¿Debería activar el firewall de mi Mac?
Tras varios días jugando con el firewall de macOS en mi MacBook Pro (M1 Pro) y leyendo debates interminables en Reddit, he terminado convirtiendo la pregunta “¿de verdad merece la pena activarlo?” en una pequeña batería de pruebas personales. Este es el resumen honesto de lo que he visto, qué hace realmente el firewall nativo, cuándo aporta valor y en qué casos tiene sentido añadir soluciones como LuLu o Little Snitch.
Lo primero que sorprende al abrir Ajustes de macOS es que el firewall viene desactivado por defecto. Si vienes del mundo Windows, donde el firewall está siempre encendido, la reacción instintiva es: “¿pero por qué demonios está apagado?”. Apple parte de una idea clara: en una red doméstica bien configurada, con NAT en el router y sin servicios abiertos escuchando en tu Mac, el riesgo de ataques directos entrantes es bajo. Si ninguna app está “escuchando” en un puerto, no hay nada a lo que conectarse, y por diseño macOS ya limita bastante qué procesos pueden exponerse hacia fuera.
Aun así, esa explicación técnica se queda corta cuando sales de casa con el portátil y te conectas a WiFi públicas o redes que no controlas. Ahí es donde activar el firewall deja de ser una opción “nice to have” y pasa a ser sentido común. En mis pruebas, la regla que me ha funcionado es muy simple: ¿la red la he configurado y endurecido yo, y sé exactamente qué hay dentro? Si no, firewall activado.
Es importante entender qué hace exactamente el firewall de macOS, porque aquí hay bastante confusión. El firewall integrado trabaja sobre todo a nivel de aplicación y filtra tráfico entrante: decide qué apps pueden aceptar conexiones que llegan desde la red. No está pensado como un firewall granular de puertos ni como un sistema de control de tráfico saliente. Desde la interfaz gráfica no vas a bloquear “el puerto 22” o “todo lo que no sea 80/443”, vas a decir “esta app sí acepta conexiones entrantes, esta no”. Eso tiene una ventaja grande: es muy ligero y transparente; en mi caso, con el firewall activado no he notado penalización de rendimiento ni problemas significativos más allá de algún ajuste con el uso compartido de archivos o servicios peer-to-peer.
Donde el debate se calienta es en el control del tráfico saliente. Una parte de la comunidad considera que “si no hay malware, limitar salidas no aporta nada, y si lo hay, usará HTTP/HTTPS igualmente para comunicarse”. Otra parte defiende que cerrar por defecto y abrir solo lo imprescindible es la mejor forma de contener comportamientos maliciosos y detectar actividades sospechosas. Sobre el papel, esa segunda postura tiene lógica en entornos corporativos o muy críticos, pero llevarla al extremo de “bloquea todos los puertos salientes excepto el 80 y el 443” en un Mac de uso general es simplemente inviable: rompes DNS (si no usas DoH), clientes de correo, videollamadas, juegos online, VPN, SSH, servicios de descubrimiento en red y un largo etcétera. Y además, el firewall de macOS ni siquiera está diseñado para hacer ese tipo de filtrado saliente desde la interfaz estándar.
Aquí es donde entran soluciones como LuLu y Little Snitch, que sí están pensadas para vigilar y controlar qué aplicaciones salen a Internet y a dónde. En mis pruebas he adoptado dos enfoques distintos:
– Combo sencillo y gratuito: firewall de macOS activado para conexiones entrantes + LuLu para conexiones salientes. LuLu es open source, ligero y bastante directo: cada vez que una app intenta salir a la red por primera vez, te pregunta si lo permites. Es ideal si quieres visibilidad básica de qué está llamando a casa sin complicarte demasiado. Eso sí, hay que recordar que LuLu no filtra tráfico entrante, así que no sustituye al firewall nativo, lo complementa.
– Enfoque “quirúrgico” y de pago: Little Snitch + firewall de macOS. Little Snitch juega en otra liga a nivel de granularidad. Te permite crear reglas muy específicas por app, dominio, puerto, incluso perfil según red. Es perfecto si quieres, por ejemplo, que una aplicación pueda conectarse solo a su servidor de actualizaciones, pero no a servidores de analítica, o directamente impedir que cierto software tenga acceso a Internet sin tu permiso. Llega un punto en el que dejas de ver “Internet” como un bloque y empiezas a ver flujos concretos: qué sale, a dónde, y por qué. A cambio, exige más tiempo de configuración al principio y, por supuesto, pagar licencia.
Durante mis pruebas, lo que más claro me ha quedado es que las recomendaciones extremas (“nadie necesita firewall” vs “bloquea todo salvo 80/443”) no ayudan al usuario real. En un sobremesa que nunca se mueve de una red doméstica bien protegida por un router con NAT y sin servicios abiertos, el riesgo de estar sin firewall de macOS es bajo, pero aun así activarlo aporta una capa extra de defensa en profundidad prácticamente sin coste. En un MacBook que se conecta a WiFi de cafeterías, hoteles, campus, aeropuertos, etc., no tiene sentido discutir: el firewall debería ir siempre encendido y configurado para bloquear conexiones entrantes no solicitadas.
La otra gran conclusión es que el firewall nativo de macOS es solo una pieza del puzzle. Hace bien su trabajo en lo que está pensado (entrante por app), pero no sustituye a un buen hábito de seguridad: actualizar el sistema, no instalar basura, desconfiar de adjuntos y ejecutables raros, y, si quieres dar un paso más, añadir una solución de control saliente como LuLu o Little Snitch. En mi caso, la combinación que me parece más equilibrada para un usuario avanzado pero no paranoico es: firewall de macOS activado siempre, reglas mínimas para compartir en red local cuando haga falta y, por encima, una herramienta de monitorización de conexiones salientes que me dé visibilidad y control fino sin caer en bloquear medio Internet.
Si tuviera que condensar todas estas pruebas en una recomendación muy simple sería: enciende el firewall de macOS y olvídate, y si alguna vez te preguntas a qué demonios se está conectando una app, entonces es el momento de instalar LuLu o Little Snitch y mirar más de cerca.
