Cambios de red en macOS Sequoia: guía actualizada

macOS Sequoia llega con una pila de red que parece superficialmente idéntica a la de Sonoma pero tiene cambios significativos por debajo: algunos documentados, algunos inferidos a partir de desarrolladores externos reportando lo que se rompió, y algunos aún asentándose conforme caen las versiones puntuales. Si administras Macs, construyes apps conscientes de la red, o solo quieres saber por qué tu VPN de pronto necesita reaprobación, los cambios de red en macOS Sequoia merecen entenderse en detalle.

Voy a ser honesto sobre lo que está bien documentado y lo que aún se mueve. Las notas de versión de Apple para los frameworks de red son escasas comparadas con, por ejemplo, las notas del compilador de Swift, así que una buena parte de "qué cambió" viene de informes de experiencia de desarrolladores.

NEHelper y la historia de las extensiones de red en macOS Sequoia

NEHelper es el daemon veterano que gestiona la actividad del framework NetworkExtension: VPNs, filtros de contenido, túneles de paquetes. Sequoia hizo varios ajustes aquí.

Aprobación y estado

• Reaprobación tras la actualización. Una fracción mayor de usuarios tuvo que pasar por Ajustes del Sistema → General → Ítems de Inicio y Extensiones para reactivar su VPN o filtro tras actualizar a Sequoia.
• Visibilidad de estado más limpia. La interfaz de Ítems de Inicio y Extensiones consolida las aprobaciones de filtros de red de forma más legible que antes.
• Atribución por proceso. Cuando un filtro de contenido bloquea una conexión, la atribución a la app de origen es más fiable de lo que era en versiones anteriores.

Qué significa esto para los usuarios

Si actualizaste y tu VPN "dejó de funcionar", casi seguro no se detuvo: la extensión solo necesita reaprobación. Ve a Ajustes del Sistema → General → Ítems de Inicio y Extensiones → Extensiones de red, encuentra la entrada para tu proveedor de VPN, actívala, aprueba el aviso, y la mayoría de las veces todo se reanuda.

Comportamiento de la API de filtro de contenido

Las APIs NEFilterDataProvider y NEFilterPacketProvider son las que usan apps como Little Snitch, LuLu y los agentes de seguridad de endpoint corporativos. Sequoia apretó varios rincones aquí.

Qué ha cambiado en la práctica

• Los filtros ven ahora una mezcla ligeramente distinta de tráfico originado en el sistema que en Sonoma
• Algo del área de API privada en la que los autores de filtros se apoyaban quedó más restringida
• Las características de rendimiento bajo tráfico pesado mejoraron para varios proveedores comunes de filtros

Qué se rompió y se arregló

En las primeras builds de Sequoia, varios filtros de contenido experimentaron falsos positivos o problemas transitorios de conectividad. La mayoría de los grandes proveedores enviaron actualizaciones en pocas semanas. Si estás corriendo un filtro más viejo que eso, actualízalo antes de asumir que el problema es Sequoia en sí.

iPhone Mirroring y restricciones de red

Una función genuinamente nueva de Sequoia: iPhone Mirroring, que te permite controlar tu iPhone desde tu Mac. Tiene implicaciones de red.

Qué hace

• Transmite la pantalla de tu iPhone y acepta entrada desde tu Mac
• Hace de proxy de notificaciones del teléfono al Mac
• Usa una conexión estilo continuidad por Wi-Fi o tethering por cable

Qué significa para el ancho de banda

• Una sesión de mirroring activa es tráfico sostenido significativo: más cercano a una videollamada que a un intercambio de texto
• Las notificaciones proxiadas durante el mirroring añaden un goteo de fondo pequeño pero constante
• En conexiones medidas, esto se acumula más rápido de lo que la gente espera

Restricciones

• iPhone Mirroring está restringido en algunas regiones de la UE por consideraciones regulatorias
• Requiere ambos dispositivos en el mismo Apple ID y la misma red
• Algunas Macs gestionadas por MDM lo tienen desactivado por política

Si usas iPhone Mirroring y haces tethering del Mac a través del hotspot del teléfono, puedes acabar en un bucle donde el tráfico del Mac sale por el teléfono, incluida la propia sesión de mirroring. Es una configuración ineficiente en la que vivir.

Apple Intelligence y en-dispositivo vs servidor

Sequoia es la versión donde Apple Intelligence empezó a llegar por etapas. La historia de red aquí es mixta.

Qué se queda en el dispositivo

• La mayoría de funciones de contexto personal corren en el dispositivo en chips compatibles
• La corrección y resumen a nivel de SO para texto corto típicamente no hace ida y vuelta a un servidor

Qué va a Private Cloud Compute

• Las solicitudes mayores se enrutan a la infraestructura de Private Cloud Compute de Apple
• La conexión está cifrada y Apple tiene afirmaciones detalladas sobre las propiedades de privacidad
• Desde la perspectiva del ancho de banda, estas solicitudes son tráfico de red real

Por qué importa para la monitorización

Si de pronto ves actividad de red atribuida a procesos del sistema que no reconoces tras activar funciones de Apple Intelligence, probablemente sea por eso. La actividad es legítima, pero también es tráfico genuino que cuenta contra los presupuestos de ancho de banda y la duración de la batería.

Mira cada proceso del sistema hablando con la red

ova lista cada app y auxiliar usando ancho de banda en tu Mac, refrescado aproximadamente una vez por segundo, con todos los datos almacenados localmente. Firmado, notarizado, ~3 MB.

Descargar para macOS

Resolución DNS y HTTPS

Sequoia continuó la marcha gradual hacia DNS más privado por defecto.

Qué está sólido

• El DNS cifrado a nivel de sistema mediante perfiles de configuración funciona igual que en Sonoma
• El comportamiento de HTTPS por defecto en Safari está sin cambios
• El DNS personalizado a nivel de red sigue aplicándose en la mayoría de apps

Qué se mueve

• Algún comportamiento de API privada alrededor de los hooks DNS cambió; esto afectó a un pequeño número de herramientas de monitorización de red
• Los suscriptores de iCloud Private Relay siguen recibiendo el mismo flujo de relé de dos saltos, con mejoras de estabilidad específicas de Sequoia

Si dependes de un resolver personalizado, verifica que aún se aplica a todas tus apps tras la actualización. La rotura más común de red en macOS Sequoia es un cliente VPN que empaquetó un viejo shim de DNS.

De qué vale la pena ser escéptico

Algunas cosas que verás escritas con confianza en línea que tomaría con cautela:

• "Sequoia reescribió la pila de red." No lo hizo. Los cambios son incrementales.
• "Apple Intelligence envía todo a la nube." No es cierto; la arquitectura es más matizada y la porción en el dispositivo es significativa.
• "Las nuevas APIs rompieron todos los firewalls." Algunos filtros necesitaron actualizaciones. La mayoría no "se rompieron" de manera sostenida.

La documentación de Apple para los frameworks de red es irregular. Trata las afirmaciones detalladas sobre comportamiento interno como conjeturas informadas a menos que citen una sesión de WWDC o una nota de versión orientada a desarrolladores.

Cosas prácticas a verificar tras actualizar

Si acabas de pasarte a Sequoia o lo estás planeando:

1. Reaprueba las extensiones de red. Ajustes del Sistema → General → Ítems de Inicio y Extensiones → Extensiones de red. Activa cada una, aprueba cuando se te pida.
2. Actualiza tu VPN, firewall y herramientas de seguridad. Las versiones viejas son la causa de la mayoría de los reportes "Sequoia rompió X".
3. Revisa los permisos de Red Local. Ajustes del Sistema → Privacidad y Seguridad → Red Local. Revoca cualquier cosa que no uses activamente.
4. Decide sobre Apple Intelligence. Si no lo quieres, puedes dejarlo desactivado. Si lo activas, espera nueva actividad de red en segundo plano.
5. Instala un monitor de ancho de banda por app. ova o un equivalente: ve qué está haciendo tu máquina en lugar de adivinar.

El último punto importa más en Sequoia que en versiones previas simplemente porque hay más tráfico de fondo legítimo ahora (Apple Intelligence, sincronización de iPhone Mirroring, funciones de continuidad) y quieres poder distinguir lo legítimo de lo sospechoso rápidamente.

Una nota sobre Macs empresariales y gestionadas

Si tu Mac está inscrita en un MDM, varias funciones de Sequoia pueden estar desactivadas por política:

• Apple Intelligence (frecuentemente desactivado en dispositivos gestionados por ahora)
• iPhone Mirroring (similarmente desactivado a menudo)
• DNS personalizado (puede estar bloqueado al resolver de la organización)
• Extensiones de red (pueden estar limitadas a la lista aprobada de la organización)

No pelees con tu departamento de TI por esto. Las funciones que desactivan suelen estarlo por razones, y reactivarlas en una Mac gestionada puede violar políticas que aceptaste.

Para terminar

Los cambios de red en macOS Sequoia son una mezcla: mayormente mejoras invisibles, unas cuantas funciones nuevas que generan tráfico real, y el continuo apretamiento del framework NetworkExtension que rompe herramientas viejas y premia mantener las cosas al día. La postura correcta es:

• Actualiza con los ojos abiertos: reaprueba extensiones, actualiza herramientas
• Monitoriza lo que tu máquina está enviando realmente, especialmente en las primeras semanas tras la actualización cuando estás ajustando funciones
• Sé escéptico ante afirmaciones confiadas sobre comportamiento interno; la documentación no es lo bastante densa como para sostener la mayoría

Una buena vista de ancho de banda por app es la herramienta más útil para entender qué cambió en tu máquina específica. macOS te da conmutadores; un monitor te da la verdad. ova es una opción construida específicamente para esto: minimalista, firmado y notarizado, funciona en macOS 14 y posteriores (así que Sonoma y Sequoia ambos), unos 3 MB en disco, todos los datos almacenados localmente sin telemetría. Observa tu red durante una semana y los cambios de Sequoia se explicarán solos.