Protección con contraseña del firmware en una Mac basada en Intel
El sistema macOS en computadoras Mac basadas en Intel y que cuentan con el chip de seguridad T2 de Apple es compatible con el uso de una contraseña para el firmware que tiene la finalidad de ayudar a evitar que se realicen modificaciones no intencionadas en la configuración del firmware de una Mac específica. La contraseña del firmware está diseñada para evitar la selección de modos de arranque alternativos, como arrancar en modo recoveryOS o en modo de un solo usuario, arrancar desde un volumen no autorizado, o dentro del modo de disco objetivo.
Nota: la contraseña de firmware no es necesaria en las computadoras Mac con Apple Chip, ya que la funcionalidad del firmware crítica que restringe se pasó a recoveryOS y, cuando FileVault está activado, recoveryOS requiere autenticación del usuario antes de que se pueda alcanzar su funcionalidad crítica.
El modo más básico de contraseña del firmware se puede obtener con Utilidad Contraseña Firmware de recoveryOS en computadoras Mac basadas en Intel que no tienen el chip T2; y desde Utilidad de Seguridad de Arranque en computadoras Mac basadas en Intel que sí tienen el chip T2. Hay opciones avanzadas (como la capacidad de solicitar la contraseña en cada arranque) disponibles en la herramienta de la línea de comandos firmwarepasswd en macOS.
Configurar una contraseña para el firmware es especialmente importante para reducir el riesgo de ataques en computadoras Mac basadas en Intel que no tienen el chip T2 por parte de atacantes físicamente presentes. La contraseña del firmware puede ayudar a evitar que un atacante arranque en recoveryOS, desde donde podría desactivar la protección de la integridad del sistema (SIP). Además, al restringir el arranque desde soportes alternativos, los atacantes no pueden ejecutar código privilegiado desde otro sistema operativo para atacar los firmwares periféricos.
Existe un mecanismo para restablecer la contraseña del firmware que ayuda a los usuarios que olviden la contraseña. Los usuarios presionan una combinación de teclas durante el arranque y se les brinda una cadena específica para el modelo, que deberán proporcionarle a AppleCare. AppleCare firma de forma digital un recurso, y el identificador de recurso uniforme (URI) verifica esta firma. Si la firma se valida, y el contenido es para la Mac específica, el firmware UEFI elimina la contraseña del firmware.
Para los usuarios que no quieran que nadie más que ellos pueda eliminar la contraseña de su firmware mediante software, se agregó la opción -disable-reset-capability a la herramienta de línea de comandos firmwarepasswd en macOS 10.15. Antes de configurar esta opción, los usuarios deben aceptar que en caso de que olviden la contraseña y se necesite eliminar, el usuario deberá cubrir los costos del reemplazo de la tarjeta madre necesario para lograr esto. Las organizaciones que deseen proteger sus computadoras Mac de atacantes externos y de empleados deben configurar una contraseña del firmware en los sistemas que son propiedad de la organización. Esto se puede lograr en el dispositivo de cualquiera de las siguientes formas:
Al momento de entregar la computadora, usando manualmente la herramienta de la línea de comandos
firmwarepasswd.Con herramientas de administración de terceros que usen la herramienta de la línea de comandos
firmwarepasswd.Usando la administración de dispositivos móviles (MDM).