Guía - Seguridad

Cómo proteger tu Mac en la nube: claves SSH, firewall y VPN

Una guía práctica, paso a paso, para fortalecer tu servidor Mac dedicado — autenticación por clave SSH sin contraseña, un firewall de macOS blindado, una VPN WireGuard privada y una lista de verificación de seguridad continua.

12 min de lectura Actualizado en junio de 2026

Tabla de contenidos

  1. 1. ¿Por qué fortalecer tu Mac en la nube?
  2. 2. Requisitos previos
  3. 3. Paso 1: Autenticación por clave SSH
  4. 4. Paso 2: Blinda el firewall
  5. 5. Paso 3: VPN privada (WireGuard)
  6. 6. Paso 4: Fortalecimiento continuo
  7. 7. Resolución de problemas
  8. 8. Lista de verificación de seguridad

1. ¿Por qué fortalecer tu Mac en la nube?

Un servidor Mac dedicado es accesible desde la internet pública en el momento en que se aprovisiona. El acceso con usuario y contraseña es cómodo, pero las contraseñas pueden ser descifradas por fuerza bruta y los puertos de gestión abiertos invitan a ataques automatizados. La buena noticia: unos pocos pasos bien comprendidos — claves SSH, un firewall estricto y una VPN privada — eliminan la gran mayoría de ese riesgo. Cada servidor de MyRemoteMac ya admite de fábrica la autenticación basada en claves, un firewall gestionado y una VPN WireGuard.

Defensa en profundidad: Ningún control por sí solo es suficiente. Combinar SSH basado en claves, un firewall de denegación por defecto y la gestión exclusiva por VPN obliga a un atacante a vencer varias capas independientes.

2. Requisitos previos

Antes de empezar, asegúrate de tener:

  • Un servidor Mac de MyRemoteMac con acceso SSH
  • Un cliente SSH en tu máquina local (integrado en macOS, Linux y las versiones modernas de Windows)
  • La dirección IP de tu servidor y las credenciales por defecto
  • Soltura básica con la terminal

3. Paso 1: Autenticación por clave SSH

La autenticación basada en claves reemplaza una contraseña adivinable por un par de claves criptográficas. Tú conservas la clave privada; el servidor almacena únicamente tu clave pública, por lo que no hay ninguna contraseña que un atacante pueda descifrar por fuerza bruta.

Genera un par de claves

En tu máquina local, genera una clave moderna Ed25519 (omite este paso si ya tienes una):

# Generate a modern Ed25519 key pair on your LOCAL machine
ssh-keygen -t ed25519 -C "you@example.com"

# Print the PUBLIC key (this is what you give the server)
cat ~/.ssh/id_ed25519.pub
# ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAA... you@example.com

Añade tu clave pública y luego desactiva las contraseñas

En tu panel de control de MyRemoteMac, abre Seguridad y pega tu clave pública — o selecciónala al aprovisionar un nuevo servidor. Una vez que hayas confirmado que el inicio de sesión por clave funciona, desactiva la autenticación por contraseña:

# On the SERVER, disable password login once your key works
sudo sed -i '' 's/^#*PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
sudo sed -i '' 's/^#*ChallengeResponseAuthentication.*/ChallengeResponseAuthentication no/' /etc/ssh/sshd_config

# Restart the SSH daemon to apply
sudo launchctl kickstart -k system/com.openssh.sshd

4. Paso 2: Blinda el firewall

Expón solo lo que necesitas. MyRemoteMac incluye un firewall de red gestionado, y también deberías habilitar el firewall de aplicaciones de macOS en el propio host para una segunda capa.

Habilita el firewall de aplicaciones de macOS

# Enable the built-in macOS application firewall
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --setglobalstate on

# Enable stealth mode (don't respond to pings / closed-port probes)
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --setstealthmode on

# Verify
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --getglobalstate

Restringe los puertos entrantes

En el firewall gestionado de MyRemoteMac (panel de control o API), permite el tráfico entrante únicamente en los puertos que realmente uses — normalmente SSH (22) restringido a tu IP o VPN — y deniega todo lo demás por defecto.

5. Paso 3: VPN privada (WireGuard)

La postura más sólida es no exponer nunca los puertos de gestión de forma pública. Cada servidor de MyRemoteMac incluye un túnel privado WireGuard/IPSec: conéctate a él primero y luego accede a SSH y VNC a través de la red privada.

# Bring up the WireGuard tunnel from your local machine
wg-quick up wg0

# Now reach your Mac over the PRIVATE address, not its public IP
ssh you@10.0.0.2

Una vez que el túnel esté activo, restringe SSH y VNC en tu firewall únicamente a la subred de la VPN. Tu Mac se vuelve entonces invisible para los escáneres de puertos públicos.

6. Paso 4: Fortalecimiento continuo

La seguridad es continua, no una tarea de una sola vez. Aplica estas medidas duraderas:

  • Mantén macOS actualizado — instala las actualizaciones de seguridad sin demora para cerrar vulnerabilidades conocidas.
  • Habilita FileVault — el cifrado de disco completo protege tus datos en reposo.
  • Usa un usuario administrador sin privilegios de root — trabaja mediante sudo en lugar de iniciar sesión como root.
  • Rota y limita el alcance de las claves SSH — elimina desde Seguridad las claves que ya no uses.
  • Monitorea los registros de autenticación — vigila los inicios de sesión fallidos y las sesiones inesperadas.
  • Haz copias de seguridad con regularidad — combina el fortalecimiento con copias de seguridad externas para resistir el ransomware.

7. Resolución de problemas

Bloqueado tras desactivar el inicio de sesión por contraseña

Vuelve a conectarte con VNC / Compartir Pantalla desde el panel de control, reactiva temporalmente el inicio de sesión por contraseña y verifica que tu clave pública esté en ~/.ssh/authorized_keys con los permisos correctos (700 en ~/.ssh, 600 en el archivo).

SSH sigue pidiendo una contraseña

Comprueba los permisos: ~/.ssh debe ser 700 y authorized_keys 600. Confirma que sshd_config tenga PubkeyAuthentication establecido en yes, y que estés ofreciendo la clave privada correspondiente con ssh -i.

Bloqueado por una regla del firewall

Mantén siempre abierta una sesión de VNC / Compartir Pantalla mientras cambias las reglas del firewall. Si pierdes SSH, usa VNC para revertir la regla y luego vuelve a aplicarla limitada a la subred de tu VPN.

8. Lista de verificación de seguridad

Repasa esta lista de verificación después de aprovisionar cualquier servidor Mac nuevo:

  • Autenticación por clave SSH habilitada
  • Inicio de sesión por contraseña desactivado (o restringido a la VPN)
  • Firewall de aplicaciones de macOS habilitado con modo invisible
  • Puertos entrantes en denegación por defecto; SSH y VNC limitados a la VPN
  • FileVault habilitado y macOS actualizado
  • Claves SSH no utilizadas eliminadas y copias de seguridad externas configuradas

En resumen: SSH basado en claves, inicio de sesión por contraseña desactivado, un firewall de denegación por defecto, gestión a través de VPN, FileVault activado y claves rotadas con regularidad. Haz esto una vez y tu Mac en la nube será mucho más difícil de atacar.

Guías relacionadas

Desarrollo remoto con Xcode

Configura un flujo de trabajo remoto con Xcode rápido y productivo en un Mac dedicado.

Desarrolla para iOS sin un Mac

Crea y publica apps de iOS desde Windows o Linux usando un Mac remoto.

Agente de compilación Jenkins en Mac

Configura un agente de compilación Jenkins seguro en un Mac Mini dedicado.

Despliega un Mac seguro en minutos

Cada servidor de MyRemoteMac viene con autenticación por clave SSH, un firewall gestionado y VPN WireGuard incluidos. Desde $75/mes.

Ver precios Explorar seguridad