Skip to Main Content

¿Está en peligro la seguridad de los Mac con Apple Silicon?

El MacBook Air, el MacBook Pro o el Mac mini, presentados en noviembre de 2020, representaron una importante transición para Apple. Los nuevos dispositivos, que funcionan con el sistema M1 de la compañía en un microchip (SoC), marcaron el inicio de un proceso de transición de dos años desde la arquitectura de Intel a los procesadores propios de Apple, conocidos como Apple Silicon. Apenas unos meses después, investigadores de seguridad informática detectaron el primer software malicioso capaz de ejecutarse de forma nativa en SoC M1.¿Qué implica para la seguridad de los Mac la transición a Apple Silicon y cómo se espera que evolucione el panorama de amenazas para Mac? Echemos un vistazo a los últimos tipos de software malicioso para Mac, Silver Sparrow, Pirrit y XCSSET, así como a las amenazas más generales para la seguridad de los Mac.

Funciones de seguridad en Apple Silicon

La historia de Apple Silicon comienza con el primer iPhone de la compañía, lanzado en 2010. Apple desarrolló sus propios chipsets, basados en arquitectura ARM para sus dispositivos móviles, wearables y dispositivos domésticos inteligentes. Sin embargo, los equipos MacBook e iMac han funcionado con procesadores Intel, basados en arquitectura de CPU x86 desde 2005, año en que la compañía abandonó los procesadores PowerPC de IBM. Ahora, con la adopción de Apple Silicon en la línea de Mac, Apple pretende reforzar su ecosistema estableciendo una arquitectura común en todas las gamas de productos Apple.

The 2020 editions of MacBook Air 13-inch, MacBook Pro, and Mac mini, powered by the M1 chip (source: Apple Newsroom).
Ediciones 2020 de MacBook Air de 13 pulgadas, MacBook Pro y Mac mini, que funcionan con el microchip M1 (fuente: Apple Newsroom).

Los chipsets basados en ARM de Apple son conocidos por su excelente seguridad y cifrado, de los que es responsable el coprocesador Secure Enclave. Secure Enclave se presentó por primera vez en el procesador Apple A7, cuando Apple revolucionó el mundo de los dispositivos móviles, al introducir Touch ID en el iPhone 5S. El coprocesador Secure Enclave incluye un gestor de claves, independiente del procesador principal y capaz de mantener la seguridad de operaciones criptográficas, aunque el kernel del dispositivo se vea comprometido. Junto con el cifrado AES de 256 bits, protege información privada, como los datos biométricos.

El nuevo microchip octa-core M1 de Apple incluye la versión más reciente de Secure Enclave, cifrado AES de 256 bits y un arranque seguro verificado por hardware, que comprueba que los programas que se cargan en el inicio solo contienen código aprobado por Apple. Como explica Apple: «El microchip M1 de Apple está diseñado para comprobar que la versión del software macOS cargada durante el inicio está autorizada por Apple, y sigue activo en segundo plano para proteger las autorizaciones establecidas para macOS mientras se ejecuta».

Como cualquier otro avance tecnológico, el nuevo microchip M1 con el que funcionan los últimos Mac ha llamado la atención de los desarrolladores. Los creadores de aplicaciones legítimas se han apresurado a hacerlas compatibles con los nuevos MacBooks, y los desarrolladores de software malicioso tampoco han perdido el tiempo. Aunque la arquitectura ARM no es tan popular como la arquitectura x86, el primer software malicioso nativo de M1 no tardó más que unos meses en aparecer: Silver Sparrow y Pirrit. La creencia de que los equipos de Apple son seguros por definición ha quedado varias veces en entredicho, y la agilidad con la que los distintos tipos de software malicioso para Mac se han adaptado a la nueva arquitectura vuelve a demostrar que los Mac también necesitan protección adicional.

Software malicioso nativo de Apple M1

Silver Sparrow

Descubierto por los investigadores de Red Canary en febrero de 2021, Silver Sparrow es un tipo curioso de software malicioso, ya que no contiene carga útil real, lo que implica que no tiene una funcionalidad concreta. Hasta el momento, los 40 000 equipos Mac infectados no se han visto afectados por componentes adicionales que se activan tras la descarga de Silver Sparrow. Los binarios suministrados eran simples «espectadores», como se refirió a ellos el equipo de investigación de Red Canary. Esto llevó a que algunos investigadores de seguridad informática hayan considerado que Silver Sparrow es una prueba de concepto sencilla que se propagó a un gran número de dispositivos. No obstante, esto no quiere decir que no sea una amenaza para la seguridad de Mac.

«Aunque Silver Sparrow aún parezca estar en las primeras etapas de desarrollo y actividad, el hecho de que pueda descargar y ejecutar binarios con discreción nos preocupa en términos de seguridad, pero también nos da pistas sobre el propósito de los atacantes: podrían usar este método para hacer evolucionar Silver Sparrow y transformarlo en una amenaza más seria o para descargar otras familias de software malicioso. Usarían así Silver Sparrow como canal de distribución de otros archivos maliciosos», afirma Bogdan Anghelache, del Laboratorio de protección de Avira.

Según el Laboratorio de protección de Avira, hay dos versiones de esta familia de software malicioso: una compilada en exclusiva para la arquitectura Intel x86_64 (que puede reconocerse por la cadena IOC agent_updater) y otra compilada tanto para la arquitectura Intel x86_64 como para la Apple M1 ARM (que puede reconocerse por la cadena IOC verx_updater).

Pirrit

Pirrit es un adware que lleva distribuyéndose como programa de utilidad desde 2016. Se hace pasar por reproductor de vídeo o lector de PDF e infecta dispositivos macOS y Windows. Tiene la capacidad de hacerse persistente, lo que quiere decir que se ejecuta en segundo plano creando un LaunchDaemon y simulando ser una aplicación legítima de Apple.

Pirrit se usa para espiar la actividad de navegación de los usuarios e insertar publicidad en el navegador. Tras su instalación, normalmente analiza las extensiones instaladas en Safari y las elimina. Al realizar sus actividades de espionaje e inyección de publicidad, Pirrit para OSX pasó de descargar e instalar inyecciones maliciosas en el navegador a modificar las propiedades internas de los distintos navegadores instalados, como Firefox o Chrome. También cambia el proveedor de búsquedas predeterminado del navegador por «tika-search.com» o «delta-search.com». Pirrit para OSX emplea un binario específico que se ejecuta en segundo plano para tomar el control del navegador y supervisar la actividad del usuario. Basándose en esa actividad (enlaces visitados, búsquedas, etc.), este componente malicioso inyecta publicidad en la página web o abre nuevas ventanas con un anuncio determinado.

XCSSET

Los desarrolladores de Apple usan Xcode, un entorno de desarrollo integrado de Apple que sirve para escribir código en aplicaciones para macOS. El año pasado, los investigadores de seguridad informática detectaron software malicioso en proyectos de Xcode y ahora este software malicioso también se ha abierto camino en los Mac con M1. Conocido como XCSSET, este software malicioso cuyo blanco son los desarrolladores de Mac puede secuestrar Safari, inyectar código JavaScript malicioso en sitios web o robar y cifrar los archivos del usuario.

Dado que los proyectos Xcode infectados se alteran para que ejecuten código malicioso, XCSSET no solo afecta al equipo de la víctima, sino al resto de usuarios a quienes los desarrolladores distribuyan su proyecto. Hay tantos desarrolladores que colaboran en plataformas como GitHub que el software malicioso puede propagarse con facilidad y generar ataques a cadenas de suministro.

¿Cómo se espera que evolucione el panorama de amenazas para Mac?

Apple acaba de iniciar su transición a los procesadores ARM para Mac, y las arquitecturas Intel x86 y ARM coexistirán durante bastante tiempo. Por el momento, la arquitectura x86 de Intel domina el mercado y, por tanto, el volumen de software malicioso dirigido a los dispositivos x86 es mucho mayor. Sin embargo, el interés de los ciberdelincuentes por la arquitectura ARM aumentará a medida que aumente el interés del público. Silver Sparrow, Pirrit o XCSSET no son más que las primeras de las muchas amenazas que afectarán a los Mac con ARM, lo cual pone en peligro la seguridad de los equipos Mac.

Es importante que los usuarios finales sean conscientes de todos los peligros que acechan en internet, desde los distintos tipos de virus y de software malicioso hasta la suplantación de identidad o los ataques más elaborados de ingeniería social. Si se conocen las ciberamenazas y las herramientas adecuadas para proteger dispositivos y datos, el riesgo de caer víctima de los ciberdelincuentes es bajo. Y para disfrutar de una mayor protección, no te olvides de echarle un vistazo a Avira Free Security para macOS.

Este artículo también está disponible en: InglésFrancésItalianoPortugués, Brasil