ova
Volver al blog
·10 min de lectura·productdevbook

Cómo detectar actividad de red sospechosa en tu Mac

Cómo identificar pronto actividad de red extraña en una Mac: herramientas, señales y los patrones que de verdad indican problemas.

  • Security
  • macOS
  • Network monitoring
  • Privacy

El ventilador se acelera a las 2 AM. Un amigo menciona que su banco marcó inicios de sesión inusuales. Lees un hilo sobre un paquete npm malicioso que exfiltra variables de entorno de desarrollo. De pronto cada parpadeo de tu Mac se siente sospechoso. La mayoría del tiempo no lo es —macOS es parlanchín por diseño— pero saber distinguir el ruido de fondo normal de la actividad de red sospechosa que los usuarios de Mac realmente deberían investigar es una habilidad útil. Aquí va una lista calmada, sin alarmismo.

Parte de esta premisa: la gran mayoría del tráfico inesperado en una Mac sana es benigno. iCloud, Time Machine, notificaciones push, actualizaciones de software, telemetría de apps que instalaste: todos generan tráfico a horas raras. El sentido de esta lista es reconocer el pequeño conjunto de patrones que genuinamente merece una segunda mirada.

Cómo se ve "el ruido normal"

Antes de poder detectar una señal sospechosa, necesitas saber cómo se ve el tráfico de fondo en una Mac en la que confías.

Servicios del sistema de Apple

Aparecen bajo PIDs que no reconoces inmediatamente. Comunes:

  • cloudd — sincronización de iCloud (Photos, Drive, iCloud Keychain)
  • bird — también iCloud (sí, dos daemons)
  • apsd — Apple Push Notification service (siempre activo, baja tasa)
  • nsurlsessiond — transferencias URLSession en segundo plano (App Store, actualizaciones del SO, Time Machine a destinos de red)
  • softwareupdated — comprobaciones de actualización de macOS (ráfagas ocasionales)
  • gamed, imagent, identityservicesd — Game Center, iMessage, presencia de FaceTime
  • mDNSResponder — descubrimiento Bonjour en Wi-Fi local (solo local, no internet)
  • syspolicyd, trustd — firma de código y validación de certificados (pequeño, frecuente)
  • parsecd, familia Siri — sugerencias de Spotlight, Siri

Si ordenas por bytes y solo ves estos nombres más tu navegador y apps de chat, tu Mac está bien.

Apps "sync" de terceros

Cualquier cosa que prometa "archivos en todas partes" corre constantemente:

  • Dropbox, Google Drive, OneDrive, Box
  • 1Password sync, Bitwarden
  • Notion, Obsidian Sync, Bear, Things
  • Spotify, Música (actualizaciones de catálogo, sincronización)
  • Clientes VPN (TailscaleApp, NordVPN): mantienen los túneles vivos

Su tráfico es pequeño en estado estacionario y picotea cuando cambias algo que sincronizan. El tráfico en reposo en estado estacionario es normal.

Navegadores en segundo plano

Chrome y Safari mantienen conexiones a los servidores de actualización de extensiones, endpoints de sincronización y cualquier pestaña fijada que olvidaste (una pestaña web de Slack, un calendario, una pestaña de YouTube Music). Un navegador en reposo aún mueve bytes.

Señales de actividad de red sospechosa que los usuarios de Mac deberían investigar

Ahora los patrones sospechosos reales. Estos son los que merecen una mirada más de cerca, no pánico, solo una mirada.

1. Destinos desconocidos desde un proceso conocido

Un proceso en el que confías (digamos, tu IDE o una pequeña utilidad que instalaste el mes pasado) está conectándose a un espacio de IPs que no reconoces. Vale la pena revisar. Las herramientas más simples:

  • lsof -i -P -n -p <PID> — cada conexión que ese PID tiene abierta, con IPs y puertos remotos
  • whois sobre la IP, o búsqueda DNS inversa (dig -x <ip>)
  • Una búsqueda de la IP: la mayoría de endpoints legítimos en la nube (AWS, GCP, Azure, Cloudflare) son inmediatamente obvios

Sospechoso aquí significa: una pequeña utilidad conectándose a un espacio IP de un ISP residencial, una app pirateada llegando a un dominio que no reconoces, una herramienta CLI de npm o pip pingueando un servidor sin vínculo obvio con su propósito.

2. Subidas fuera de horario desde tu propia máquina

Subida estable a las 3 AM desde una app que no tiene razón para subir: esa es una señal real. Cuidado con esta: los casos legítimos incluyen Time Machine a un destino de red, sincronización de fotos poniéndose al día tras una copia de iPhone, y sincronización grande de iCloud Drive.

Pero si es una app que no reconoces, sostenida durante una hora, enviando cientos de megabytes mientras duermes, investiga.

3. Puertos inusuales

La mayoría de las apps modernas hablan HTTPS en el puerto 443 o HTTP en el 80. Algunas excepciones legítimas: SSH (22), correo (25/465/587/993/995), DNS (53/853), clientes de bases de datos (5432, 3306, 27017, 6379), clientes de juegos (cualquier rango que elijan), VPNs (1194, 51820 para WireGuard), Tailscale (41641 UDP).

Salidas a puertos como 4444, 6667 (IRC) o puertos altos arbitrarios sin razón clara merecen un vistazo. Igual que una app que solo habla en un puerto no estándar y nunca usa el 443.

4. Reconexiones persistentes desde una app

Un proceso abre una conexión, se cierra, abre otra, el ciclo se repite cada pocos segundos. Podría ser una VPN mal configurada reconectándose. Podría ser una app Electron cuyo renderer está cayendo en bucle. Podría ser un info-stealer intentando llamar a casa por un proxy errático.

La tasa de conexión (conexiones por segundo por proceso) es una señal más sensible que la tasa de bytes.

5. Un nuevo proceso que no instalaste

Apareciendo en tu lista de ancho de banda con un nombre que nunca has visto, sin un bundle .app en /Applications, ejecutable en /tmp o ~/Library/LaunchAgents que no recuerdas haber añadido. Esta es la forma canónica del malware. Comprueba con:

launchctl list | grep -v com.apple

…para ver trabajos de launchd activos que no son de Apple. Y:

ls -la ~/Library/LaunchAgents/ /Library/LaunchAgents/ /Library/LaunchDaemons/

…para ver archivos de persistencia. La mayoría de las entradas son legítimas (Dropbox, Spotify, etc.), pero cualquier cosa que no reconozcas, búscala.

6. Pico repentino desde un proceso que normalmente está tranquilo

Spotlight (mds_stores) normalmente no hace I/O de red. Un daemon de firma de código no debería estar subiendo. Un proceso legítimo comportándose de pronto fuera de su categoría es una señal: a veces de una actualización de software cambiando el comportamiento, a veces de algo más.

Una lista calmada

Recorre esta lista antes de entrar en pánico. Lleva unos diez minutos.

  1. Revisa el Monitor de Actividad → pestaña Red. Ordena por Datos Enviados/seg y Datos Recibidos/seg. Anota cualquier cosa en el top cinco que no reconozcas.
  2. Para cada proceso desconocido: clic derecho → Inspeccionar → Archivos y Puertos Abiertos. ¿A qué direcciones está hablando? ¿La ruta del bundle está bajo /Applications? ¿Bajo ~/Library? ¿Bajo /tmp?
  3. Busca el ID del bundle. mdls -name kMDItemCFBundleIdentifier <ruta>. Búscalo. Las apps legítimas muestran resultados claros.
  4. Comprueba la persistencia de launchd. launchctl list | grep -v com.apple y las carpetas LaunchAgents/Daemons listadas arriba.
  5. Comprueba el log unificado para el proceso. log show --last 1h --predicate 'process == "Sospechoso"' --info: ¿qué estaba haciendo?
  6. Comprueba las extensiones instaladas. systemextensionsctl list para Extensiones de Red. Cualquier cosa que no instalaste, búscala.
  7. Ejecuta un escáner de buena reputación. Malwarebytes para Mac y KnockKnock (de Objective-See) son ambos gratuitos y bien considerados. No son infalibles pero atrapan lo obvio.
  8. Si aún no estás seguro, captura y pregunta. Una captura del panel Inspeccionar del proceso sospechoso y un pegado de la lista launchctl basta para que alguien con experiencia haga triaje.

Ve ova en acción

Un monitor de ancho de banda en la barra de menú visible de un vistazo: local, firmado, ~3 MB.

Descargar para macOS

Por qué un monitor pasivo ayuda

La parte más difícil de investigar la actividad sospechosa es estar ahí cuando pasa. Para cuando tu ventilador está acelerando, el proceso ofensivo puede haberse detenido. Para cuando abres el Monitor de Actividad, el pico se ha ido.

Un monitor de ancho de banda en la barra de menú como ova ayuda porque es pasivo y continuo. Muestrea aproximadamente a 1 Hz y almacena el historial localmente, así que cuando finalmente notas el ventilador, puedes recorrer las últimas horas y ver exactamente cómo se veía la red en ese momento. Por app, con auxiliares agrupados, en una línea de tiempo.

Eso no reemplaza una herramienta EDR real (esas existen para modelos de amenaza serios) pero para uso personal mejora dramáticamente tus probabilidades de ver la señal que buscas.

Historial por app para forense
ova mantiene una línea de tiempo recorrible del ancho de banda por app en un archivo SQLite local. Cuando detectas algo raro, puedes mirar atrás en lugar de intentar atraparlo en vivo.

Cosas que parecen aterradoras pero normalmente no lo son

Una lista corta de "esto parecía sospechoso pero resultó ser normal":

  • Una ráfaga de mDNSResponder en una nueva red Wi-Fi. Descubrimiento Bonjour. Normal.
  • identityservicesd conectándose a servidores Apple. Presencia de iMessage / FaceTime. Normal.
  • apsd manteniendo una conexión persistente a *.push.apple.com. Notificaciones push. Normal.
  • com.apple.geod saliendo ocasionalmente. Mapas y servicios de localización. Normal.
  • triald, parsecd, searchpartyd. Investigación de Apple / Spotlight / Buscar Mi. Normal.
  • Una ráfaga masiva de descarga justo tras la actividad de softwareupdated. Actualización de macOS. Normal.
  • Una conexión a 17.x.x.x. Ese es el rango IP de Apple. Normal.

Cuando dudes, busca el nombre del proceso más "macOS": la mayoría de los daemons de Apple están bien documentados.

Qué es realmente raro

El compromiso genuino en una Mac de gestión personal es poco común para usuarios que:

  • Se ciñen a apps de App Store y notarizadas
  • No corren software pirateado
  • No pegan scripts de shell de sitios aleatorios sin leerlos
  • Mantienen macOS al día
  • No reutilizan contraseñas en cuentas críticas

Las amenazas reales más comunes hoy no son "virus de Mac" sino malware stealer empaquetado con apps crackeadas, paquetes maliciosos de npm/pip apuntando a desarrolladores, y páginas de phishing que te piden ejecutar un comando curl-pipe-bash. La defensa es la misma de siempre: cuidado con lo que instalas, cuidado con lo que pegas en un terminal.

Para terminar

La actividad de red sospechosa por la que los usuarios de Mac realmente necesitan preocuparse es real pero más rara de lo que se siente. La mayor parte del tráfico inexplicado es iCloud, Apple Push, apps de sincronización o una pestaña olvidada del navegador. Las señales que merecen investigar son destinos desconocidos desde procesos familiares, subidas fuera de horario desde apps que no deberían subir, reconexiones persistentes, puertos inusuales y procesos no familiares apareciendo en launchd. La lista calmada de arriba lleva unos diez minutos y resuelve la mayoría de los casos.

Para conciencia pasiva y continua que te permita mirar atrás cuando algo parezca raro, instala ova: unos 3 MB, macOS 14 y posteriores, Apple Silicon e Intel, muestrea aproximadamente a 1 Hz, todos los datos se quedan en tu disco. No es un firewall, no es un EDR, solo una vista clara de lo que tus apps están haciendo, disponible cuando la necesitas.