49” La seguridad de los dispositivos

2:30” Gatekeeper

2:56” Touch ID

3:48” Secure Enclave

4:45” Actualizaciones del SO

6:36” Seguridad de los datos

7:20” FileVault

8:10” Gestión MDM

8:50” Acceso a redes empresariales

9:25” Conexiones VPN

9:45” Protección de Apps

10:25” Transport Layer Security (TLS)

10:56” Apple Developer Program (ADP)

12:55” Descargas de Malware

13:16” Desactivación y Ejecución XD

13:18” Aleatorización del diseño del espacio de direcciones ASLR

13:23” Protección de Integridad del Sistema SIP

13:30” XProject

Alberto Cano:
A diferencia de las plataformas del resto de fabricantes, en las que el hardware y el software no están integrados, los dispositivos iOS, iPadOS y macOS vienen de serie con seguridad de nivel empresarial integrada para el dispositivo, los datos, las apps y la red.

Estas prestaciones de seguridad no tienen ningún coste adicional y hacen que sean la plataforma más segura y fácil de usar que hay en el mercado.

Alberto Cano:
Apple fabrica tanto el hardware como el software, por esto puede diseñar la seguridad en sus dispositivos como desee.

Para protegerse frente a cambios no autorizados, macOS utiliza una serie de medidas de seguridad. Ejecuta el sistema operativo en un volumen de solo lectura propio; es decir, que está separado del resto de los datos y nada puede sobrescribir los archivos del sistema.

Las protecciones de seguridad comienzan en cuanto un empleado enciende el Mac. Una serie de comprobaciones de validación protege los niveles más bajos de software frente a posibles manipulaciones. Además, una tecnología de seguridad llamada Gatekeeper, incluida en macOS, garantiza que el sistema operativo ejecute solo software de confianza.

Alberto Cano:
El uso de la huella dactilar para desbloquear el Mac permite a cada empleado beneficiarse de la seguridad de códigos de acceso más complejos y, al mismo tiempo, disfrutar de un acceso rápido a los datos encriptados.

Alberto Cano:
En cuanto a la seguridad de los Mac, el componente más importante es el coprocesador Secure Enclave, que está presente en todos los dispositivos iOS, iPadOS, watchOS y tvOS modernos, y en todos los ordenadores Mac M1 y Mac con el chip T2 Security de Apple.
El Secure Enclave es la base para cifrar los datos en reposo, arrancar macOS de forma segura y usar los datos biométricos.

Alberto Cano:
Si, así es,
El Mac se protege a sí mismo de las nuevas amenazas de seguridad con actualizaciones periódicas que proceden directamente de Apple. macOS comprueba todos los días si hay alguna actualización y las empresas pueden configurar macOS para que descargue e instale automáticamente los archivos más recientes, todo ello de forma gratuita.

Con los dispositivos Apple, las empresas no necesitan actualizar su hardware cada vez que Apple lanza un nuevo sistema operativo. El nuevo sistema operativo será compatible con hasta 5 generaciones de dispositivos anteriores.

Hay que tener en cuenta que casi ninguna otra plataforma ofrece este nivel de compatibilidad con versiones anteriores.

Alberto Cano:
Apple recopila solo la cantidad mínima de datos necesarios para ofrecer lo que se necesita en un servicio determinado.

Siempre que es posible, los dispositivos Apple procesan los datos en el dispositivo en lugar de enviarlos a los servidores de Apple.

Apple se asegura de que los clientes sepan cuándo se comparten sus datos y cómo se utilizan. Además, pueden cancelar la recopilación de datos en cualquier momento.

FileVault, incluido con macOS, ofrece cifrado de disco completo para los datos internos de los ordenadores Mac, así como para cualquier unidad externa conectada. Cuando se activa FileVault, protege todos los datos en reposo con el cifrado XTS-AES 128 y necesita que un empleado introduzca una contraseña o use Touch ID para acceder a su cuenta. Si la contraseña no es correcta, el disco permanece protegido frente a accesos no autorizados incluso aunque se extraiga y se conecte a otro ordenador, lo que protege a la empresa en caso de robo.

Las organizaciones pueden interactuar de forma remota con sus ordenadores Mac gestionados en caso de pérdida o robo de un dispositivo. El personal de TI puede usar una solución MDM para activar un bloqueo o borrado remoto que hace que todos los datos del dispositivo sean ilegibles al instante.

Si un ordenador Mac tiene activado FileVault, el borrado remoto es instantáneo. Si el ordenador no tiene activado FileVault, macOS inicia el proceso de borrado de los datos. El proceso continuará aunque se reinicie el ordenador. Un ordenador que esté desconectado iniciará el proceso cuando vuelva a estar en línea.
Bloqueo de activación impide que alguien pueda usar un Mac si se pierde o lo roban. Una empresa puede habilitar esta función cuando configura dispositivos supervisados con su solución MDM.

Alberto Cano:
El Mac integra tecnologías probadas y utiliza protocolos de red estándar para que las comunicaciones estén autenticadas, autorizadas y cifradas. Con el Mac, los clientes pueden tener la tranquilidad de que sus datos están protegidos mientras se desplazan a través de diferentes redes.

El Mac es compatible con muchas de las opciones de autenticación y red de los clientes para validar a los empleados que se conectan a sus redes. Estas opciones incluyen entornos 802.1X y de inicio de sesión único (SSO).

Conectarse a una red privada virtual (VPN) es muy sencillo en el Mac. La VPN crea una conexión cifrada con una red empresarial independientemente de donde esté el empleado, para que los clientes puedan proteger las conexiones de sus trabajadores remotos.

Alberto Cano:
El Mac ayuda a evitar que las apps de terceros accedan a la información personal de un usuario sin permiso. Todas las apps integradas, como Safari, Mail y Calendario, utilizan el protocolo estándar del sector denominado Transport Layer Security (TLS) para encriptar las conexiones de red y proteger los datos en tránsito.

La seguridad de las apps para el Mac empieza con la comunidad de desarrolladores del Mac. Apple garantiza la seguridad de las apps de varias formas.

Los desarrolladores tienen que pertenecer al Apple Developer Program para poder subir sus apps al Mac App Store. Apple valida la identidad de todos los desarrolladores que solicitan inscribirse en el programa.

Apple revisa todas las apps para Mac, incluidas las actualizaciones, antes de aceptarlas en el Mac App Store. Apple solo acepta las apps que cumplen con todos los criterios de revisión. Si encuentra un problema con una app, la elimina de la tienda.

Apple emite un certificado de ID de desarrollador único para cada desarrollador que se ha aceptado en el Apple Developer Program. Los desarrolladores deben usar este certificado para firmar sus apps. La firma de las apps garantiza que procedan de una fuente aprobada y que nadie las ha modificado antes de la instalación.

Después de instalar una app desde el Mac App Store, macOS la pone en una zona protegida para aislarla de los archivos críticos del sistema. Una app tiene que pedir permiso si quiere acceder a los datos del usuario o a hardware como la cámara o el micrófono. Si una app contiene software dañino, la zona protegida la bloquea automáticamente para mantener el ordenador y sus datos a salvo. Los desarrolladores también pueden habilitar la zona protegida en las apps que se pueden descargar fuera del Mac App Store.

Los desarrolladores deben informar de cómo utilizan los datos, como los datos de uso, la información de contacto o la ubicación, y si los utilizan para realizar un seguimiento de los usuarios. Esta información está disponible en la página de producto de cada app en el Mac App Store.

Alberto Cano:
Las protecciones en tiempo de ejecución técnicamente sofisticadas de macOS funcionan en el núcleo mismo de los dispositivos Apple para mantener los sistemas de los empleados a salvo del malware.

Tecnologías como la desactivación de ejecución (XD), la aleatorización del diseño del espacio de direcciones (ASLR) y la protección de integridad del sistema (SIP) dificultan que el malware haga daño y garantizan que los procesos con permiso de raíz no puedan modificar los archivos críticos del sistema. macOS cuenta con una medida de seguridad integrada adicional llamada XProtect para lidiar con cualquier malware que encuentre.

Apple revisa todas las apps para Mac, incluidas las actualizaciones, antes de aceptarlas en el Mac App Store. Apple solo acepta las apps que cumplen con todos los criterios de revisión. Si encuentra un problema con una app, la elimina de la tienda.

Apple emite un certificado de ID de desarrollador único para cada desarrollador que se ha aceptado en el Apple Developer Program. Los desarrolladores deben usar este certificado para firmar sus apps. La firma de las apps garantiza que procedan de una fuente aprobada y que nadie las ha modificado antes de la instalación.

Después de instalar una app desde el Mac App Store, macOS la pone en una zona protegida para aislarla de los archivos críticos del sistema. Una app tiene que pedir permiso si quiere acceder a los datos del usuario o a hardware como la cámara o el micrófono. Si una app contiene software dañino, la zona protegida la bloquea automáticamente para mantener el ordenador y sus datos a salvo. Los desarrolladores también pueden habilitar la zona protegida en las apps que se pueden descargar fuera del Mac App Store.

Los desarrolladores deben informar de cómo utilizan los datos, como los datos de uso, la información de contacto o la ubicación, y si los utilizan para realizar un seguimiento de los usuarios. Esta información está disponible en la página de producto de cada app en el Mac App Store.

Alberto Cano:
Si, por supuesto, los costes de seguridad de dispositivos de otros fabricantes, pueden incrementarse considerablemente, si los clientes optan por actualizarlos con el último sistema operativo, cifrar los datos o instalar software antivirus.

Alberto Cano:
Si, efectivamente son los más seguros del mercado.