Códigos y contraseñas
Para proteger los datos de los usuarios de ataques malintencionados, Apple utiliza códigos de acceso en iOS, iPadOS y visionOS, y contraseñas en macOS. Cuanto más largo sea un código de acceso o una contraseña, más segura será, y más fácil será disuadir los ataques de fuerza bruta. Para desalentar aún más los ataques, Apple aplica tiempos de espera (en iOS, iPadOS y visionOS) y un número limitado de intentos de contraseña (Mac).
En un iPad, iPhone y Apple Vision Pro, al configurar el código de acceso o la contraseña del dispositivo, el usuario activa automáticamente la protección de datos. La protección de datos también se activa en otros dispositivos que incorporan un sistema en chip (SoC) de Apple, como en las computadoras Mac con Apple Chip, en el Apple TV y en el Apple Watch. En dispositivos con macOS, Apple usa FileVault, el programa integrado de encriptación de volumen.
Mejorar la seguridad con contraseñas y códigos seguros
iOS, iPadOS y visionOS admiten códigos de acceso alfanuméricos de seis o cuatro caracteres, y de cualquier longitud. Además de desbloquear el dispositivo, un código o contraseña proporciona entropía para determinadas claves de encriptación. Esto significa que un atacante que haya obtenido un dispositivo no podrá acceder a los datos de clases de protección específicas si no dispone del código.
Este código o contraseña está vinculado al UID del dispositivo, por lo que tendría que realizar ataques de fuerza bruta. Para que cada intento sea más lento, se utiliza un recuento de iteraciones elevado. El recuento de iteraciones se calibra de manera que un intento tarde alrededor de 80 milisegundos. De hecho, se tardaría más de cinco años y medio en intentar todas las combinaciones de un código alfanumérico de seis caracteres con letras en minúscula y números.
Cuanto más seguro sea el código del usuario, más segura será la clave de encriptación. Asimismo, al usar Optic ID, Face ID o Touch ID, el usuario puede establecer un código mucho más seguro en lugar de práctico. Con un código más seguro se consigue aumentar la entropía real que protege las claves de encriptación utilizadas para la protección de datos, sin que se vea perjudicada la experiencia del usuario al desbloquear un dispositivo muchas veces cada día.
Si un código de acceso contiene sólo números, se muestra un teclado numérico en la pantalla bloqueada. Es posible que sea más fácil ingresar un código numérico largo que una contraseña alfanumérica corta, aunque ambos proporcionen un nivel de seguridad parecido.
Los usuarios pueden especificar una contraseña alfanumérica más larga seleccionando Código alfanumérico personalizado en Opciones de código en Configuración > [Optic ID], [Face ID], o [Touch ID] y código. Si una contraseña es alfanumérica, se muestra un teclado completo en la pantalla bloqueada.
Aumentos a escala de los tiempos de espera desalientan los ataques de fuerza bruta
En un iPad, iPhone, Mac y Apple Vision Pro, a fin de desalentar aún más los posibles ataques de fuerza bruta, existen tiempos de espera cada vez mayores después de ingresar un código, contraseña o PIN no válidos (dependiendo del dispositivo y el estado en el que se encuentra), tal como se detalla en la tabla a continuación.
Intentos | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 o más |
|---|---|---|---|---|---|---|---|---|
Pantalla bloqueada de iOS y iPadOS | Ninguno | 1 minuto | 5 minutos | 15 minutos | 1 hora | 3 horas | 8 horas | El dispositivo se bloquea y deberá conectarse a una Mac o PC. |
Pantalla bloqueada de watchOS | Ninguno | 1 minuto | 5 minutos | 15 minutos | 1 hora | 3 horas | 8 horas | El dispositivo se bloquea y deberá conectarse a un iPhone. |
Pantalla bloqueada y ventana de inicio de FileVault | Ninguno | 1 minuto | 5 minutos | 15 minutos | 1 hora | 3 horas | 8 horas | 8 horas |
Modo de recuperación de macOS | Ninguno | 1 minuto | 5 minutos | 15 minutos | 1 hora | 3 horas | 8 horas | Consulta más adelante la sección Cómo el aumento escalado de los tiempos de espera desalienta los ataques de fuerza bruta. |
FileVault con clave de recuperación (personal, institucional o iCloud) | Ninguno | 1 minuto | 5 minutos | 15 minutos | 1 hora | 3 horas | 8 horas | Consulta más adelante la sección Cómo el aumento escalado de los tiempos de espera desalienta los ataques de fuerza bruta. |
Código PIN de bloqueo remoto de macOS | 1 minuto | 5 minutos | 15 minutos | 30 minutos | 1 hora | 1 hora | 1 hora | 1 hora |
Si la opción Borrar datos está activada en el iPad, iPhone o Apple Vision Pro (en Configuración > Optic ID], [Face ID], o [Touch ID] y código), se eliminarán todo el contenido y la configuración del almacenamiento después de 10 intentos fallidos consecutivos de ingresar el código. El límite no toma en cuenta los intentos consecutivos del mismo código incorrecto. Esta configuración, que se puede definir con un umbral inferior, también está disponible como política mediante un servicio de administración de dispositivos compatible con esta función y a través de Exchange ActiveSync de Microsoft.
Es el Secure Enclave el que impone los tiempos de demora. Si el dispositivo se reinicia durante un tiempo de demora, la demora aún se aplica, con el temporizador empezando de nuevo para el periodo actual.
El aumento escalado de los tiempos de espera desalienta los ataques de fuerza bruta en macOS
Para ayudar a impedir los ataques de fuerza bruta, cuando una Mac arranca, no se permiten más de 10 intentos de contraseña en la ventana de inicio de sesión, y se escala el tiempo de demora de forma obligatoria después de una cantidad dada de intentos incorrectos. Es el Secure Enclave el que impone los tiempos de demora. Si una Mac se reinicia durante un tiempo de demora, la demora aún se aplica, con el temporizador empezando de nuevo para el periodo actual.
Para ayudar a impedir que el malware cause la pérdida permanente de los datos al intentar atacar la contraseña del usuario, estos límites no se imponen una vez que el usuario ha logrado iniciar sesión en la Mac, pero se vuelven a imponer después de un reinicio. Si se agotan los 10 intentos, hay otro 10 intentos disponibles después de reiniciar en recoveryOS. Si también se terminan esos intentos, hay disponibles 10 intentos más para el mecanismo de recuperación de FileVault configurado (recuperación de iCloud, clave de recuperación de FileVault y clave institucional), lo que da un máximo de 30 intentos adicionales. Si se terminan esos intentos adicionales, el Secure Enclave ya no procesará ninguna petición para desencriptar el volumen o verificar la contraseña, y los datos de la unidad ya no se podrán recuperar.
Para ayudar a proteger los datos en un entorno empresarial, el departamento de TI debería definir e imponer políticas de configuración de FileVault utilizando un servicio de administración de dispositivos. Las organizaciones tienen varias opciones para administrar los volúmenes encriptados, entre las que se incluyen las claves institucionales, las claves personales de recuperación (que se pueden almacenar de forma opcional con un servicio de administración de dispositivos para su custodia), o una combinación de ambas. La rotación de claves también se puede establecer como política en un servicio de administración de dispositivos.
En una computadora Mac con el chip de seguridad T2 de Apple, la contraseña tiene una función similar, excepto que la clave generada se utiliza para la encriptación de FileVault y no para Protección de datos.