
- Proteger con contraseña uno o más dispositivos de almacenamiento
- Arrancar en modo seguro
- Usar el modo de bloqueo
- Bloquear en remoto un Mac usando MDM
La Utilidad de Seguridad de arranque es una aplicación que Apple agregó a macOS a partir de los Mac que incluyen un chip T2 Security y modelos posteriores.
En Macs con o sin chip T2, puedes establecer una contraseña de firmware, si el Mac la admite.
Una contraseña de firmware detiene el proceso de arranque y solicita al usuario una contraseña antes de cargar el sistema operativo.
Usando la Utilidad de seguridad de arranque puedes establecer una contraseña de firmware, habilitar el arranque seguro o activar/desactivar el arranque externo. Las dos últimas opciones requieren un chip T2.
Para ejecutar la Utilidad de seguridad de arranque en un Mac Intel, enciende tu Mac y mantén pulsado Opción + Comando + R en el teclado. Esto entra en el modo de recuperación de macOS.
Recuperación de macOS es una aplicación especial que vive en el firmware de tu Mac y permite acceder a partes de macOS como el instalador, Utilidad de Discos, Terminal y Utilidad de seguridad de arranque.
Cuando mantienes pulsada la tecla Opción + Comando + R en el teclado, el gestor de arranque del Mac desvía el arranque a la recuperación de macOS en lugar de a la copia de macOS en tu disco de arranque.
Una vez en el modo Recuperación de macOS, no puedes hacer nada más que ejecutar uno de los programas disponibles, o Cerrar o Reiniciar.
En el. modo recuperación, introduce tu contraseña de administrador de usuario y, a continuación, elige Utilidades->Utilidad de seguridad de arranque en la barra de menús.
En la Utilidad de seguridad de arranque, puedes establecer una contraseña de firmware, establecer el nivel de seguridad que se utilizará en el arranque (Arranque seguro) y establecer si se permite o no el arranque desde medios externos (Arranque externo).
La opción de seguridad completa en la utilidad de seguridad de inicio que hace que el firmware del Mac verifique de forma remota la versión instalada de macOS poniéndose en contacto con los servidores de Apple.
Por lo tanto, necesitarás una conexión de red si decides establecer esa opción.
También puedes desactivar el arranque seguro por completo, permitiendo que cualquier versión instalada de macOS arranque.
Mac con Apple Silicon
En los Mac con Apple Silicon, el proceso es ligeramente diferente.
Al arrancar en un Mac Apple Silicon, mantén pulsado el botón de encendido del Mac hasta que aparezca “Cargar opciones de inicio”.
Haz clic en Opciones y, a continuación, haz clic en Continuar. A continuación, selecciona un disco de inicio y haz clic en Siguiente.
Introduce una contraseña de administrador y, a continuación, haz clic en Continuar.
En la aplicación de recuperación, elige Utilidades->Utilidad de seguridad de arranque. A continuación, selecciona el sistema que deseas utilizar para establecer la política de seguridad.
Si el volumen de almacenamiento seleccionado tiene FileVault activado, primero tendrás que desbloquearlo introduciendo su contraseña.
Una vez en la sección Política de seguridad de la utilidad de seguridad de arranque, solo tienes dos opciones: seguridad completa o seguridad reducida.
Seguridad completa solo permite que se ejecute tu versión actual de macOS. Esto también requiere una conexión de red.
Seguridad reducida permite que cualquier versión de confianza y firmada de macOS se ejecute si el Mac lo admite.
En Seguridad reducida, también puedes establecer opciones para permitir y administrar extensiones de núcleo heredadas, si deseas permitir que se ejecuten.
Una vez que hayas configurado todas las opciones que quieras, haz clic en Aceptar y luego reinicia el Mac. Los cambios no surten efecto hasta que se reinicia.
Contraseñas de inicio de sesión de usuario
Las contraseñas de inicio de sesión de los usuarios son otro riesgo para la seguridad.
De forma predeterminada, el instalador y la aplicación de configuración de macOS requieren que un usuario introduzca un nombre de usuario y una contraseña cuando se configura un Mac por primera vez.
Pero suponiendo que el usuario en cuestión sea un usuario administrador, es posible desactivar el inicio de sesión del usuario por completo en la configuración del sistema al no requerir una contraseña en el inicio de sesión del usuario.
Hacerlo es totalmente inseguro, ya que el Mac arrancará en el Finder después de encenderlo sin ninguna intervención.
Por lo tanto, siempre debes exigir que se establezcan las contraseñas de usuario para todos los usuarios.
En Configuración del sistema->Usuarios y grupos, también es posible activar “Iniciar sesión automáticamente como” y configurarlo para que el Mac inicie sesión como cualquier usuario que tengas configurado en la máquina.
En Usuarios y grupos, también se puede habilitar los usuarios invitados, que no requieren una contraseña para iniciar sesión.
Si te encuentras en un entorno que utiliza Active Directory (AD) para administrar los usuarios, puedes permitir que los usuarios inicien sesión agregando sus credenciales de AD almacenadas en un servidor AD (o en el servicio en la nube de ID de entrada de Microsoft).
También puedes abrir la aplicación de utilidad de directorio oculta de macOS desde este panel (en el panel Servidor de cuentas de red).
Volúmenes con protección de contraseña
En macOS, también puedes proteger con contraseña los volúmenes de almacenamiento individuales para que no puedan montarse sin que el usuario introduzca una contraseña.
Esto hace que sea mucho más difícil acceder a los archivos en un volumen si el usuario no conoce la contraseña.
Sin embargo, ten en cuenta que para hacer esto, primero debes borrar y cifrar el volumen de almacenamiento utilizando la aplicación de Utilidad de Discos de Apple.
Para ello, primero haz una copia de seguridad de los archivos del volumen para su posterior restauración, luego ejecuta la aplicación Utilidad de Discos de Apple en la carpeta /Aplicaciones/Utilidades.
En Utilidad de Discos, selecciona el volumen que deseas cifrar, haz clic en Borrar en la barra de herramientas, introduce un nombre de volumen, selecciona Mapa de partición GUID y elige un formato de sistema de archivos cifrado en el menú emergente.
Introduce y verifica una contraseña para el volumen cifrado y, a continuación, haz clic en Elegir. Haz clic en Borrar y luego en Listo.
La Utilidad de Discos borrará el volumen, lo cifrará y lo protegerá con la contraseña que has introducido.
La próxima vez que reinicies tu Mac o conectes el dispositivo que contiene el volumen a tu Mac, se te pedirá que introduzcas la contraseña para montarla en el escritorio del Finder.
También puedes cifrar volúmenes en cualquier ventana del Finder en la barra lateral sin borrarlos haciendo clic en ellos con la tecla Control y, a continuación, seleccionando Cifrar en el menú emergente.
Arranque en modo seguro
macOS permite extensiones de kernel heredadas (KEXT), que son componentes de software que pueden ampliar la funcionalidad del kernel de macOS con código personalizado.
En macOS 11 y versiones posteriores, Apple desaprobó los KEXT en favor de las extensiones del sistema, que se consideran más seguras y menos propensas a bloquear macOS si el código no se ejecuta correctamente.
En el momento del arranque, macOS fusiona todos los KEXT en una Colección de Núcleos Auxiliares (AuxKC), y luego ejecuta parte del firmware mencionado anteriormente.
Solo después de que se complete la mayor parte del proceso de arranque del firmware, el AuxKC se carga en el núcleo donde se permite que se ejecuten los KEXT.
Usando el modo seguro en macOS, es posible arrancar en macOS, pero excluir el AuxKC para evitar que se carguen los KEXT.
Para arrancar tu Mac en modo seguro, inicia en el modo de recuperación como se mencionó anteriormente. Cuando selecciones el volumen de almacenamiento que deseas utilizar, mantén pulsada la tecla Mayúsculas y, a continuación, continúa con los pasos enumerados anteriormente.
Cuando tu Mac se reinicie, cargará macOS desde el volumen indicado, pero le dirá a iBoot que no cargue el AuxKC.
Modo de aislamiento
Según Apple, el Modo de aislamiento “ayuda a proteger los dispositivos contra ataques cibernéticos extremadamente raros y altamente sofisticados”.
El modo de bloqueo esencialmente limita las características disponibles en macOS para reducir la superficie de ataque (maneras en las que los atacantes pueden entrar).
El Modo de aislamiento está disponible en macOS Ventura y versiones posteriores.
Cuando el Modo de aislamiento está activado, macOS no incluye todas las funciones que tiene en un funcionamiento normal. El Modo de aislamiento restringe ciertas actividades de red, como los archivos adjuntos en Message y FaceTime, algunas tecnologías web, conexiones de dispositivos y perfiles de configuración.
Consulta la tecnología de Apple para obtener una lista completa de las restricciones del Modo de aislamiento.
Puedes activar el Modo de aislamiento en macOS en Configuración del sistema->Privacidad y seguridad->Modo de aislamiento.
MDM
La tecnología de gestión de dispositivos móviles (MDM – Mobile Device Management) de Apple permite a los administradores del sistema Macintosh bloquear de forma remota un Mac utilizando servidores MDM.
Para usar MDM para bloquear de forma remota un Mac, el Mac debe estar inscrito en MDM en un servidor MDM, y el administrador debe haber establecido las condiciones de MDM bajo las cuales se bloqueará el Mac.
Una vez inscrito en MDM, el bloqueo remoto es controlado por el servidor y el administrador del servidor.
MDM es utilizado por los administradores para desactivar de forma remota los dispositivos Apple que posiblemente se han convertido en amenazas para las redes de una organización.
La seguridad es un tema complejo y hay muchas formas de aumentar la seguridad de tus Mac.
No hemos cubierto la seguridad de FileVault, ni la protección de la integridad del sistema de Mac en este artículo, a la que llegaremos en un artículo futuro.
Gracias Alf! interesantísimo, lo he pasado a papel.
Me alegro de que te haya parecido útil. Como hay cosas que he traducido sin poder comprobarlas, si observas alguna inconsistencia o funciones mal traducidas, no dejes de decírmelo para actualizar el artículo.
Excelente articulo, estoy a la espera de la segunda parte.
No obstante, tengo un par de dudas sobre algunas de las cuestiones que planteas:
Gracias.
Hola Lluis, me alego de que te haya servido. Si quieres saber todo sobre la seguridad de los dispositivos Apple, puedes consultar la guía: https://support.apple.com/es-es/guide/security/sec7a94f7d1e/web