Qué se debería haber hecho al encontrar el error grave de seguridad en macOS High Sierra

Qué se debería haber hecho al encontrar el error grave de seguridad en macOS High Sierra

32 comentarios Facebook Twitter Flipboard E-mail
Qué se debería haber hecho al encontrar el error grave de seguridad en macOS High Sierra
Actualización: Apple ha lanzado un parche de seguridad para macOS que corrige este problema. Instálalo en tu equipo cuanto antes.

Ayer se descubrió un error de seguridad muy grave en macOS High Sierra, que describimos en Applesfera junto con su solución. Este error permite a un usuario que actúa como invitado en un Mac con High Sierra crear un perfil bajo el nombre "root" con permisos de administrador sin necesidad de ninguna contraseña. Con independencia de la severa e inexcusable gravedad del error, la forma en que se ha informado de él no ha sido la correcta por parte del usuario que lo ha encontrado. 

Un "protocolo" para minimizar riesgos públicos

login

En este tipo de temas, existe un periodo de gracia que se concede a las compañías tecnológicas responsables de sistemas operativos, servicios online y software. Por lo general, cuando alguien descubre un error o vulnerabilidad se suele informar en privado a la compañía afectada. La intención es que ese error de seguridad pueda corregirse lo antes posible sin hacerlo público, evitando que se expanda su uso antes de que exista una solución a disposición del público.

Aunque haya grupos criminales, gobiernos o usuarios que ya lo estén explotando, hacerlo público lo único que consigue es atraer más atención al error y que se utilice aún más. Aquí hay también una norma no escrita de conceder alrededor de 60 días para su corrección según recomienda el blog de Google, tiempo tras el cual quien descubrió el error puede hacerlo público. Esta sería un arma de último recurso, para obligar a la empresa responsable a corregirlo consiguiendo presión exterior.

Otros errores de seguridad en iOS se hicieron públicos una vez que se había lanzado un parche que los arreglaba

En el caso de Apple, hace poco más de un año vimos el célebre Pegasus, un conjunto de exploits en iOS 9 que permitía a quien los conocía enviar un enlace a la víctima que si se pinchaba, otorgaba control sobre cámaras, GPS y micrófonos del dispositivo atacado. Los descubridores de estos errores informaron a Apple, que lanzó con rapidez y de forma inesperada iOS 9.3.5 corrigiendo el problema.

microsoft

Otro caso sonado sucedió el año pasado, cuando Google publicó un fallo crítico de Windows tan sólo 10 días después de informar a la compañía fundada por Bill Gates. Microsoft tardó otros 20 días adicionales en lanzar un parche que solucionaba este y otros errores en su sistema operativo. Google fue criticada en su momento por no conceder más tiempo a Microsoft y haber esperado a que tuvieran listo el parche, ya que abrió una ventana de tiempo en que los equipos afectados no tenían solución posible.

Un vistazo a…
Cómo mejorar la SEGURIDAD EN INTERNET VPN, DNS y páginas con HTTPS

Cómo notificar errores de seguridad a Apple

error

Divulgar un error sin esperar a un parche de seguridad no es inusual. Se suele hacer cuando se ha informado a la compañía afectada y ésta ignora o no se toma en serio el problema para forzar su actuación. Sin embargo, en el caso del error descubierto ayer, el desarrollador no siguió este protocolo y no concedió a Apple la cortesía de notificarlo por las vías adecuadas.

Decidió hacerlo público en Twitter en el instante que lo descubrió, exponiendo a más usuarios al riesgo de este error que, por supuesto, es responsabilidad exclusiva de Apple. Una vez que descubres el error de seguridad lo normal es otorgar la cortesía a la compañía para arreglarlo en un tiempo razonable. En el caso de encontrar agujeros de seguridad, se puede notificar a Apple siguiendo estos pasos:

Hay una manera de notificar errores de seguridad a Apple directamente mediante un email, antes de hacerlo público
  • Escribir un email a security@apple.com especificando el problema.

  • Tras su envío, deberías recibir un email automático de respuesta. Si no lo recibes, comprueba la dirección de nuevo.

  • Puedes cifrar información sensible en tu email siguiendo esta guía.

Además de seguir esta forma de notificación de fallos de seguridad, Apple informa que:

Con el fin de proteger a nuestros clientes, por lo general Apple no divulga, debate o confirma problemas de seguridad hasta que se ha realizado una investigación completa y se han publicado los parches o actualizaciones pertinentes.

Los fallos de seguridad son demasiado importantes como para hacerlos público sin notificarlo antes a la compañía afectada, dándole la oportunidad de resolverlos antes de que quienes no lo conocían se aprovechen. En este caso, el desarrollador que lo ha encontrado debería haber acudido antes a Apple. Cosa que, por la razón que sea, no hizo.

Cómo corregir el error hasta que Apple publique una actualización

iMac

Apple ha respondido oficialmente que está "trabajando en una actualización de software para resolver este problema". Mientras tanto, ha dado a conocer una guía para corregirlo. Para activar el usuario root, puedes seguir los pasos descritos en este documento de seguridad publicado por Apple en español.

Una vez hecho esto o si ya tenías activado este usuario, tendrás que seguir estos pasos para cambiar su contraseña (aquí las instrucciones originales en inglés):

  1. En tu Mac, ve al menú Apple (?) > Preferencias de Sistema > Usuarios y grupos.

  2. Haz click en el candado, después introduce el nombre del administrador y la contraseña.

  3. Ve a Opciones de inicio.

  4. Haz click en unirse o editar.

  5. Ve a la app Directory Utility.

  6. Después, hacemos clic en el candado en la esquina inferior izquierda, para poder hacer cambios. En la ventana emergente, ingresamos nuestro nombre de usuario y contraseña, para luego hacer clic en Modificar configuración.

  7. Después de esto, hacemos clic en Editar en la barra de menú y seleccionamos Cambiar contraseña de root.

  8. En la ventana emergente, ingresamos una contraseña y la verificamos, para luego hacer clic en Aceptar.

  9. En la ventana principal de Directory Utility, hacemos clic en el candado para bloquearlo nuevamente y evitar más cambios.

  10. Finalmente, salimos de Directory Utility y hemos quedado protegidos de la vulnerabilidad.

Con esto estarás protegido de la vulnerabilidad encontrada ayer en macOS High Sierra, hasta que Apple lance una actualización oficial que corrija el problema.

En Applesfera | Descubierta una vulnerabilidad que da acceso como administrador en macOS High Sierra.

Comentarios cerrados
Inicio