ova
Volver al blog
·10 min de lectura·productdevbook

Cómo saber si una app de Mac te está espiando por la red

Una guía con los pies en la tierra para detectar apps de Mac que llaman a casa más de lo debido, y las señales que separan el ruido de la vigilancia real.

  • Privacy
  • Security
  • macOS
  • Network monitoring

Instalas una app de grabación de pantalla, le das los permisos que pide, y una semana después notas que está transfiriendo unos cientos de kilobytes cada noche a las 3 AM. ¿Te está espiando? Probablemente no. ¿Está haciendo algo para lo que no te apuntaste? Posiblemente. La pregunta de si una app de Mac está espiando en la red tiene una respuesta real, y no es "sí" o "no", es "qué está saliendo realmente de la máquina, a dónde va, y coincide eso con lo que la app te dijo que haría".

Este es un artículo técnico, no paranoico. La mayoría de las apps están bien. Unas pocas son ruidosas. Un número muy pequeño hace cosas que no deberían. El objetivo es distinguirlas con evidencia en lugar de con corazonadas.

Telemetría vs vigilancia: no son lo mismo

Dos cosas muy distintas suelen meterse en el mismo saco:

  • Telemetría. La app reporta datos de uso semi-anónimos: conteos de funciones, logs de fallos, info de instalación, a veces demografía gruesa. Normalmente revelado en la política de privacidad. A menudo se puede desactivar. Generalmente no malicioso, aunque sea molesto.
  • Vigilancia. La app exfiltra contenido —lo que escribiste, qué archivos abriste, qué hay en tu pantalla, tus contactos, la entrada de tu cámara— a un servidor, sin revelarlo o con revelación deliberadamente vaga. Esto es raro en apps mainstream del Mac App Store pero pasa, especialmente en apps gratuitas con monetización poco clara.

Un monitor de ancho de banda puede mostrarte el volumen y el tiempo de la actividad de red. No puede decirte el contenido de una conexión cifrada. La discordancia entre el comportamiento revelado y el observado normalmente basta para marcar una app de Mac que espía en la red, o, más a menudo, para confirmar que lo que parecía sospechoso es en realidad mundano.

Señales de una app de Mac espiando en la red

Aquí van los patrones que merecen una mirada más cercana.

Subidas fuera de horario

Una app que sube datos a las 3 AM cuando estás durmiendo, cuando ninguna acción del usuario podría haberlo disparado, merece una pregunta. Existen razones legítimas (batching de analítica, subida de logs de error, sincronización de contenido), pero un grabador de pantalla subiendo 80 MB a las 3 AM sin que la función de grabación esté en uso es al menos algo sobre lo que preguntar.

Reconexiones persistentes

Una app que mantiene una conexión de larga duración o reconecta cada pocos segundos está haciendo comunicación en vivo. Las apps de chat y herramientas de colaboración (Slack, Discord, Figma) necesitan esto. Un lector de PDF no.

Subidas lentas sostenidas

Un goteo de 5-20 KB/s constante es la huella dactilar de telemetría en streaming. Si eso son pulsaciones de tecla, frames de pantalla o solo eventos de analítica depende de la app. Vale la pena saber qué hay detrás.

Conexiones a muchos hosts distintos

La mayoría de las apps legítimas hablan con un pequeño número de backends: sus propios servidores, quizás un proveedor de analítica, quizás un CDN. Una app hablando con 30 hosts distintos o está usando muchos SDKs de terceros (típico para apps con anuncios) o está haciendo algo más interesante.

Destinos cifrados a rangos IP desconocidos

Casi todas las apps modernas usan HTTPS, así que el cifrado en sí no es sospechoso. Lo interesante es qué hosts. Una app que habla con su propio dominio más una CDN de Cloudflare y un endpoint de analítica de Apple es normal. Una app que habla con una IP desnuda en un país no relacionado con el desarrollador es al menos curiosa.

Lo que realmente puedes ver, y lo que no

Un monitor de ancho de banda por app en macOS te da:

  • Nombre del proceso (y procesos auxiliares, cuando está bien atribuido).
  • Bytes enviados y recibidos a lo largo del tiempo.
  • Tasa en vivo, con historial.
  • A menudo los conteos de conexión.

No te da:

  • El contenido de las conexiones cifradas.
  • El dominio o IP de destino sin herramientas adicionales.
  • Si la app está leyendo tu micrófono, pantalla o pulsaciones.

Para el lado del destino, lsof -i -n -P muestra las conexiones actualmente abiertas por proceso. Para resolución de dominios, puedes emparejarlo con un log DNS o una herramienta como Little Snitch. Para contenido, necesitarías un proxy man-in-the-middle con certificados raíz instalados, lo que es una configuración más invasiva de lo que la mayoría quiere.

La pila realista para la mayoría de los usuarios es:

  1. Un monitor de ancho de banda en la barra de menú para cuándo y cuánto.
  2. Los paneles de permisos de privacidad de macOS para a qué puede acceder la app.
  3. lsof ocasional para con quién está hablando.

Eso es suficiente para atrapar casi todo lo que importa.

Una rutina de investigación práctica

Si el comportamiento de una app te hace sospechar:

1. Consigue una línea base

Observa la app durante una semana sin intervención. ¿Cuál es su patrón normal de subida? ¿Cuándo transfiere datos? ¿Cuánto por día? Sin una línea base, cada pico parece sospechoso. Con una, solo las anomalías reales destacan.

2. Comprueba los permisos de privacidad

Ajustes del Sistema → Privacidad y Seguridad. Mira:

  • Acceso al Disco Completo (muy potente: la mayoría de las apps no lo necesitan).
  • Grabación de Pantalla.
  • Accesibilidad.
  • Cámara, Micrófono.
  • Archivos y Carpetas.

Cruza referencias: ¿el propósito declarado de esta app requiere estos permisos? Una app de notas no necesita Grabación de Pantalla. Una utilidad de teclado no necesita Acceso al Disco Completo.

3. Comprueba los destinos de red

Ejecuta lsof -i -n -P | grep NombreApp mientras la app está haciendo lo que despertó tu curiosidad. Mira los hosts remotos. Haz una búsqueda DNS inversa o WHOIS sobre cualquiera que se vea inusual.

4. Lee la política de privacidad

Sí, es tedioso. Pero la pregunta relevante es "¿revela la política lo que estás observando?". Si la app sube telemetría diaria y la política dice "recogemos datos de uso anónimos", eso es consistente. Si la app sube telemetría diaria y la política no dice nada sobre recolección de datos, eso es una discordancia.

Vigilando esto en tu propia máquina

ova es un monitor de ancho de banda en la barra de menú que muestra tasas en vivo por app y líneas de tiempo históricas. Para el tipo de investigación de este artículo, lo que importa es:

  • Atribución por app que maneja los procesos auxiliares correctamente (para que un Chrome Helper no sea su propia fila).
  • Historial que puedes recorrer, para que "¿qué hizo esta app a las 3 AM del martes pasado?" tenga respuesta.
  • Datos solo locales, para que no compartas la misma información que intentas proteger entregándola a un servicio de monitorización en la nube.
Solo local por diseño
ova almacena los datos de muestreo por app en disco localmente. Sin telemetría, sin sincronización en la nube, sin cuenta. El sentido de monitorizar problemas de privacidad se socava si la propia herramienta de monitorización sube lo que ve.

Qué es normal: unos cuantos ejemplos

Algunas apps que parecen sospechosas si no las conoces:

  • mdworker_shared. Indexador de Spotlight de macOS. Trabajo de fondo, no intensivo en red.
  • trustd. Valida certificados SSL. Habla con servidores Apple. Normal.
  • apsd. Apple Push Service. Mantiene una conexión de larga duración con Apple. Normal.
  • nsurlsessiond. Programador de tareas de red en segundo plano. Muchas apps encolan subidas/descargas a través de esto; aparece como el worker, no la app original.
  • syncdefaultsd. Sincroniza preferencias vía iCloud. Bajo volumen, frecuente.
  • Dropbox / Google Drive / OneDrive. Clientes de sincronización. Alto volumen, no sospechoso.
  • Slack Helper (Renderer). Procesos auxiliares de Slack. Muchos; juntos suman el tráfico de Slack.

Si no reconoces un proceso, busca el nombre exacto entre comillas: "process_name" macOS, y normalmente encontrarás una respuesta clara en cinco minutos.

Mira lo que tus apps hacen realmente en línea

ova es un monitor de ancho de banda en la barra de menú visible de un vistazo: local, firmado, ~3 MB. Sin cuentas, sin nube.

Descargar para macOS

Cuando algo realmente parece estar mal

Has observado una app durante una semana, el patrón no coincide con su propósito declarado, la política de privacidad no menciona lo que estás viendo, y lsof muestra conexiones a hosts que no tienen sentido. ¿Y ahora qué?

En orden:

  1. Sal de la app y elimínala. Arrastrar a la Papelera no siempre basta: muchas apps instalan LaunchAgents o LaunchDaemons que persisten. Herramientas como AppCleaner ayudan; la inspección manual de ~/Library/LaunchAgents y /Library/LaunchAgents es más exhaustiva.
  2. Revoca cualquier permiso de privacidad que tuviera.
  3. Decide si quieres reportarla. Apple toma los reportes del Mac App Store en serio. El Asistente de Comentarios de Apple y el flujo de reporte de la App Store son los canales correctos.
  4. No intentes "bloquearla" a nivel de firewall en una máquina donde seguirás usando la app. Ese es el caso de uso del firewall (territorio de Little Snitch). Un monitor es para visibilidad; si quieres bloquear, usa una herramienta de bloqueo. ova es un monitor, no un firewall.

Para terminar

La mayoría de las apps están bien. Unas pocas son ruidosas. Un pequeño número cruza líneas que no deberían. Detectar una app de Mac espiando en la red no es paranoia, es higiene. Observa tu máquina durante una semana, desarrolla una línea base, y lo anormal destaca sin esfuerzo.

Instala ova, déjalo correr en silencio, y la próxima vez que una app te dé mala espina tendrás datos en lugar de una corazonada.