Protección frente al software malicioso en macOS
Apple utiliza un proceso de inteligencia frente a amenazas para identificar y bloquear rápidamente el software malicioso.
Tres niveles de defensa
Las defensas contra el software malicioso se estructuran en tres capas:
1. Impedir el lanzamiento o la ejecución de software malicioso: App Store, o Gatekeeper junto con el servicio de certificación
2. Impedir que el software malicioso se ejecute en los sistemas del cliente: Gatekeeper, certificación y XProtect
3. Corregir los problemas ocasionados por el software malicioso ejecutado: XProtect
El primer nivel de defensa está diseñado para impedir la distribución del software malicioso y evitar que se inicie; este es el objetivo de App Store y Gatekeeper junto con el servicio de certificación.
El siguiente nivel de defensa es ayudar a garantizar que, si el software malicioso aparece en cualquier Mac, se identifique y bloquee rápidamente, tanto para detener su propagación como para solucionar los problemas de los sistemas Mac en los que ya se haya establecido. XProtect refuerza esta defensa, junto con Gatekeeper y el servicio de certificación.
Por último, XProtect actúa para corregir los problemas causados por el software malicioso que haya conseguido ejecutarse.
Estas medidas, descritas a continuación, se combinan para ofrecer una protección óptima frente a virus y software malicioso. Existen medidas de protección adicionales, especialmente en un Mac con chip de Apple, para limitar los daños potenciales del software malicioso que logre ejecutarse. Consulta Protección del acceso de las apps a los datos de usuario para ver cómo puede ayudar macOS a proteger los datos de usuario del software malicioso, e Integridad del sistema operativo para ver cómo puede limitar macOS las acciones que puede realizar el software malicioso en el sistema.
Certificación
La certificación es un servicio de análisis de software malicioso proporcionado por Apple. Los desarrolladores que quieran distribuir apps para macOS fuera de App Store, envían sus apps para que se analicen como parte del proceso de distribución. Apple analiza este software en busca de software malicioso conocido y, si no encuentra nada, emite un tique de certificación. Habitualmente, los desarrolladores adjuntan este tique a su app para que Gatekeeper pueda verificar e iniciar la app, incluso sin conexión.
Apple también puede emitir un tique de revocación para apps consideradas maliciosas, incluso si anteriormente se habían certificado. macOS comprueba periódicamente si hay nuevos tiques de revocación para que Gatekeeper disponga de la información más reciente y pueda impedir que se inicien esos archivos. Este proceso permite bloquear muy rápidamente apps maliciosas, ya que las actualizaciones se producen en segundo plano con una frecuencia mucho mayor que incluso las actualizaciones en segundo plano que insertan nuevas firmas de XProtect. Además, esta medida de protección se puede aplicar tanto a apps que se han certificado anteriormente como a las que no.
XProtect
macOS incluye una tecnología antivirus integrada denominada XProtect para la detección y eliminación mediante firmas de software malicioso. El sistema usa firmas YARA, una herramienta para la detección de software malicioso basada en firmas, que Apple actualiza periódicamente. Apple supervisa las nuevas infecciones de software malicioso y sus diferentes versiones, y actualiza las firmas automáticamente (independientemente de las actualizaciones del sistema) para ayudar a defender un Mac frente a las infecciones de software malicioso. XProtect detecta y bloquea automáticamente la ejecución del software malicioso conocido. En macOS 10.15 o posterior, XProtect comprueba si hay contenido malicioso conocido cada vez que:
se inicia una app por primera vez;
se modifica una app (en el sistema de archivos);
se actualizan las firmas de XProtect.
Cuando XProtect detecta software malicioso conocido, se bloquea y el usuario recibe una notificación, y se le ofrece la opción de trasladar el software a la Papelera.
Nota: La certificación es eficaz con archivos (o hashes de archivo) conocidos y se puede usar en apps que se han iniciado anteriormente. Las reglas basadas en firmas de XProtect son más genéricas que un hash de archivo específico, para poder encontrar variantes que Apple no haya detectado. XProtect solo analiza las apps que se han modificado o las apps en su primera apertura.
En caso de que el software malicioso encuentre las formas de acceder a un Mac, XProtect también incluye tecnología para solucionar las infecciones. Por ejemplo, incluye un motor que permite reparar las infecciones mediante actualizaciones proporcionadas automáticamente por Apple (como parte de las actualizaciones automáticas de los archivos de datos del sistema y las actualizaciones de seguridad). Este sistema elimina el software malicioso en cuanto recibe información actualizada y sigue buscando infecciones periódicamente; sin embargo, XProtect no reinicia el Mac automáticamente. Además, XProtect contiene un motor avanzado para detectar software malicioso basándose en el análisis del comportamiento. La información sobre el software malicioso detectado por este motor, incluido qué software fue en última instancia el responsable de descargarlo, se usa para mejorar las firmas de XProtect y la seguridad de macOS.
Actualizaciones de seguridad de XProtect automáticas
Apple publica las actualizaciones para XProtect automáticamente en función de la última información sobre amenazas disponible. Por defecto, macOS comprueba estas actualizaciones a diario. Las actualizaciones de certificación, que se distribuyen mediante la sincronización de CloudKit, son mucho más frecuentes.
Cómo responde Apple cuando se detecta un nuevo software malicioso
Cuando se detecta un nuevo software malicioso, se toman una serie de medidas:
Todos los certificados de ID de desarrollador asociados se revocan.
Se emiten tiques de revocación de certificación para todos los archivos (apps y archivos asociados).
Se desarrollan y publican firmas de XProtect.
Estas firmas también se aplican con efectos retroactivos a software certificado con anterioridad y, si se detecta algo nuevo, pueden producirse una o varias de las acciones anteriores.
En última instancia, la detección de un software malicioso pone en marcha una serie de pasos durante los segundos, horas y días siguientes para propagar las mejores medidas de protección posibles para los usuarios de Mac.