El pasado mes de noviembre, a raíz de una caída de los servidores de Apple, varios usuarios notaron que algunas apps de sus ordenadores tardaban más de lo normal en abrirse. Poco después supimos que este era el comportamiento normal de Gatekeeper, una función del Mac diseñada para evitar la ejecución de software inseguro. La situación dio pie a descubrir que el funcionamiento del protocolo de seguridad podía ser mejor y Apple se comprometió públicamente a realizar los cambios y mejoras necesarias. Hoy con la segunda beta de macOS 11.2 llega una de ellas.

La importancia de las conexiones imprescindibles para el funcionamiento de un Mac

En macOS Big Sur Apple concedió a algunos servicios esenciales del propio sistema la posibilidad de conectarse a internet sin tener que pasar por los firewalls que, como usuarios, pudiéramos instalar. La intención de este diseño era garantizar que el App Store, FaceTime o el servicio de actualizaciones, por ejemplo, tuvieran siempre acceso a los servidores para realizar sus funciones, algo que se lograba con un archivo llamado "ContentFilterExclusionList" que contenía la lista de servicios excluidos de la necesidad de pasar por firewall.

La idea era buena, poder garantizar que algunos servicios básicos sigan funcionando en todo momento es sin duda positivo. De un plumazo resolvía que, por error en alguna configuración de una app de firewall, pudiéramos bloquear esas conexiones de forma indeseada. Y donde aún era mejor idea era frente a determinados malware que bloquean las actualizaciones del sistema para evitar ser eliminados.

Omg we did it! 🤩

Thanks to the community feedback (and ya, bad press) Apple decided to remove the ContentFilterExclusionList (in 11.2 beta 2)

Means socket filter firewalls (e.g. LuLu) can now comprehensively monitor/block all OS traffic!!

Read more: https://t.co/GJXkRA31e7 https://t.co/BCPqdCjkV0

— patrick wardle (@patrickwardle) January 13, 2021

Sin embargo, este sistema impedía que, como usuarios, pudiéramos monitorizar ese tráfico: conocer las conexiones, saber cuántos datos se destinan a ellas, la IP a la que se comunican, etc. Ante esta situación Apple ha decidido retirar la lista de exclusión. Esto significa que como usuarios tenemos el control total sobre esas conexiones. Un control que hay que ejercer con cautela para garantizar el buen funcionamiento del equipo y que podremos llevar a cabo con firewalls de terceros como LuLu o Little Snitch.

En Applesfera

Apple lanza un programa de igualdad y justicia racial con varios proyectos de primer nivel en Estados Unidos

Está claro que mantener la seguridad de un sistema informático significa actualizarlo y mejorarlo continuamente. Al final, un buen sistema de seguridad tiene que ser equilibrado en cuanto a usabilidad y protección.

Todos los modelos de Mac desde hace bastantes años vienen con una función poco conocida y tremendamente útil: el firewall. Con esta herramienta podemos restringir qué apps en nuestro ordenador reciben conexiones de red, un acceso de vital importancia si hablamos de seguridad.

Hablando de firewalls, hay soluciones de terceros que nos ofrecen bastantes más funciones que el firewall del sistema, sin embargo, en este artículo hablaremos solo del firewall integrado, ya que está presente en todos nuestros ordenadores sin tener que escoger, comprar ni instalar nada.

Por cierto, antes de entrar en materia, un firewall, que traducimos como "cortafuegos", es un software que se ocupa de gestionar las conexiones de red de un sistema operativo. Con este software podemos establecer reglas para las conexiones, puertos, aplicaciones, protocolos, etc.

Cómo activar y configurar el firewall

Primero activaremos el firewall que, en algunos modelos, puede venir desactivado de forma predeterminada. Los pasos son los siguientes:

1. En el menú Apple () elegimos Preferencias del Sistema.
2. Entramos en Seguridad.
3. Entramos en la pestaña Firewall.
4. Tocamos Activar firewall.

Ahora que tenemos el firewall activado lo configuraremos para que nos ofrezca la mejor protección posible. Tocamos Opciones de firewall y nos aparecen una serie de opciones, veamos qué significan y la configuración recomendada:

• Bloquear todas las conexiones entrantes (Desactivado): Como su propio nombre indica, con esta opción bloqueamos todas las conexiones entrantes salvo aquellas imprescindibles para tener conexión a internet. Activar esta opción causa que el ordenador opere en mínimos, por lo que recomendamos dejarla desactivada.
• [Lista de aplicaciones y conexiones]: En este apartado vemos todas las "excepciones" que hemos otorgado al firewall. Pueden ser para permitir el acceso o para denegarlo. La recomendación con esta sección es que seleccionemos cualquier app o servicio del que no reconozcamos el nombre y toquemos el "-" que aparece debajo para eliminarlo. Si la app realmente necesita la conexión nos pedirá permiso de nuevo.
• Permitir automáticamente que el software integrado reciba conexiones entrantes (Activado): Le indica al firewall que todas las apps y servicios que vienen con el ordenador, es decir las que ha creado Apple, puedan recibir conexiones sin tener que preguntarnos. Activamos esta opción para permitir que apps como Música, TV, el App Store, o Mail, por citar algunos ejemplos, funcionen adecuadamente sin requerir nuestro permiso.
• Permitir automáticamente que el software firmado descargado reciba conexiones entrantes (Desactivado): Con esta opción daríamos acceso a la red a cualquier app descargada, siempre que esté firmada. Ya hemos visto en el pasado que el proceso de firmas, aunque útil, tampoco es infalible, por lo que desactivaremos esta opción y otorgaremos permisos manualmente.
• Activar modo encubierto (Activado): Indica al Mac que ignore o no acepte peticiones de acceso al ordenador desde la red, desde un sencillo Ping hasta accesos de otros tipos. Activaremos este ajuste, especialmente si usamos nuestro ordenador conectado a la red del trabajo o universidad.

En Applesfera

Así he hecho un Time Lapse de 365 días con el iPhone y dos sencillos atajos

Fácil, ¿verdad? Con estos sencillos pasos habremos logrado aumentar considerablemente la seguridad de nuestro ordenador sin reducirle ninguna funcionalidad.

Lockdown es una app de firewall de código abierto que se presentó el verano pasado para iPhone y iPad y que ahora llega a nuestro Mac. Esta app permite bloquear anuncios y rastreadores en sitios web y en otras apps realizando todas las acciones en el dispositivo y sin comunicarse con ningún servicio online.

Bloqueo de dominios, también para apps

Lockdown nos permite bloquear cualquier conexión a cualquier dominio tanto durante la navegación en Safari como cuando usamos otras aplicaciones con una precisión tal que podemos especificar incluso las diferentes direcciones IP que deseamos bloquear.

Mientras si no deseamos entrar en tantos detalles podemos usar las reglas preconfiguradas en la app que se agrupan en los siguientes apartados:

• Clickbait
• Mineria de criptomonedas
• Rastreadores de correos.
• Apps de Facebook.
• Rastreadores de Facebook.
• Anuncios en juegos.
• Rastreadores para marketing.
• Ransomware
• Rastreadores de Snapchat.

Podemos activar o desactivar cualquier de estos grupos de reglas con un sencillo clic en la app y pasado un tiempo de uso podremos consultar las estadísticas de bloqueo para ver que servicios han intentado establecer conexión sin éxito gracias a la app.

Código abierto y modelo de negocio transparente

Cuando tenemos que escoger una de las muchas apps y servicios que protegen nuestra actividad y nos otorgan privacidad es importante evaluarlos cuidadosamente. No sería la primera vez que servicios gratuitos realizan un minado de datos que puede, en algunos casos, ser más intensivo que el presente en internet de forma natural.

La app está desarrollada por el mismo equipo (el CEO de Duet Display Rahul Dewan y el ex-ingeniero de iCloud Johnny Lin) que creó Confirmed VPN el primer VPN de código abierto para iOS y para Mac y ofrece garantías para que la podemos considerar un buen servicio.

La elección de publicar todas sus apps como código abierto permite a los desarrolladores y expertos en seguridad del mundo analizar exactamente el comportamiento de la app y detectar no solo si la app cumple estrictamente con lo prometido sino cualquier error que pudiera llevar a debilitar la seguridad de la misma.

El el campo del modelo de negocio de la app ofrece los servicios de firewall de forma totalmente gratuita mientras el uso de la red Confirmed VPN supone una tarifa de 5 dólares la mes. Esta suscripción mensual, a nivel de ingresos, justifica que la empresa pueda ofrecer un servicio gratuitamente sin tener que recorrer a nuestros datos para tener beneficios.

La elección de si confiar en una app o servicio es, al final, muy personal, pero con Lockdown el equipo hace un ejercicio de transparencia que nos permite tomar una decisión informada.

En Applesfera

Las amenazas de malware en Mac superaron a las de PC en 2019, con el ‘adware’ como principal protagonista

Podemos descargar Lockdown gratuitamente en la Mac App Store y consultar sus registros y auditorías en su página web.

Más información | Lockdown

Como supondrás, a lo largo del día una gran cantidad de aplicaciones se conectan a Internet en tu Mac. Safari o similares es obvio, porque su misión es ofrecerte una navegación por Internet. Pero existen otras que también hacen uso de la conexión a Internet sin ni siquiera avisarte. Por ejemplo Photoshop ejecuta comandos en Internet, y en realidad es una herramienta de edición fotográfica.

Si quieres evitar este tipo de conexiones lo lógico es bloquear el acceso a hosts desde el Terminal. Esto no es algo sencillo a no ser que seas un usuario más avanzado y tengas una mínima idea de código. Si no es así, lo que puedes hacer es utilizar algún programa que haga de firewall, como por ejemplo Radio Silence.

La misión de Radio Silence es muy clara, mostrarte qué aplicaciones se conectan a Internet desde tu sistema operativo y bloquear las que no quieres que lo hagan. En otras palabras, Radio Silence te permite gestionar que aplicaciones tienen acceso a Internet para evitarte actualizaciones innecesarias, ejecuciones en segundo plano y gasto de banda ancha.

Realmente en la mayoría de aplicaciones que instalas puedes configurar si les permites o no acceder a Internet. Fíjate que muchas te preguntan si quieres enviar datos anónimos de uso a la empresa. Esto lo hacen para mejorar la experiencia de usuario gracias al uso que se da del programa en concreto. Sea como sea, siempre viene bien tener el control de todas las aplicaciones con acceso a Internet.

Radio Silence se ejecuta de forma directa y no gasta casi recursos del sistema. Al abrir la aplicación te encontrarás en la pestaña de Firewall, donde hay una lista de aplicaciones bloqueadas (o en la lista negra). La lista al inicio está vacía, así que tendrás que seleccionar qué aplicaciones de las instaladas quieres añadir. La otra pestaña disponible es la de Network Monitor, que muestra en tiempo real las aplicaciones y servicios de OS X conectados a Internet y qué actividades están realizando.

Si quieres probar Radio Silence puedes descargar gratis la versión de prueba y utilizar el programa durante unos días. Si te convence puedes adquirir una licencia por 9 dólares, un precio nada descargado para la utilidad que ofrece. Pero si no te convence, adelante con el Terminal de OS X.

Little Snitch es una de las aplicaciones indispensables que siempre he instalado en todos y cada uno de los Mac que he tenido. La posibilidad de estar informados de de cualquier intento de conexión a internet que hagan las aplicaciones que tenemos en nuestro Mac ya es motivo suficiente para ello. Hoy acaba de aparecer en su web la noticia de una prerelease de Little Snitch 3 que viene cargada de novedades.

La aplicación actúa además como cortafuegos, tanto de las aplicaciones que tenemos instaladas como desde las conexiones del exterior. Podemos asignar reglas a las aplicaciones para limitar la conexión a internet de las mismas. Y en esta nueva versión tenemos un nuevo Monitor de Red, con una interfaz totalmente en negro que le sienta bastante bien.

Una lista de las principales novedades:

• Nuevo Monitor de Red

• Firewall para conexiones entrantes

• Perfiles

• Modo silencioso

• Alerta de conexión simplificada

• Firewall for incoming connections

• Interfaz de configuración rediseñada

• Analizador de reglas

• Sugerencias de reglas

• Clasificación de reglas por precedencia

• Reglas basadas en dominio mediante Alerta de conexión

• Reglas de proceso del sistema

• Solicitud de reglas

• Reglas temporales y de selección de múltiples destinos

• Mejoras en el menú de estado

Cuando instalemos la aplicación nos pedirá reiniciar el equipo. Cuando lo hagamos Little Snitch entrará en funcionamiento y nos preguntará por los programas que tenemos abiertos y qué reglas queremos añadirles para sus conexiones a internet, como podemos ver a continuación.

Aquí podemos ver la configuración para Tweetbot, el cliente de Twitter que utilizo actualmente y que se arranca en el inicio de mi Mac. Así, para los programas que nos ofrezcan confianza indicaremos que permitimos sus conexiones siempre para los puertos y protocolos que utilizan habitualmente.

Aunque sea un poco pesado ir dando permisos a las aplicaciones, conseguiremos tener un control total sobre qué conexiones se realizan a internet. El Monitor de Red es una pequeña joya en si misma, que nos da información de qué conexiones realiza cada una de las aplicaciones en ejecución, así como el volumen de datos recibido y transmitido por cada una de ellas.

Y no sólo eso, sino que además en el gráfico de utilización, que en realidad es una línea de tiempos con todas las transmisiones realizadas, veremos qué aplicaciones hemos abierto y cuántos datos han transmitido. También podemos ir con el ratón por la gráfica, ofreciendo todo tipo de información detallada.

La configuración de Little Snitch daría para varias entradas en Applesfera. Pero tranquilos, que también han pensado en los usuarios con menos conocimientos para que dicha configuración sea lo más sencilla posible.

En definitiva, Little Snitch es un cortafuegos tradicional que nos sirve además para ver qué conexiones se originan en nuestro ordenador. Gracias a las reglas que configuramos, Little Snitch realizará las acciones oportunas. Es muy versátil y, como todo está configurado mediante reglas personalizadas, permite un control total de todo lo que pasa en nuestro ordenador en cuanto a la conexión de red se refiere.

La actualización a la versión 3.0 tiene un coste de 14,95 euros, mientras que una nueva licencia cuesta 29,95 euros. Ah, y si lo habías comprado recientemente la actualización es gratuita. También podemos descargarnos la aplicación y probarla durante 3 horas de forma totalmente funcional. Recomendado.

Vía | MacUpdate
Más información | Little Snitch
En Applesfera | Little Snitch 2.0 ya disponible

Hands Off! es una aplicación que nos permite controlar las conexiones a internet que las aplicaciones instaladas en nuestro equipo realizan. Pudiendo definir reglas de forma personalizada para cada aplicación.

Cuando una aplicación accede a internet Hands Off! muestra una ventana en la que podemos dar permiso o no, incluso si queremos que el acceso sea permitido sólo una vez, hasta que cerremos la aplicación o para siempre.

Si os ha venido a la mente Little Snitch es normal. Ambas aplicaciones ofrecen opciones similares con la diferencia de algunas características únicas de la aplicación de Metakine. Y es que Hands Off! permite bloquear no sólo las conexiones salientes sino las entrantes también, bloquear la solución de nombres de dominio y las más interesantes: prevenir el acceso a nuestros archivos por parte de aplicaciones (evitando el acceso no autorizado a datos) y bloquear las operaciones lectura y escritura.

El precio de Hands Off! es de 20 euros, diez menos comparados con los 29,90 de Little Snitch. Lo que sumado a sus prestaciones adicionales hacen de Hands Off! un duro competidor y la aplicación más recomendable en estos momentos si queremos tener el control de las conexiones a internet que nuestras aplicaciones hacen.

Más información | Metakine
En Applesfera | Aumenta la seguridad de OS X

La Base Airport Extreme de Apple es realmente sencilla de configurar gracias a su utilidad de configuración. Pero esa simplicidad también es la causante de algún que otro quebradero de cabeza para algunos usuarios. Uno de los problemas surgen cuando queremos usarla junto a una consola de vídeojuegos.

Actualmente, el modo online en algunas plataformas necesita la apertura de puertos específicos según que juego. Estar todo el día abriendo puertos cada vez que tengamos un juego nuevo es algo tedioso. Por tanto, vamos a ver como sería configurar lo que en otros router se conoce como DMZ (Zona desmilitarizada).

Lo primero que haremos será que a nuestra vídeoconsola se le asigne siempre la misma IP. Esto podemos conseguirlo desde la configuración a internet de la consola, donde elegiremos configuración manual y añadiremos la IP (normalmente 192.168.x.x) que queramos tener como fija.

O a través de la Base Airport Extreme también podemos asignar una IP fija gracias a la opción de reservar IP. Esta se puede reservar gracias a la identifiación MAC de cada tarjeta de red.

Ahora veamos como permitir el tráfico en todos los puertos. En la Base Airport Extreme la opción “Activar Servidor por defecto” es lo que en la inmensa mayoría de routers conocemos como DMZ. Por tanto es ahí donde introduciremos la IP de la consola o equipo deseado.

Recordar que si lo asignáis a vuestro equipo deberéis tener cuidado pues si encima no tenéis contraseña de administrador/usuario se convertirá en un bonito lugar para pasear libremente entre todos vuestros archivos.

El firewall de Mac OS X Leopard que ha recibido algunas criticas por estar desactivado por defecto, ser demasiado permisivo con los recursos compartidos y la gestión poco completa desde el panel de preferencias, hace que algunos usuarios echen en falta opciones que si teníamos en Mac OS X Tiger.

Por ello y gracias a el friki conocemos que Hanynet ha desarrollado dos aplicaciones que nos permitirán tener un poco más de control.

• La primera NoobProof, es una utilidad para la mayoría de los usuarios. Su uso es sencillo, centrandose en seleccionar si permitimos o denegamos el acceso a internet de las aplicaciones.

  
  A parte de esto podemos abrir puertos de una forma más precisa. Por ejemplo, el firewall de Mac OS X permite añadir aplicaciones (sockets) y el se encarga de abrir los puertos oportunos. Con NoobProof podemos abrir un puerto o rango de puertos teniendo mayor control de lo que realmente va a tener acceso o no y por donde, independiente de la aplicación que usemos.

• La segunda es WaterRoof, inspirador de NoobProof, pero orientado a administradores de redes con experiencia. Las opciones que contempla son mayores permitiendo entre otras configuración NAT, redirección de puertos, reglas dinamicas y una mayor información de tipo informativa u estadística, además de convertir nuestro equipo en un autentico router.

  

Ambas aplicaciones son gratuitas, ya es cuestión de las necesidades de cada uno seleccionar una u otra. Muchos usuarios somos demasiado confiados por la confianza ciega que le tenemos a la seguridad de nuestro Mac OS X pero nunca está de más ser precavidos, sobre todo cuando no estamos en nuestra red privada, ¿no creéis?

Sitio Oficial | Hanynet Descarga | NoobProof Descarga | WaterRoof