Serie de fundamentos de seguridad macOS: Cuando todo mundo leyó tus datos porque no estaban cifrados

El cifrado puede significar muchas cosas para mucha gente. Dependiendo de su nivel de experiencia, el cifrado puede ser tan sencillo como marcar un archivo o carpeta oculto dentro de un directorio hasta proteger con contraseña un archivo ZIP con una contraseña de 64 caracteres llena de espacios clave variables para mantener a raya durante un milenio al software que descifra contraseñas. Esto quiere decir que el propio término "cifrado" puede ampliarse para incluir un gran número de posibilidades y variables que pueden afectarlas aún más, como mezclar un valor hash o que usted escriba su propio cifrado, los cuales son temas criptográficos avanzados que van mucho más allá del alcance de este blog.

Aquí hablaremos de:

• Las características básicas del cifrado de macOS
• Cómo funciona (y no funciona) FileVault
• Y las ventajas de activar el FV en su Mac

La máquina del tiempo

Antes de profundizar en los puntos anteriores, hagamos un pequeño viaje a 2003. Apple lanzó OS X "Panther", o versión 10.3, que introdujo FileVault (FV), la tecnología que proporciona cifrado de datos en Mac. Cuando estaba activado, FileVault sólo cifraba el contenido del volumen personal de un usuario utilizando las credenciales del usuario como método para bloquear y desbloquear el volumen cuando el usuario cerraba la sesión o se autenticaba correctamente.

Permitía el cifrado utilizando la imagen de disco dispersa de Apple —similar a un archivo DMG, pero cifrado— para contener el contenido del volumen del usuario, incluidos sus directorios de Escritorio y Documentos, entre otros.

Sin embargo, en 2007, con la actualización del OS X "Lion" (10.7), la tecnología de cifrado desarrollada por Apple se rediseñó con características adicionales y se denominó FileVault 2 (FV2). FV2 es la tecnología de cifrado estándar disponible en todas las iteraciones de OS X y macOS desde entonces. Profundizaremos en las características de FV2 y en su funcionamiento un poco más adelante.

"Encerar, pulir"

Como el mismo maestro de artes marciales, el Sr. Miyagi, enseñó karate a Daniel-san mediante lecciones que simplificaban los fundamentos para defenderse, Apple ha adoptado un enfoque similar con respecto a la activación/desactivación de la protección de seguridad de la que hablamos hoy aquí.

Nota: Dado que la modalidad original de FV (denominada legacy FileVault, FileVault anterior) ha sido sustituida por FV2, todo lo que comentaremos de aquí en adelante se referirá exclusivamente a FileVault 2.

Activación del cifrado

Activar el FV2 es un proceso sencillo. Tanto si se activa manualmente (por un usuario) como si se automatiza (por IT a través de MDM), el proceso requiere:

1. Autenticarse en una Mac con datos de acceso de nivel administrador.
2. Iniciar las Preferencias del Sistema.
3. Hacer clic en el panel de preferencias Seguridad y privacidad.
4. Seleccionar la pestaña FileVault.
5. Hacer clic en Activar FileVault.

¡Así de fácil! FV2 ahora está activado y comenzará el proceso de cifrado de sus datos. Una vez hecho esto, se le pedirá que reinicie la computadora, para completar así el proceso.

Desactivación del cifrado

Ahora que su Mac está segura, ¿por qué desearía hacerlo? Puede haber algunas razones para deshabilitar el FV2, aunque sea temporalmente. Para deshabilitar esta función de seguridad:

1. Siga los pasos 1 a 4 anteriores.
2. Haga clic en Desactivar FileVault.

Una vez más, la Mac necesitará algún tiempo para descifrar todos sus datos en segundo plano mientras utiliza su Mac. Debe tenerse en cuenta que tanto para activar como para desactivar el FV2 es necesario que su Mac esté en estado activo y enchufado al cargador de CA para finalizar los procesos de cifrado y descifrado, respectivamente.

Almacenamiento de las claves de recuperación de FileVault

Una vez activado el FV2, se pedirá a los usuarios que generen y almacenen de forma segura una clave de recuperación. Se trata de un acceso backdoor que se puede utilizar para descifrar sus datos, en caso de que el usuario cambie la contraseña de su cuenta, la cuenta se ve comprometida o simplemente olvida sus datos de acceso.

No se puede subestimar la importancia de esta clave; de ahí la recomendación de guardarla en un lugar seguro y alejada de cualquier persona que normalmente no desearía que accediera a los datos protegidos de la unidad.

Los usuarios con cuentas de iCloud que deseen potenciar la tecnología basada en la nube pueden optar por almacenar allí una copia de su clave única de recuperación. Al hacerlo queda protegida y asegurada —ya que ni siquiera Apple puede leer la clave—, pero permite a los usuarios recuperarla de forma segura desde cualquier lugar, en cualquier momento y desde cualquier dispositivo con acceso a iCloud para mayor tranquilidad.

IT + FileVault = Automatización F-U-N

Aunque lo anterior se aplica sin duda a las Mac utilizadas individual y profesionalmente, la situación presentada en esta sección se aplica en gran medida solo a las organizaciones que administran su flota Mac mediante software de administración de dispositivos móviles (MDM), como Jamf Pro.

Las soluciones MDM permiten al departamento de IT no solo administrar dispositivos de forma centralizada, sino también proporcionar ajustes de configuración para automatizar la habilitación de FV2. Además, permite simplificar la administración de las claves de recuperación individuales y exclusivas de cada dispositivo y almacenarlas de forma segura en el registro de cada dispositivo para facilitar su manejo y su recuperación por parte de IT, en caso de ser necesario.

Para una orientación detallada sobre el uso de Jamf Pro para configurar y administrar FileVault 2 y las claves de recuperación de su organización, la guía de administración proporciona información detallada para las organizaciones de IT interesadas en aumentar la postura de seguridad de sus dispositivos, a la vez que administran su flota basándose en las mejores prácticas de la industria y adhiriéndose a los marcos de seguridad y privacidad de Apple.

"Haz un barrido con la pierna"

La característica más importante de FileVault es el cifrado. Al fin y al cabo, ésta es la razón principal para activar el control de seguridad en primer lugar, ¿o no? Se trata del algoritmo de encriptamiento, basado en el cifrado XTS-AES-128 con una clave de 256 bits que ayuda a "impedir el acceso no autorizado a la información de su disco de arranque", según Apple.

Sí, ha leído bien. Cifra el disco de arranque, no el volumen de inicio del usuario. No es una errata, sino una diferencia clave entre FileVault 2 y el FileVault anterior. Recordará de lo dicho anteriormente que este último solo protege la carpeta de inicio del usuario que activa el FileVault anterior. Esto requiere que cada usuario active el FV para proteger su propia carpeta de inicio. Al hacerlo, se deja vulnerable el volumen de inicio de otros usuarios junto con el propio sistema operativo, abiertos a amenazas de seguridad y ataques.

Sin embargo, FileVault 2 rectifica esta situación, proporcionando el cifrado de todo el disco una vez activado. Al fortalecer todo el disco, todos los datos almacenados en él quedan efectivamente cifrados. Esto requiere que los usuarios autorizados por FV2 se conecten primero a la Mac, desbloqueando así el disco de almacenamiento y permitiendo que otros usuarios se conecten a continuación.

¿El resultado? Un sistema cifrado que abarca todo el disco de almacenamiento, protegiendo holísticamente todos los datos que contiene, no solo los que han optado por mantener a salvo sus datos.

Movimientos suaves

Así como la serie de películas del Karate Kid presentó al público las memorables (y a menudo imitadas) técnicas del arte del karate Miyagi-Do: la Técnica del Tambor, la Kata y la inolvidable Patada de la Grulla, estos son solo algunos de los movimientos característicos que Daniel-san aprendió para defenderse en los torneos. Del mismo modo, la implementación del cifrado de FileVault 2 proporciona a los usuarios varias ventajas que van más allá de mantener los datos seguros mediante el cifrado.

• Implementar el cifrado de todo el disco, o del disco de arranque, significa asegurar también el espacio vacío y no utilizado de la unidad del sistema para reducir la superficie de ataque y evitar que los malvados la utilicen para implantar malware. Además, los profesionales de la seguridad suelen considerar el cifrado como el "lastditch effort" (efecto de surco) para mantener la integridad de sus datos personales, corporativos y/o de privacidad if si le roban la MacBook portátil, le quiten la unidad de almacenamiento de la computadora Mac o emplean otras formas de ataques basados en disco para intentar comprometer sus datos.
• Los dispositivos habilitados con FV2 requieren que cada cuenta de usuario que vaya a utilizar ese dispositivo también esté habilitada con FV. Los usuarios que no tengan el token de seguridad asociado a su cuenta no podrán iniciar sesión en la Mac hasta que un usuario que haya habilitado FV se autentique primero y desbloquee el disco. Esta característica impide que usuarios no autorizados accedan al contenido de la unidad, ya sea localmente desde la Mac o si se extrae la unidad y se conecta a otra Mac, como es un tipo popular de ataque de robo de datos.
• Ambas versiones de FileVault respetan el principio de confidencialidad de la tríada de seguridad. Esto significa que los datos no solo están protegidos contra amenazas no autorizadas, sino que FV también cumple las directrices del Instituto Nacional de Estándares y Tecnología (NIST). El NIST es una agencia del gobierno de EE.UU. que, entre otros programas basados en estándares, proporciona orientación a las organizaciones para que administren y reduzcan el riesgo de ciberseguridad. Su trabajo en la SP 800-179, Revisión 1proporciona orientación a nivel empresarial basada en las mejores prácticas para mitigar los riesgos al tiempo que se refuerza la postura de seguridad de sus terminales Apple.
• Administrar el acceso de los usuarios a los dispositivos habilitados para FV con Jamf Pro es un asunto trivial, pero para los que deseen seguir el camino manual, los administradores pueden aprovechar fácilmente el Terminal para habilitar/deshabilitar el acceso seguro mediante token de las cuentas por usuario y/o para deshabilitar las contraseñas, según sea necesario. A continuación se muestra la salida del comando sysadminctl que se utiliza para administrar el acceso de cuentas por usuario a dispositivos cifrados con FileVault 2: