La seguridad del Mac


La seguridad de un sistema comienza con el establecimiento de privilegios o derechos y la asignación de estos privilegios a ciertos usuarios.

Demos un breve repaso a la seguridad de nuestros ordenadores Mac.

¿Qué son los privilegios?


Los privilegios son los derechos pre asignados sobre la máquina u ordenador a cada grupo o usuario del Mac.

Estos derechos permiten la posibilidad de leer y/o escribir los archivos y carpetas que contiene el ordenador, así como la posibilidad o no de ejecutar ciertas aplicaciones.

Existen carpetas críticas en macOS, estas carpetas son por ejemplo las propias carpetas del sistema operativo macOS, o la de las aplicaciones, las cuales deben estar protegidas a un nivel superior que el resto de carpetas.

Existen aplicaciones que pueden modificar o invalidar totalmente el uso del Mac, incluso formatear la unidad de almacenamiento eliminando el propio sistema macOS.

Dado esto, los motivos por los que existen los denominados privilegios de grupo o usuarios son fáciles de entender, si un usuario de un grupo elimina por error una carpeta de sistema el Mac o formatea la unidad de almacenamiento con la aplicación Utilidad de Discos este dejará de funcionar correctamente.

Del mismo modo si un usuario de un grupo instala una app nociva para el sistema o para los usuarios el resto de usuarios y grupos se verán afectados, al igual que si inocentemente desinstala una aplicación necesaria para el desempeño del equipo o para una funcionalidad necesaria por algún usuario este dejará de poderla llevar a cabo.

Por este motivo los privilegios se reparten en grupos, y los usuarios se encuentran dentro de uno o más grupos de privilegios.

¿Qué es un usuario?


Permíteme que explique qué es esto del usuario y porque más adelante distingo usuarios de Mac y usuarios de Apple.

El usuario, así sin más, es aquel que "usa" algo, de ahí ese clarificador nombre, una persona que utiliza el transporte público para desplazarse será un "usuario del transporte público"

Del mismo modo una persona que utiliza un ordenador será un "usuario de ordenador", pero claro eso sería muy genérico, así que podemos entrar más al detalle dependiendo del tipo de sistema operativo que utilice.

Un usuario de un Mac con macOS debería ser un usuario de macOS, y en parte es así, aunque popularmente se les llama "usuarios de Mac" tal cual, claro que esos Mac que utilizamos son fabricados por Apple, y por ende también podríamos ser designados como "usuarios de Apple", cosa que sería correcta, aunque no tan exacta.

Un usuario de un iPad es también un "usuario de Apple", pero sin embargo a menos que tenga en casa o en el trabajo un ordenador Mac no es un "usuario de Mac".

Como ves, esto de los usuarios es un tema que de alguna forma nos otorga una cierta identidad y características.

Sea como sea, el usuario eres tú, con tu nombre o tu apodo y una clave, además de otros datos que completan una cuenta de usuario y que identifica a una persona en un sistema diferenciándose de otra.

Cabe destacar que el Mac para poder funcionar precisa de unos usuarios ya creados por Apple y no modificables para su correcto funcionamiento.

¿Qué es un grupo?


Los grupos son conjuntos de usuarios asignados a una misma plantilla de privilegios, es decir, comparten el mismo poder y funcionalidad en el Mac.

Hablando de poder o privilegios, entiendelos como que cada uno de los grupos puede tener un nivel para poder hacer o deshacer determinadas acciones en el ordenador.

Por tanto los usuarios de un sistema operativo, como es macOS pertenecen a diferentes tipos, denominados técnicamente grupos, existiendo una serie de grupos de usuarios con unos privilegios determinados ya creados a forma de plantillas.

Tipos de grupos de usuario


Veamos los grupos de usuarios más comunes en macOS a continuación.

Grupo de máximo nivel


En este grupo, llamado "superuser" encontramos un único usuario, el cual no se puede eliminar y ya viene creado por Apple y macOS, es el que tiene máximos derechos sobre cualquier archivo, carpeta o contenido del Mac.

Se trata del usuario denominado "root" o "super usuario"

Grupo de administración


Los usuarios del tipo "admin" o administradores, son usuarios de administración y se les permite un gran poder y control sobre el Mac, no obstante no llegan al nivel del super usuario, pero casi.

A estos usuarios se les permite la creación de carpetas, creación de documentos, así como su modificación y posterior eliminación.

Estas modificaciones de archivos pueden realizarse en diversos lugares de la unidad de almacenamiento aunque no en las carpetas del sistema.

Además se les permite instalar y desinstalar aplicaciones, menos las propias del sistema operativo macOS.

Grupo guest


La palabra inglesa "guest" hace referencia a "invitado", por lo que se trata de los usuarios que tienen menos poder en el Mac, sin embargo pueden acceder y utilizar el ordenador sin la posibilidad de realizar grandes cambios en él.

Podemos tener activado o no el denominado Usuario Invitado, que sería perteneciente al grupo "guests", algo que será especialmente útil si tenemos que permitir que alguien utilice nuestro Mac sin estar nosotros delante.

Bajo este usuario invitado si prestamos a otra persona el ordenador para que realice una acción concreta, nuestra seguridad de datos estará garantizada pues desde una cuenta de usuario invitado no podrá acceder ni ver nuestros documentos de usuario admin.

El usuario principal del ordenador, tu usuario, por ejemplo, debería ser siempre un usuario del grupo de administración.


Creando el usuario del Mac


El usuario en el Mac es uno de los elementos más importantes en el proceso de la puesta en marcha del Mac.

En el caso de que se trate de un ordenador nuevo y nunca hayamos tenido antes un Mac deberemos crear nuestro usuario por primera vez.

Si no se trata de un nuevo usuario podríamos utilizar los datos de nuestro usuario de Apple.

Aquí es donde comienzan las dudas y preguntas entre un usuario de Mac y un usuario de Apple, vamos a tratar de resolver todas ellas.

Usuario de Mac


El usuario de Mac puede ser un usuario local, entiende como local uno que no sincroniza datos con la nube de Apple.

Tras identificarse como un determinado usuario en un ordenador Mac se cargará la configuración y datos concretos de dicho usuario, esta configuración de usuario pueden contener desde preferencias visuales, tales como fondo de pantalla, salvapantallas, tamaños de icono, posición y comportamiento del dock a otros datos como, datos de contactos, correos electrónicos, programas instalados así como carpetas y documentos personales.

Si bien esto de los usuarios locales era mucho más habitual, desde hace unos años casi todos los usuarios de Mac son a la misma vez usuarios de la nube de Apple ya que presentan varias ventajas y casi ninguna desventaja.

Usuario de Apple o iCloud


El usuario de iCloud también permite iniciar utilizar el ordenador como si fuese un usuario de Mac, sin embargo, el usuario de iCloud es aquel que ha creado una cuenta online en los servidores de Apple y que se beneficia de ciertas funcionalidades y servicios de la misma.

Estos servicios tienen dos partes, una gratuita y otra de pago, pudiendo elegir la que a uno más le convenga.

A modo de ejemplo, imagina que tienes un usuario de iCloud y en otro ordenador de Apple tienes sincronizado con la nube de Apple los favoritos de tu navegador así como las claves de diferentes páginas a las que accedes con un usuario propio.

Gracias a que se trata de un usuario iCloud al identificarte en un ordenador Mac se sincronizará todos esos datos existentes en la nube de Apple de forma que puedas trabajar con el navegador de internet y tus favoritos así como los accesos a sitios web con clave de usuario de por medio.

Usuario nuevo o restaurado


Si bien esta definición de usuario nuevo o usuario restaurado no se trata de una clasificación del tipo de usuario esto es algo que sí durante la puesta en marcha del Mac este nos va a cuestionar, me refiero a si queremos restaurar la información de un ordenador anterior de Apple o de un ordenador de Windows.

En el caso de no hacer dicha restauración deberemos crear el denominado un usuario nuevo del ordenador, del Mac.

Obviamente si en el nuevo equipo se restaura una copia de seguridad anterior automáticamente se restaurará el usuario del equipo anterior en el nuevo Mac. Esto sería el denominado usuario restaurado.

Uno o más usuarios en el Mac


Un Mac puede utilizarse por varias personas y que cada una de ellas tenga su propia cuenta de usuario.

Aunque puedan existir varios usuarios en el mismo Mac resulta obvio que no pueden estar utilizando el ordenador más de un usuario de forma simultánea.

Lo de la simultaneidad prohibida es por razones tan simples como obvias, más que nada debido a que no existe hasta la fecha un Mac que utilice dos teclados y dos Trackpad o ratones de forma independiente de forma que los usuarios no interfieran y se molesten en el manejo del ordenador al mismo tiempo.

No hay un límite máximo preestablecido en cuanto al número de usuarios, pero sí que existirá un límite dado por la capacidad del Mac.

Piensa que cada cuenta de usuario ocupa espacio de almacenamiento en la unidad interna ya que se crea un entorno propio y protegido de carpetas de datos como documentos y aplicaciones diferente para cada usuario.

Así que si bien podremos tener un usuario de ordenador creado para cada miembro de la familia, la cifra de usuarios no es infinita, tampoco tiene sentido y a lo sumo siempre será entre uno o cuatro usuarios por lo general.

Si se trata de un Mac destinado a un uso en entornos profesionales, se suelen tener a lo sumo un par o tres de cuentas, la del usuario principal, la de un segundo usuario o trabajador que puede utilizar el ordenador en otro turno y la de un administrador informático que realice el mantenimiento e instalación de programas.

La elección de la clave de usuario


Antes debíamos introducir la clave manualmente en nuestros ordenadores, utilizando el teclado, sin embargo ahora rara vez lo hacemos.

Esto es porque ya son muchos los ordenadores, que como los Mac disponen de lector de huella de usuario.

En el caso del Mac es el llamado Touch ID, por lo que podemos utilizar claves mucho más largas y mucho más complejas, sin necesidad de tener que introducir cada vez que desbloqueemos el dispositivo, con pasar el dedo por el sensor de huellas será suficiente.

La clave de usuario debe ser lo suficientemente robusta como para que no sea fácilmente adivinada en unos cuantos millones de intentos.

Esto de unos cuantos millones de intentos puede parecer una auténtica burrada y es que no crees que nada ni nadie se pase delante del mac intentando clave tras clave hasta dar con ella.

Pero si te digo que esto no lo hace una persona, si no un programa, ¿qué te parece? piensa que el programa es incansable y puede pasarse días, semanas y meses intentando diferentes combinaciones hasta que da con dicha clave de usuario.

Esto es lo que se llama un acceso por fuerza bruta y es algo más habitual de lo que uno puede llegar a pensar, a veces son pequeños programas que se instalan, o subprogramas, que corren en segundo plano mientras tu trabajas con el ordenador y una vez consiguen dar con tu clave la remiten a un servidor externo donde el hacker la recoge.

No es ciencia ficción, sucede.

Por este motivo uno debe replantearse si la clave de usuario que está utilizando en su mac es lo suficientemente fuerte como para resistir un ataque por fuerza bruta durante mucho tiempo.

El concepto fuerte, en cuanto a una clave es que esta sea difícil de adivinar, pero mejor veamos unos ejemplos sobre cómo proteger una clave.

Si tu nombre es Pedro, una clave fácil sería "pedro", si además naciste en el año 2001, una clave casi igual de fácil sería pedro2001.

Por supuesto si vives en Zaragoza, la clave "zaragoza" también será fácil de adivinar, al igual que por ejemplo usar como clave "1234", o "clave" o cualquier palabra que podamos encontrar en un diccionario.

Veamos el porqué son fáciles esas claves, el nombre de usuario es algo que los sistemas operativos visualizan en pantalla, así que son "leíbles" por usuarios y programas, por lo que si utilizas ese tipo de claves tan simples estarías dando parte de la misma, si no toda la clave en el caso de que tu cable sea simplemente "pedro" y el resto de palabras de diccionario son accesibles por un programa.

Pero lo más importante es que partiendo de que se sabe que muchas personas utilizan esa combinación de nombres propios y números, o de palabras de diccionario lo primero que hacen los programas de ataque por fuerza bruta es intentar utilizar como claves en sus millones de intentos es nombres propios y palabras de diccionario.

Para ello tienen acceso a unos completos diccionarios de nombres propios y palabras, comenzando por la letra "a" para acabar por la letra "z", es decir, que probarán como clave "alberto" "andres" "benito" hasta llegar a "zacarías", un trabajo que harán en cuestión de segundos, son máquinas.

Si no logran acceder con ninguno de ellos probarán de forma automatizada a añadir un número progresivo, primero con "alberto1", para seguir por "alberto2" hasta "alberto9999", por supuesto también lo harán con "alberto01", luego con "alberto02".

De no lograrlo comenzarán a utilizar palabras de diccionario, por ejemplo "abalorio" "biblioteca" "pueblo" "zaragoza", a los que posteriormente le añadirán más intentos con números delante y detrás.

Por este motivo es vital que nuestra clave no tenga sentido alguno, no sea un nombre propio, el de una marca, ni ninguna palabra, sea cual sea su idioma.

Siempre será más seguro como clave utilizar at89mmnl13 que atomo13, además si incorporamos variaciones de mayúsculas y minúsculas además de algún símbolo, las posibilidades combinatorias se disparan llegando a resultar casi imposibles ser adivinadas por fuerza bruta.

Por supuesto a mayor longitud más dificultad.

El Touch ID


El Touch ID funciona muy bien, tal y como inicias el Mac tras la restauración de la copia, Apple te pedirá la clave de iCloud, la deberás introducir con el teclado y a partir de ahí configuras el Touch ID.

Una vez configurada y tras pulsar en el botón "Continuar" comenzará el proceso de puesta en marcha del Mac.

En este proceso veremos la famosa pelota de playa durante no menos de un par de minutos, entiende como pelota de playa un icono de una esfera de colores girando mientras el ordenador "piensa"

Algo incómodo en los macOS es que en los formularios de entrada de contraseñas no suelen disponer de la opción de ver lo que has escrito.

Es de suponer que esto Apple lo hace así por seguridad, pero en el caso de que tu contraseña sea especialmente larga o especialmente difícil, cuidado, sin verla es fácil equivocarse.

Si combinas muchas mayúsculas, minúsculas y símbolos puedes introducir algún error, errores que producen pérdidas de tiempo y de paciencia que se solucionarían con tan sólo incluir esa opción, presente en Windows y en casi cualquier sistema operativo moderno.

Podemos configurar el Touch ID desde Ajustes del Sistema > Touch ID y contraseña


Personalizaciones de cada usuario


Como usuario de un ordenador Mac puedes personalizar multitud de cosas relativas a tu usuario, datos personales como nombre, número de teléfono, direcciones de correo postal y electrónico, así como cuentas en redes sociales, perfiles, formas de pago y algunos elementos gráficos representativos de tu usuario, como tu avatar.

Cuando nos referimos a Avatar, queremos decir ese dibujo, a veces estático y otras veces animado que te va a representar como usuario en tu Mac y que puedes elegir entre una galería de divertidos memojis, otra de emojis, o incluso utilizar una fotografía tomada con la cámara.


La sesión


La sesión es un elemento virtual mediante el cual definimos el periodo de tiempo de actividad de un usuario con el ordenador.

Este tiempo se extiende desde que el usuario se identifica en el sistema hasta que él mismo usuario cierra la denominada sesión, o cuando el ordenador entra en reposo tras detectar inactividad del usuario, es decir, que no toca el teclado ni mueva el cursor en pantalla.

Reposo y sesión


Este reposo sea a voluntad o no fuerza que el ordenador apague la pantalla y entre en una especie de inactividad casi total.

Así pues el reposo implica siempre un cierre de sesión, bien sea este forzado por el usuario o tras tiempo de inactividad.

Si dejásemos el ordenador encendido con la sesión abierta cualquier persona que pasase en ese momento por delante del ordenador dispondría de todo el tiempo del mundo para ver nuestros datos, carpetas e informaciones que bien podrían ser de uso estrictamente privado y confidencial.

Que una sesión permanezca abierta es sinónimo de una falta grave de seguridad.

Modificar el cierre de sesión automático


Con el Mac podremos definir en la configuración de Privacidad y seguridad el tiempo en minutos para que la sesión se cierre de forma automática.


Pantalla bloqueada


Podremos definir el comportamiento del bloqueo del Mac, entiende como bloqueo que la misma deje de mostrar información del sistema tras detectar un periodo de inactividad.

Salvapantallas o apagado de la pantalla


El bloqueo puede ser de dos formas, mediante el uso de un salvapantallas o mediante el apagado automático de la pantalla.

El salvapantallas era un elemento ideado para proteger las antiguas pantallas con tecnología CRT, las cuales ante una imagen fija durante largos periodos de tiempo, horas, podían quedar marcadas por dicha imagen fija, así el salvapantallas animado hacía que la pantalla se protegiese.

Esto es algo que en la actualidad, y desde hace ya más de 25 años, no sucede debido a la irrupción de pantallas planas o TFT, aún así los ordenadores conservan esta funcionalidad.

El bloqueo mediante desconexión es doblemente eficaz ya que protege los datos y además ahorra energía.

Periodo de inactividad


Este periodo de inactividad podría estar indicando que ya no estamos utilizando el ordenador y por tanto es inseguro mantener la pantalla abierta, encendida y mostrando datos ya que cualquier otra persona que pase por delante del Mac podría leer lo que aparece en pantalla.

De la misma manera que resulta innecesario también resulta ineficiente desde un punto de vista energético mantener la pantalla encendida mostrando datos cuando el usuario no lo está utilizando, esto es especialmente sensible en ordenadores portátiles ya que la eficiencia energética es la clave para conseguir extender la autonomía del portátil.

Configuración del bloqueo de pantalla




Por estos motivos de seguridad y eficiencia el Mac permite configurar ciertos aspectos del bloqueo de pantalla, veamos las posibilidades.

Por un lado permite definir el tiempo máximo que debe transcurrir entre que no detecta uso, es decir, que el ordenador esté inactivo y que entre en funcionamiento el salvapantallas.

También permite definir el tiempo que transcurre entre la inactividad y que la pantalla se apague, pasando a negro y evitando así el consumo energético de la misma, siendo la pantalla uno de los elementos que más potencia consume en un ordenador.

Toda esta configuración permite el uso de varios escenarios o situaciones diferentes cuando se trata de un ordenador portátil, los tiempos para cuando el ordenador está funcionando con batería y los tiempos de bloqueo para cuando el Mac está enchufado a corriente.

Desde la lógica los tiempos de bloqueo de pantalla cuando funcionamos con batería deberían ser inferiores en tiempo para preservar la autonomía del mismo.

Por último para ambos perfiles de energía permite definir si solicitamos contraseña tras el bloqueo de pantalla o no, esto es algo que habrá que plantearse pero lo normal es establecer la configuración para que se solicite la contraseña de manera inmediata.

Uso de FileVault


En Apple tienen la curiosa costumbre de bautizar algunos aspectos técnicos bajo sonoros, pomposos y a la vez esclarecedores nombres y es que en esto en Apple tienen un departamento de marketing impresionante.

Dentro de estos sonoros nombres el de FileVault cobra especial fuerza ya que permite otorgar a los ordenadores Mac de ese extra de seguridad ante el hurto y el posterior uso de tus datos de usuario.

Se trata de una seguridad superior a una simple contraseña de acceso al Mac, ya que protege los datos aunque logren acceder al interior del Mac sin conocer la contraseña, algo que puede sonar a película pero que en la práctica resultaría tan fácil como volcar todo el contenido de la unidad interna del Mac hacia una unidad externa bien sea de forma física o a través de internet.

Una vez los datos están en esa otra unidad esta se puede conectar a un PC desde donde el hacker puede leer los datos si estos no se encuentran encriptados.

FileVault protege tus datos


Gracias a FileVault tu información personal, documentos, hojas de cálculo, presentaciones, fotografías y cualquier archivo contenido en tu Mac estará más protegida ante los ojos de hackers y ladrones ya que es una prestación que está integrada dentro del sistema operativo macOS y que realiza una función altamente recomendada para la seguridad del equipo. La encriptación de los datos contenidos en él.

Sin conocer la clave de usuario es imposible acceder a la información de un equipo Mac encriptado.

Este potente encriptado utiliza  el método XTS-AES-128 de 256 bits lo que convierte a los datos en prácticamente inexpugnables pues se precisaría de un potencia de cálculo considerable para romper el cifrado y llegar hasta los datos.

Si no encriptas tu Mac con FileVault los datos estarían grabados en la unidad sin estar cifrados, algo que podría hacer que el caso de que ante un hurto alguien pudiese acceder a los datos personales de tu usuario aún sin conocer la clave.

Esto es así porque los datos, archivos e imágenes se encuentran grabados en la unidad de almacenamiento, la cual puede ser accesible arrancando el Mac desde otra unidad, o utilizando tu Mac como si fuese una unidad externa del PC del hacker.

Los archivos, a menos que activemos FileVault se graban de forma plana y accesible en la unidad, mientras que con FileVault estos son encriptados en el momento de ser grabados.

Rendimiento unidades bajo FileVault


Este encriptado restará algo de rendimiento a tu uso diario con el Mac, pero el mismo será prácticamente imperceptible por lo que es una seguridad que deberías tener implementada siempre.

Privacidad de tu ubicación


Desde hace años casi todos los dispositivos inteligentes, sean ordenadores como el Mac, tabletas o teléfonos móviles incorporan chips para el procesado de señales GPS mediante las cuales pueden conocer la ubicación exacta del dispositivo.

Esta ubicación es un arma de doble filo ya que si bien puede servirnos en alguna ocasión para saber donde nos dejamos el ordenador portátil o dispositivo a través de la app de Buscar incorporada en Apple, del mismo modo sirve para que otros puedan conocer nuestra ubicación.

Entre estas otras aplicaciones, también estarían las páginas web que visitamos con nuestro navegador, esto haría más exacto el perfil personal que algunas páginas crean sobre los usuarios que las visitan, una cesión de datos en la que podríamos estar en total desacuerdo.

Por suerte nuestro ordenadores Mac incorporan un apartado en la configuración del sistema mediante el cual podemos conocer qué aplicaciones están utilizando la ubicación, y en el caso de desear desactivar dichos privilegios lo podremos hacer de una forma cómoda y directa.

Para poder acceder a la privacidad de la Localización deberemos abrir la configuración de nuestro Mac mediante el icono de la rueda dentada.

Configuración del Mac > Privacidad y seguridad > Localización

Si entramos al detalle de por ejemplo "Localización" se nos mostrará qué programas tienen otorgados los privilegios para utilizar la localización, lo mismo pasa con la cámara, el acceso al micrófono, etc.

Podemos cancelar totalmente la localización de todas las apps incluida la del propio dispositivo pulsando el primer interruptor, de mayor tamaño que el resto.

Si deseamos perfilar qué aplicaciones y cuáles no deseamos que tengan acceso a nuestra ubicación podremos pulsar el correspondiente interruptor, de menor tamaño al general, mostrados a la derecha de cada nombre de aplicación.