Hardening de macOS: Lockdown Mode, MDM y Reduccion de Superficie

Un MacBook recien comprado sale de Apple con cerca del 70% de las protecciones que realmente necesitas si eres objetivo de spyware mercenario como Pegasus, Predator o QuaDream. El 30% restante son elecciones tuyas: Lockdown Mode, perfiles MDM, FileVault con clave de recuperacion offline y desactivacion agresiva de servicios. El Equipo Basilisk atiende clientes que recibieron threat notifications de Apple desde 2021, y el patron se repite: la maquina estaba 'segura' desde el punto de vista del usuario comun, pero mantenia adjuntos automaticos de iMessage, AirDrop en 'Todos por 10 minutos' y Wallet con tarjetas sincronizando via iCloud sin 2FA hardware. Este texto es el playbook que aplicamos antes de entregar un Apple Silicon a un perfil de alto riesgo.

Empieza por Lockdown Mode, anunciado en macOS Ventura y maduro en Sequoia 15.2. Desactiva renderizado JIT en Safari, fuentes web complejas, link previews en Mensajes, FaceTime de desconocidos, conexiones cableadas con accesorios nuevos y Shared Albums. En pruebas reales contra exploits CVE-2023-41992 y CVE-2024-23222, Lockdown Mode rompio cadenas de explotacion en 4 de 6 PoCs internos. El costo? PDFs complejos fallan en Mail, algunos sitios con WebGL pesado no cargan y fuentes web exoticas se vuelven rectangulos. Para el perfil de riesgo descrito en Seguridad Personal para Objetivos Visibles: Periodistas, Activistas y Ejecutivos y OPSEC para Investigadores de Seguridad: Modelo de Amenaza Personal, el tradeoff es trivial.

MDM es donde la mayoria falla. No necesitas Jamf corporativo de 8 dolares al mes para una maquina personal: herramientas como mdmb y el Mosyle Business gratuito (hasta 30 dispositivos) permiten hacer push de configuration profiles con politicas que la UI del sistema ni siquiera expone. Bloquea kernel extensions no firmadas, fuerza Gatekeeper en 'App Store and identified developers', desactiva Bonjour multicast en redes no confiables y fuerza updates automaticos de XProtect Remediator. Documenta cada profile en git firmado con Sigstore, como describimos en Supply Chain Security: Firma con Sigstore y SBOM Real en CI/CD. Sin profile firmado, el usuario puede quitar protecciones en panico durante un viaje.

FileVault necesita tres ajustes mas alla del predeterminado. Primero, genera la recovery key institucional con fdesetup changerecovery -institutional y guardala en una YubiKey 5C offline, nunca en iCloud. Segundo, desactiva por completo el sleepimage con pmset -a hibernatemode 0 y elimina /var/vm/sleepimage; sin esto, tu clave de FileVault queda en RAM tras suspend y los cold boot attacks con PCILeech aun funcionan en los Macs Intel restantes. Tercero, configura pmset -a destroyfvkeyonstandby 1 standbydelaylow 60 standbydelayhigh 60 para forzar el drop de la clave en 60 segundos. Combinalo con la estrategia de backup 3-2-1 detallada en Cripto de Disco y Backups: VeraCrypt, LUKS y Estrategia 3-2-1 Resiliente.

La reduccion de superficie pasa por matar daemons que no usas. Corre sudo launchctl list | wc -l en un Mac fresco: tipicamente hay 280+ servicios corriendo. Deshabilita con launchctl disable system/com.apple.AirPlayXPCHelper, com.apple.rapportd, com.apple.sharingd, com.apple.familycircled y com.apple.bluetoothd si usas auriculares con cable. Para telemetria, edita /Library/Application Support/CrashReporter/DiagnosticMessagesHistory.plist y bloquea por firewall con Little Snitch o LuLu los endpoints diagnostics-d.apple.com, gateway.icloud.com y xp.apple.com. Cuidado: bloquear ocsp.apple.com rompe notarization checks y puede frenar apps firmadas. Documenta cada bloqueo con racional, igual que recomendamos en Hardening de Linux Server: CIS Benchmark Aplicado sin Romper Produccion.

Browser y mail merecen capitulo propio. Usa Safari con Lockdown Mode para banca y cuentas reales, y Firefox con containers + uBlock Origin para investigacion. Nunca instales extensiones Chrome de fuentes no auditadas: el ecosistema tuvo 35 extensiones maliciosas removidas en enero de 2025, varias con mas de 100 mil instalaciones. Para email, desactiva la carga automatica de imagenes en Mail.app (Preferences > Viewing > Load remote content) y usa Apple Mail Privacy Protection solo si aceptas que enrute via proxy Apple. Para comunicacion sensible, ve a Signal o SimpleX segun evaluamos en OPSEC de Comunicacion: Signal, SimpleX y Session Comparados Tecnicamente.

Por ultimo, monitorea. Instala santa (Google) en modo MONITOR primero durante una semana, despues pasalo a LOCKDOWN con allowlist de binarios. Configura UnifiedLog queries para detectar XProtect y MRT trigger events: log show --predicate 'subsystem == "com.apple.xprotect"' --last 7d. Esa investigacion reactiva esta detallada en Investigando Incidentes en macOS: UnifiedLogs, FSEvents y AULR. Takeaway practico: ninguna de estas medidas aislada detiene a un adversario bien financiado, pero la combinacion Lockdown Mode + MDM profile firmado + FileVault con YubiKey + Santa en lockdown + Little Snitch + sleepimage cero eleva el costo de explotacion de 4 digitos a 6 digitos. Y es justo ahi donde sales del menu de objetivos viables.