Seguridad del bloqueo de activación
El bloqueo de activación ayuda a evitar que otros usuarios no autorizados reactiven un iPhone, iPad, Mac, Apple Watch o Apple Vision Pro en caso de pérdida o robo. El bloqueo permanece activado aunque se borre el dispositivo. Esto dificulta que otra persona use o venda un dispositivo perdido. La manera en que Apple aplica el bloqueo de activación varía en función del dispositivo.
El bloqueo de activación en piezas del iPhone
Apple está ampliando el bloqueo de activación para que cubra las piezas individuales del iPhone, con el fin de impedir que las piezas robadas ingresen al mercado. Durante una reparación, si un iPhone detecta que una pieza compatible procede de otro iPhone que tiene el bloqueo de activación o el modo perdido activados, se restringe la calibración para esa pieza. Esta mejora del bloqueo de activación amplía aún más el compromiso de Apple de proteger a los usuarios y, al mismo tiempo, aumentar las posibilidades de elección de los consumidores a la hora de realizar reparaciones.
Comportamiento en el iPhone, iPad y Apple Vision Pro
En un iPhone, iPad y Apple Vision Pro no supervisados, el bloqueo de activación se activa automáticamente cuando el usuario inicia sesión en su cuenta de Apple y activa Encontrar.
En un dispositivo supervisado, el bloqueo de activación está deshabilitado de forma predeterminada, pero una solución de administración de dispositivos móviles (MDM) puede habilitarla para que el usuario pueda activarla. Esto permite a la solución de MDM custodiar un código de anulación del dispositivo. Enseguida, se puede usar ese código de anulación para desactivar el bloqueo de activación. Un dispositivo genera un nuevo código de anulación al:
Configurar el dispositivo por primera vez.
Configurar el dispositivo después de borrarlo y no restaurarlo a partir de un respaldo del mismo dispositivo.
Configurar el dispositivo después de borrarlo y restaurarlo a partir de un respaldo de un dispositivo diferente.
Otra posibilidad para los dispositivos administrados y supervisados es que una solución de MDM se ponga en contacto directamente con los servidores de Apple para activar el bloqueo de activación. Esto se hace completamente en el servidor, y no depende de las acciones del usuario ni del estado del dispositivo. La solución de MDM debe crear un código de anulación de 31 bytes, y enviarlo a los servidores de Apple cuando quiera activar el bloqueo de activación para el dispositivo. El código de anulación de la solución de MDM debería crearse de forma aleatoria y ser único para cada dispositivo.
El bloqueo de activación se aplica a través del proceso de activación después de la pantalla de selección de Wi-Fi de Asistente de Configuración. Cuando un dispositivo indica que se está activando, envía una solicitud al servidor de activaciones para obtener un certificado de activación.
Los dispositivos iPhone, iPad, y Apple Vision Pro no supervisados que tienen el bloqueo de activación activado pueden desbloquearse al:
Ingresar las credenciales de la cuenta de Apple personal que se usó para activar el bloqueo
Ingresar el código del dispositivo que se usaba anteriormente
Los dispositivos iPhone, iPad, y Apple Vision Pro no supervisados que tienen el bloqueo de activación activado pueden desbloquearse al:
Ingresar las credenciales de la cuenta de Apple personal que se usó para activar el bloqueo
Ingresar las credenciales de la cuenta de Apple administrada utilizada para enlazar la solución de MDM con Apple School Manager o Apple Business Manager
Ingresar el código de anulación custodiado por la solución de MDM
Hacer que la solución de MDM que haga una llamada a los servidores de Apple con el mismo código de anulación que usó para activar el bloqueo de activación
Nota: no se podrán completar los pasos de Asistente de Configuración en iOS, iPadOS y visionOS a menos que se pueda obtener un certificado válido.
Comportamiento en el Apple Watch
El bloqueo de activación en un Apple Watch no supervisado está relacionado con el estado de activación del iPhone enlazado. Si el iPhone tiene el bloqueo de activación activado, se indica al Apple Watch que se ponga en contacto con los servidores de Apple al final del proceso de enlazamiento para activar el bloqueo de activación. Si el bloqueo de activación no está activado en el iPhone en el momento del enlace, pero se activa más adelante, el iPhone:
Pedirá a todos los dispositivos Apple Watch enlazados que se pongan en contacto con los servidores de Apple
Puede activar el bloqueo de activación en el Apple Watch
Como parte del proceso de enlace inicial, el iPhone envía una solicitud al servidor de activación para obtener un certificado de activación para el Apple Watch.
Si el Apple Watch está bloqueado con el bloqueo de activación, se solicita al usuario que ingrese las credenciales de la cuenta de Apple que se usó para activar el bloqueo de activación en ese momento para anular el enlace, borrar, o reactivar el Apple Watch.
Nota: el proceso de enlace no se puede completar a menos que se obtenga un certificado válido.
Comportamiento en la Mac
En una Mac no supervisada, el bloqueo de activación se activa automáticamente cuando el usuario inicia sesión en su cuenta de Apple y activa Encontrar. En una Mac supervisada, el bloqueo de activación está deshabilitado de forma predeterminada, pero una solución de MDM puede habilitarla para que el usuario pueda activarla. Esto permite a la solución de MDM custodiar un código de anulación del dispositivo. Enseguida, se puede usar ese código de anulación para desactivar el bloqueo de activación. Un dispositivo genera un nuevo código de anulación al:
Configurar el dispositivo por primera vez
Configurar el dispositivo después de borrarlo
Comportamiento adicional en una Mac con Apple Chip
En una Mac con Apple Chip, el gestor de arranque de bajo nivel (LLB) verifica que exista una política local (LocalPolicy) válida para el dispositivo y que sus valores de antirreproducción coincidan con los valores almacenados en el componente de almacenamiento seguro. El LLB arranca en recoveryOS si ocurre lo siguiente:
No hay un LocalPolicy para el macOS actual
El archivo LocalPolicy no es válido para la versión de macOS en cuestión
El hash de los valores de antirreprodución de LocalPolicy no coincide con los hashes de los valores almacenados en el componente de almacenamiento seguro
recoveryOS detecta que la Mac no está activada y contacta al servidor de activación para obtener un certificado de activación.
Si el dispositivo se bloquea utilizando el bloqueo de activación mientras está en recoveryOS, puede desbloquearse al:
Ingresar las credenciales de la cuenta de Apple personal que se usó para activar el bloqueo
Ingresar la contraseña anterior del dispositivo del usuario local que activó el bloqueo de activación
Ingresar el código de anulación custodiado por la solución de MDM
Una vez que se cuenta con un certificado de activación válido, se utiliza su clave de certificado de activación para obtener un certificado de RemotePolicy. La Mac usa la clave de certificado de LocalPolicy y RemotePolicy para generar un LocalPolicy válido.
Nota: el LLB impedirá que macOS arranque a menos que se cuente con un LocalPolicy válido.
Comportamiento adicional en una Mac con el chip T2
En una Mac basada en Intel con el chip de seguridad T2 de Apple, el firmware de este chip verifica que haya un certificado de activación válido antes de permitir que la computadora arranque en macOS. El firmware UEFI cargado por el chip T2 es responsable de solicitar el estado de activación del dispositivo desde el chip T2. La Mac arranca en recoveryOS si ocurre lo siguiente:
No hay un certificado de activación válido
recoveryOS detecta que la Mac no está activada y contacta al servidor de activación para obtener un certificado de activación.
Si la Mac se bloquea utilizando el bloqueo de activación mientras está en recoveryOS, puede desbloquearse al:
Ingresar las credenciales de la cuenta de Apple personal que se usó para activar el bloqueo
Ingresar la contraseña anterior del dispositivo del usuario local que activó el bloqueo de activación
Ingresar el código de anulación custodiado por la solución de MDM
Nota: el firmware UEFI impedirá que macOS arranque a menos que se cuente con un certificado de activación válido.
Administrar el bloqueo de activación en Apple School Manager o Apple Business Manager
Si un dispositivo Apple está registrado en una organización de Apple School Manager o Apple Business Manager, los usuarios con un rol con privilegios para administrar dispositivos pueden desactivar el bloqueo de activación para los dispositivos propiedad de la organización. Esta opción sólo está disponible para dispositivos registrados en la organización antes de que se activara el bloqueo de Activación y que no han sido liberados. Dado que el bloqueo de activación se deshabilita mediante llamadas al servidor, no es necesario que una solución de MDM administre un dispositivo.
Nota: los dispositivos que están bloqueados con el bloqueo de activación no pueden agregarse a una organización de Apple School Manager o Apple Business Manager.