Seguridad Mac. Como evitar accesos no autorizados a nuestro ordenador.

 

firmware-password

Actualmente, el número de portátiles y la movilidad de la gente han aumentado de forma exponencial y con ello el número de robos y pérdidas de dichos equipos.

Sorprendentemente, el aumento de movilidad y exposición a robos y pérdidas de dispositivos, no ha llevado emparejado un aumento similar de la sensibilización ante la necesidad de implementar medidas de seguridad que, como mínimo, dificulten el acceso de los usuarios no autorizados al contenido de nuestros equipos. O dicho de otra manera, la gran mayoría de usuarios sigue usando una configuración con inicio de sesión automático, y no se plantea lo que puede suponer para su privacidad una pérdida o robo del equipo hasta que es demasiado tarde.

En las siguientes líneas vamos a dar a conocer una serie de prácticas que, si bien no pueden evitar un robo o pérdida, si que marcarán una gran diferencia en el momento de dificultar e incluso evitar un intento de acceso no autorizado.

Todas las técnicas que describiremos a continuación se pueden aplicar a cualquier ordenador Apple, aunque son mucho más necesarias en portátiles debido a su mayor exposición a este tipo de riesgo.

Hay que dejar claro antes de empezar que, si alguien tiene mucho interés en acceder a algo en concreto que hay en nuestro mac, va a ser muy difícil evitarlo si el intruso dispone de los conocimientos y/o las herramientas necesarios. Las técnicas que describiremos están enfocadas a dificultar el acceso lo máximo posible y serán efectivas en la gran mayoría de casos.

Evidentemente la primera regla debe ser tener siempre el equipo controlado evitando dejarlo descuidado, minimizando así el riesgo de que caiga en manos inadecuadas.

En segundo lugar dejar claro, por si alguien todavía no es consciente de ello, que la tan extendida costumbre de configurar el mac con inicio de sesión automático para ahorrar unos “preciosos” segundos al inicio, deja al descubierto absolutamente todo el contenido sin ninguna restricción.

Una vez dicho esto vamos a empezar con la parte técnica.

El primer paso debe ser configurar el inicio para que se nos solicite identificarnos antes de acceder.

Para ello disponemos de dos opciones en función de la información que se nos pida para identificarnos en la ventana de log in:

La primera opción consiste en que en dicha ventana se nos presente una lista de usuarios y tengamos que escoger uno e introducir su contraseña para iniciar sesión y acceder al contenido.

OLYMPUS DIGITAL CAMERA

ventana login con lista de usuarios

En la segunda opción se nos presentará una ventana con 2 campos de texto, uno para introducir el nombre de usuario y otro para la contraseña.

figure_2-logging_in_at_the_os_login_window_with_the_current_account_password

ventana de log in sin lista de usuarios

Éste último será el más conveniente ya que en el primero, al mostrar la lista de usuarios, estamos dando la mitad del trabajo hecho ahorrándoselo al intruso.

Esto, aun siendo un buen punto de partida, nos dará un nivel de seguridad muy bajo, que puede ser insuficiente para proteger nuestros datos contra intrusos con unos pocos conocimientos o acceso a un buscador de internet.

Si bien no explicaremos las técnicas precisas para ello, porque no es el objetivo de este post, es posible acceder en unos pocos segundos  a todos los datos de un disco o incluso cambiar la contraseña de acceso sin conocer la actual, simplemente conociendo algunos comandos de inicio y/o disponiendo de un disco usb, desde el que se pueda arrancar una copia de Mac os X.

Como complemento al inicio de sesión no automático, podemos configurar que el ordenador solicite usuario y contraseña para volver del reposo o el salvapantallas.

Para disponer de un nivel más de seguridad Apple pone a nuestro alcance la  utilidad conocida como contraseña de FirmWare. Ésta contraseña evita que un usuario que no dispone de ella, pueda ejecutar comandos de inicio y pueda arrancar el ordenador desde un disco distinto al que hay instalado actualmente.

firmware-password

ventana de solicitud de contraseña de FirmWare

Esta medida dificulta el formateo y uso posterior del ordenador con otro disco duro con lo que en manos inexpertas convierte el mac en un bonito pisapapeles. Como todo en este mundo es posible saltarla, pero para ello se requieren conocimientos que no están al alcance de la mayoría.

En cualquier caso esta técnica no evita que se pueda desmontar el disco duro, montarlo en otra máquina y acceder al contenido.

Para evitar el acceso en un tanto por ciento alto existe el recurso de encriptar el disco o discos de nuestro ordenador. Para ello podemos usar la utilidad FileVault, disponible en preferencias del sistema/seguridad y privacidad, para encriptar el disco de arranque y formatear los discos secundarios con un formato encriptado a través de utilidad de discos.

Hay que tener en cuenta que, si se decide implementar la encriptación de disco vamos a reducir mucho el riesgo potencial de un acceso no autorizado, pero si olvidamos la contraseña y los medios alternativos que pone Apple a nuestro alcance para desencriptar en caso de pérdida de la contraseña, podemos dar todo el contenido del disco por perdido.

Otro tema a tener en cuenta, en caso de optar por la encriptación, es que puede que el mac vaya algo más lento ya que cada vez que lee o escribe datos en el disco duro debe encriptar o desencriptar según corresponda. También es cierto que, en los ordenadores actuales no se aprecia a penas dicha diferencia.

Para terminar con el tema de la encriptación con FileVault, simplemente comentar que al activar esta característica, la ventana de inicio de sesión será algo distinta y no podremos escoger entre mostrar la lista de usuarios o dos campos de texto ya que bajo esta configuración muestra la lista de usuarios como única opción.

Finalmente hablaremos del famoso buscar mi mac. Se trata de la versión para mac de la herramienta que debería servir para localizar, bloquear y borrar un dispositivo a distancia. La intención de esta utilidad es muy buena pero mi opinión basada en mi experiencia con personas que han perdido o les han robado un dispositivo es que sirve de bien poco sobretodo si no va acompañado de las demás técnicas que se han descrito. Una vez más evitaremos hablar de lo sencillo que puede resultar desvincular un mac de icloud antes de se bloquee remotamente. En cualquier caso, como ya se ha mencionado, éste puede ser un buen complemento al resto de políticas descritas en este artículo ya que nunca se sabe si puede ser de utilidad.

Para terminar recordar que el nivel más alto de seguridad nos lo dará una combinación de todas las técnicas descritas a lo largo de esta entrada.

Para más información sobre este u otro tema relacionado con los ordenadores Apple podeis contactarme a través de esta web.

 

 

Anuncios

Acerca de Jordi Taratiel

Asesor técnico en WareWorks desde hace más de cinco años. Especialista en Soluciones a medida para usuarios actuales y futuros de equipos Apple.
Esta entrada fue publicada en Uncategorized. Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s