Códigos y contraseñas
Para proteger los datos de los usuarios de ataques malintencionados, Apple usa códigos en iOS, iPadOS y visionOS, y contraseñas en macOS. Cuanto mayor sea la longitud de un código o contraseña, más seguros serán (y más fácil será desalentar los ataques de fuerza bruta). A fin de desalentar aún más los ataques, Apple aplica tiempos de demora (para iOS, iPadOS y visionOS) y un número limitado de intentos de introducción de contraseña (Mac).
En un iPad, iPhone y Apple Vision Pro, al configurar el código o la contraseña de un dispositivo, el usuario activa la tecnología de protección de datos automáticamente. La protección de datos también se activa en otros dispositivos que tienen un sistema en un chip (SoC) de Apple (como el Mac con chip de Apple, el Apple TV y el Apple Watch). En dispositivos con macOS, Apple usa el programa FileVault de encriptación del volumen integrada.
Aumentar la seguridad con códigos y contraseñas seguros
iOS, iPadOS y visionOS admiten códigos alfanuméricos de cuatro dígitos, de seis dígitos y de longitud arbitraria. Además de desbloquear el dispositivo, un código o contraseña proporciona entropía para determinadas claves de encriptación. Esto significa que un atacante que se haya hecho con un dispositivo no podrá acceder a los datos de clases de protección específicas si no dispone del código.
Dado que el código o contraseña está vinculado al UID del dispositivo, sería necesario realizar ataques de fuerza bruta en el dispositivo atacado. Para que cada intento sea más lento, se utiliza un recuento de iteraciones elevado. El recuento de iteraciones se calibra de manera que un intento tarde alrededor de 80 milisegundos. Así, se tardarían más de cinco años y medio en intentar todas las combinaciones de un código alfanumérico de seis caracteres con letras minúsculas y números.
Cuanto más seguro sea el código del usuario, más segura será la clave de encriptación. Asimismo, mediante el uso de Optic ID, Face ID y Touch ID, el usuario puede establecer y usar fácilmente un código mucho más seguro. Un código más seguro aumenta la entropía real que protege las claves de encriptación utilizadas para la tecnología Protección de datos, sin que se vea perjudicada la experiencia del usuario al desbloquear un dispositivo muchas veces al día.
Si un código contiene solo números, se muestra un teclado numérico en la pantalla de bloqueo. Es posible que sea más fácil introducir un código numérico largo que una contraseña alfanumérica corta, aunque ambos proporcionen un nivel de seguridad parecido.
Los usuarios pueden especificar una contraseña alfanumérica de mayor longitud seleccionando “Código alfanumérico personalizado” en las “Opciones de código” de Ajustes > [Optic ID], [Face ID] o [Touch ID] y código. Si una contraseña es alfanumérica, se muestra un teclado completo en la pantalla de bloqueo.
Los tiempos de demora cada vez mayores desalientan los ataques de fuerza bruta
En iPad, iPhone, Mac y Apple Vision Pro, a fin de desalentar aún más los posibles ataques de fuerza bruta, existen tiempos de demora cada vez mayores tras la introducción de un código, una contraseña o un PIN no válido (dependiendo del dispositivo y el estado en el que se encuentre el dispositivo), tal y como se muestra en la siguiente tabla.
Intentos | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 o más |
|---|---|---|---|---|---|---|---|---|
Pantalla de bloqueo de iOS y iPadOS | Ninguna | 1 minuto | 5 minutos | 15 minutos | 1 hora | 3 horas | 8 horas | El dispositivo se bloquea y debe conectarse a un Mac o PC. |
Pantalla de bloqueo de watchOS | Ninguna | 1 minuto | 5 minutos | 15 minutos | 1 hora | 3 horas | 8 horas | El dispositivo se bloquea y debe conectarse a un iPhone. |
Pantalla de bloqueo y ventana de inicio de sesión en FileVault | Ninguna | 1 minuto | 5 minutos | 15 minutos | 1 hora | 3 horas | 8 horas | 8 horas |
Modo de recuperación de macOS | Ninguna | 1 minuto | 5 minutos | 15 minutos | 1 hora | 3 horas | 8 horas | Consulta Cómo los tiempos de demora cada vez mayores desalientan los ataques de fuerza bruta en macOS a continuación. |
FileVault con clave de recuperación (personal, de la institución o iCloud) | Ninguna | 1 minuto | 5 minutos | 15 minutos | 1 hora | 3 horas | 8 horas | Consulta Cómo los tiempos de demora cada vez mayores desalientan los ataques de fuerza bruta en macOS a continuación. |
Código PIN de bloqueo remoto de macOS | 1 minuto | 5 minutos | 15 minutos | 30 minutos | 1 hora | 1 hora | 1 hora | 1 hora |
Si la opción “Borrar datos” está activada para el iPad, iPhone o Apple Vision Pro (en Ajustes > [Optic ID], [Face ID] o [Touch ID] y código), tras 10 intentos incorrectos consecutivos de introducir el código, todo el contenido y los ajustes se eliminarán del almacenamiento. Para este límite no se cuentan los intentos consecutivos al introducir el mismo código incorrecto. Este ajuste, que se puede definir con un umbral inferior, también está disponible como política de administración a través de un servicio de gestión de dispositivos compatible con esta función y mediante Microsoft Exchange ActiveSync.
Las demoras se aplican mediante Secure Enclave. Si el dispositivo se reinicia durante un tiempo de demora, la demora aún se aplica, con el temporizador empezando de nuevo para el periodo actual.
Los tiempos de demora cada vez mayores desalientan los ataques de fuerza bruta en macOS
Para ayudar a evitar los ataques de fuerza bruta, cuando un Mac arranca, no se permiten más de 10 intentos de introducción de la contraseña en la ventana de inicio de sesión. Además, se imponen tiempos de demora cada vez mayores tras un número determinado de intentos erróneos consecutivos. Las demoras se aplican mediante Secure Enclave. Si un Mac se reinicia durante un tiempo de demora, la demora aún se aplica, con el temporizador empezando de nuevo para el periodo actual.
Para ayudar a evitar que el software malicioso provoque pérdidas de datos permanentes al intentar atacar la contraseña del usuario, estos límites no se aplican una vez que el usuario ha iniciado sesión correctamente en el Mac, pero se vuelven a imponer después de un reinicio. Si se agotan los 10 intentos, hay 10 intentos más disponibles después de reiniciar en el sistema operativo de recuperación. Y si esos también se agotan, entonces hay 10 intentos adicionales disponibles para el mecanismo de recuperación de FileVault configurado (recuperación de iCloud, clave de recuperación de FileVault y clave a nivel de la institución). En total habrá 30 intentos adicionales. Una vez agotados esos intentos adicionales, Secure Enclave ya no procesa ninguna solicitud para desencriptar el volumen o verificar la contraseña y los datos de la unidad no se pueden recuperar.
Para ayudar a proteger los datos en un entorno empresarial, el departamento de TI debería definir y aplicar las políticas de configuración de FileVault con un servicio de gestión de dispositivos. Las organizaciones tienen varias opciones para gestionar volúmenes encriptados, incluidas claves de recuperación a nivel de la institución, claves de recuperación personales (que de forma opcional se pueden almacenar con un servicio de gestión de dispositivos para su custodia) o una combinación de ambas. La rotación de las claves también se puede establecer como política en un servicio de gestión de dispositivos.
En un Mac con el chip de seguridad T2 de Apple, la contraseña cumple una función similar, excepto que la clave generada se usa para la encriptación de FileVault en lugar de para Protección de datos.