Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
5500
)
-
▼
junio
(Total:
898
)
-
EE. UU. ofrece hasta 10M$ por información que ayud...
-
Nuevo ataque de Claude Code permite control total ...
-
Base de datos de vulnerabilidades de GitHub alcanz...
-
Explotan vulnerabilidad crítica de Oracle E-Busine...
-
Vulnerabilidades de Synology MailPlus Server permi...
-
Microsoft advierte que las descripciones manipulad...
-
Gemini supera a ChatGPT con imágenes gratis para t...
-
Claude Science acelera el descubrimiento científico
-
IA de Google crea imágenes en 4 segundos
-
Kodi 22 Piers llega a beta
-
Meta pierde juicio por impacto de redes en menores
-
Vulnerabilidad crítica en Gemini CLI permite ejecu...
-
Vulnerabilidades de WolfSSL exponen miles de millo...
-
Vulnerabilidad RCE de Microsoft 365 explotada con ...
-
Publicado PoC de fallo en NTLM que permite acceso ...
-
Vulnerabilidades críticas de Dell Wyse permiten ej...
-
Roban sesiones de WhatsApp Web para estafas a dire...
-
Publicado PoC de vulnerabilidad RCE en Splunk Secu...
-
Vulnerabilidad crítica en Kemp LoadMaster permite ...
-
Extensión maliciosa de Perplexity para Chrome inte...
-
Kali Linux 2026.2: GNOME 50 y Plasma 6.6
-
Bing Search de ‘ManageEngine OpManager’ distribuye...
-
Vulnerabilidad de Oracle E-Business Suite CVE-2026...
-
ISPs exigen cuentas a Tebas por bloqueos IPTV
-
Microsoft crea un filtro de seguridad para evitar ...
-
Desarrolladores de Mozilla logran instalar malware...
-
Elon time: el retraso de Musk hacia Marte
-
Mod hace que el Steam Controller vuelva solo a su ...
-
Akrites: nuevo frente contra ataques de IA al códi...
-
Gemini permite buscar una app que haga algo especí...
-
Organic Maps: La alternativa a Google Maps que res...
-
Microsoft elimina 119 extensiones de Edge que ocul...
-
Chrome se integra mejor con Wallet para autocomple...
-
Cae masivamente la piratería de fútbol online
-
EE. UU. incauta cientos de dominios de streaming i...
-
OpenAI lanza GPT 5.6 y promete mayor seguridad
-
Turla, vinculado a Rusia, usa infraestructura comp...
-
Los drivers AMD Adrenalin en Windows 10 siguen pre...
-
La UE encarece compras en AliExpress, Shein y Temu
-
ClawHub Skills expone agentes de IA a puertas tras...
-
Dron sigue a F1 a 300 km/h
-
The New York Times demanda a Microsoft y OpenAI po...
-
Mageia 10: distro Linux sucesora de Mandriva
-
Demandan a Samsung, SK Hynix y Micron por los prec...
-
WhatsApp implementará nombres de usuario para prot...
-
Netflix endurece el control de cuentas compartidas
-
Senador acusa a Tim Cook de priorizar beneficios s...
-
IA china Zhipu igualaría a Claude Mythos en detecc...
-
CachyOS lanza Hyprland Noctalia y Shelly para AUR
-
Nissan advierte que un hackeo a Oracle PeopleSoft ...
-
Hacienda de España usará IA israelí para potenciar...
-
Agentes míticos generados por LLM permiten herrami...
-
Usan RemotePC y PowerShell para desplegar el ranso...
-
EEUU condiciona el lanzamiento de GPT-5.6 Sol
-
PowerPoint busca presentaciones perfectas
-
CNMC podría encarecer el despliegue de fibra de op...
-
OpenAI lanzó GPT-5.6 Sol con acceso limitado y pro...
-
Crea un Windows portátil con Windows To Go
-
Paquetes de Go y npm comprometidos utilizan tareas...
-
RedAmon: IA que encadena reconocimiento, explotaci...
-
Consiguen hacer funcionar Windows 11 en un PC de l...
-
Casi cien drones caen en un show aéreo en Australia
-
El nuevo malware SharkLoader despliega Cobalt Stri...
-
Windows 11: nueva recuperación de pago
-
El FBI advierte que rusos buscan las claves de rec...
-
Nuevo ataque de secuestro de buckets redirige dato...
-
Ucrania denuncia que el servicio de inteligencia r...
-
Xbox Series S iguala precio de PS5
-
IP Crawl, la colección de webcams abiertas que no ...
-
Chrome cifrará tus pestañas abiertas
-
Una guía para elegir el mejor DNS público; práctic...
-
Trump bloquea el acceso a GPT-5.6
-
Amazon: IA de Mythos afecta a Fable 5 en AWS
-
OpenAI presenta GPT-5.6 Sol con acceso restringido...
-
Se prevé otro gran aumento de precio de la memoria...
-
Eustella: el chatbot europeo frente a ChatGPT
-
Las placas Z990 tendrán 3 conectores de 8 pines pa...
-
75 juegos PC: pocos requisitos y buenos gráficos
-
Nobel de Medicina arremete contra Elon Musk y su p...
-
La IA aumenta la desigualdad laboral
-
Medios demandan a Microsoft y OpenAI por IA
-
Ford falla con IA y recontrata ingenieros
-
Fallo en Amazon Q permitía ejecutar código y robar...
-
Stremio 5 ya disponible para Linux
-
STIM Machine, así es el PC que imita la forma de l...
-
Nuevo exploit de Linux permite acceso root al sistema
-
Vulnerabilidad crítica en python.org permitía fals...
-
Hackeo en Leroy Merlin: miles de clientes expuestos
-
Activa la VPN de Firefox
-
LastPass sufre nueva filtración de datos
-
FortiBleed: el ataque a firewalls FortiGate que ro...
-
Mythos detecta Squidbleed, una fuga de memoria que...
-
Anthropic lanza Claude Tag: el compañero de IA lle...
-
Habilidad fraudulenta de agentes de IA supera esca...
-
GitHub actualiza actions/checkout para bloquear pa...
-
Casi la mitad de las apps de LG y Samsung venden t...
-
CISA advierte de vulnerabilidad explotada en Ubiqu...
-
Usan Velociraptor, Cloudflare, Zoho y VS Code para...
-
Nueva navaja suiza para hackers en GitHub
-
Operadora japonesa expone 14,2 millones de credenc...
-
SteamOS llegará a todos los PC
-
Las RTX 50 de análisis se empiezan a quemar: Club3...
-
El Departamento de Justicia incauta cuenta de Huio...
-
Claude Fable 5 escribió código del kernel de Windo...
-
Wikipedia expulsa permanentemente a su cofundador ...
-
Kit de phishing AWS AiTM roba credenciales y MFA e...
-
Shai-Hulud roba credenciales de desarrolladores
-
Caducó certificado de Secure Boot de Windows: mile...
-
Algoritmo suizo que quitará el carné por no respet...
-
Backdoor Mistic se autodestruye y se vincula a un ...
-
Polonia desmantela banda de SIM-swapping responsab...
-
CISA advierte sobre vulnerabilidad de Cisco Unifie...
-
Los navegadores más raros probados
-
Iberia estrena su acceso gratuito a Internet vía S...
-
El CEO de Epic Games dice que las herramientas de ...
-
Google detalla STOCKSTAY, la nueva puerta trasera ...
-
10 webs de eBooks gratis y legales
-
Fallo de seguridad en Apache Tomcat Tribes
-
Firma china de ciberseguridad asegura haber creado...
-
Nuevo exploit de COW en Linux permite acceso root ...
-
Qualcomm Dragonfly C1000: así es la CPU con más de...
-
OpenAI retrasaría ChatGPT 5.6 por pedido de Trump
-
Windows 10 tendrá soporte hasta 2027
-
Extensión maliciosa de Edge ejecuta código en sist...
-
Marketplace OpenClaw expone agentes de IA a malwar...
-
Vulnerabilidades en IA de Red-Team permiten robo d...
-
Usan Cisco y Google para propagar malware SharkLoader
-
Campaña de LokiBot roba credenciales con JScript, ...
-
-
▼
junio
(Total:
898
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
SQLmap es una de las herramienta más conocidas para hacer ataques SQLi (SQL Injection) escrita en Python. SQLmap se encarga de realizar pe...
-
Siempre que hablamos de hardware, y especialmente de procesadores y tarjetas gráficas, uno de los datos técnicos más repetidos es el TDP...
-
Se ha detectado una nueva técnica de ransomware capaz de ejecutarse completamente dentro de un navegador web , sin necesidad de instalar apl...
Monitoreo de red en tiempo real para detectar aplicaciones sospechosas en macOS
En esta guía, verás cómo la monitorización de red en tiempo real te ayuda a detectar comportamientos sospechosos de las aplicaciones en macOS, por qué las defensas tradicionales dejan un vacío de visibilidad y cómo una herramienta de monitorización ligera puede cerrarlo sin convertir tu Mac en un laboratorio de seguridad.
Introducción: La amenaza silenciosa en macOS
La mayoría de los usuarios asumen que si evitan instaladores piratas y descargas dudosas, están seguros. macOS tiene una sólida reputación de seguridad, y Gatekeeper, XProtect y la notarización realizan mucho trabajo silencioso en segundo plano para mantenerlo así.
Pero el modelo de amenazas ha cambiado. En los últimos años, los atacantes se han alejado del malware obvio y se han desplazado hacia vectores más sutiles: ataques a la cadena de suministro, actualizaciones comprometidas de proveedores legítimos, extensiones de navegador maliciosas y procesos auxiliares aparentemente inocentes que se comunican silenciosamente con el exterior.

Fuente: objective-See, resúmenes anuales de Malware de Mac por Patrick Wardle (2019–2025)
El problema es que el software antivirus tradicional busca firmas conocidas. Un exploit de día cero, una actualización recién comprometida o un proceso auxiliar secuestrado no coinciden con nada en una base de datos de firmas, por lo que pasan desapercibidos.
Lo mismo ocurre con el tráfico de comando y control de una herramienta que parece legítima pero que ha sido manipulada en su origen. El comportamiento malicioso no está en el binario en el disco; está en las conexiones de red que el binario realiza una vez que se está ejecutando.
Nuestra tesis es simple. La visibilidad es la mejor defensa. Si puedes ver, en tiempo real, qué aplicaciones están hablando con internet y a dónde están enviando datos, puedes detectar anomalías que las herramientas automatizadas pasan por alto. Una aplicación de calculadora que se conecta a un servidor en un país que nunca has visitado no es una coincidencia de firma. Sin embargo, es una señal de alerta obvia para un humano que presta atención.
Anatomizando el comportamiento sospechoso de las aplicaciones
Antes de analizar las herramientas, es útil saber qué estamos buscando. El comportamiento sospechoso de la red suele dividirse en unas pocas categorías conocidas y, una vez que hayas visto cada una, los patrones se vuelven difíciles de ignorar.
Conexiones inesperadas de aplicaciones improbables
Algunas aplicaciones no tienen motivo alguno para comunicarse con internet. Un editor de imágenes simple que funciona enteramente con tus archivos locales no necesita llegar a una IP remota. Una calculadora no necesita conexión de red. Incluso las aplicaciones más maduras que utilizan legítimamente la red suelen contactar solo con unos pocos endpoints conocidos: sus propios servidores de actualización, un proveedor de analíticas o, a veces, una verificación de licencia.
Cuando una aplicación inesperada comienza a realizar conexiones salientes, o cuando una aplicación conocida empieza a contactar con hosts que no coinciden con su propósito, esa es la señal que vale la pena investigar. El truco es que solo puedes notarlo si tienes una línea base de cómo se ve lo "normal" y una herramienta que muestre las desviaciones a medida que ocurren.
Cómo el malware "se reporta"
El malware moderno rara vez opera de forma aislada. Una vez que aterriza en una máquina, normalmente se conecta a un servidor de comando y control para registrarse, recibir instrucciones y exfiltrar datos. Este patrón es tan consistente que la telemetría de red es una de las formas más fiables de detectar una intrusión incluso cuando el binario mismo no es reconocido.

Fuente: Patrón generalizado extraído de informes de incidentes públicos de Objective-See, Mandiant M-Trends y Jamf Threat Labs
El "reporte" a menudo parece anodino en la superficie: una pequeña solicitud HTTPS a un dominio que nadie en la máquina ha visitado en un navegador, repetida en un horario predecible. La carga útil que sigue puede ser cualquier cosa, desde una lista de archivos para recolectar, hasta un nuevo dropper o credenciales extraídas de un llavero. Nada de esto es visible sin observar las conexiones mismas.
Conexiones a jurisdicciones de alto riesgo o inesperadas
La geografía no es una señal perfecta, pero es útil. Una aplicación de copia de seguridad que se conecta solo a la región de operación de su proveedor se comporta normalmente. La misma aplicación abriendo repentinamente una sesión con un bloque de IP en un país que no tiene presencia en su documentación es, como mínimo, motivo para mirar más de cerca.
Las herramientas que muestran el país o el sistema autónomo detrás de cada conexión te ofrecen una forma rica en contexto para triar estos eventos. No necesitas ser un analista de redes para reconocer que una aplicación de notas offline que extrae datos de un proveedor de hosting en una jurisdicción sancionada no es lo que tú aceptaste.
La limitación de las defensas integradas de macOS
macOS viene con un firewall integrado, y cumple perfectamente su propósito real. Comprender cuál es ese propósito —y cuál no lo es— es la clave para ver dónde reside el vacío de visibilidad.
El Firewall de macOS
El firewall nativo en los Ajustes del Sistema es excelente bloqueando conexiones entrantes. Puedes ordenarle que rechace todo el tráfico entrante no solicitado, que permita solo que el software firmado escuche conexiones y que ponga tu Mac en modo sigiloso para que no responda a sondeos de la red. Para los usuarios de portátiles que se desplazan entre cafeterías y aeropuertos, esto es genuinamente útil.
Lo que no hace, por diseño, es darte un control granular sobre el tráfico saliente. No hay una interfaz de usuario integrada que enumere cada proceso en ejecución, te muestre con qué servidores está hablando cada uno actualmente y te permita permitir o denegar esa conexión al instante. macOS asume que si una aplicación está instalada y es lo suficientemente confiable para ejecutarse, sus conexiones salientes son asunto suyo.
Para la mayoría de los usuarios, esa suposición es razonable. Para cualquiera que haya visto cambiar el panorama de amenazas en los últimos años, ya no es suficiente.
La necesidad de interactividad
La respuesta clásica al control saliente en macOS es un conjunto de reglas estáticas: una configuración larga que dice "esta aplicación puede llegar a estos hosts en estos puertos, denegar todo lo demás". Las reglas estáticas funcionan, pero asumen que ya sabes qué conexiones son normales. Para la mayoría de las aplicaciones que acabas de instalar, no tienes idea. Te enteras de la respuesta la primera vez que la regla bloquea algo y la aplicación deja de funcionar de manera confusa.
Los avisos interactivos en tiempo real resuelven el problema desde la otra dirección. Cuando una aplicación realiza su primera conexión, la herramienta hace una pausa y te pregunta si deseas permitirla o denegarla. Respondes una vez y la decisión se recuerda.
Después de unos días de uso normal, tu conjunto de reglas se ensambla a partir del comportamiento real en lugar de suposiciones. También ves, en el momento, cada host al que una aplicación intenta contactar, que es precisamente la visibilidad que querías en primer lugar.
Este patrón interactivo es lo que herramientas como Little Snitch popularizaron en macOS y lo que proyectos como LuLu y OpenSnitch han llevado a un público más amplio. El único problema real es que, inicialmente, tales aplicaciones podrían pedirte permiso para permitir o denegar el acceso web a aplicaciones existentes cientos de veces al día.
Para los usuarios que quieren la misma visibilidad sin comprometerse con un firewall pesado o nuevos hábitos de control de tráfico, una herramienta de monitorización enfocada es la alternativa más ligera.
Solución: Monitorización en tiempo real con FireWally
FireWally es una herramienta de monitorización de red ligera y nativa de Apple, creada específicamente para la transparencia. Es gratuita, requiere macOS 13 o posterior y está notarizada por Apple. El producto tiene un alcance intencionadamente limitado: en lugar de intentar ser un firewall empresarial completo, se enfoca en mostrarte qué está haciendo realmente tu Mac en la red y permitirte cortar cualquier aplicación en la que ya no confíes.
Qué te muestra FireWally
Una vez en funcionamiento, FireWally enumera cada aplicación en tu Mac que está utilizando la red actualmente. Para cada una, muestra el tráfico en vivo: qué se está enviando, qué se está recibiendo y a qué velocidad.
Existen resúmenes de tráfico horarios y diarios, para que puedas detectar un proceso que haya estado comunicándose silenciosamente durante la noche incluso si no estabas mirando en ese momento. Los procesos en segundo plano que nunca abriste tú mismo, pero que siguen moviendo datos, aparecen junto a las aplicaciones que usas activamente.

La herramienta también ofrece explicaciones impulsadas por Apple Intelligence sobre por qué una aplicación determinada se está conectando, para que no tengas que analizar cada nombre de dominio para entender si una conexión es plausible. Para una aplicación en la que confías, el contexto confirma el comportamiento normal. Para una aplicación que no reconoces, el mismo contexto suele ser suficiente para decidir que no tiene ninguna buena razón para estar en la red.
Bloqueando lo que no confías
Más allá de la observación, FireWally te ofrece un interruptor por aplicación para cortar el acceso a internet por completo. Si ves que una aplicación realiza una llamada y no quieres que lo haga, la bloqueas una vez y continúas. Debido a que la herramienta es nativa de Apple y ligera, puedes dejarla funcionando continuamente sin la carga de una pila de firewall completa.
La combinación de visibilidad en vivo, historial de tráfico y un solo clic para denegar es lo que hace que la monitorización interactiva sea práctica para personas que no quieren convertirse en administradores de red. Obtienes la respuesta a "¿qué está haciendo realmente este Mac ahora mismo?" sin montar infraestructura adicional.
Mejores prácticas para la higiene de red
Una herramienta de monitorización es tan útil como los hábitos que la rodean. Unas pocas prácticas sencillas mantienen tu superficie de ataque pequeña y tus alertas significativas.
Minimiza la superficie de ataque
Cada aplicación que mantienes instalada es un punto de entrada potencial. Revisa tus aplicaciones instaladas periódicamente y elimina cualquier cosa que ya no uses. Presta especial atención a los procesos auxiliares, extensiones del navegador, utilidades de la barra de menús y elementos de inicio de sesión que hayas podido olvidar, ya que estas son exactamente las categorías que los atacantes eligen porque los usuarios rara vez las auditan.

La lista de aplicaciones autorizadas para tener Acceso total al disco en los ajustes del sistema de macOS
Ya que estás en ello, audita los permisos que has concedido. macOS te ofrece una vista clara de qué aplicaciones tienen Acceso total al disco, Accesibilidad, Cámara y derechos de Micrófono. Revoca cualquier cosa que ya no necesite esos permisos. Para saber más sobre los archivos residuales y auxiliares que permanecen tras una desinstalación casual, consulta las notas de Nektony sobre lo que deja una desinstalación estándar.
Regla del privilegio mínimo
La posición predeterminada para cualquier aplicación que no necesite estrictamente acceso a internet debería ser "bloqueado". Los editores de imágenes que trabajan con archivos locales, las calculadoras, las aplicaciones de notas offline y la mayoría de las utilidades pueden funcionar perfectamente sin conexión de red.
Si descubres más tarde que una aplicación realmente necesita llegar a un servidor, puedes permitirlo entonces. Empezar siendo permisivo y restringir después casi nunca ocurre. Empezar siendo restrictivo y flexibilizar bajo demanda es sostenible.
Este es el mismo principio de privilegio mínimo que rige la administración de servidores, y se aplica igual de bien a un portátil personal. La mayoría de las veces, el "denegar por defecto" no te cuesta nada. Las excepciones son obvias y fáciles de manejar cuando surgen.
Auditorías periódicas
La monitorización en vivo te dice qué está pasando ahora mismo. Las auditorías periódicas te dicen qué pasó mientras no mirabas. Usa los resúmenes horarios y diarios de FireWally para buscar cualquier cosa que haya estado inusualmente comunicativa durante la noche, especialmente en los días en que tu Mac estuvo inactivo.
Una aplicación de copia de seguridad que subió unos pocos cientos de megabytes cuando no había ninguna ventana de copia de seguridad programada, un proceso "auxiliar" que no recuerdas haber instalado mostrando tráfico sostenido, una aplicación recientemente actualizada que de repente tiene nuevos destinos: cualquiera de estas cosas merece un momento de atención.
.webp)
Un chequeo rápido semanal es suficiente. La mayoría de las semanas no verás nada sorprendente, y ese es el punto. La primera vez que veas algo inesperado, ya sabrás cómo interpretarlo.
Preguntas frecuentes
¿Es la monitorización de red en tiempo real un sustituto del antivirus?
No. Ambos abordan capas diferentes. El antivirus analiza los archivos en reposo y las firmas conocidas. La monitorización de red en tiempo real analiza el comportamiento de los procesos en la red. Se complementan entre sí, y las amenazas graves suelen ser más fáciles de capturar cuando ambos están implementados.
¿Ralentizará mi Mac el uso de una herramienta de monitorización?
Una herramienta nativa de Apple bien diseñada añade una carga insignificante. FireWally está construida específicamente para mantenerse ligera; muestra el tráfico que el sistema operativo ya está rastreando en lugar de realizar una inspección profunda de paquetes.
¿Qué pasa con el tráfico de la VPN?
Las herramientas de monitorización ven la conexión de cada aplicación al cliente VPN local y la propia conexión saliente del cliente VPN. No ven el interior del túnel en sí. Eso suele ser suficiente para detectar aplicaciones sospechosas: la conexión local-a-VPN de la aplicación sigue siendo atribuible a un proceso específico.
¿Necesito ser un experto en seguridad para entender lo que veo?
No. Los primeros días de uso de una herramienta de monitorización sirven también como un tour por tu propio sistema. Rápidamente aprenderás qué aplicaciones son normalmente comunicativas, qué procesos en segundo plano forman parte de macOS y qué destinos son rutinarios. Una vez que tengas esa línea base, las anomalías resaltarán por sí solas.
Conclusión
Las amenazas modernas en macOS son cada vez más conductuales en lugar de basarse en firmas, y el vacío de visibilidad es real. El firewall integrado gestiona bien el tráfico entrante, pero deja la actividad saliente en gran medida opaca.
Cerrar ese vacío no requiere una pila de seguridad empresarial. Requiere una forma de ver qué están haciendo tus aplicaciones en la red, en tiempo real, con suficiente contexto para decidir si cada conexión tiene sentido.
Herramientas como FireWally cumplen ese rol sin pedirte que te conviertas en administrador de redes. Combinadas con unos pocos hábitos sencillos —minimizar la huella de aplicaciones instaladas, aplicar el privilegio mínimo por defecto para el acceso a la red y realizar una auditoría rápida cada semana— obtienes un nivel de transparencia que detecta el tipo de amenazas que las herramientas automatizadas pasan por alto silenciosamente.
La visibilidad, al final, es lo que separa un Mac en el que confías de un Mac que esperas que esté bien.
Fuentes:
https://cybersecuritynews.com/real-time-network-monitoring-for-macos-security/


Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.