Seguridad del sistema de watchOS
El Apple Watch usa muchas de las mismas funciones de seguridad de la plataforma basadas en hardware que iOS y iPadOS. Por ejemplo, el Apple Watch:
Realiza arranques seguros y actualizaciones de software seguras.
Mantiene la integridad del sistema operativo.
Ayuda a proteger los datos, tanto en el dispositivo como al comunicarse con un iPhone enlazado o en internet.
Entre las tecnologías compatibles se encuentran aquellas indicadas en Seguridad del sistema (por ejemplo, KIP, SKP y SCIP), así como Protección de datos, el llavero y tecnologías de red.
Actualizar watchOS
watchOS se puede configurar para que la actualización se instale durante la noche. Si quieres obtener más información acerca de cómo se almacena el código del Apple Watch y cómo se usa durante la actualización, consulta Repositorios de claves.
Detección de muñeca
Si la detección de muñeca está activada, el dispositivo se bloquea automáticamente poco después de que el usuario se lo quite de la muñeca. Si la detección de muñeca está desactivada, el centro de control ofrece una opción para bloquear el Apple Watch. Cuando el Apple Watch se bloquea, solo se puede utilizar el servicio Apple Pay si se introduce el código en el Apple Watch. La detección de la muñeca se desactiva mediante la app Apple Watch del iPhone. Este ajuste también se puede aplicar a través de un servicio de gestión de dispositivos.
Bloqueo de activación
Cuando Buscar se activa para un iPhone, el Apple Watch enlazado también puede usar el bloqueo de activación. El bloqueo de activación dificulta el uso o venta del Apple Watch en caso de pérdida o robo. El bloqueo de activación requiere la cuenta de Apple y la contraseña del usuario para desenlazar, borrar o reactivar el Apple Watch. Para obtener más información, consulta Seguridad del bloqueo de activación.
Enlace seguro con el iPhone
El Apple Watch solo se puede enlazar con un iPhone cada vez. Al desenlazar el Apple Watch, el iPhone comunica instrucciones para borrar todo el contenido y los ajustes del reloj.
El enlace entre el Apple Watch y el iPhone se protege mediante un secreto codificado en un patrón animado que muestra el Apple Watch y que captura la cámara del iPhone. También está disponible un PIN de seis dígitos como método de enlace alternativo, si fuera necesario. La forma en que se utiliza el secreto o el PIN depende de la versión del sistema operativo que se esté ejecutando en el Apple Watch y en el iPhone.
Cuando el Apple Watch con watchOS 26 o posterior se enlaza al iPhone con iOS 26 o posterior, el enlace se lleva a cabo mediante el intercambio de claves a través de una conexión IKEv2 segura. Esta conexión se autentica usando el sistema de autenticación PSK estándar con el secreto codificado en el patrón animado o mediante un secreto específico de la conexión derivado del PIN mediante el protocolo SPAKE2+. Se usa ML-KEM-1024 para proporcionar seguridad cuántica, además de la seguridad que proporciona el protocolo Diffie-Hellman de curva elíptica.
Una vez establecida la conexión, cada dispositivo genera pares de claves públicas y privadas Ed25519 aleatorias y se intercambian las claves públicas. Las claves privadas se basan en el procesador Secure Enclave del Apple Watch. Esto no es posible en el iPhone, puesto que un usuario que restaure su copia de seguridad en iCloud al mismo iPhone conserva el enlace existente con el Apple Watch sin necesidad de llevar a cabo una migración. Cada dispositivo también genera e intercambia secretos para el enlace fuera de banda de BLE 4.1.
Cuando el Apple Watch y el iPhone tienen versiones de software anteriores, el secreto codificado en el patrón animado se usa para el enlace fuera de banda de BLE 4.1, y el PIN de seis dígitos se usa para el enlace mediante introducción de la llave de acceso de BLE estándar. Tras establecer la sesión de BLE y encriptarla mediante el protocolo de máxima seguridad disponible en Bluetooth Core Specification, el iPhone y el Apple Watch intercambian claves de una de estas maneras:
Un proceso adaptado del Servicio de identidad (IDS) de Apple, tal y como se describe en la Descripción general de la seguridad de iMessage.
Un intercambio de claves mediante IKEv2/IPsec. El intercambio de claves inicial se autentica mediante la clave de la sesión Bluetooth (para escenarios de emparejamiento) o las claves de IDS (para escenarios de actualización del sistema operativo). Cada dispositivo genera un par de claves pública y privada Ed25519 y, durante el proceso de intercambio de claves inicial, se intercambian las claves públicas. Cuando un Apple Watch con watchOS 10 o posterior se enlaza por primera vez, las claves privadas se basan en el procesador Secure Enclave.
En un iPhone con iOS 17 o posterior, las claves privadas no se basan en el procesador Secure Enclave, puesto que un usuario que restaure su copia de seguridad en iCloud al mismo iPhone conserva el enlace existente con el Apple Watch sin necesidad de llevar a cabo una migración.
Nota: El mecanismo usado para el intercambio de claves y la encriptación varía en función de las versiones del sistema operativo del iPhone y el Apple Watch. Un iPhone con iOS 13 o posterior al enlazarse con un Apple Watch con watchOS 6 o posterior solo usa IKEv2/IPsec para el intercambio de claves y la encriptación.
Una vez intercambiadas las claves:
La clave de la sesión Bluetooth se descarta y todas las comunicaciones entre el iPhone y el Apple Watch se encriptan mediante uno de los métodos indicados anteriormente, con los enlaces encriptados de datos móviles, Bluetooth y Wi-Fi que proporcionan una capa de encriptación secundaria.
La dirección del dispositivo BLE también se cambia a intervalos de 15 minutos para reducir el riesgo de que se rastree localmente el dispositivo si alguien transmite un identificador persistente.
(Solo IKEv2/IPsec) Las claves se almacenan en el llavero del sistema y se utilizan para autenticar futuras sesiones de IKEv2/IPsec entre los dispositivos. La encriptación entre los dispositivos depende del hardware y los sistemas operativos:
Un iPhone con iOS 26 o posterior enlazado con un Apple Watch con watchOS 26 o posterior usa ML-KEM-768 para proporcionar seguridad cuántica, además de la seguridad que proporciona el protocolo Diffie-Hellman de curva elíptica.
Un iPhone con iOS 15 o posterior enlazado con un Apple Watch Series 4 o posterior con watchOS 8 o posterior está protegido mediante la encriptación y el uso de AES-256-GCM.
En dispositivos más antiguos o con versiones más antiguas del sistema operativo se utiliza ChaCha20-Poly1305 con claves de 256 bits.
Para respaldar las apps que necesitan datos de transmisión en tiempo real, la encriptación se realiza mediante los métodos descritos en Seguridad de FaceTime, que hacen uso del servicio de identidad (IDS) de Apple proporcionado por el iPhone enlazado o de una conexión directa a internet.
El Apple Watch implanta almacenamiento encriptado en el hardware y protección basada en clases de los archivos e ítems del llavero. Además, también se usan repositorios de claves con control de acceso para los ítems del llavero. Las claves que se utilizan para establecer comunicaciones entre el Apple Watch y el iPhone también se aseguran mediante la protección basada en clases. Para obtener más información, consulta Repositorios de claves para Protección de datos.
Aprobar en macOS con el Apple Watch
Cuando se activa el desbloqueo automático con el Apple Watch, se puede usar el Apple Watch en lugar de o junto con Touch ID para aprobar las solicitudes de autorización y autenticación de:
macOS y las apps de Apple que solicitan autorización
Apps de terceros que solicitan autenticación
Contraseñas guardadas de Safari
Notas seguras
Uso seguro de Wi-Fi, datos móviles, iCloud y Gmail
Cuando el Apple Watch no se encuentre dentro del alcance de Bluetooth, se puede usar Wi-Fi o datos móviles en su lugar. El Apple Watch se conecta automáticamente a redes Wi-Fi a las que ya se ha unido anteriormente el iPhone enlazado y cuyas credenciales se hayan sincronizado con el Apple Watch mientras ambos dispositivos estaban dentro de su radio de alcance. Este comportamiento de conexión automática puede configurarse para cada red en la sección Wi-Fi de la app Ajustes del Apple Watch. En el caso de redes Wi-Fi a las que nunca se ha conectado ningún dispositivo, es posible acceder manualmente en la sección Wi-Fi de la app Ajustes del Apple Watch.
Si el Apple Watch y el iPhone no están en el mismo radio de alcance, el Apple Watch se conecta directamente a servidores de Gmail y iCloud para obtener el correo, en lugar de sincronizar los datos del correo con el iPhone enlazado a través de internet. Con cuentas de Gmail, el usuario debe autenticarse en Google en la sección Mail de la app Watch del iPhone. El identificador OAuth recibido de Google se envía al Apple Watch encriptado a través del servicio de identidad (IDS) de Apple, de forma que puede usarse para obtener el correo. Este identificador OAuth nunca se utiliza para la conexión con el servidor de Gmail desde el iPhone enlazado.