Apple, Mac, iPhone, iPad, Apple Watch. Tutoriales, Soporte, Noticias, Revisiones Apple, Mac, iPhone, iPad, Apple Watch. Tutoriales, Soporte, Noticias, Revisiones
© Copyright 2020 Faq-mac.
AppleSeguridad

¿Qué es una mejora de seguridad en segundo plano y cómo funciona?

19 marzo, 20267 Minutos de lectura

Hemos pedido permiso a Howard Oakley (¡Gracias!) que nos de permiso para traducir el artículo de su excelso blog Eclectic Light Co para ayudarnos a entender qué son estas actualizaciones de seguridad que ahora publica Apple y que se instalan en segundo plano. Es más técnico de lo que solemos publicar pero esperamos que os sea útil para entender el cómo y por qué de estas actualizaciones.

Desde la introducción del Volumen de Sistema Firmado en macOS Big Sur, la gran mayoría de macOS ha estado fuertemente protegido. Tan fuerte que aplicar el parche de seguridad más pequeño ha requerido toda la fuerza de una actualización de macOS. Hay momentos en los que algo más ligero permite a Apple propagar parches urgentes de forma rápida y eficiente, y eso es lo que hace una mejora de seguridad en segundo plano (Background Security Improvement) o BSI.

Esto se configuró cuando macOS Monterey introdujo cryptexes (Los cryptexes en macOS son archivos sellados criptográficamente, introducidos en macOS Ventura, que almacenan componentes críticos del sistema y aplicaciones como Safari. Situados en el volumen de prearranque (/System/Cryptexes/), permiten actualizar componentes del sistema de forma segura y separada del núcleo del sistema operativo) para contener Safari, su biblioteca de soporte WebKit y las grandes cachés de dyld (La 
dyld shared cache (caché compartida de dyld) es un archivo esencial en macOS e iOS que almacena cientos de bibliotecas del sistema preenlazadas. Mejora drásticamente la velocidad de inicio de aplicaciones y del sistema al evitar búsquedas individuales de archivos. Ocupa varios GB, ubicándose en /System/Library/dyld/, y no debe eliminarse) para soporte general en Frameworks. Los Cryptexes son imágenes de disco criptográficamente selladas que no se montan como otros volúmenes, sino que se injertan en ubicaciones arbitrarias en el sistema de archivos. En Ventura se utilizaron para Respuestas Rápidas de Seguridad (Rapid Security Response -RSR), en muchos sentidos, indistinguibles de los BSI.

El primer BSI de esta semana para macOS 26.3.1 es un buen ejemplo: corrige una vulnerabilidad grave en WebKit. En lugar de integrarla en una actualización completa a 26.3.2, como solo requiere cambios en el cryptex que contiene Safari y WebKit, este BSI intercambia el cryptex de la aplicación existente y lo reemplaza por uno parcheado. Para aquellos que no quieren instalar los BSI, esas mismas vulnerabilidades deben corregirse en el siguiente conjunto de actualizaciones de seguridad para macOS.

Controles

Mira en la configuración de la actualización de software, y no verás ninguna mención de ningún BSI, y eso afirmará que tu Mac está actualizado, aunque no lo esté.

El BSI en iOS

Los BSI se controlan en su sección que se enumera cerca del pie de la configuración de Privacidad y Seguridad > Mejoras rápidas de la seguridad. Si deseas que tu Mac te ofrezca BSI cuando estén disponibles, primero debes habilitar la instalación automática. A pesar de esas palabras, los BSI no parecen instalarse para nada automáticamente, y se te deberían ofrecer los disponibles para la versión instalada de macOS. Cuando hayas elegido descargar e instalar uno y autenticarte, verás un spinner de progreso en lugar de una barra.

Tan pronto como se complete la descarga y la preparación, se deben dar unos segundos antes de que el Mac se reinicie para completar la instalación. Todo esto es muy breve, pero una vez que se haya autenticado para iniciar el proceso, se ejecutará hasta completarse automáticamente.

Una vez que el Mac se haya reiniciado, conserva la opción de eliminar cualquier BSI y volver a un cryptex sin parchear. Para ver eso, haz clic en el botón i Info a la derecha.

Si decides que quieres eliminar el BSI, tendrás que reiniciar tu Mac.

Problemas

Si sabes que hay un BSI disponible, pero la configuración de Privacidad y Seguridad parece que no lo puede encontrar, algo que he visto que pasa cuando usas máquinas virtuales, prueba a ejecutar SilentKnight. Aunque los BSI no están controlados en la actualización de software, todavía usan el mismo sistema de actualización de software utilizado por SilentKnight. Normalmente no deberías intentar instalar BSIs usando SilentKnight, ya que la instalación fallará. Sin embargo, puedes convertir esto en una ventaja cuando te cuesta encontrar el BSI que quieres instalar.

Una vez que SilentKnight se haya descargado y no hayas podido instalar el BSI, te debería aparecer una notificacion de ese fallo. Reinicia el Mac, dále un par de minutos para que se asiente. una vez que hayas vuelto a iniciar sesión y vuelvas a abrir la sección BSI en la configuración de Privacidad y Seguridad. El BSI descargado ahora debería estar disponible, y ni siquiera debería necesitar ser descargado.

Si cree que un BSI ha causado otro problema, como la inestabilidad en Safari, usa el botón i Info para eliminar ese BSI.

Instalar un BSI hace cosas extrañas con la versión de macOS y los números de compilación, y esos pueden romper scripts y posiblemente algunas aplicaciones. Mientras que ProcessInfo.processInfo.operatingSystemVersion no contiene un campo para el BSI, ProcessInfo.processInfo.operationingSystemVersionString devuelve una descripción de la versión completa que incluye la denominación BSI con el número de compilación extendido. En Terminal, sw_vers -productVersion devuelve el número de versión regular sin BSI, mientras que sw_vers -productVersionExtra devuelve la designación BSI sola.

Actualmente, SilentKnight y Skint ignoran los BSI, y no te informarán de si podrías tener uno instalado, excepto al enumerarlo como una instalación disponible, ni comprobarán si el Mac está actualizado con el último BSI. La experiencia de los RSR en Ventura muestra que tratar de rastrear actualizaciones ligeras como RSR o BSI solo va a perjudicar a aquellos que no quieren instalarlas, y como pueden cambiar en un corto período, son difíciles de rastrear de manera confiable. SilentKnight informa de la versión completa y el número de compilación, y SystHist enumera los detalles de todos los BSI que Mac ha instalado.

Limitaciones

Al igual que los RSR de Ventura, los BSI solo pueden funcionar para una gama limitada de parches. Si una vulnerabilidad necesita una solución fuera de Safari, WebKit y las cachés de dyld, entonces requerirá una actualización completa de macOS para solucionarla. Es probable que solo se proporcionen BSI para la versión actual de la última versión principal de macOS.

Desde su primera cuenta de RSR, Apple ha afirmado que algunos RSR y BSI no deberían requerir un reinicio para aplicar sus parches. Sin embargo, cada RSR y BSI hasta la fecha ha tenido que completarse reiniciando ese Mac, lo cual es ligeramente perturbador y no tan ligero como nos gustaría.

Si desactivas la instalación automática en la sección BSI de la configuración de privacidad y seguridad, tu Mac no sabrá de la existencia ni tendrá acceso a ningún BSI.

Bajo el capó

A pesar de que su control forma parte de la configuración de Privacidad y Seguridad, los BSI se gestionan como todos los demás macOS y actualizaciones relacionadas por softwareupdated. Lo más notable de ellos es su velocidad de descarga, preparación e instalación en comparación con las actualizaciones de macOS. Desde la detección de un nuevo BSI hasta volver a iniciar sesión en el Mac reiniciado puedes tardar poco más de cinco minutos.

El término interno de Apple para los BSI es el mismo que se usa para los RSR, Splat.También te encontrarás con Semi-splat, que debería ser un estado transitorio en el que la versión de restauración de Splat es diferente de la versión de restauración de Cryptex1. Eso normalmente se rectifica después del reinicio.

Softwareupdated comprueba específicamente para BSIs escaneando el catálogo del servidor de actualización en busca de actualizaciones de Splat. En este caso, para una aplicación cryptex, el tamaño de descarga se da como 214 MB. Hay una breve fase previa al vuelo, seguida de su descarga. Aunque no se muestra ningún indicador de progreso en la configuración de Privacidad y Seguridad, softwareupdated registra el progreso, pero utiliza cifras similares para una actualización completa de macOS. Debajo de ellos, la preparación de la actualización se establece en un progreso del 60%.

La aplicación de la actualización tarda alrededor de 2,5 segundos, en cuya etapa softwareupdated informa que Semi-splat está activo debido a versiones de restauración desiguales, y se comprueban los objetos de retroceso.

Una vez que el Mac se ha reiniciado, las rutas de la lista de propiedades se comprueban para seis versiones diferentes de Splat, lo que permite rectificar las versiones de restauración y Semi-splat ya no está activo. Se realiza una breve purga de los activos de actualización, y el software actualizado comprueba una vez más cualquier actualización disponible.

¿Es un BSI solo un RSR disfrazado?

Aparte del movimiento de su control de la actualización de software a la configuración de privacidad y seguridad, parece haber pocas o ninguna diferencia entre ellos. Esto incluso se refleja en la numeración de la versión. La instalación del primer RSR para macOS 13.3.1 lo llevó a la versión 13.3.1 (a), con un número de compilación de 22E772610a. Este primer BSI para macOS 26.3.1 lo lleva a la versión 26.3.1 (a), con un número de compilación de 25D771280a.

Sin embargo, lo más revelador son las cuentas de RSR y BSIs dadas en la Guía de Seguridad de la Plataforma de Appleque son casi idénticas palabra por palabra, aparte de sus nombres. Parece muy probable que un BSI sea un RSR renombrado en un intento de pasar de la pérdida de confianza en los RSR después de errores desafortunados hace casi tres años.

Puntos clave

  • Si estás ejecutando la versión actual de la última versión principal de macOS, los BSI proporcionan correcciones ligeras para algunas vulnerabilidades, incluidas las de Safari y WebKit.
  • Habílítalos en la configuración de Privacidad y Seguridad, en su sección al pie. Si no están habilitados allí, no se te ofrecerán en absoluto.
  • Controla su instalación en esa sección. Una vez que hayas aceptado instalar uno y se haya autenticado, es probable que tu Mac se reinicie automáticamente poco después de que se haya descargado el BSI.
  • Elimina y revierte un BSI problemático usando el botón ⓘ Info allí.

Documentación de Apple

Nota de soporte sobre BSIs
Lista de BSI por fecha
Notas de la versión de seguridad para BSI

Aunque la versión en inglés estadounidense de la Guía de Seguridad de la Plataforma de Apple ha reemplazado su sección sobre RSR con una cuenta casi idéntica de BSI, la mayoría de las otras versiones localizadas de esa guía todavía contienen la versión anterior de RSR.

Artículo anterior Apple lanza una actualización de seguridad en segundo plano para macOS Tahoe 26.3.1, iOS 26.3.1 y iPadOS 26.3.1
Alf

Propietario de www.faq-mac.com.

Deja una respuesta

Artículos relacionados

AppleLa columna de AlfmacOS

Mapas de Apple tendrá anuncios

17 abril, 2026
AppleApple en la empresa

Apple lanza (otra vez) una plataforma ‘Apple Business’

8 abril, 2026
Apple

La Apple Store de Paseo de Gracia en Barcelona reabre en un mes

7 abril, 2026
anunciosApple

‘Lil’ Finder Guy’ de Apple protagoniza vídeos de consejos para Mac

6 abril, 2026