TL;DR: Con una instalación estándar de MacOS no es es posible determinar con certeza si los datos se han copiado desde el Mac a un dispositivo USB o de red
Esta es una de esas preguntas en las que es "un duplicado pero no es un duplicado porque la respuesta no me sirve".
Aquí tienes un resumen rápido que responde a tu pregunta de si puedes o no detectar si alguien ha copiado tus archivos (en un USB):
-
En realidad no se sabe si el archivo fue copiado. El problema con la respuesta del pregunta vinculada (y lo que hace que esto no sea un duplicado) es que sólo te dice si el archivo fue consultado no si se ha copiado en otro lugar. Para elaborar, si la persona hizo doble clic en el archivo y lo cerró, mostraría que se accedió a él. Por eso no se puede tener un "100% de certeza" (ni siquiera un 50% de certeza) como afirmas.
-
Los registros no registran esta actividad. No habrá nada en los registros porque incluso si usted mira a través de todos los registros del sistema, sólo mostrará que un dispositivo USB fue conectado / desconectado. No te dice lo que se hizo con ese dispositivo USB.
Para ello y para tener una prueba positiva de que esta actividad se produjo, es necesario activar la auditoría y esto se consigue con OpenBSM. Entiéndase, no está activado por defecto porque generaría toneladas de entradas de registro utilizando los recursos del sistema mientras monitorea las actividades. Desde la perspectiva de los recursos del sistema, la auditoría es una función "cara" de realizar.
El problema de esto y de la pregunta vinculada es que se busca una pista de auditoría post hoc . Esto es como querer tener las imágenes de las cámaras de seguridad de un robo cuando las cámaras de seguridad no estaban instaladas y funcionando antes de la violación.
