Me puse en contacto con Howard Oakley, autor de Blog de EclecticLight que profundiza bastante en la seguridad del Mac.
El TLDR de su respuesta: El arranque desde una unidad externa sólo es posible si dicha unidad ha sido previamente autorizada mediante el nombre de usuario y la contraseña del administrador de la unidad interna del Mac .
Respuesta completa a continuación:
Esto es sencillo.
No se puede arrancar un Mac M1 desde un disco externo sin que tenga una LocalPolicy en su almacenamiento interno. Así que la única manera de intentarlo sería arrancar en Recovery, allí seleccionar el disco externo, y tratar de arrancar desde él.
El Recovery no le permitirá hacerlo sin darle una LocalPolicy, que entonces le pedirá que introduzca el nombre de usuario y la contraseña de alguien que ya tiene la propiedad de su SSD interno - en circunstancias normales, el usuario admin. Sin eso, la LocalPolicy no puede ser creada, y el M1 no arrancará desde el disco externo.
Lo que el "ladrón" puede hacer es poner el M1 en modo DFU y restaurarlo a los ajustes de fábrica, lo que borra las claves del SSD interno salvaguardando cualquier dato que haya allí. Y cuando se inicia, entonces pasa por la rutina de "nuevo Mac M1" de conectarse a Apple antes de que se pueda configurar. Si ese Mac ha sido reportado como desaparecido, entonces Apple podría negarse a configurarlo en esa etapa.
El artículo correspondiente en mi blog está en https://eclecticlight.co/2021/07/21/owners-and-users-primary-and-secondary-systems-on-m1-macs/
