Adopte “Borrar todo el contenido y los ajustes” del macOS para una redistribución rápida y segura

El blog de Jamf ha mantenido durante los últimos años una serie de publicaciones tituladas "Reinstale un macOS limpio con un solo botón". La idea de reinstalar un sistema operativo limpio surgió de un axioma que han seguido los administradores, que consiste en borrar y reinstalar siempre las unidades informáticas antes de reutilizarlas, prepararse para darlas de baja o cuando ha fallado la solución de problemas.

Apple está eliminando prácticamente esta necesidad de borrar y reinstalar todo y la está sustituyendo por la simple necesidad de borrar los datos, dejando instalado el sistema operativo. Es comprensible que eso ponga un poco nerviosos a los administradores o a los profesionales de la seguridad. Han seguido esta práctica de borrar y volver a instalar desde que las computadoras empezaron a ocupar un lugar permanente en los escritorios en la década de 1990.

Sin embargo, "porque siempre se ha hecho así" no es razón para evitar esta nueva función que apenas llegó a macOS el año pasado con Monterey. Repasemos:

• Cómo funciona "Borrar todo el contenido y los ajustes"
• El camino para "Borrar todo el contenido y los ajustes" en macOS
• La seguridad de "Borrar todo el contenido y los ajustes"
• Ejecución de "Borrar todo el contenido y los ajustes"
• En qué casos podríamos necesitar, de todas formas, borrar completamente todo e instalarlo de nuevo

Nuestro objetivo debería ser trasladar la práctica de borrar todo el disco del dispositivo Mac a su propia islita aislada en medio del Mar Muerto.

Cómo funciona "Borrar todo el contenido y los ajustes"

Durante más de 12 años, al menos desde el iPhone 3, iOS ha sido compatible con "Borrar todo el contenido y ajustes". Apple diseñó esta característica desde cero para que fuera un método seguro de reiniciar un iPhone sin tener que reinstalar el iOS. Recuerde que, en primer lugar, el iPhone fue un producto de consumo, y Apple tenía que facilitar este proceso al consumidor.

Hicieron dos cosas.

En primer lugar, el almacenamiento de datos en el iPhone siempre ha estado cifrado. Añadir un código PIN proporcionó al consumidor un medio de descifrar el dispositivo para su uso y una forma de proteger sus datos cuando no se utilizaban. Pero Apple nunca dio al consumidor acceso directo al propio sistema operativo iOS. No se podía alterar.

A continuación, el almacenamiento del iPhone se dividió en una partición del sistema operativo de solo lectura y una partición de datos de escritura. La partición del sistema operativo solo cambiaba al aplicar una actualización. Permanecía de solo lectura e inalterable durante el uso normal.

Cuando el consumidor estaba listo para vender su iPhone o tal vez dárselo a un familiar para que lo utilizara, la característica "Borrar todo el contenido y los ajustes" simplemente eliminaba la clave de cifrado de la partición de datos y dejaba en paz la partición del sistema operativo. Las ventajas eran la rapidez y la comodidad. El sistema operativo siempre estuvo ahí y no necesitó reinstalarse, y estaba tan actualizado como la última actualización aplicada.

El camino para "Borrar todo el contenido y los ajustes" en macOS

Sin embargo, la Mac no disponía de esta opción rápida y cómoda hasta hace muy poco. Esto se debe a que tuvo que pasar por una serie de cambios importantes a lo largo del tiempo para igualar el nivel de seguridad integrado en iOS desde el principio.

La línea donde comenzó la transición es borrosa, pero un buen punto de partida es el OS X, El Capitán 10.11, que fue cuando Apple introdujo la Protección de la Integridad del Sistema (SIP). SIP fue el principio de la protección del sistema operativo Mac frente a amenazas externas como el malware, o incluso frente a los administradores, eliminando su capacidad de modificarlo directamente. Para ello, ahora tenían que arrancar desde el disco duro de recuperación para deshabilitar primero el SIP. Y esto solo podía hacerlo un ser humano sentado frente a la computadora.

En las siguientes actualizaciones mayores, cada vez más secciones del sistema operativo pasaron a formar parte del SIP. Para aumentar aún más la seguridad, Apple introdujo su sistema de archivos de Apple (APFS) con el macOS High Sierra 10.13, preparando el terreno para algunos cambios importantes en la forma de administrar los datos de la unidad. Y vinculaba el sistema operativo a modelos específicos de hardware que requerían un firmware. Ese proceso de instalación requería una conexión a Internet para descargar la versión de firmware específica de cada máquina.

Apple introdujo otra nueva característica de seguridad a partir de 2017 que era específica del hardware y no del sistema operativo: el chip de seguridad T2. Este chip, junto con el chip Apple Silicon presentado a finales de 2020, se volvió importante para proteger las instalaciones de macOS. Al igual que los dispositivos iOS se cifraban desde que se sacaban de la caja, estos chips permitieron que los discos Mac se cifraran del mismo modo.

En marzo de 2018, Apple introdujo el comando startosinstall en su instalador macOS High Sierra 10.13.4. Incluía una opción --eraseinstall para borrar completamente el sistema operativo de un disco (más sus datos de usuario) y luego instalar un macOS limpio. Como startosinstall era una herramienta de línea de comandos, era fácil invocarla en remoto en los dispositivos Mac. Ya no era necesario que un técnico se sentara delante de la computadora y la arrancara en una unidad externa para prepararla para algo más.

El macOS Catalina 10.15 inició el proceso de dividir el disco de la computadora en el sistema operativo de solo lectura y la partición de datos de usuario con capacidad de escritura. Ésta fue la primera señal evidente de que se acercaba el nacimiento de "Borrar todo el contenido y los ajustes". También sentó las bases para que macOS Big Sur 11.0 introdujera la firma para el volumen del sistema, que pasa por un riguroso proceso de validación de checksum —tanto en la instalación como en cada arranque— para garantizar su integridad.

Por último, cuando todas las piezas estaban en su sitio, macOS Monterey introdujo en las Mac la función "Borrar todo el contenido y los ajustes". El nuevo proceso era rápido, tomaba de 4 a 5 minutos, en comparación con el uso del comando startosinstall con la opción --eraseinstall, que podía tardar 20 minutos en una Mac rápida, o más, dependiendo del modelo.

La seguridad de "Borrar todo el contenido y los ajustes"

Un administrador local de la computadora puede invocar "Borrar todo el contenido y los ajustes". Realiza varias tareas:

• Cierra la sesión del usuario final de todos los servicios de Apple, como iCloud.
• Elimina las huellas dactilares de Touch ID
• Desempareja los accesorios Bluetooth
• Desactiva Buscar mi Mac y Bloqueo de activación
• Borra apps, información y ajustes de usuario
• Borra todos los demás volúmenes, incluyendo los del sistema que utilizan BOOTCAMP

Del mismo modo, al enviar el comando EraseDevice desde un servidor de MDM (Administrador de dispositivos móviles) como Jamf Now, Jamf Pro o Jamf School, se invocará la acción "Borrar todo el contenido y los ajustes" en computadoras con macOS Monterey y Ventura en lugar de borrar todo el disco.

Lo primero que hará "Borrar todo el contenido y los ajustes" es verificar que el sistema operativo no se haya modificado ni corrompido. ¿Cómo lo sabe?

Aquí es donde cobran importancia los chips T2 o Apple Silicon. Cada chip contiene una zona denominada Enclave Seguro. El Enclave Seguro almacena una clave criptográfica específica para cada Mac. Esa clave criptográfica es la que permite a la computadora desbloquear el volumen del sistema firmado. (Recuerde que el volumen del sistema está cifrado desde la caja).

Si la clave criptográfica no coincide con el volumen del sistema firmado, "Borrar todo el contenido y los ajustes" mostrará una alerta indicando que es necesario reinstalar el macOS. No permitirá que permanezca en la computadora un sistema macOS modificado o "corrupto". Y la única forma de conseguir un nuevo sistema operativo es a través de Apple.

Pero, ¿qué impide a un administrador instalar su propio sistema operativo modificado? Aún será posible, pero solo cuando el nivel de seguridad de la Mac se haya reducido desde Seguridad Total hasta Seguridad Permisiva (Apple Silicon) o Sin Seguridad (Intel). Este tipo de seguridad está pensado para desarrolladores que necesitan probar software de bajo nivel.

"Borrar todo el contenido y los ajustes" realiza otra tarea muy importante. Si se ha reducido el nivel de seguridad de una Mac desde Seguridad Total a un ajuste de seguridad inferior, restablecerá el nivel a Seguridad Total, restaurando todos los mecanismos de seguridad del Enclave Seguro y el volumen del sistema firmado criptográficamente.

Para verificar el nivel de seguridad de cualquier Mac Intel o Apple Silicon utilizando Jamf Pro, navegue hasta el registro de la computadora y seleccione Inventario > Seguridad. De forma alterna, puede crear una búsqueda avanzada en la computadora o un grupo de computadoras inteligentes con el criterio de Nivel de arranque seguro para crear una lista.

Debe saber que, aunque Jamf Pro reporte una seguridad reducida, basta con ejecutar con éxito el comando "Borrar todo el contenido y los ajustes" o el comando EraseDevice para restablecer la Mac a sus ajustes de seguridad más seguros antes de prepararla para otro fin.

Ejecución de "Borrar todo el contenido y los ajustes"

Un usuario final puede ejecutar "Borrar todo el contenido y los ajustes" directamente desde la misma computadora o un administrador de MDM puede enviar el comando EraseDevice a una o varias computadoras. Ambos presentan los mismos requisitos:

• Las computadoras Intel deben tener un chip de seguridad T2
• Todas las computadoras Apple Silicon admiten "Borrar todo el contenido y los ajustes"
• La computadora debe tener instalado el macOS Monterey 12.0 o posterior
• Si ejecuta el comando desde la misma computadora, la cuenta de inicio de sesión actual debe ser la del administrador y tener las credenciales necesarias para cerrar sesión en iCloud

Para ejecutar el comando en macOS Ventura, abra Ajustes del sistema (antes Preferencias del sistema) > General > Transferir o Restablecer y haga clic en "Borrar todo el contenido y los ajustes". El Asistente de Borrado pedirá primero las credenciales de administrador para continuar.

El Asistente de Borrado después proporcionará un resumen de lo que está a punto de ocurrir.

Si la computadora está conectada a iCloud, se solicitará al administrador la contraseña del Apple ID de la cuenta.

Tras la autenticación, el usuario final recibe una última advertencia de que se borrarán todos los datos, ajustes y apps, y que no se puede deshacer.

La computadora se reiniciará temporalmente en el Asistente de Recuperación para activar la Mac. Se reiniciará de nuevo en unos 60 segundos si el usuario final no realiza ninguna acción. De nuevo, durante este proceso, la Mac utiliza la clave criptográfica almacenada en el Enclave Seguro para verificar la integridad del macOS instalado y, si es necesario, recuperar su nivel de seguridad a Seguridad Completa.

Si el usuario final ve aparecer "Hola" en varios idiomas al cabo de unos 4-5 minutos, quiere decir que la computadora se restauró efectivamente a los ajustes de fábrica con la Seguridad total activada. Si, por el contrario, aparece un mensaje que indica que hay que reinstalar macOS, significa que se encontró dañado el sistema actual. Puede proceder a través del Asistente de recuperación para descargar e instalar un sistema macOS impoluto.

Pero, ¿qué ocurre si un administrador de MDM envía un comando EraseDevice mientras la computadora tiene iniciada una sesión con una cuenta de iCloud?

En primer lugar, para enviar el comando EraseDevice a una sola computadora desde Jamf Pro, navegue hasta el registro de la computadora y haga clic en Administración > Comandos de administración > Borrar computadora. Si la computadora admite "Borrar todo el contenido y los ajustes" (consulte los criterios indicados anteriormente), procederá a borrar solo los datos y ajustes del usuario. Pero tenga cuidado. El mismo botón borrará todo (sistema operativo, datos del usuario y configuraciones) en las computadoras que no admitan "Borrar todo el contenido y los ajustes".

El envío del comando puede requerir dos cosas: activar la instrucción Borrar bloqueo de activación y proporcionar un código de acceso de borrado remoto.

Borrar el bloqueo de activación desconecta de forma efectiva la computadora de una cuenta de iCloud y solo es efectivo proporcionar un código de acceso de borrado remoto si la computadora tiene activada el bloqueo remoto. Si no está activado el Bloqueo a distancia, funcionará cualquier número arbitrario de seis dígitos. Tras hacer clic en Borrar computadora, el administrador debe confirmar una vez más que desea continuar.

Tenga en cuenta que si una computadora no está conectada a iCloud o se inscribió mediante un estado previo de inscripciones en Jamf Pro que impidió el bloqueo de activación, no aplica la opción de deshabilitar el bloqueo de activación. El administrador puede recibir un mensaje de que no se ha podido borrar el bloqueo de activación. Puede proceder de todos modos haciendo clic en Aceptar.

Hoy en día, solo es posible enviar el comando EraseDevice a varias computadoras utilizando la API Jamf Pro Classic. No se puede utilizar el botón de Acción situado en la parte inferior de una búsqueda avanzada de computadoras o de un grupo de computadoras inteligentes. Tampoco es compatible todavía con la nueva API de Jamf Pro.

La sintaxis básica del script para enviar el comando EraseDevice a una computadora utilizando la API Clásica tiene un aspecto similar:

La cadena "123456" de la última línea representa el código de acceso de seis dígitos necesario para eliminar la computadora del Bloqueo de Dispositivos y la cadena "1,5,18,24" representa una lista de computadoras por sus ID de Jamf. La API Clásica solo permite identificar computadoras por medio de su ID.

Para obtener un script más completo, consulte esta gist de GitHub.

Utilizar la API Clásica para enviar el comando EraseDevice a varias Mac es especialmente beneficioso para los administradores de Mac de laboratorios escolares que necesitan refrescarse entre trimestres o semestres. Esto, junto con la opción de Inscripción PreStage para avanzar automáticamente a través del Asistente de Configuración, tiene el potencial de hacer que toda la actualización sea a manos libres.

En qué casos podríamos necesitar, de todas formas, borrar completamente todo e instalarlo de nuevo

¿Ya no será necesario el comando startosinstall con la opción --eraseinstall?

Todavía no. Los dos sistemas macOS compatibles con "Borrar todo el contenido y los ajustes", Monterey y Ventura, siguen funcionando en un puñado de modelos de computadora antiguos que no tienen chips de seguridad T2. Hasta que Apple lance un sistema operativo que únicamente funcione en computadoras con chips T2 o Apple Silicon, el comando startosinstall sigue teniendo su lugar en la caja de herramientas del administrador.

Podemos anticipar un momento dentro de unos años, en el que Apple lance una versión de macOS que exija el uso un Enclave Seguro. Al igual que ocurre actualmente con iOS y iPadOS, la necesidad de reinstalar un macOS limpio se limitará probablemente a ciertos desarrolladores que trabajan en niveles bajos del sistema operativo, entre el kernel y el hardware. Un administrador de dispositivos promedio, y no tan promedio, probablemente nunca trabajará a ese nivel.

¿Y después? "Borrar todo el contenido y los ajustes" es solo una característica en un largo viaje de desarrollo de Apple que probablemente acercará cada vez más tanto a macOS como a iOS hasta que un día haya un único sistema operativo para todos los dispositivos. Es un proceso lento, pero también es fácil ver que Apple ha sido agresiva a la hora de hacerlo realidad.

Por ahora, tenga en cuenta que "Borrar todo el contenido y los ajustes" es el sustituto de startosinstall. Y es un método seguro para borrar datos de usuario, así como para restaurar una computadora a los ajustes de fábrica.