macOS permite desactivar herramientas de seguridad sin privilegios de admin
Resumen rápido
Un fallo de diseño en macOS permite que un atacante —o el propio usuario— deshabilite soluciones de seguridad y extensiones del navegador integradas sin necesidad de credenciales de administrador ni de explotar el kernel. El problema afecta tanto a herramientas de terceros como a controles nativos del sistema. La situación pone en evidencia una brecha en el modelo de confianza que Apple aplica a su plataforma de escritorio.
macOS: una brecha silenciosa en el modelo de seguridad
Apple lleva años construyendo sobre macOS una reputación de plataforma segura por diseño, con mecanismos como System Integrity Protection (SIP), Gatekeeper y la capa de extensiones del navegador Safari. Sin embargo, investigadores han identificado un comportamiento problemático que rompe parte de esa promesa: es posible desactivar herramientas de seguridad instaladas en el sistema —tanto soluciones de terceros como controles integrados en el navegador— sin contar con privilegios de administrador ni recurrir a técnicas avanzadas de explotación del kernel.
¿En qué consiste el problema?
El núcleo del asunto reside en cómo macOS gestiona los permisos y la visibilidad de determinados componentes de seguridad a nivel de usuario. A diferencia de lo que cabría esperar en un sistema con separación estricta de privilegios, ciertos agentes o extensiones pueden ser manipulados o desactivados desde el contexto de un usuario estándar, sin que el sistema operativo exija una escalada de privilegios ni genere una alerta significativa.
Esto significa que un atacante que ya haya ganado acceso inicial a una sesión de usuario —mediante phishing, ingeniería social o cualquier otro vector— podría silenciar las propias defensas del endpoint antes de avanzar en su cadena de ataque. Del mismo modo, un actor interno malintencionado con acceso físico o remoto al equipo podría eludir controles sin dejar rastros evidentes.
Implicaciones para entornos corporativos
El escenario más preocupante no es el del usuario doméstico, sino el de organizaciones que despliegan macOS en flotas corporativas confiando en que sus agentes EDR, herramientas DLP o extensiones de seguridad para el navegador permanecerán activos independientemente de las acciones del usuario. Si esa garantía desaparece, la superficie de ataque se amplía de forma considerable y la telemetría de seguridad puede volverse poco fiable.
Además, la desactivación de extensiones de navegador integradas —como las que bloquean contenido malicioso o gestionan políticas de navegación— podría abrir la puerta a ataques de phishing o descarga de malware que de otro modo habrían sido interceptados.
Estado de la situación
En el momento de publicación de esta noticia, Apple no ha emitido un parche específico ni un advisory público que aborde directamente este comportamiento. Se recomienda a los equipos de seguridad revisar el estado de sus controles en endpoints macOS y evaluar si sus soluciones de protección disponen de mecanismos de autoprotección (self-protection) que mitiguen este riesgo hasta que exista una corrección oficial.
¿Estás cubierto en DefensOps?
Aunque este problema aún no tiene un CVE asignado ni técnicas MITRE específicas documentadas, DefensOps puede ayudarte a detectar comportamientos anómalos relacionados con la desactivación de agentes de seguridad en endpoints macOS gracias a su motor de correlación genérico, disponible desde el plan Essential.
Este motor es capaz de cruzar eventos de sistema, cambios en el estado de herramientas de protección y actividad inusual de usuarios estándar para generar alertas tempranas, incluso cuando el atacante no utiliza técnicas catalogadas formalmente.
¿Quieres saber si tu organización estaría protegida ante este tipo de brecha?
👉 Consulta nuestros planes y solicita una demo en DefensOps
Fuente: Dark Reading – Apple's MacOS Gap Lets Users Disable Security Tools
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Essential.
- Cobertura genérica vía motor de correlación · plan Essential
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.