Apple siempre ha sido considerada una de las empresas más sólidas en cuanto a seguridad informática. Pero, por muy blindado que parezca un sistema, siempre hay alguien dispuesto a buscarle una grieta. Y recientemente se encontró una bastante preocupante, en macOS. Esta vulnerabilidad permite a los atacantes saltarse la protección de integridad del sistema (conocida como SIP, por sus siglas en inglés) y cargar controladores maliciosos directamente en el kernel. En pocas palabras, podrían tomar el control total de tu Mac.
El SIP es una función clave en la seguridad de macOS que evita que incluso los usuarios con permisos de administrador modifiquen archivos críticos del sistema. Su objetivo es mantener intactas las áreas más sensibles del sistema operativo y protegerte contra malware. Pero este fallo deja la puerta abierta para que los hackers, mediante extensiones de kernel de terceros, ignoren por completo esa protección.
¿Y por qué esto es tan grave? Porque hablamos del kernel, el núcleo que controla todo en tu dispositivo: desde el hardware hasta las aplicaciones que usas cada día. Cuando un atacante logra colarse hasta esa parte del sistema, tiene prácticamente el poder de hacer lo que quiera.
El famoso SIP (System Integrity Protection) de macOS es como un guardia de seguridad que no deja que nadie toque las partes más sensibles del sistema. Solo los procesos firmados por Apple o con permisos muy especiales, como las actualizaciones oficiales, pueden hacer cambios en esos componentes protegidos. Y si alguien quiere desactivar ese guardia, normalmente tendría que reiniciar el Mac y arrancar en macOS Recovery, lo que implica tener acceso físico al dispositivo. Vamos, nada que un atacante remoto pueda hacer fácilmente… ¿o sí?
Pues resulta que sí. La vulnerabilidad CVE-2024-44243, que Apple corrigió hace poco, permite a los atacantes saltarse SIP sin necesidad de tocar físicamente el Mac. El problema estaba en un proceso interno de macOS llamado Storage Kit, que gestiona el estado del disco. Un fallo en ese demonio (sí, así se llama ese tipo de procesos en informática) podría ser explotado por alguien que ya tenga acceso como administrador o root en el sistema.
¿Y qué pueden hacer los hackers si logran explotar esa falla? Pues cosas bastante preocupantes, como instalar rootkits, que son controladores maliciosos a nivel del kernel, o crear malware que no se puede borrar fácilmente. Incluso podrían desactivar las medidas de seguridad de macOS, como las que controlan qué apps pueden acceder a tus datos más sensibles (eso que Apple llama TCC, Transparencia, Consentimiento y Control).
Lo bueno es que Apple ya lanzó un parche para corregir esta vulnerabilidad. La solución llegó el pasado 11 de diciembre de 2024 con las actualizaciones de seguridad de macOS Sequoia 15.2. Así que, si aún no has actualizado tu Mac, este es el recordatorio perfecto para hacerlo.
Derechos relacionados con SIP de Storagekitd (Fuente: Microsoft)
Podría interesarte leer: ¿Qué Pasa si No Actualizas Software?: Evita Vulnerabilidades
Según un informe reciente de Microsoft, System Integrity Protection (SIP) es una de las principales barreras que mantiene a los Mac a salvo de ataques y malware. Básicamente, es una capa de seguridad que evita que los procesos no autorizados puedan modificar los archivos más críticos del sistema operativo. Pero aquí viene el problema: si un atacante logra eludir SIP, la seguridad del sistema se va por la ventana. Esto abre la puerta a rootkits, malware persistente y cambios que pueden afectar todo el dispositivo.
"Cuando alguien logra saltarse SIP, compromete la seguridad del sistema operativo completo", explica Microsoft. "Esto puede tener consecuencias graves y muestra lo importante que es contar con soluciones de seguridad que detecten comportamientos sospechosos en procesos que tienen permisos especiales".
Y este no es un caso aislado. Los investigadores de Microsoft ya han encontrado varias vulnerabilidades en macOS en los últimos años, muchas de ellas relacionadas con fallos en SIP. Por ejemplo, en 2021 descubrieron un fallo llamado 'Shrootless' (CVE-2021-30892), que permitía a los atacantes modificar sistemas protegidos y colocar rootkits en los Macs infectados.
Más recientemente, en 2023, detectaron una vulnerabilidad llamada 'Migraine' (CVE-2023-32369), que también saltaba SIP, y otra conocida como Achilles (CVE-2022-42821), que permitía instalar malware al esquivar los controles de Gatekeeper (esa función de macOS que evita que se ejecuten aplicaciones no confiables).
Por si esto fuera poco, el investigador principal de Microsoft, Jonathan Bar Or, descubrió otra vulnerabilidad llamada 'Powerdir' (CVE-2021-30970). Este fallo permitía a los atacantes saltarse la función de Transparencia, Consentimiento y Control (TCC) de macOS, que es la encargada de evitar que aplicaciones maliciosas accedan a tus datos personales sin permiso.
En resumen, aunque macOS tiene una reputación de ser más seguro que otros sistemas, este tipo de vulnerabilidades demuestran que los atacantes no dejan de buscar maneras de romper las barreras de seguridad. Y cuando lo logran, las consecuencias pueden ser bastante serias.