¿Macs Seguros? Cómo mejorar la seguridad de tu ordenador Apple

¿Quién no recuerda aquellos anuncios famosos de “Hola, soy un Mac. Hola soy un PC”? En ellos se intentaba vender el Mac como un dispositivo más cómodo, más “cool” y sin duda más seguro. Desgraciadamente, nada más lejos de la verdad.

Tanto el chico PC como el chico Mac del anuncio están con el culo al aire.

 

Imagen del anuncio: A la izquierda, un PC (buenas intenciones, pero un poco viejuno) a la derecha, Mac (joven, moderno, cool).

 

 

Cómo mejorar la seguridad de tu Mac

 

¿Cómo te conectas?

Lo primero que deberías hacer es no conectarte a la red usando una cuenta con permisos de administrador. Por supuesto, ésta es la configuración por defecto en todo mac. Antes era necesario para poder programar con Xcode, pero hoy en día ya no es así. basta un usuario mondo lirondo. Por lo tanto, deberías de tener 2 usuarios, uno con permisos de administración (que sólo usas para tareas puntuales, como instalar software en /Applications) y otro para el uso diario.Protege tus datos

Protege tus datos

Otro paso fundamental, es el uso de File Vault, que mantiene todos los datos de tu SSD encriptados. El encriptado y desencriptado se hace por hardware, con lo cual no hay impacto perceptible en el rendimiento, y por lo tanto no hay disculpa para no activarlo.

Sin embargo, si pierdes tu mac o te lo roban, aun existiría la posibilidad de que lo arranquen desde otro dispositivo, tratando tu mac como si fuese un disco duro externo. Si quieres asegurarte de que eso no es posible, existe la posibilidad de ponerle una contraseña al firmware. Esto es un poco arriesgado, porque como pierdas esa contraseña, vas listo. Sin embargo, para ese último problema hay una solución muy fácil que veremos en seguida.

 

Sólo necesitas memorizar 3 contraseñas

Se estima que un usuario promedio, tiene unos 100 servicios online que requieren de contraseña. Lógicamente, es imposible recordar una contraseña segura para cada uno de ellos. Y antes de seguir, si tus contraseñas tienen esta pinta, que sepas que son muy faciles de reventar:

C1mb3lS1bil1N0

Eso no es una contraseña segura. Esta, por el contrario, sí que lo es:

uCjmA2u9Vkzweis#[email protected]]3EUutXG

Lógicamente, no hay Jobs que recuerde ese tipo de contraseña. La buena noticia, es que no tienes que hacerlo. En realidad, sólo necesitas saber 3 contraseñas:

  • La de tu usuario del Mac
  • La de tu usuario Admin del Mac
  • La de 1Password (o herramienta similar)

Todas las demás deberían de estar almacenadas en 1Password. No sólo las contraseñas, sino las respuestas a preguntas de seguridad. Este es un sistema antiguo y poco seguro de confirmar la identidad del usuario, y lamentablemente es especialmente común entre bancos (justo los que deberían tomarse más en serio la seguridad de sus usuarios), al menos en EEUU.

Me refiero a las típicas preguntas del tipo “¿Cómo se llamaba tu profesora de 2º de primaria?” ¡¿Cómo cojones esperarán que alguien se acuerde de eso?! Pues bien, en vez de contestar “María Jesús”, ¿por qué no contestar TBVvYn4;=[8ZMoeTbAA4punNeX7mwQC? ¿Acaso a alguien le importa cómo de verdad se llamaba esa señora? Guarda también esas respuestas en 1Password.

 

 

El eslabón más débil

Hay un componente de tu vida online que debe de ser objeto de especial cuidado, porque como ese caiga, todo lo demás se viene abajo como un castillo de naipes. Esa es tu cuenta de correo, muy especialmente si como el 90% de la Humanidad, es una cuenta de gmail.

Este es el elemento clave alrededor del cual gira toda tu vida. Supongamos que alguien logra hacerse con tu contraseña.

¿Qué se puede averiguar? TODO. Veamos un ejemplo:

Cada vez que buscas algo en Google y sigues algún enlace en él, o consumes cualquier medio en algunos de sus sitios asociados (como youtube), eso queda registrado por nuestros amigos de Mountain View. Date un paseo por Google History y es probable que no te guste demasiado lo que veas. Hazlo ahora mismo y sigue leyendo.

 

¿En esa lista que aparece en tu historial de Google hay un banco? El siguiente paso es evidente: ir al sitio del banco e informar que se te ha “olvidado” tu contraseña y que tengan la amabilidad de enviártela a la cuenta de email que está ya comprometida.

Como ves, las posibilidades son infinitas. Ahora bien, todo depende de lo difícil que sea petar un cuenta de Gmail. ¿Cómo de dificil es? Sorprendentemente fácil.

Kali Linux, Hydra y la madre que los parió

Conviene recordar de Gmail no es solo un cliente web de email, también es un servidor que tiene por defecto activados los protocolos de IMAP y POP. Por lo tanto, no sería demasiado dificil hacer un script, que sabiendo la dirección que vamos a intentar penetrar, someta al servidor a un ataque por fuerza bruta. Si como en la mayoría de los casos, la contraseña es de andar por casa, tu vida completa pronto estará en manos del atacante.

¿Lo mejor de todo? No hace falta crear ese script ni tener tampo grandes conocimientos. Las herramientas ya existen e incluso hay una distro de Linux que te las trae todas, listas para usar. En concreto, la herramienta Hydra está especialmente diseñada para ataques de fuerza bruta.

 

 

El verdadero culpable

A estas alturas es facil empezar a cagarse en los moríos de los crackers o incluso de los autores de Hydra y demás herramientas, pero ¿sabes quienes son los responsables por esta situación?

TU y YO.

Somos los desarrolladores quienes descuidamos por completo la seguirdad de nuestros productos. Somos los gañanes que creamos servidores que no detectan y bloquean intentos excesivos de login. Somos los irresponsables que ante un error de login, ponemos un mensaje de error diciendo que “La clave xyz no corresponde a la cuenta [email protected]. Ahora el atacante sabe que la cuenta existe.

Es la desidia colectiva de la cual somos culpables, la falta de reconocimiento de que somos depositarios de los datos y la confianza de nuestros usuarios, que causa esta situación lamentable de la cual todos somos víctimas.

En futuros posts, hablaremos de cyber seguridad y de programación segura. Eso sí, el próximo sábado volveremos a Swift y terminaremos el repaso a los tipos avanzados en Swift.

Mientras tanto, en esta semana haz las siguientes promesas a Santa Tecla:

  1. Deja ya de usar Google para tus búsquedas. Usa DuckDuckGo, que jamás hace tracking de sus usuarios.
  2. No hagas login en ninguna parte con tu id de Google o Facebook. Usa logins únicos y guárdalos en 1Password o LastPass.
  3. Usa una VPN como IPVanish para que tu privacidad no esté tan expuesta.
  4. Pon hoy mismo una contraseña segura en tu email y activa el login en dos pasos (con código por sms).

Todos dormiremos más tranquilos ¡Hasta la próxima!

Fernando Rodriguez

Acerca de Fernando Rodríguez Romero

Co-Founder & Trainer at @Keepcoding_es. Advanced iOS instructor at @bignerdranch. Previous life as pythonista and smalltalker. Coder, Speaker, Blogger, Dad&Cook

Share this:

2 comments, add yours.

Manuel Conde

Excelentes consejos… que sirven igualmente para Windows, sobre todo el primero.
Yo ya seguía esos consejos desde hace años, sobre todo el gestor de contraseñas que es, yo creo, el mejor de todos, así, si roban tu contraseña de un servicio, no tendrán acceso a los demás.

Unos consejos muy interesantes, aunque al final de qué sirve encriptar el disco duro si la gran mayoría de usuarios guardamos los datos en la nube, iCloud, Dropbox, etc., he incluso usamos servicios muy prácticos para trabajo colaborativo como Google Drive. Además por ejemplo FireVault relentiza algo el sistema. Se suele decir que no, pero lo he probado y se nota, sobre todo cuando no lo has usado antes y ya tienes una referencia de velocidad de carga y apertura de apps.

Entiendo que la seguridad debe de ir más orientada hacia la identidad más que hacia la privacidad, por ello coincido plenamente en lo de Gmail. Lo ideal es usar la verificación en dos pasos, de esta forma de aseguras que no se cruza la info de acceso.

Pensar en privacidad hoy en día da risa, es algo que hemos de asumir en compensación con los beneficios que nos ofrece la tecnología hoy en día.

Interesante y reflexivo post.

Gracias!

Leave a comment