Códigos y contraseñas
Para proteger los datos de los usuarios de ataques malintencionados, Apple utiliza códigos de acceso en iOS y iPadOS, y contraseñas en macOS. Cuanto más largo sea un código de acceso o una contraseña, más segura será, y más fácil será disuadir los ataques de fuerza bruta. Para desalentar aún más los ataques, Apple aplica tiempos de espera (para iOS y iPadOS) y un número limitado de intentos de contraseña (para Mac).
En iOS y iPadOS, al configurar el código de acceso o la contraseña del dispositivo, el usuario activa automáticamente la protección de datos. La protección de datos también se activa en otros dispositivos que incorporan un sistema en chip (SoC) de Apple, como en las computadoras Mac con Apple Chip, en el Apple TV y en el Apple Watch. En macOS, Apple usa el programa integrado de encriptación de volumen FileVault.
Cómo aumentan la seguridad los códigos de acceso y las contraseñas fuertes
iOS y iPadOS admiten códigos de acceso alfanuméricos de seis o cuatro caracteres, y de cualquier longitud. Además de desbloquear el dispositivo, un código o contraseña proporciona entropía para determinadas claves de encriptación. Esto significa que un atacante que haya obtenido un dispositivo no podrá acceder a los datos de clases de protección específicas si no dispone del código.
Este código o contraseña está vinculado al UID del dispositivo, por lo que tendría que realizar ataques de fuerza bruta. Para que cada intento sea más lento, se utiliza un recuento de iteraciones elevado. El recuento de iteraciones se calibra de manera que un intento tarde alrededor de 80 milisegundos. De hecho, se tardaría más de cinco años y medio en intentar todas las combinaciones de un código alfanumérico de seis caracteres con letras en minúscula y números.
Cuanto más seguro sea el código del usuario, más segura será la clave de encriptación. Asimismo, al usar Face ID y Touch ID, el usuario puede establecer un código mucho más seguro en lugar de práctico. Con un código más seguro se consigue aumentar la entropía real que protege las claves de encriptación utilizadas para la protección de datos, sin que se vea perjudicada la experiencia del usuario al desbloquear un dispositivo muchas veces a lo largo del día.
Si se ingresa una contraseña larga compuesta únicamente por números, se mostrará un teclado numérico en la pantalla bloqueada en lugar de un teclado completo. Es posible que sea más fácil ingresar un código numérico largo que un código alfanumérico corto, aunque ambos proporcionen un nivel de seguridad parecido.
Los usuarios pueden especificar un código alfanumérico de mayor longitud seleccionando la opción Código alfanumérico personalizado en Opciones de código desde Configuración > Touch ID y código o Face ID y código.
Cómo el aumento escalado de los tiempos de espera desalienta los ataques de fuerza bruta (iOS y iPadOS)
En iOS y iPadOS, a fin de desalentar aún más los posibles ataques de fuerza bruta, existen tiempos de espera cada vez mayores después de ingresar un código no válido en la pantalla de bloqueo, como se muestra en la siguiente tabla.
Intentos | Demora impuesta |
---|---|
1-4 | Ninguno |
5 | 1 minuto |
6 | 5 minutos |
7-8 | 15 minutos |
9 | 1 hora |
Si la opción Borrar datos está activada (en Configuración > Touch ID y código), se eliminarán todo el contenido y la configuración del almacenamiento después de 10 intentos fallidos consecutivos de ingresar el código. El límite no toma en cuenta los intentos consecutivos del mismo código incorrecto. Esta configuración, que se puede definir con un umbral inferior, también está disponible como política mediante una solución de administración de dispositivos móviles (MDM) compatible con esta función y a través de Exchange ActiveSync de Microsoft.
En dispositivos con Secure Enclave, las demoras se aplican mediante el Secure Enclave. Si el dispositivo se reinicia durante un tiempo de demora, la demora aún se aplica, con el temporizador empezando de nuevo para el periodo actual.
Cómo el aumento escalado de los tiempos de espera desalienta los ataques de fuerza bruta (macOS)
Para ayudar a impedir los ataques de fuerza bruta, cuando la Mac arranca, no se permiten más de 10 intentos de contraseña en la ventana de inicio de sesión o al usar el modo de disco de destino, y se escala el tiempo de demora de forma obligatoria después de una cantidad dada de intentos incorrectos. Es el Secure Enclave el que impone los tiempos de demora. Si la Mac se reinicia durante un tiempo de demora, la demora aún se aplica, con el temporizador empezando de nuevo para el periodo actual.
La siguiente tabla muestra los tiempos de espera entre intentos de ingreso de contraseña en una computadora Mac con Apple Chip y en una computadora Mac con el chip T2.
Intentos | Demora impuesta |
---|---|
5 | 1 minuto |
6 | 5 minutos |
7 | 15 minutos |
8 | 15 minutos |
9 | 1 hora |
10 | Desactivado |
Para ayudar a impedir que el malware cause la pérdida permanente de los datos al intentar atacar la contraseña del usuario, estos límites no se imponen una vez que el usuario ha logrado iniciar sesión en la Mac, pero se vuelven a imponer después de un reinicio. Si se terminan los 10 intentos, hay 10 intentos más disponibles después de reiniciar en recoveryOS. Si también se terminan esos intentos, hay disponibles 10 intentos más para cada mecanismo de recuperación de FileVault (recuperación de iCloud, clave de recuperación de FileVault y clave institucional), lo que da un máximo de 30 intentos adicionales. Si se terminan esos intentos adicionales, el Secure Enclave ya no procesará ninguna petición para desencriptar el volumen o verificar la contraseña, y los datos de la unidad ya no se podrán recuperar.
Para ayudar a proteger los datos en un entorno empresarial, el departamento de TI debería definir e imponer políticas de configuración de FileVault utilizando la solución MDM. Las organizaciones tienen varias opciones para administrar los volúmenes encriptados, entre las que se incluyen las claves institucionales, las claves personales de recuperación (que se pueden almacenar de forma opcional en la MDM para su custodia), o una combinación de ambas. La rotación de claves también se puede establecer como política en la MDM.
En una computadora Mac con el chip de seguridad T2 de Apple, la contraseña tiene una función similar, excepto que la clave generada se utiliza para la encriptación de FileVault y no para Protección de datos. macOS también ofrece opciones adicionales de recuperación de contraseñas:
Recuperación de iCloud
Recuperación de FileVault
Clave institucional de FileVault