Logo Computerhoy.com

macOS tiene un grave fallo de seguridad: cualquiera puede iniciar sesión sin contraseña

Jakub Motyka

El fallo de seguridad descubierto en macOS HIgh Sierra

En macOS High Sierra hay un agujero de seguridad que permite a cualquier persona iniciar sesión como root (es decir, como administrador)... ¡sin tener siquiera la contraseña de acceso del Mac! El fallo se acaba de hacer público a través de un usuario de Twitter, y las primeras comprobaciones han revelado que efectivamente el agujero de seguridad afecta a todo el mundo que utilice la última versión de macOS.

En las últimas horas, un programador llamado Lemi Orhan Ergin (@lemiorhan) ha dado la voz de alerta en la red social del pájaro azul al hacer público un fallo de seguridad en macOS High Sierra que permite iniciar sesión como administradordejando en blanco el campo de la contraseña. Tras el desconcierto inicial que causó este tweet, diversos vídeos de demostración de este fallo han acabado por confirmar que, efectivamente, este agujero de seguridad está presente al menos en la última versión de macOS 10.13.1.

En su tweet, este programador daba la voz de alerta -mencionando las cuentas oficiales de Apple en Twitter- haciendo público su último descubrimiento: se había dado cuenta de que en la última versión de macOS High Sierra no hace falta más que dejar en blanco el campo de "Contraseña" para iniciar sesión con una cuenta de administrador, con todos los privilegios que ello supone. Puedes tomar el control de un Mac en cuestión de unos pocos segundos.

Dado que se trata de un agujero de seguridad sobre el que Apple todavía no se ha pronunciado al respecto, y por lo tanto técnicamente todos los Mac actualizados a High Sierra son vulnerables, evitaremos dar los detalles exactos del procedimiento que habría que seguir para aprovecharse de esta vulnerabilidad. Pero creednos cuando decimos que es tan sencillo como dejar el campo de contraseña en blanco.

¿Qué peligro representa este descubrimiento en la realidad? Es un fallo muy peligroso porque se traduce en que, si dejas tu Mac con la pantalla encendida y alguien se acerca a él, haciendo el simple truco de dejar en blanco el campo de la contraseña obtendría acceso con privilegio de administrador a todo tu equipo. A partir de ahí, esa persona podría incluso cambiar la contraseña de tu cuenta sin necesidad de conocerla de antemano.

Cómo limpiar tu Mac para que funcione más rápido

Por suerte, hay una forma de protegerse ante esta nueva amenaza. Es tan sencillo como ir hasta la opción de "Preferencias del sistema..." de tu Mac, entrar en "Usuarios y grupos", pulsar sobre la pestaña de "Opciones inicio sesión" que hay abajo a la izquierda (quizás primero tengas que identificarte pulsando sobre el candado que hay en la parte inferior de la ventana), pulsar sobre el botón de "Editar...", después en "Abrir Utilidad de Directorios...", pulsa de nuevo sobre el candado e inicia sesión, pulsa en "Editar" y activa la opción del usuario root. Tienes las instrucciones detalladas aquí.

Es de suponer que en las próximas horas Apple lanzará una actualización para cerrar la puerta a este método de acceder a la cuenta de administrador sin contraseña. De momento, ya ha quedado claro que la seguridad en macOS está en entredicho con esta vulnerabilidad.

Conoce cómo trabajamos en Computerhoy.

Etiquetas: Mac OS, Mac