Si has actualizado tu equipo a macOS Tahoe 26.1 como he hecho yo, es posible que no supieras que a partir de ahora macOS descargará e instalará automáticamente algunas actualizaciones de seguridad en segundo plano, independientemente de la configuración de Actualización de Software.
El nuevo sistema «cumple la misma función» que el original pero existe una diferencia clave entre las Respuestas Rápidas de Seguridad y las nuevas Mejoras de Seguridad en Segundo Plano: estas últimas se instalarán de forma silenciosa en el dispositivo sin necesidad de actualizarlo manualmente. Anteriormente, los usuarios teníamos que descargar las Respuestas Rápidas de Seguridad a través de la aplicación Ajustes, como cualquier otra actualización de iOS».
Apple demuestra sus esfuerzos en reforzar la seguridad nuestros equipos macOS junto con las grandes novedades en FileVault, el desbloqueo remoto para FileVault mediante SSH y ahora las Mejoras de Seguridad en Segundo Plano.
Cómo comprobar si tienes las Mejoras de seguridad en segundo plano en macOS Tahoe
Para comprobarlo:
- Abres la configuración de Privacidad y seguridad
- Desplázate hasta el final
- Verás una nueva opción «Mejoras de seguridad en segundo plano»
- Al abrirla, verás que Apple ha activado automáticamente.
En la descripción, nos pone que
La opción Mejoras de seguridad en segundo plano ofrece protecciones adicionales de seguridad entre las actualizaciones de software. En casos excepcionales de problemas de compatibilidad, la opción Mejoras de seguridad en segundo plano puede eliminarse temporalmente y luego mejorarse en una actualización de software posterior.»
Existen ajustes similares en iOS y iPadOS 26.1 que también están activados de forma predeterminada.
Al parecer, Apple olvidó mencionar estos cambios en la versión 26.1 , y su documentación sobre las Mejoras de Seguridad en Segundo Plano («Background Security Improvements» o también conocido por las siglas BSI) es, cuanto menos, escasa. Sin embargo, la descripción como «actualizaciones de seguridad ligeras para componentes como el navegador Safari, el framework WebKit y otras bibliotecas del sistema» es tan similar a la de las RSR (Rapid Security Responses o en español «Respuestas rápidas de seguridad») como «mejoras para el navegador web Safari, el framework WebKit y otras bibliotecas críticas del sistema» que solo podemos concluir que la BSI es una RSR renombrada.
¿Qué es un RSR/BSI?
Aunque casi todo macOS se encuentra en el volumen del sistema, convertido en una instantánea protegida por un árbol de hashes con una firma y montado como Volumen del Sistema Firmado, existen componentes adicionales que se distribuyen en archivos cryptex separados. Estos también están fuertemente protegidos con firmas para verificar su contenido y se montan mucho después de que el kernel haya arrancado. APFS los integra al sistema de archivos raíz para que su contenido aparezca en las ubicaciones correctas. Actualmente existen dos cryptexes principales comunes a todos los Mac: uno contiene Safari y sus componentes WebKit, y el otro, las cachés dyld que dan soporte a los frameworks. Los Mac con Apple Silicon también cuentan con muchos cryptexes más pequeños para dar soporte a la IA y funciones relacionadas.
Dado que estos archivos criptográficos son independientes del SSV, se pueden descargar, reemplazar por versiones actualizadas y volver a cargar sin necesidad de reiniciar el kernel ni seguir ninguno de los complejos procedimientos para actualizar macOS. Apple probó por primera vez este nuevo tipo de actualización, una Respuesta Rápida de Seguridad (RSR), en versiones beta de macOS 13 Ventura, y la primera se lanzó públicamente para Ventura 13.3.1 el 1 de mayo de 2023. Aquí os dejo la ficha técnica de Soporte de Apple referida al Background Security Improvements (Mejoras de seguridad en segundo plano) del 25 de octubre de 2023
¿Cómo funcionan las Respuestas rápidas de seguridad en dispositivos Apple?
Las RSR (de las siglas en inglés «Rapid Security Responses» que significa «Respuestas rápidas de seguridad») se han publicado utilizando el mecanismo habitual de actualización de software, controlado en su configuración, y se pueden desinstalar manualmente incluso si ha optado por que se instalen automáticamente.
Para desactivar las RSR:
- En macOS Ventura, abre Ajustes del Sistema > General > Información y busca la versión de macOS. A la derecha de esa línea hay un botón ⓘ: haz clic en él para ver el cuadro de diálogo anterior, que te permitirá desinstalarla.
- En macOS Tahoe, abre Ajustes del Sistema > Actualización de Software > Actualizaciones automáticas. A la derecha de esa línea hay un botón ⓘ: haz clic en él para ver el cuadro de diálogo donde aparece «Instalar archivos de datos del sistema y actualizaciones de seguridad» y ahí podrás desactivarlo
¿Por qué no recibimos RSR ahora?
Apple anunció las RSR en la WWDC de junio de 2022, y se incluyeron entre las nuevas funciones de macOS Ventura: “Obtén mejoras de seguridad importantes para tus dispositivos aún más rápido. Esta no es una actualización de software estándar. Estas mejoras se pueden aplicar automáticamente entre actualizaciones normales, sin necesidad de reiniciar”.
“Cuando se ha aplicado una Respuesta Rápida de Seguridad aparece una letra después del número de versión del software, como en este ejemplo: macOS 13.3.1 (a)”.
afirma Apple
Aunque la primera actualización, en mayo de 2023, parecía haber transcurrido sin problemas , la siguiente, el 10 de julio, fue un auténtico desastre . La RSR 13.4.1 (a) solucionó una vulnerabilidad de WebKit, pero, por desgracia, también cambió la versión de Safari a la 16.5.2 (a), lo que se reflejó en su agente de usuario e impidió el acceso a muchos sitios web populares, incluido Facebook. Esto tuvo que corregirse en la RSR 13.4.1 (c), publicada tres días después. Además, las tres RSR requerían reiniciar el kernel tras su instalación.
Según Howard Oakley:
Desde entonces, hasta donde yo sé, Apple no ha publicado más RSR, aunque se les sigue mencionando en toda su documentación.
Su mayor limitación es que solo pueden corregir vulnerabilidades que afectan a Safari, WebKit y otros componentes distribuidos en archivos cifrados. Lo más habitual es que los parches de seguridad urgentes también requieran cambios en el software del SSV, para lo cual la única solución es una actualización completa. Por ejemplo, durante el año de vigencia de macOS Sequoia, recibió seis actualizaciones de seguridad entre las programadas. De estas, solo dos podrían haber sido adecuadas como actualizaciones RSR/BSI, ya que las demás requerían cambios en el SSV.
Según ciertos informes, en Android, solo Google puede hacer lo mismo con sus dispositivos Pixel. En la batalla entre Apple y Samsung por los teléfonos insignia, esto representa un problema importante para el fabricante del Galaxy, ya que no puede hacer lo mismo.
¿Cómo funciona las Mejoras de seguridad en segundo plano?
La opción Mejoras de seguridad en segundo plano ofrece versiones de seguridad ligeras para componentes como el navegador web Safari, la compilación del marco WebKit u otras bibliotecas del sistema que se benefician de patches de seguridad más pequeños y continuos entre las actualizaciones de software.
En casos excepcionales de problemas de compatibilidad, la opción Mejoras de seguridad en segundo plano puede eliminarse temporalmente y luego mejorarse en una actualización de software posterior.
La opción Mejoras de seguridad en segundo plano es compatible y está habilitada para futuras versiones a partir de iOS 26.1, iPadOS 26.1 y macOS 26.1. La información general se publicará en el sitio de soporte de Apple después de cada lanzamiento, junto con los detalles de CVE, si los hubiera.
La opción Ajustes de Mejoras de seguridad en segundo plano se encuentra en el menú Privacidad y seguridad.
- En el iPhone y el iPad, ve a Ajustes > Privacidad y seguridad.
- En el Mac, selecciona el menú Apple > Ajustes del Sistema y haz clic en Privacidad y seguridad.
Ve a Mejoras de seguridad en segundo plano y asegúrate de que la opción Instalar automáticamente esté activada.
Si decides desactivar este ajuste, el dispositivo no recibirá estas mejoras hasta que se incluyan en una actualización de software posterior.
Así se ve en macOS Tahoe 26.1
