¿Un fallo de seguridad en Mac? La polémica sobre Apple que enfrenta a los expertos
Un proceso detectado en Big Sur, la nueva actualización del sistema operativo de Apple ha hecho saltar las alarmas entre los expertos en ciberseguridad, pero no queda claro si es un fallo
Presentación del nuevo Macbook de Apple. (Foto: Apple)
Es algo habitual en cada actualización de Apple. Sus sistemas operativos viven una vigilancia constante y todo gran cambio es revisado por expertos independientes que intentar ver que funciona correctamente o si hay algo extraño. Y con la llegada de Big Sur (la última versión de macOS) también ha aparecido una nueva polémica sobre la seguridad de tu MacBook. En medio de la evolución de Apple como la marca que más protege y garantiza la privacidad de sus usuarios, unos expertos en ciberseguridad han dado con lo que ellos definen como un agujero de seguridad que chocaría directamente con los valores hacia los que camina. Eso sí, no hay una opinión unánime sobre esto.
Aunque ya había varios expertos alertando de esto en versiones 'beta', el gran grito lo dio el pasado jueves (día en que salía de forma oficial Big Sur) Jeffrey Paul, un investigador de ciberseguridad que en un largo artículo titulado 'Tu ordenador no es tuyo' explicaba que, según sus pruebas, con Big Sur, Apple registraba en comunicación con tu Mac, en texto plano y sin seguridad cada programa que ejecutas, guardando datos como la hora o la fecha y sin que puedas hacer nada para evitarlo, pues sus sistemas ignoraban los 'firewall' o las VPN. Es decir que, según Paul, quieras o no, tu Mac chiva a la compañía tu actividad y esta lo registra sin cuidado. Obviamente el artículo ha levantado una gran polvareda, pero, importante, no todos están de acuerdo con este investigador.
Tras el artículo de Paul han empezado a aparecer otros expertos y medios que comparten la opinión de Paul y probaron lo que decía, pero también han aparecido otros como Jacopo Jannone que defienden que lo que hace Apple solo es verificar que lo que abres tiene la licencia correspondiente y que no registra tu actividad relacionada con tu ordenador, sino que solo vigila de forma legítima que lo que se ejecuta es correcto y, por ejemplo, no va a dañar tu ordenador, sea el equipo que sea. Entonces, ¿es preocupante o simplemente un proceso poco conocido de la compañía? Es complejo incluso para los investigadores aunque los consultados por este periódico apuestan por que se trata de algo menor de lo que apuntaba Paul.
Según Sergio de los Santos, experto en ciberseguridad y miembro de la compañía ElevenPaths, existe un problema e incluso se han encontrado puntos a mejorar, pero cree que Paul ha exagerado en su análisis. "A ver, todo viene del sistema OCSP (Online Certificate Status Protocol), que es un sistema que permite a Apple saber si usas aplicaciones certificadas y firmadas correctamente, y es cierto que lo de las certificaciones es un tema aún no resuelto, pero no es lo que pinta el investigador que ha dado la voz de alarma", comenta el experto. Para De Los Santos, hay una lectura equivocada del trabajo que realiza este protocolo que, por otro lado, aunque es lo mejor para este cometido sigue dejando agujeros.
Apple isn’t actually logging everything you, but I guess that isn’t as clicky a headline. There are plenty of things Apple does poorly, the timeout logic for OCSP lookups is one of them. But I’d way rather have this mechanism there to stop malware ASAP. https://t.co/SHSzxBceks
"El fallo se encontró justo cuando colapsó el servidor OCSP. Al actualizar a Big Sur no podía procesar todas las certificaciones y en vez de abrir la mano para que se actualizasen sin control, colapsó. Y de ahí viene toda la polémica", apunta el experto. "Pero no es cierto que Apple registre tu actividad cada vez que abras una 'app' ni relacione ese registro con tu Apple ID. Es verdad que recibe un 'hash' para asegurarse de que utilizas una 'app' que cumple con sus conocidas estrictas medidas, pero existe un caché que le permite no tener que registrar cada vez que abres una 'app' y ni siquiera sube un nuevo 'hash' cada vez que abres un programa con el nombre del mismo, puede ser uno para varios programas, por ejemplo y no los identifica claramente", explica este experto.
Entonces, ¿esto quiere decir que no hay problema alguno para tu seguridad y privacidad? Bueno, hay puntos a mejorar y algo que menciona De Los Santos: "Es un tema de balanzas y la verdad que si vamos a abrir este melón también deberíamos incluir el 'Smart Screen' de Windows, pues realiza el mismo trabajo de telemetría para el control de las certificaciones".
Privacidad o seguridad
La propia Apple, en un comunicado, también ha negado que estén realizando algo similar a lo que denuncia Paul o que esto vaya contra su política de privacidad, pero a la vez ha anunciado nuevos cambios en sus sistemas. Es decir que mientras aclaran que no hay nada malo en esto, anuncian mejoras que en parte chocan con esa primera versión y escuchan algunas de las quejas de los investigadores. Según lo anunciado por los de Cupertino, a partir de ahora habrá un nuevo sistema de cifrado para las consultas con el servidor OCSP, mejores protecciones para que los servidores estén siempre operativos y una actualización para poder desactivar todas estas protecciones.
Ese punto también une a Paul y a otros más escépticos en este debate como De Los Santos, que aplaude que visto estos errores la compañía haya actuado con celeridad. "Es cierto que son puntos a tener en cuenta y sobre todo el cifrado es importante porque el no tenerlo puede permitir cierto espionaje externo que intercepte tus comunicaciones con ese servidor para sacar información interpretable. Son correcciones interesantes y habrá que ver si siguen mejorando estos sistemas". Eso sí, reduce el impacto de la medida. "Soy el primero que creo que no hay que pasar ni una con la seguridad y la privacidad, pero todo esto de verdad que tiene un impacto relativamente bajo en el usuario".
Siguiendo esta idea, De Los Santos termina con una reflexión sobre estas polémicas. "Hay que ser tajante pero también saber balancear. En este caso tenemos un sistema que coge, no sé, un 1% de nuestra privacidad en el ordenador a cambio de asegurar que usamos programas legítimos, sin 'malware' ni nada similar. Cada uno debe ver si este acuerdo le parece correcto, pero para el usuario medio creo que es algo aceptable. Y oye, siempre está la opción de construirte tu propio ordenador con sistemas tipo Debian".
Es algo habitual en cada actualización de Apple. Sus sistemas operativos viven una vigilancia constante y todo gran cambio es revisado por expertos independientes que intentar ver que funciona correctamente o si hay algo extraño. Y con la llegada de Big Sur (la última versión de macOS) también ha aparecido una nueva polémica sobre la seguridad de tu MacBook. En medio de la evolución de Apple como la marca que más protege y garantiza la privacidad de sus usuarios, unos expertos en ciberseguridad han dado con lo que ellos definen como un agujero de seguridad que chocaría directamente con los valores hacia los que camina. Eso sí, no hay una opinión unánime sobre esto.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F3fa%2F773%2Fdf2%2F3fa773df2501d901e88e76613928fac5.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Ff06%2F16e%2F5c5%2Ff0616e5c5fa9434897049f5cb4b988d5.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F3b6%2F24e%2Ffc5%2F3b624efc5994598bb3b01195a248c44d.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Feb0%2F7a0%2F211%2Feb07a02118b464d06a69a328435ff56c.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fd08%2F565%2Fd42%2Fd08565d4251235919a027f7c3c052a1e.jpg)