macOS es, probablemente, el sistema operativo para ordenadores más robusto y seguro. Desde 2014, Apple incorporó una capa más de seguridad en nuestros equipos: Protección de integridad del sistema (cuyas siglas son ‘SIP’). Veamos qué significa, cómo afecta a nuestros equipos y cómo activarla.
Qué es SIP
SIP corresponde a las siglas: Protección de integridad del sistema ( a veces referido como rootless) es una característica de seguridad del sistema operativo macOS de Apple introducida en OS X El Capitan (2015) (OS X 10.11).
La Protección de la integridad del sistema es una tecnología de seguridad diseñada para ayudar a evitar que el software potencialmente malicioso modifique los archivos y carpetas protegidos en tu Mac. La Protección de la integridad del sistema restringe la cuenta de usuario root y las acciones que puede realizar el usuario root en las partes protegidas del sistema operativo del Mac.
SIP está habilitado de forma predeterminada, pero se puede deshabilitar.
Antes de la Protección de la integridad del sistema (introducida en OS X El Capitan), el usuario root no tenía restricciones de permiso, por lo que podía acceder a cualquier carpeta o app del sistema en tu Mac. El software obtenía acceso a nivel raíz al introducir el nombre de administrador y la contraseña para instalar el software. De esa manera, el software podía modificar o sobrescribir las apps y archivos de sistema.
SIP está disponible en:
- OS X 10.11 El Capitan
- macOS 10.12 Sierra
- macOS 10.13 High Sierra
- macOS 10.14 Mojave
- macOS 10.15 Catalina
- macOS 11 Big Sur
- macOS 12 Monterey
- macOS 13 Ventura
Cómo funciona SIP
La Protección de integridad del sistema (en inglés: System Integrity Protection) en macOS protege todo el sistema al evitar la ejecución de código no autorizado. El sistema autoriza automáticamente las aplicaciones que el usuario descarga de la App Store. El sistema también autoriza aplicaciones que un desarrollador certifica ante notario y distribuye directamente a los usuarios. El sistema impide el lanzamiento de todas las demás aplicaciones de forma predeterminada
La Protección de la integridad del sistema incluye protección para estas partes del sistema:
- /Sistema
- /usr
- /bin
- /sbin
- /var
- Apps preinstaladas con el sistema operativo Mac
Rutas y apps que siguen ofreciendo permiso de escritura para instaladores y apps de otros fabricantes:
- /Aplicaciones
- /Biblioteca
- /usr/local
La Protección de la integridad del sistema se ha diseñado para que solamente permita la realización de modificaciones de las partes protegidas por procesos que cuenten con una firma de Apple y dispongan de derechos especiales para sobrescribir o modificar archivos de sistema, como las actualizaciones de software de Apple y los instaladores de Apple. Las apps que te descargas del App Store ya funcionan con la Protección de la integridad del sistema. El software de otros fabricantes que entre en conflicto con la Protección de la integridad del sistema podría omitirse durante la actualización a OS X El Capitan o posterior.
La Protección de la integridad del sistema también sirve para impedir que el software seleccione un disco de arranque.
Desde OS X Yosemite, las extensiones del kernel, como los controladores, deben estar firmadas en código con un derecho específico de Apple. Los desarrolladores deben solicitar a Apple una identificación de desarrollador con dicho derecho. El kernel se niega a arrancar si hay extensiones sin firmar y, en su lugar, muestra al usuario un signo de prohibición . Este mecanismo, llamado «firma de kext», se integró en SIP.
La Protección de integridad del sistema también desinfectará ciertas variables ambientales al llamar a programas del sistema cuando SIP esté vigente. Por ejemplo, SIP desinfectará LD_LIBRARY_PATH y DYLD_LIBRARY_PATH antes de llamar a un programa del sistema como /bin/bash para evitar inyecciones de código en el proceso Bash.
Cómo activar o desactivar SIP en macOS
Como bien comentaba antes, la Protección de integridad del sistema (SIP) viene activada por defecto.Si queréis comprobarlo, podéis acceder al menú > Acerca de este Mac > Más información … > General > Informe del sistema … >
Pero en el caso de querer probar alguna herramienta o desarrollo, y necesitas deshabilitarla, te explico cómo hacerlo
Desactivar SIP en macOS
Cómo deshabilitar la protección de integridad del sistema temporalmente. Para desactivar SIP, haz lo siguiente:
- Reinicia tu equipo en modo de recuperación
Pantalla de macOS en modo recuperación - chip de Apple: Enciende el Mac y mantén pulsado el botón de encendido hasta que veas la ventana de opciones de arranque. Haz clic en el icono de engranaje con la etiqueta Opciones y, luego, en Continuar.
- chip de Intel: enciende el Mac e inmediatamente mantén pulsado Comando (⌘)-R hasta que veas un logotipo de Apple u otra imagen.
- Inicia Terminal desde el menú Utilidades
- Ejecute el comando
csrutil disable
- Presiona Y en tu teclado y presiona la tecla Enter
- Introduce la contraseña de administrador de tu Mac si te la solicita y presiona Enter en tu teclado.
- Haz clic en el logotipo de Apple en la barra de menú y elije Reiniciar para reiniciar tu Mac.
Una vez reiniciado, la Protección de integridad del sistema (SIP) se desactivará y podrás instalar la aplicación que antes no podías.
Activar SIP en macOS
- Reinicia tu equipo en modo de recuperación
- Inicia Terminal desde el menú Utilidades
- Ejecute el comando
csrutil enable
- Presiona Y en tu teclado y presiona la tecla Enter
- Introduce la contraseña de administrador de tu Mac si te la solicita y presiona Enter en tu teclado.
En la zona en blanco, aparecerá el nombre del perfil de administrador de tu macOS - Una vez que el sistema vuelve a activar SIP, aparecerá este mensaje para que reinicies tu equipo
- Haz clic en el logotipo de Apple en la barra de menú y elije Reiniciar para reiniciar tu Mac.
- Reinicia tu equipo
Por qué no deberías desactivar SIP en tu Mac
SIP es fundamental para la funcionalidad y seguridad básicas de una Mac, y temporalmente deshabilitarla es aceptable. No recomendamos apagarlo permanentemente porque su Mac se volverá vulnerable a los riesgos de virus, malware o ransomware.
Aunque SIP es una de las características de seguridad esenciales incorporadas en macOS, Apple hace que sea bastante fácil desactivarlo cuando es necesario. Y aunque apreciamos su presencia, los usuarios pueden querer desactivarla temporalmente a veces para realizar tareas como descargar de lado ciertas aplicaciones, recuperación de datos y más.
Para mantener la máxima seguridad de tu Mac, solo recomiendo desactivar SIP temporalmente cuando sea necesario y vuelve a activarlo una vez que la tarea esté completa para proteger tu Mac del malware o de cualquier otro ataque.
Como medida de precaución, puedes comprobar el estado de tu SIP en tu Mac abriendo Terminal, escribiendo el siguiente código y luego pulsando la tecla Enter.
Si dice «Activado» junto al estado de Protección de Integridad del Sistema, significa que SIP está activado, mientras que «Desactivado» indica que SIP está apagado en su Mac.
