Cuando hablamos de seguridad en los Mac solemos pensar en los peligros de internet y el posible malware que pueda afectar a nuestro ordenador, pero es habitual no plantearse qué pasa cuando alguien malintencionado tiene acceso físico al ordenador.
Recordad que argumentar que "yo no tengo nada que ocultar" es muy cuestionable, ya que no se trata sólo de obtener información de datos bancarios, ni lo que pueda hacer alguien con las fotos de nuestos hijos, sino del peligro que supone que se llegue a suplantar nuestra identidad en un mundo cada vez más interconectado. Del mismo modo que puede ser un mal trago tener que explicar a la policia y vecinos que si alguien ha utilizado nuestra red WIFI para traficar con pornografía infantil es porque no hemos tenido la precaución de protegerla, no podemos ni imaginar lo qué alguien puede llegar a hacer con los datos de nuestras cuentas de correo y de redes sociales.
No se trata de que alguien tenga especial inquina por uno de nosotros, el uso de datos y la suplantación de identidades es un negocio que mueve demasiado dinero como para tomar el asunto a broma.
Entrar en tu ordenador puede ser demasiado fácil.
De entrada voy a obviar los casos perdidos en los que el propietario de un portátil, a pesar de desplazarse con él por lugares públicos lo tiene configurado para un arranque automático. Es más, si ya estás cometiendo la temeridad de tener habilitado el inicio automático y sin contraseña ...no vale la pena que sigas leyendo.
Pero partamos de la base de que no eres un inconsciente y si que es necesario introducir una contraseña para usar tu Mac. Tal vez te creas muy seguro, pero has de saber que si alguien roba tu portátil, o simplemente tiene acceso a tu ordenador en la oficina o en casa, sólo necesita una copia del DVD de instalación para pulsar "C", iniciar con éste, y cambiar la contraseña de los usuarios que quiera con la utilidad incluida en el DVD. Ya solo necesita reiniciar el ordenador con tu nombre de usuario y la nueva contraseña.
Si ese alguien no dispone del DVD de instalación, pero tu Mac tiene puerto Firewire, solo necesita conectar tu Mac a otro portátil con el cable correspondiente, e iniciar tu ordenador en modo disco de destino ("modo Firewire") pulsando "T" para montar el disco duro en su escritorio y tener acceso a todo su contenido. Como vemos, esta característica tan especial y práctica de los ordenadores Apple con puerto Firewire es un arma de doble filo.
Si tu Mac no tiene puerto Firewire y quiere acceder de forma parecida a la anterior, tendrá primero que desmontar el disco duro y montarlo en una caja externa USB. Como en el caso anterior tendá acceso a todo el contenido del disco.
Si mantenemos pulsada la "T" al arrancar, el Mac inicia directamente en modo disco de destino o "modo Firewire".
Aunque Apple ha ido introduciendo cambios para mejorar la seguridad en las diferentes versiones de Mac OS X (...Tiger, Leopard, Snow Leopard) sigue siendo posible que si el intruso tiene unos mínimos conocimientos no necesite nada mas; tan solo ha de iniciar tu Mac en modo de usuario único pulsando simultáneamente las teclas command + S. Desde ese momento tiene acceso con privilegios de usuario root aunque desconozca la contraseña del usuario root. No soy un experto en el tema, pero no acabo de entender porqué Apple permite que ésto sea así, cuando en Linux, por ejemplo, esto es imposible. Y esto es preocupante porque le permite a un malintencionado hacer varias cosas:
- Con las últimas versiones de Mac OS X ya no se puede cambiar la contraseña del usuario root (como si se podía antes), pero si crear un nuevo usuario administrador, acceder como éste y hacer luego lo que te apetezca.
- También podemos cambiar un usuario no administrador de su grupo al grupo de administradores, con lo que ya puede reiniciar con ese usuario y hacer los cambios que quiera con los privilegios necesarios.
- Igualmente se pueden descargar el conjunto de caracteres alfanuméricos del hash del password del usuario root para desencriptarlos más tarde con alguna de las utilidades que existen para ello.
- Tampoco es muy complicado borrar el archivo de configuración completada (applesetupdone) que se genera al finalizar esa primera configuración que hacemos al estrenar equipo. De este modo, cuando reinicie el ordenador aparecerán de nuevo todos los pasos para la configuración del equipo que vemos en un Mac salido de fábrica. Ya solo queda ver el video de bienvenida con música de Moby, elegir el idioma y crear -otra vez- un nuevo usuario administrador. Por supuesto, todos los datos de los usuarios previamente creados siguen ahí.
- Y evidentemente, es posible instalar "malware", ya sean rootkits o un keylogger que espíe lo que tecleamos en el Mac, así como todo lo que se le pase por la cabeza a un intruso habilidoso.
¿Qué podemos hacer para evitar el acceso no autorizado a nuestro Mac?
Para empezar debemos activar la opción que obliga a introducir la contraseña de usuario tras iniciarse el salvapantallas o el reposo. Esto es práctico en ciertos puestos de trabajo, o por ejemplo en una presentación; si debemos alejarnos momentáneamente de nuestro ordenador, podemos activar manualmente el bloqueo, y si nos olvidamos de ello éste se activará automáticamente transcurrido un tiempo prudencial.
También podemos configurar el tiempo de inactividad tras el cual se ha de cerrar automáticamente la sesión de usuario. Esto sin embargo, no funciona siempre ya que ciertas aplicaciones abiertas pueden impedir que se complete el cierre.
Pero podemos ponerle las cosas mucho más difíciles al malvado hacker apagando el ordenador y habiendo establecido previamente una contraseña en el firmware. Esta contraseña bloquea el arranque del ordenador en la misma placa base (motherboard). Esto podemos hacerlo fácilmente con la Utilidad Contraseña Firmware que también encontramos en el DVD de instalación.
Esto impide el arranque en modo de usuario único, pero tiene desventajas en el uso diario y una gran ventaja desde el punto de vista de la seguridad: ya no podremos iniciar desde el DVD de instalación pulsando simplemente "C", ni arrancar en modo Firewire, ni desde el volumen de diagnóstico, ni desde un servidor Netboot, ni tampoco restablecer la RAM de parámetros.
Esto último es interesante, ya que hasta para modelos recientes, existía un procedimiento que consistía en extraer módulos de RAM y resetear parámetros (PRAM y NVRAM) mediante combinación de teclas, con lo cual se eliminaba la contraseña firmware.
Es más, será necesario iniciar pulsando Option (Alt), e introducir el password, para solo entonces poder seleccionar la unidad desde la que arrancar, ya sea el disco de instalación original, un clon de nuestro disco u otra opción.
De este modo ya no se podríá recurrir al modo de usuario único y hacer barbaridades, pero el mayor inconveniente es no poder utilizar esta forma de arranque para reparar el ordenador y utilizar fsck o Applejack. Estamos obligados a llevar con el portátil una copia del DVD de instalación por si surge algún problema y queremos usar Utilidad de Discos o para deshabilitar la contraseña Firmware si fuese necesario. Sólo por esto, algunos usuarios prefieren utilizar esa protección únicamente en ordenadores portátiles, y prescindir de esta medida en el Mac que usan únicamente en casa.
Pero aunque el inicio en modo Firewire queda deshabilitado, esto no impide para nada que se acceda al contenido del disco desmontando éste como veíamos antes.
¿Qué podemos hacer para proteger nuestros archivos, carpetas y datos?
¿Y si alguien consigue el acceso físico a nuestro ordenador e incluso al mismo disco duro?
Lo más sencillo es crear imágenes de disco encriptadas utilizando para ello Utilidad de Discos, como ya explicaba en esta entrada anterior. Doy por supuesto que nunca añadiremos a llaves la contraseña para abrir dichas imagenes automáticamente. Este método es también muy recomendable para nuestros pendrives o "llaveros USB" que podemos perder fácilmente.
Sin embargo esto tiene inconvenientes. El más peligroso es que las imágenes de disco pueden dañarse o corromperse, con lo que perderíamos el contenido íntegro de éstas si no tomamos la precaución de hacer copias de seguridad con regularidad. Por otro lado, no podemos guardar todo en imágenes de disco; nuestro correo por ejemplo, seguiría siendo vulnerable.
¿Y no podemos encriptarlo todo de algún modo?
Absolutamente todo, no: pero si que podemos recurrir a la solución que pone Apple a nuestra disposición y que va incluida en el propio Mac OS X: Filevault. En este enlace Apple explica qué es y cómo se configura FileVault. En resumen se trata de encriptar toda la carpeta de inicio o carpeta "home" de una cuenta de usuario.
El inconveniente es que la encriptación y desencriptación de los datos a medida que abrimos y guardamos archivos, se va haciendo "sobre la marcha", lo cual ralentiza algo el funcionamiento del Mac. Así que, si trabajamos con aplicaciones de edición de vídeo o de imagen tal vez sea mejor guardar los proyectos en la carpeta Compartido o en una unidad externa. Como ocurre en el caso de la contraseña Firmware cabe plantearse si es mejor recurrir a esta medida de seguridad sólo en ordenadores de determinados puestos de trabajo o en portátiles.
A fin de cuentas hay un aspecto desde el cual el Mac es mucho más inseguro que el PC: un ladrón siempre preferirá robar un Macbook a un portátil de otra marca.
Estupendo artículo y muy útil. Muchas gracias
ResponderEliminarEl Mac puede ser un ordenador inhackeable , como?
ResponderEliminar1-activar contraseña firmware
2-cifra las particiones con filevault y utilidad de discos en aes-256 bits
3-las contraseñas deben de usar más de ocho dígitos alfanuméricos y simbólicos
4-pon cuenta en el Mac para icloud
5- desactiva el controlador por rayos infrarrojos
6- pon tu Mac en modo encubierto
si me dicen como desbloquear un Mac con todo eso ya entenderé que sea inseguro . Pero por el momento, eso lo hace acorazado. Sólo los jenius de Apple pueden quitar eso con herramientas propias no disponibles en el mercado