Protección mediante contraseña de firmware en un Mac basado en Intel
macOS en ordenadores Mac basados en Intel con un chip de seguridad T2 de Apple admite el uso de una contraseña de firmware para ayudar a evitar modificaciones no deseadas de los ajustes del firmware en un Mac concreto. La contraseña de firmware está diseñada para evitar la selección de modos de arranque alternativos, como arrancar en un sistema operativo de recuperación o en el modo de usuario único, arrancar desde un volumen no autorizado o arrancar en la modalidad de disco de destino.
Nota: La contraseña de firmware no se requiere en un Mac con chip de Apple, ya que la funcionalidad de firmware crítica que restringía se ha trasladado al sistema operativo de recuperación y, cuando FileVault está activado, este sistema requiere que el usuario se autentique para que pueda accederse a la funcionalidad crítica.
El modo más básico de contraseña de firmware se puede localizar en la Utilidad de contraseña de firmware del sistema operativo de recuperación en un Mac basado en Intel sin chip de seguridad T2, y en la Utilidad de Seguridad de Arranque en un Mac basado en Intel con un chip T2. Las opciones avanzadas (como la posibilidad de pedir que se introduzca la contraseña en cada proceso de arranque) están disponibles en la herramienta de línea de comandos firmwarepasswd en macOS.
Establecer una contraseña de firmware resulta especialmente importante para reducir el riesgo de ataques en ordenadores Mac basados en Intel sin un chip T2 de un atacante presente físicamente. La contraseña de firmware puede ayudar a impedir que un atacante arranque el sistema operativo de recuperación, desde donde podría desactivar la protección de la integridad del sistema (SIP). Al restringir el proceso de arranque desde soportes alternativos, un atacante no puede ejecutar código privilegiado desde otro sistema operativo para atacar los firmwares periféricos.
Hay un mecanismo de restablecimiento de la contraseña de firmware para ayudar a los usuarios que han olvidado su contraseña. Los usuarios pulsan una combinación de teclas durante el proceso de arranque y se les presenta una cadena específica del modelo que deben proporcionar a AppleCare. AppleCare firma digitalmente un recurso y el identificador uniforme de recursos (URI) comprueba esta firma. Si se valida la firma y el contenido es para ese Mac concreto, el firmware de UEFI elimina la contraseña de firmware.
Para los usuarios que no quieren que otra persona elimine su contraseña de firmware mediante software, se ha añadido la opción -disable-reset-capability a la herramienta de línea de comandos firmwarepasswd en macOS 10.15. Antes de establecer esta opción, los usuarios deben reconocer que, si olvidan la contraseña y necesitan su eliminación, el usuario debe asumir el coste de la sustitución de la placa lógica, algo necesario para conseguirlo. Las organizaciones que quieren proteger sus ordenadores Mac de los ataques externos y de los empleados deben establecer una contraseña de firmware en los sistemas que pertenezcan a la organización. Esto puede realizarse en el dispositivo de las siguientes maneras:
de forma manual, en el momento de la instalación, mediante la herramienta de línea de comandos
firmwarepasswd;mediante herramientas de gestión de terceros que usan la herramienta de línea de comandos
firmwarepasswd;usando la gestión de dispositivos móviles (MDM).