Privacidad de red en macOS Sonoma: qué cambió

macOS Sonoma llegó con un puñado de cambios de privacidad de red que mayormente pasaron desapercibidos: en parte porque Apple habla de privacidad en trazos gruesos y en parte porque los cambios más relevantes para usuarios avanzados están enterrados en el comportamiento de las extensiones de red, el direccionamiento aleatorizado y cómo el SO trata las VPNs y los filtros de contenido. Si actualizaste desde Ventura y notaste que tu VPN se comportaba raro, tu portal cautivo se ponía extraño o aparecían en los logs de red apps que no recuerdas haber instalado, esto probablemente sea el motivo.

Este artículo es una lista práctica de los cambios de privacidad de red en macOS Sonoma que realmente importaron, qué sobrevivió a Sequoia y qué puedes hacer con cada uno. Donde la documentación es escasa o el comportamiento es turbio, lo diré en lugar de adivinar.

Mejoras en la dirección Wi-Fi privada

Apple introdujo direcciones MAC aleatorizadas (Dirección Wi-Fi privada) en versiones anteriores de macOS, pero Sonoma apretó la implementación de maneras que importan.

Qué cambió

• Comportamiento de rotación por red. Sonoma es más consistente dando a cada red su propia dirección aleatorizada y manteniendo esa dirección estable entre reconexiones a la misma red.
• Manejo de reservas de hardware. Las redes que usan reservas DHCP basadas en MAC o topes de ancho de banda empezaron a comportarse de forma más predecible porque la dirección persiste por red en lugar de rotar a mitad de sesión.

Qué rompe esto

Algunos portales cautivos —de los que encuentras en hoteles, centros de conferencias y cadenas de cafés— aún usan direcciones MAC para rastrear sesiones y cuotas de ancho de banda. Con el direccionamiento aleatorizado activo, puede que necesites reautenticarte más a menudo de lo esperado. En redes donde el portal cautivo es defectuoso, puede que no puedas autenticarte en absoluto sin desactivar la Dirección Wi-Fi privada para esa red específica.

Cómo arreglarlo sin perder privacidad en otros sitios

Ajustes del Sistema → Wi-Fi → haz clic en la red en cuestión → Detalles → Dirección Wi-Fi privada. Puedes desactivarla por red, dejando la aleatorización activa para cualquier otra red que uses. No la desactives globalmente: desactívala solo en el portal cautivo roto.

Ajustes en la API de filtros de red

Sonoma hizo ajustes al framework NetworkExtension, que es lo que usan apps como Little Snitch, LuLu y herramientas corporativas de seguridad de endpoint para inspeccionar o filtrar tráfico.

Qué cambió

• Manejo más estricto de cómo los filtros de contenido interactúan con el tráfico del sistema
• Algo del área de API privada fue eliminada o restringida
• Los proveedores de filtros tuvieron que actualizarse al nuevo comportamiento; algunos se retrasaron

Qué podrías haber notado

• Una herramienta de filtro de red favorita te pidió actualizar o dejó de funcionar tras la actualización
• La resolución DNS se comportó raro hasta que se actualizó el filtro
• El rendimiento retrocedió temporalmente en máquinas con varias extensiones de red instaladas

Si estás corriendo una versión actual de cualquier herramienta de filtro mayor, esto está mayormente atrás. Si te aferras a una versión vieja porque "aún funciona", puede ser la causa de problemas intermitentes de red en Sonoma.

Comportamiento de las extensiones de sistema

Las extensiones de sistema, el reemplazo moderno de las extensiones de kernel, recibieron un flujo de aprobación más estricto en Sonoma, especialmente para las que manejan tráfico de red.

Qué cambió

• Avisos de aprobación de usuario más explícitos cuando una extensión quiere filtrar tráfico de red
• Las actualizaciones de extensiones a veces requieren reaprobación en lugar de avanzar silenciosamente
• El flujo "Permitir en los próximos 30 minutos" es más prominente

Implicaciones prácticas

Si actualizaste un cliente VPN o firewall en Sonoma y de pronto nada funcionó hasta que pasaste por Ajustes del Sistema → General → Ítems de Inicio y Extensiones, esta es la razón. Molesto una vez, valioso para siempre: ahora sabes exactamente qué está interceptando tu tráfico.

DNS y privacidad del resolver

Sonoma continuó la tendencia de fortalecer la privacidad DNS, con algunas implicaciones prácticas.

Lo que ya estaba

• iCloud Private Relay (cuando hay suscripción) enruta la mayor parte del tráfico de Safari por dos relés para que ninguno vea ambos tu IP y tu destino
• DNS cifrado (DoH/DoT) configurable mediante perfiles del sistema

Qué vale la pena saber

• Si usas un resolver DNS personalizado (1.1.1.1, NextDNS, tu propio Pi-hole), Sonoma lo respeta de manera más fiable a través de los cambios de red
• Las apps que usan el resolver del sistema heredan tu elección de DNS automáticamente
• Las apps que empaquetan su propio cliente DNS (algunos navegadores, algunas apps de chat) saltan tus ajustes, y no hay manera de forzarlas de otro modo sin un filtro de red

Este último punto es por qué una vista de ancho de banda por app importa incluso cuando tienes DNS bien configurado: la única manera de saber si una app está haciendo las conexiones que esperarías es mirar lo que está enviando realmente.

Mira lo que tus apps están haciendo realmente en la red

ova muestra ancho de banda por app con los procesos auxiliares agrupados bajo su padre. Solo local, sin telemetría, sin cuenta, ~3 MB.

Descargar para macOS

Avisos de acceso a Red Local

Este es el cambio que la mayoría de usuarios sí notaron. Sonoma se volvió más agresivo pidiendo acceso a "Red Local" cuando una app intenta descubrir otros dispositivos en tu Wi-Fi.

Qué cubre

• Descubrimiento mDNS / Bonjour
• SSDP (usado por receptores de streaming, algo de equipo de domótica)
• Conexiones directas a rangos IP locales

Qué verás

Un aviso como "App X quiere encontrar y conectarse a dispositivos en tu red local". Concederlo está bien para apps que legítimamente lo necesitan (Spotify descubriendo receptores AirPlay, IDEs descubriendo dispositivos de prueba). Denegarlo está bien para apps que no.

Puedes revisar y revocar después: Ajustes del Sistema → Privacidad y Seguridad → Red Local.

Qué sobrevivió a Sequoia

La mayoría de los cambios de Sonoma se trasladaron a macOS Sequoia con refinamientos menores:

• Rotación de Dirección Wi-Fi privada por red: sigue ahí, sigue recomendada por defecto
• Área más estricta de la API NetworkExtension: sigue ahí, con más refinamientos
• Flujo de aprobación de extensiones de sistema: sigue ahí, con los mismos patrones de interfaz
• Avisos de acceso a Red Local: siguen ahí, con la misma revocación por app en Ajustes del Sistema

Si te saltaste Sonoma y fuiste directo de Ventura a Sequoia, vas a encontrarte todo esto por primera vez de golpe. Las soluciones y hábitos descritos arriba aplican todos.

Qué es honestamente turbio

Algunas cosas que no afirmaré saber definitivamente:

• El algoritmo exacto de generación de la Dirección Wi-Fi privada. Apple no ha documentado por completo la política de rotación y los cambios entre versiones puntuales.
• Comportamiento de red de las apps en segundo plano bajo condiciones de bajo consumo. macOS despriroriza el tráfico de fondo en varias condiciones, pero los umbrales exactos no son públicos.
• La lista completa de cambios de la API NetworkExtension. Las notas de versión de Apple son parciales. Los cambios reales se descubren cuando las herramientas externas se rompen y los desarrolladores escriben sobre ello.

Si lees un artículo de blog confiado afirmando detalles exactos sobre cualquiera de estos, trátalo como especulación informada a menos que cite documentación de Apple.

Pasos prácticos de privacidad de red en macOS Sonoma para tomar hoy

Para usuarios en Sonoma (o Sequoia, ya que la mayor parte se trasladó):

1. Audita tus extensiones de red instaladas. Ajustes del Sistema → General → Ítems de Inicio y Extensiones → Extensiones de red. Sabe qué hay. Elimina lo que no reconozcas.
2. Revisa los permisos de Red Local. Ajustes del Sistema → Privacidad y Seguridad → Red Local. Revoca para apps que no lo necesitan.
3. Comprueba la Dirección Wi-Fi privada por red. Debería estar activa para casa, activa para la mayoría de redes y desactivada solo en portales cautivos específicos donde rompe la autenticación.
4. Corre un monitor de ancho de banda por app. Así notarás cuando una app empiece a hacer conexiones que no hacía antes.

El cuarto punto es el que la mayoría se salta. Los controles de privacidad son más útiles cuando se emparejan con visibilidad. macOS te da muchos conmutadores; no te da una buena vista de lo que tus apps están enviando. Esa es la brecha que ova llena: un monitor de ancho de banda pasivo, residente en la barra de menú, que muestra tasas en vivo e historial por app, con auxiliares agrupados bajo su app padre, muestreado a alrededor de 1 Hz, sin dependencia de la nube.

Para terminar

La historia de privacidad de red en macOS Sonoma es mayormente incremental, mayormente buena y mayormente invisible hasta que algo se rompe. La rotura que sí ocurre tiende a venir de:

• Versiones viejas de VPN/firewall que no se actualizaron para nuevas APIs
• Portales cautivos que no manejan bien las direcciones MAC aleatorizadas
• Apps que solían acceder silenciosamente a la red local y ahora tienen que pedir permiso

La solución en cada caso es una auditoría de ajustes de cinco minutos, no un formateo. Si actualizaste recientemente y sentiste que la red "no estaba del todo bien", probablemente tropezaste con uno de estos. Recorre la lista práctica de arriba, instala ova o cualquier monitor pasivo equivalente para que puedas ver lo que tu máquina está haciendo, y la experiencia de red normalmente vuelve a su sitio. macOS 14 y posteriores están bien soportados por cualquier cosa moderna, incluido ova en unos 3 MB en disco, funciona en Apple Silicon e Intel, todos los datos se quedan locales.