Siempre se ha dicho que los Mac eran el espejo en el que mirarse cuando toca hablar de ciberseguridad, el ejemplo de todo lo que estaba mal con Windows (y obviando todo lo que tenía que ver con Linux). Y aunque eso es verdad en cierto modo, ni el ingenio de Apple está a salvo de errores garrafales que pueden poner en un compromiso a miles de sus equipos.

Es lo que ha sucedido con el último caso conocido, el desvelado por Jesse Endahl (jefe de seguridad de Flettsmith, partner de Apple) y Max Belanguer (ingeniero de Dropbox). Ambos han descubierto un exploit en muchos de los ordenadores Mac que permitiría el hackeo y la ejecución remota de malware incluso antes de que el usuario llegue a utilizar su dispositivo.

¿Cómo es posible que nos hackeen un Mac incluso antes de haberlo encendido? La clave reside en los programas de gestión de dispositivos (MDM) que utilizan muchas empresas y organismos públicos para controlar cada ordenador, smartphone o tablet existente en su seno. Estas herramientas permiten no solo localizar y monitorizar la actividad del empleado, sino también proveerle de todo el software necesario para su actividad y asegurarse de que cuente siempre con las últimas actualizaciones disponibles.

Así, cuando un usuario abre y se loguea por primera vez en su dispositivo, éste se conecta a los servidores de Apple y a los del proveedor de MDM para recuperar la configuración deseada por la compañía y el listado de programas a instalar y activar.

Pero, de existir un error de configuración en la administración del MDM, sus altos niveles de permisos le darían libre cancha a instalar programas maliciosos a su antojo. Eso es lo que ha sucedido en esta ocasión, según la revista Wired, en tanto que un error en la secuencia MDM permite que un hacker externo modifique el software o las configuraciones que deben ser cargadas por defecto en el equipo.

Se desconoce la cantidad de ordenadores Mac potencialmente afectados, aunque sí se sabe ya que Apple resolvió el exploit con la última actualización de macOS, High Sierra.