Identidad de empleados
Gestión de Endpoints
Detección y respuesta de endpoints
Gestión de vulnerabilidades
Automatización de cumplimiento
Centro de confianza
¿Qué es una dirección MAC?
Una dirección MAC (Media Access Control) es una tecnología de red fundamental desarrollada dentro de la especificación IEEE 802 en 1979. Sin ella, los datos que envías o solicitas no llegarían a su destino.
Consiste en una cadena única de 12 caracteres integrada en la tarjeta de interfaz de red (NIC) de su dispositivo, que a su vez admite redes Wi-Fi, Bluetooth y por cable. Esos números se utilizan para identificar dispositivos en la red, garantizando que los datos enviados o solicitados van al lugar correcto.
Los 12 dígitos también codifican otra información valiosa, como el tipo de dispositivo y el fabricante de la NIC. Si son visibles, estas direcciones únicas proporcionan mucha información sobre el dispositivo. Las aplicaciones pueden -y a veces lo hacen- utilizar estos datos para elaborar perfiles de usuario, con el fin de rastrear los movimientos y el comportamiento de los usuarios en la red. Los operadores de red y otros observadores de la red pueden utilizarlos para supervisar la actividad y la ubicación de un dispositivo en la red.
¿Qué es la aleatorización de direcciones MAC?
Apple introdujo la aleatorización de direcciones MAC en iOS 8 para ayudar a proteger la privacidad de los usuarios. Ahora está disponible en las últimas versiones de macOS, iOS, iPadOS y watchOS. Enmascara la identidad del dispositivo creando una dirección aleatoria diferente para cada red Wi-Fi (SSID) a la que se una un dispositivo. Esa dirección solo se utiliza cuando se accede a esa red en particular, lo que significa que no se puede utilizar para rastrear la actividad en otras.
En lugar de utilizar su dirección MAC codificada por hardware, el sistema se reconoce mediante el uso de la aleatorizada. Como resultado, los usuarios no pueden ser rastreados de una red Wi-Fi a otra. La aleatorización de la dirección MAC también se utiliza para enmascarar la identidad del dispositivo cuando se utilizan servicios basados en la ubicación, como Mapas, cuando se realizan conexiones Wi-Fi entre pares, como con AirDrop o AirPlay, o cuando se utiliza Personal Hotspot o Compartir Internet.
La protección no es total. Apple dice: "Los escaneos Wi-Fi que se producen al intentar conectarse a una red Wi-Fi preferida no se aleatorizan".
¿Por qué es importante para las empresas la aleatorización de las direcciones MAC?
Los administradores suelen aprovechar el hecho de que cada dispositivo de la misma red tiene su propia dirección MAC para ayudar a diagnosticar problemas de red. Esto ayuda a identificar los cuellos de botella de la red, ya que permite identificar qué remitente(s) o receptor(es) de datos pueden estar contribuyendo a los problemas de la red.
Por supuesto, las empresas también deben protegerse contra las intrusiones en la red. Para ello, pueden utilizar el filtrado de direcciones, en el que se ordena al router que sólo reciba tráfico de direcciones MAC específicas, lo que significa que sólo los dispositivos aprobados tienen acceso a la red.
Algunas empresas -por ejemplo, los minoristas con mucho tráfico- también pueden ofrecer Wi-Fi como una ventaja para el cliente. Estas empresas pueden querer controlar las direcciones MAC para ayudar a recopilar datos sobre el comportamiento de los clientes. En ambos casos, pueden configurar el router Wi-Fi para que insista en la dirección de hardware, en lugar de respetar la aleatoria. Esta es también la razón por la que los administradores deben asegurarse de que todos los empleados son conscientes de que existen riesgos al utilizar Wi-Fi públicas, ya que estas redes pueden recopilar direcciones MAC negándose a admitir direcciones aleatorias. En todos estos casos, es posible que el departamento de TI desee desactivar o denegar la compatibilidad con la función.
¿Cómo afecta la aleatorización de MAC a la Wi-Fi segura?
Algunos administradores de red gestionan routers Wi-Fi que están configurados para notificarles cuando nuevos dispositivos se unen a la red. Las organizaciones que proporcionan este tipo de redes Wi-Fi gestionadas pueden necesitar actualizar su seguridad para trabajar con estas direcciones MAC aleatorias.
Los administradores de redes Wi-Fi seguras pueden, por ejemplo, descubrir que si gestionan varias redes (2,4 GHz y 5 GHz) en un router SSID ven varias direcciones para cada dispositivo de la red: una para la de 2,4 GHz y otra para la de 5 GHz. La implicación es que los administradores que buscan aplicar reglas de tiempo, bloqueos en dispositivos u otras acciones en su red pueden necesitar aplicarlas múltiples veces.
Con una solución MDM como Kandji, las empresas pueden exigir a los dispositivos gestionados de su red que desactiven la Wi-Fi privada cuando accedan a la red de la empresa. Los administradores también pueden configurar las redes para que rechacen las conexiones realizadas utilizando una dirección privada, en cuyo caso el dispositivo intentará primero unirse a la red utilizando la dirección aleatoria y después utilizará su dirección MAC de hardware. Cabe señalar que cada vez que intente volver a unirse a la red, el dispositivo seguirá intentando utilizar una dirección MAC aleatoria.
¿Pueden los usuarios desactivar la aleatorización de direcciones MAC?
Normalmente, los usuarios no serán conscientes de que su dispositivo está utilizando la aleatorización -que está activada por defecto- porque el proceso de conexión a la red sigue siendo el mismo.
Es posible desactivar la aleatorización de direcciones MAC. En un iPhone, por ejemplo, significa (a) abrir Ajustes > Wi-Fi, hacer clic en el icono de información "I" y desactivar Dirección Wi-Fi privada o (b) pedir al dispositivo que olvide esta red en los ajustes de Wi-Fi. Si se restablecen los ajustes de red de un dispositivo, o se borra el dispositivo y se configura como nuevo, los usuarios tendrán que volver a unirse a la red. La única excepción es que, cuando un dispositivo se conecte a una red Wi-Fi durante el Asistente de configuración, utilizará su dirección MAC de hardware. También puede activar o desactivar la función mediante una solución MDM.
Cómo activar y desactivar la aleatorización de direcciones MAC mediante MDM
La aleatorización de direcciones MAC se puede implementar de forma remota utilizando perfiles de red asignados por MDM. Un administrador de TI puede querer desactivar la aleatorización de direcciones MAC en la propia red Wi-Fi interna de la empresa para ayudar a gestionar esa red. (En Kandji, por ejemplo, esto se consigue añadiendo una instrucción para Deshabilitar la Aleatorización de Direcciones MAC en la configuración General del Elemento de la Biblioteca Wi-Fi). Esto se aplicará al SSID (router) que entonces insistirá en la dirección MAC genuina para honrar las solicitudes de conexión.