Protección contra el malware en macOS
Apple opera un proceso de inteligencia de amenazas para identificar y bloquear rápidamente el malware.
Tres capas de defensa
Las defensas contra malware se estructuran en tres capas:
1. Evitar el arranque o ejecución de malware: App Store o Gatekeeper combinado con la certificación de apps.
2. Bloquear la ejecución de malware en sistemas de usuarios: Gatekeeper, la certificación de apps y XProtect.
3. Solucionar malware que se haya ejecutado: XProtect.
La primera capa de defensa está diseñada para inhibir la distribución de malware y evitar que se ejecute incluso una sola vez; y este es el objetivo de App Store, y de Gatekeeper en conjunto con la certificación de apps.
La siguiente capa de defensa ayuda a garantizar que si se detecta malware en cualquier Mac, este se identifica y bloquea rápidamente, tanto para detener la propagación así como corregir los sistemas de la Mac en donde ya se haya afianzado. XProtect agrega esta defensa, junto con Gatekeeper y la certificación de apps.
Por último, XProtect se ejecuta para gestionar el malware que haya logrado ejecutarse.
Estas protecciones, las cuales se explican con mayor detalle a continuación, trabajan en conjunto para ofrecer la mejor protección posible contra virus y malware. Existen protecciones adicionales, especialmente en computadoras Mac con Apple Chip, que limitan el daño potencial del malware que sí se ejecute. Consulta Protección del acceso de las apps a los datos de usuario para obtener información sobre las formas en que macOS puede ayudarte a proteger los datos de usuario del malware, así como la sección Integridad del sistema operativo para ver las formas en que macOS puede limitar las acciones que el malware puede realizar en el sistema.
Certificación
La certificación es un servicio de escaneo de malware proporcionado por Apple. Los desarrolladores que quieran distribuir apps para macOS fuera de App Store deberán enviar sus apps para escanearlas como parte del proceso de distribución. Apple escanea este software en busca de malware conocido y, si no se encuentra ninguno, emite un ticket de certificación. Normalmente, los desarrolladores anexan este ticket a su app para que Gatekeeper pueda verificar y ejecutarla, incluso cuando no se cuenta con conexión.
Apple también puede emitir un ticket de revocación para apps que se sabe que son maliciosas, incluso si se han certificado anteriormente. macOS comprueba periódicamente si hay tickets de revocación nuevos para que Gatekeeper tenga la información más reciente y pueda bloquear la ejecución de estos archivos. Este proceso puede bloquear rápidamente las apps maliciosas, ya que las actualizaciones ocurren en segundo plano con mucha más frecuencia que las actualizaciones en segundo plano que impulsan las firmas XProtect nuevas. Además, esta protección se puede aplicar tanto a las apps que se hayan certificado previamente, como a las que no.
XProtect
macOS incluye una tecnología antivirus incorporada llamada XProtect que utiliza firmas para la detección y eliminación de malware. El sistema utiliza firmas YARA, una herramienta que se utiliza para realizar una detección de malware basada en firmas que Apple actualiza periódicamente. Apple monitorea las nuevas infecciones y cepas de malware, y actualiza las firmas automáticamente (independientemente de las actualizaciones del sistema) para defender una computadora Mac de las infecciones de malware. XProtect detecta y bloquea automáticamente la ejecución de malware conocido. En macOS 10.15 o versiones posteriores, XProtect verifica las apps para detectar contenido malicioso cada vez que ocurra lo siguiente:
Se ejecuta una app por primera vez.
Se modifica una app (en el sistema de archivos).
Se actualizan las firmas XProtect.
Cuando XProtect detecta malware conocido, el software se bloquea y se le notifica al usuario, quien recibe la opción de mover el software al Basurero.
Nota: la certificación es eficaz contra archivos conocidos (o hash de archivos) y se puede utilizar en apps que ya se han abierto anteriormente. Las reglas basadas en firmas de XProtect son más genéricas que un hash de archivo específico, por lo que puede encontrar variantes que Apple no ha detectado. XProtect sólo escanea apps que han cambiado o las apps que se abren por primera vez.
En caso de que algún malware llegue a la Mac, XProtect también incluye tecnología para corregir las infecciones. Por ejemplo, XProtect incluye un motor que corrige las infecciones mediante las actualizaciones entregadas automáticamente por Apple (como parte de las actualizaciones automáticas de los archivos de datos del sistema y las actualizaciones de seguridad). Este sistema elimina malware tras recibir información actualizada, y realiza revisiones periódicas en busca de infecciones; sin embargo, XProtect no reinicia de forma automática la Mac. Asimismo, XProtect contiene un motor avanzado que detecta malware desconocido basándose en análisis de comportamiento. La información sobre malware que detecta este motor, incluido el software responsable de haberlo descargado en última instancia, se utiliza para mejorar las firmas de XProtect y la seguridad de macOS.
Actualizaciones de seguridad automáticas para XProtect
Apple distribuye actualizaciones para XProtect de forma automática según la información más reciente sobre amenazas. De manera predeterminada, macOS verifica estas actualizaciones diariamente. Las actualizaciones de certificación de apps, las cuales se distribuyen a través de la sincronización de CloudKit, son mucho más frecuentes.
Cómo Apple responde cuando se descubre un nuevo malware
Cuando se detecta un malware nuevo, se pueden realizar varios pasos:
Se revocan todos los certificados de ID de desarrollador asociados.
Se emiten tickets de revocación de certificación para todos los archivos (apps y archivos asociados).
Se desarrollan y publican firmas XProtect.
Estas firmas también se aplican retroactivamente al software previamente certificado, y cualquier nueva detección puede ocasionar una o más de las acciones anteriores.
En última instancia, una detección de malware lanza una serie de pasos durante los próximos segundos, horas y días para propagar las mejores protecciones posibles a los usuarios de Mac.