Códigos y contraseñas
Para proteger los datos de los usuarios de ataques malintencionados, Apple utiliza códigos de acceso en iOS y iPadOS, y contraseñas en macOS. Cuanto más largo sea un código de acceso o una contraseña, más segura será, y más fácil será disuadir los ataques de fuerza bruta. Para desalentar aún más los ataques, Apple aplica tiempos de espera (para iOS y iPadOS) y un número limitado de intentos de contraseña (para Mac).
En iOS y iPadOS, al configurar el código de acceso o la contraseña del dispositivo, el usuario activa automáticamente la protección de datos. La protección de datos también se activa en otros dispositivos que incorporan un sistema en chip (SoC) de Apple, como en las computadoras Mac con Apple Chip, en el Apple TV y en el Apple Watch. En macOS, Apple usa el programa integrado de encriptación de volumen FileVault.
Cómo aumentan la seguridad los códigos de acceso y las contraseñas fuertes
iOS y iPadOS admiten códigos de acceso alfanuméricos de seis o cuatro caracteres, y de cualquier longitud. Además de desbloquear el dispositivo, un código o contraseña proporciona entropía para determinadas claves de encriptación. Esto significa que un atacante que haya obtenido un dispositivo no podrá acceder a los datos de clases de protección específicas si no dispone del código.
Este código o contraseña está vinculado al UID del dispositivo, por lo que tendría que realizar ataques de fuerza bruta. Para que cada intento sea más lento, se utiliza un recuento de iteraciones elevado. El recuento de iteraciones se calibra de manera que un intento tarde alrededor de 80 milisegundos. De hecho, se tardaría más de cinco años y medio en intentar todas las combinaciones de un código alfanumérico de seis caracteres con letras en minúscula y números.
Cuanto más seguro sea el código del usuario, más segura será la clave de encriptación. Asimismo, al usar Face ID y Touch ID, el usuario puede establecer un código mucho más seguro en lugar de práctico. Con un código más seguro se consigue aumentar la entropía real que protege las claves de encriptación utilizadas para la protección de datos, sin que se vea perjudicada la experiencia del usuario al desbloquear un dispositivo muchas veces a lo largo del día.
Si se ingresa una contraseña larga compuesta únicamente por números, se mostrará un teclado numérico en la pantalla bloqueada en lugar de un teclado completo. Es posible que sea más fácil ingresar un código numérico largo que un código alfanumérico corto, aunque ambos proporcionen un nivel de seguridad parecido.
Los usuarios pueden especificar un código alfanumérico de mayor longitud seleccionando la opción Código alfanumérico personalizado en Opciones de código desde Configuración > Touch ID y código o Face ID y código.
Cómo el aumento a escala de los tiempos de espera desalienta los ataques de fuerza bruta
En iOS, iPadOS y macOS, a fin de desalentar aún más los posibles ataques de fuerza bruta, existen tiempos de espera cada vez mayores después de ingresar un código, contraseña o PIN no válidos (dependiendo del dispositivo y el estado en el que se encuentra), tal como se detalla en la tabla a continuación.
Intentos | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 o más |
|---|---|---|---|---|---|---|---|---|
Pantalla bloqueada de iOS y iPadOS | Ninguno | 1 minuto | 5 minutos | 15 minutos | 1 hora | 3 horas | 8 horas | El dispositivo se desactiva y deberá conectarse a una Mac o PC. |
Pantalla bloqueada de watchOS | Ninguno | 1 minuto | 5 minutos | 15 minutos | 1 hora | 3 horas | 8 horas | El dispositivo se desactiva y deberá conectarse a un iPhone. |
Pantalla bloqueada y ventana de inicio de macOS | Ninguno | 1 minuto | 5 minutos | 15 minutos | 1 hora | 3 horas | 8 horas | 8 horas |
Modo de recuperación de macOS | Ninguno | 1 minuto | 5 minutos | 15 minutos | 1 hora | 3 horas | 8 horas | Consulta más adelante la sección Cómo el aumento escalado de los tiempos de espera desalienta los ataques de fuerza bruta. |
FileVault con clave de recuperación (personal, institucional o iCloud) | Ninguno | 1 minuto | 5 minutos | 15 minutos | 1 hora | 3 horas | 8 horas | Consulta más adelante la sección Cómo el aumento escalado de los tiempos de espera desalienta los ataques de fuerza bruta. |
Código PIN de bloqueo remoto de macOS | 1 minuto | 5 minutos | 15 minutos | 30 minutos | 1 hora | 1 hora | 1 hora | 1 hora |
Si la opción Borrar datos está activada en el iPhone o iPad (en Configuración > [Face ID/[Touch ID y código), se eliminarán todo el contenido y la configuración del almacenamiento después de 10 intentos fallidos consecutivos de ingresar el código. El límite no toma en cuenta los intentos consecutivos del mismo código incorrecto. Esta configuración, que se puede definir con un umbral inferior, también está disponible como política mediante una solución de administración de dispositivos móviles (MDM) compatible con esta función y a través de Exchange ActiveSync de Microsoft.
En dispositivos con Secure Enclave, las demoras se aplican mediante el Secure Enclave. Si el dispositivo se reinicia durante un tiempo de demora, la demora aún se aplica, con el temporizador empezando de nuevo para el periodo actual.
Cómo el aumento escalado de los tiempos de espera desalienta los ataques de fuerza bruta en macOS
Para ayudar a impedir los ataques de fuerza bruta, cuando la Mac arranca, no se permiten más de 10 intentos de contraseña en la ventana de inicio de sesión, y se escala el tiempo de demora de forma obligatoria después de una cantidad dada de intentos incorrectos. Es el Secure Enclave el que impone los tiempos de demora. Si la Mac se reinicia durante un tiempo de demora, la demora aún se aplica, con el temporizador empezando de nuevo para el periodo actual.
Para ayudar a impedir que el malware cause la pérdida permanente de los datos al intentar atacar la contraseña del usuario, estos límites no se imponen una vez que el usuario ha logrado iniciar sesión en la Mac, pero se vuelven a imponer después de un reinicio. Si se agotan los 10 intentos, hay otro 10 intentos disponibles después de reiniciar en recoveryOS. Si también se terminan esos intentos, hay disponibles 10 intentos más para cada mecanismo de recuperación de FileVault (recuperación de iCloud, clave de recuperación de FileVault y clave institucional), lo que da un máximo de 30 intentos adicionales. Si se terminan esos intentos adicionales, el Secure Enclave ya no procesará ninguna petición para desencriptar el volumen o verificar la contraseña, y los datos de la unidad ya no se podrán recuperar.
Para ayudar a proteger los datos en un entorno empresarial, el departamento de TI debería definir e imponer políticas de configuración de FileVault utilizando la solución MDM. Las organizaciones tienen varias opciones para administrar los volúmenes encriptados, entre las que se incluyen las claves institucionales, las claves personales de recuperación (que se pueden almacenar de forma opcional en la MDM para su custodia), o una combinación de ambas. La rotación de claves también se puede establecer como política en la MDM.
En una computadora Mac con el chip de seguridad T2 de Apple, la contraseña tiene una función similar, excepto que la clave generada se utiliza para la encriptación de FileVault y no para Protección de datos. macOS también ofrece opciones adicionales de recuperación de contraseñas:
Recuperación de iCloud
Recuperación de FileVault
Clave institucional de FileVault