Firewall de MacOS: ¿La mejor práctica para permitir o bloquear las "conexiones entrantes" de las aplicaciones?

Las mejores prácticas requieren un conocimiento práctico de las redes. Básicamente, lo que quieres es bloquear todas las conexiones entrantes excepto las de aquellos servicios y empresas en los que confías. El cortafuegos de la aplicación por defecto en MacOS lo hace bastante bien. Bajo el botón de Opciones de Firewall verás una casilla de verificación para Permitir automáticamente que el software incorporado reciba conexiones entrantes. Eso cubre las cosas que usa Apple y lo que se incluye con MacOS. Otra casilla de verificación para Permitir automáticamente que el software firmado descargado reciba conexiones entrantes. Eso cubriría las aplicaciones de terceros de la App Store o las instaladas que han sido firmadas. La última opción es para habilitar el modo sigiloso, lo que significa que no habrá respuesta alguna cuando alguien intente hacer una conexión externa que no esté permitida.

Pero el cortafuegos integrado de MacOS App no avisa de las conexiones salientes. Los cortafuegos de terceros, como Little Snitch, le permiten conocer tanto las conexiones salientes como las entrantes. Es una manera de saber rápidamente que algo sospechoso está sucediendo. Digamos que tienes un malware en tu Mac y que está tratando de llamar a un servidor de comando y control en Ucrania. Pues bien, Little Snitch te dirá que algo está intentando establecer una conexión con una dirección IP y un puerto de red concretos y te preguntará si quieres permitirlo. Aquí es donde tienes que parar y pensar en lo que está pasando. Puede que necesites determinar dónde se encuentra esa dirección IP. Puede que quieras echar un vistazo al ejecutable que está haciendo la conexión. Muchas empresas están ahora recogiendo datos métricos sobre cómo usas su aplicación y la mayoría anonimiza esta recogida de datos para proteger tu privacidad. Pero muchas no lo hacen y están haciendo mucho más que recopilar telemétricas. Poder bloquear las conexiones salientes es algo que uno podría considerar hacer. Pero incluso con Little Snitch vas a tener que aprender mucho para entender lo que estás viendo cuando te avisa. Little Snitch es un software comercial. Hay algunas herramientas gratuitas que te alertarán sobre las conexiones salientes. Lee en el sitio web de Objective-See todas esas herramientas son gratuitas. Una vez más, se requiere un conocimiento práctico de las redes para entender lo que significa una alerta en particular.

Apple proporciona un cortafuegos mucho más sofisticado llamado cortafuegos de filtro de paquetes y proviene de BSD UNIX (aunque modificado por Apple) y puede bloquear el tráfico entrante y saliente con reglas mucho más sofisticadas que las que se ven con el cortafuegos de la aplicación por defecto que estás usando ahora. Desafortunadamente, es muy complejo y poco amigable de configurar y requiere un gran conocimiento de redes. También requiere muchas pruebas para asegurarse de que no se bloquea algo por error. El cortafuegos de la aplicación incorporada anulará las cosas para no romperlas, pero no es así con el cortafuegos de la FP. Le dices que bloquee algo y lo va a bloquear sin duda. Tampoco vas a ver ninguna alerta. Para monitorizar el firewall tendrías que capturar los logs y enviarlos a un servicio de logs centralizado para mantener el historial de logs para consultas avanzadas, etc. O escribir algunos scripts para almacenar los registros en una base de datos localmente. Las instituciones corporativas, gubernamentales y educativas utilizarían el cortafuegos PF gestionándolo en todos los Mac de su flota. Tienen personal experto en seguridad para configurar el firewall de FP y mantenerlo. Además de herramientas adicionales para ayudar a proteger la red y los dispositivos.

Si estás en casa detrás de un router, tienes una protección básica de firewall debido al NAT en el router. Pero cuando está en una red WiFi pública, hay otras personas en la red WiFi que podrían intentar atacar su Mac o interceptar su tráfico de red. Por eso la VPN es útil, ya que encripta el tráfico. Pero la VPN no es una solución a prueba de balas como la comercializan todas esas compañías de VPN en línea. Puedes ser hackeado incluso si usas una VPN. Una de las peores cosas que puedes hacer es piratear software comercial. Muchas veces esas versiones piratas incluyen cargas útiles maliciosas que vienen para el paseo. Usted autoriza la instalación de ese software y se le instala una pieza de malware junto con él. Ese malware probablemente llamará a casa a los servidores de comando y control recibiendo actualizaciones y nuevas instrucciones y los hackers pueden poseer remotamente su Mac. Pueden hacer casi cualquier cosa. Una de las peores cosas sería encriptar tus archivos y exigir un rescate mediante el pago de alguna moneda digital. O podrían utilizar tu ordenador para enviar SPAM o propagar el malware. O utilizar su potencia de cálculo para generar moneda digital.

Ya está aplicando las mejores prácticas al utilizar el cortafuegos integrado de MacOS App. Ahora deberías aprender un poco más sobre cómo funcionan las redes TCP/IP, incluyendo los puertos de red y el tráfico UDP, y cómo determinar dónde se origina una dirección IP y cómo buscar para qué se utiliza normalmente un puerto de red concreto, etc. Hay carreras literales basadas en las mejores prácticas de seguridad y puedes pasarte la vida perfeccionando esas mejores prácticas. Hay mucho que aprender si estás interesado.