Cómo auditar la actividad de red de tu Mac

Apartas veinte minutos una vez por trimestre para auditar la actividad de red de la Mac, y la única pregunta es si tienes un proceso que puedas ejecutar realmente, o si vas a improvisar otra vez con nettop y un cuaderno. Esta guía te da un guion repetible de 20 minutos: escaneo, revisión, comprobación de hostnames, retención de logs, elementos de acción. Ejecútalo igual cada vez. Compara con el trimestre pasado. Detecta deriva.

Esto es cómo auditar la actividad de red de la Mac sin convertirlo en una tarde entera.

Por qué molestarse, y qué buscas

El sentido de la auditoría no es paranoia. Es deriva. Cada instalación de macOS gradualmente acumula servicios de fondo que empezaron a hablar con internet en algún momento y nunca pararon. Una auditoría trimestral atrapa:

• Apps que olvidaste haber instalado que aún llaman a casa diariamente.
• Endpoints de telemetría que empezaron más parlanchines de lo que solían (tras una actualización).
• Procesos auxiliares (Chrome, Slack, Adobe) que silenciosamente actualizaron su huella de red.
• Conexiones salientes a hostnames que no reconoces.

Una auditoría de 20 minutos, cuatro veces al año, basta para atrapar casi todo.

Lo que necesitas antes de empezar

• Un monitor de red en tu barra de menú. ova es lo que esta guía usa. Unos 3 MB, muestrea tasas por app a ~1 Hz, agrupa procesos auxiliares bajo su padre.
• nettop — integrado. Sin instalación.
• Opcional: Little Snitch o LuLu para visibilidad a nivel de hostname. La auditoría funciona sin ellos pero es más afilada con.
• Una app de notas o un archivo de texto plano para hallazgos. La auditoría solo es útil si puedes comparar con la anterior.

Eso es todo. Sin instalaciones extra más allá del monitor, sin extensiones de kernel, sin cambios de sistema.

El guion de 20 minutos para auditar la actividad de red de la Mac

Aquí va la programación. Apégate al tiempo: pasarse de 30 minutos convierte un hábito trimestral en "algo que haré cuando tenga tiempo", lo que significa nunca.

Minutos 0-2: establece la línea base

Sal de las apps que no necesitas abiertas. Deja corriendo: tu navegador, Finder, servicios del sistema. El objetivo es ver tu uso de red "ambiente": lo que tu Mac hace cuando no la estás usando activamente.

Abre ova desde la barra de menú. Anota la tasa total de subida/bajada. En una Mac inactiva, esperarías unos KB/s por heartbeats de notificaciones push, iCloud y Spotlight. Cualquier cosa por encima de 100 KB/s sostenido en reposo vale la pena mirar.

Minutos 2-7: escaneo con nettop

Abre Terminal. Ejecuta:

nettop -P -m route -L 5 > ~/Desktop/nettop-$(date +%Y%m%d).txt

-L 5 captura cinco muestras (una por segundo por defecto), luego sale. La salida va a un archivo con fecha en tu escritorio: lo guardarás para la retención más tarde.

Mientras corre, no hagas nada. Cinco segundos, luego revisa el archivo. Verás líneas como:

Slack.21341    in:1.2KB  out:823B
Google Chrome.41203   in:48KB   out:9KB
WhatsApp.55102 in:512B   out:0B

Ojea cualquier cosa que no reconozcas. Los nombres que no puedes ubicar son pistas.

Minutos 7-12: revisión por app en tu monitor

Cambia a ova. Abre la lista por app. Ordena por bytes totales sobre la última hora (o la ventana más larga que la app muestra por defecto).

Para cada app en el top 10, pregunta:

1. ¿Debería esta app estar en la red ahora mismo? Un reproductor de música: sí. Un lector de PDF: probablemente no.
2. ¿Es razonable el volumen? Slack a 30 KB/s sostenido es normal. Slack a 3 MB/s sostenido es inusual.
3. ¿Es esta una app que instalé a propósito, o un sobrante? Si es sobrante, desinstala.

La agrupación de procesos auxiliares importa aquí. Sin ella, el top 10 se llena de filas como Google Chrome Helper (Renderer), Slack Helper (GPU), Discord Helper (Plugin). Con agrupación, cada una de esas colapsa bajo la app padre y puedes leer la lista realmente.

Minutos 12-16: comprobación de hostnames

Aquí es donde Little Snitch (o LuLu) se gana su sitio. Si lo tienes instalado, abre la vista Network Monitor y mira los hostnames por proceso para la ventana de auditoría.

Si no tienes una herramienta clase firewall, aún puedes hacer una comprobación parcial de hostnames mirando el log unificado:

log show --predicate 'subsystem == "com.apple.network.connectivity"' --style compact --last 20m | head -200

La salida es densa, pero buscar connect to o nombres específicos de apps sacará pistas de dominios.

Lo que buscas:

• Hostnames no familiares. Busca el dominio en un navegador. Un endpoint de telemetría legítimo normalmente tiene un propósito documentado.
• Conexiones frecuentes a dominios de anuncios/rastreo. Infractores comunes: *.doubleclick.net, *.scorecardresearch.com, *.googletagmanager.com. Las extensiones del navegador pueden ayudar (uBlock Origin), pero para apps nativas, una regla de firewall es la respuesta.
• Conexiones a países que no esperas. No inherentemente malo —muchas CDNs son regionales— pero vale la pena anotar.

Minutos 16-18: retención de logs

Toma el archivo nettop-YYYYMMDD.txt que generaste y muévelo a una carpeta, p. ej. ~/Documents/network-audits/. Opcionalmente exporta el resumen por app desde ova como una captura.

Por qué retener: tu primera auditoría es solo una instantánea. La segunda se convierte en una comparación. Para la tercera, puedes detectar tendencias: "el tráfico de Adobe se duplicó en Q2" o "Spotify pasó de 200 KB/s a 800 KB/s tras la actualización".

Una carpeta plana de archivos de texto y capturas basta. Sin herramientas elegantes.

Minutos 18-20: elementos de acción

Anota tres a cinco acciones concretas. Ejemplos de auditorías reales:

• "Desinstalar MagicScreenshotPro: usado dos veces el año pasado, habla con telemetría cada lanzamiento."
• "Bloquear Adobe *.adobe.io en Little Snitch: solo se necesita para comprobación de licencia, que puede fallar con elegancia."
• "Investigar el pico saliente de 14 MB de mds_stores: probablemente reindexado de Spotlight, pero confirmar próxima auditoría."
• "Añadir perfil DNS de Quad9."
• "Desactivar analítica en Microsoft Word."

Tres a cinco es el número correcto. Más que eso y no las harás. Menos y la auditoría no sacó nada, lo que normalmente significa que no estabas mirando con cuidado.

Ejecuta la auditoría con una vista en tiempo real

ova muestra tasas en vivo por app y un historial recorrible: local, firmado, ~3 MB.

Descargar para macOS

Qué rastrear trimestre a trimestre

Algunas cosas que vale la pena comparar con tu última auditoría:

No necesitas una hoja de cálculo. Una nota de cuatro líneas por auditoría basta.

Hallazgos comunes (y qué hacer)

"Una app que desinstalé sigue en la red"

Algunas apps dejan LaunchAgents detrás. Lístalos:

ls ~/Library/LaunchAgents/ /Library/LaunchAgents/ /Library/LaunchDaemons/

Cualquier cosa atada a la app desinstalada —com.example.helper.plist— puede eliminarse. Usa launchctl unload primero, luego elimina. Re-audita el siguiente trimestre para confirmar que se fue.

"El Monitor de Actividad muestra números distintos a mi herramienta de barra de menú"

La pestaña Red del Monitor de Actividad cuenta desde que arrancó el proceso. Un monitor de barra de menú cuenta en una ventana rodante. Lentes distintas sobre los mismos datos del kernel, ambas honestas, solo midiendo intervalos distintos.

"Veo un 50 KB/s estable que no puedo explicar"

Sospecha, en orden: sincronización iCloud, Time Machine por la red, reindexado Spotlight, copia tipo Backblaze/Carbonite, sincronización Dropbox/Drive, descarga de actualización del SO. nettop -P nombrará el PID. La mayoría son legítimos. Confirma saliendo de la app sospechosa y observando que la tasa caiga.

Consideraciones de privacidad durante la auditoría

Si guardas logs, esos logs contienen hostnames y marcas de tiempo: metadatos sensibles. Almacénalos localmente, no en carpetas sincronizadas con iCloud Drive, a menos que estés cómodo con eso. Mejor aún, ejecuta una auditoría que se quede local de extremo a extremo:

• Monitor que mantiene el historial en disco (sin panel en la nube).
• Salida de nettop guardada en una carpeta local.
• Notas en un archivo de texto local, no un doc sincronizado en la nube.

ova encaja en este perfil por diseño: no hay panel remoto, no hay cuenta, no hay telemetría. El historial de ancho de banda está en tu Mac y en ningún otro sitio.

El cuadro mayor: por qué un monitor se empareja con un firewall

La auditoría produce hallazgos. Algunos hallazgos son "debería bloquear esto". Ahí entra Little Snitch (o LuLu): pon la regla, y vuelve a ejecutar la auditoría el siguiente trimestre para confirmar que la regla aguantó.

Un patrón común:

1. La auditoría identifica al parlanchín Adobe Updater.
2. Regla de Little Snitch: denegar Adobe Updater saliente.
3. ova confirma la próxima vez que lances Photoshop que el tráfico del actualizador es ahora cero.

El monitor y el firewall hacen cosas distintas. Quieres ambos para un bucle de auditoría real.

Para terminar

Un hábito trimestral de 20 minutos para auditar la actividad de red de la Mac atrapa la deriva que convierte una Mac limpia en una parlanchina. El guion es: línea base en reposo, instantánea con nettop, revisión por app con agrupación de auxiliares, comprobación de hostnames, retención de logs, tres a cinco elementos de acción. Ejecútalo igual cada vez. Compara con la última. Actúa sobre los hallazgos.

Elige una fecha: el último viernes del trimestre, la mañana de un fin de semana largo, lo que se te quede. Ponlo en tu calendario ahora. La parte más difícil del hábito de auditoría es empezar; una vez tengas un archivo de historial en ~/Documents/network-audits/, querrás un segundo.