GUÍA TÉCNICA

Fundamentos de macOS y
de computadoras de Apple
Una guía para explicar los conceptos únicos
de la computadora de Apple

Julio de 2020
Índice

Introducción 4

El centro de los sistemas operativos de Apple 4

Interacción del usuario con macOS 4

Ventanas de Finder 5

Dock 6

Spotlight 6

Quick Look 7

App Store 7

iTunes 7

Apple ID y iCloud 8

Time Machine 9

FileVault 9

Boot Camp 10

AirPort 10

AirDrop 10

Preferencias del sistema 11

Siri 11

Tiempo de pantalla 11

Imágenes de disco y conjuntos o paquetes 11

Imágenes de disco 11

Conjuntos y paquetes 12

Paquetes dispersos 13

Crear una imagen de disco, imagen dispersa o paquetes dispersos 14

Conclusión 15

El lado técnico de macOS 15

Hardware 15

Guía técnica | Fundamentos de MacOS y de computadoras de Apple: Una guía para explicar los conceptos únicos de las computadoras de Apple
www.cellebrite.com
 Firmware y procesadores 15

Fusion Drives 16

Chips de seguridad T2 16

Versiones, nombres de sistemas operativos y sistemas de archivos 16

Partición 17

Sistemas de archivos y versiones del sistema operativo 17

Volúmenes predeterminados 18

Instantáneas APFS 19

Llaveros y listas de propiedades 19

Llaveros 19

Listas de propiedades 19

Conclusión 20

Guía técnica | Fundamentos de MacOS y de computadoras de Apple: Una guía para explicar los conceptos únicos de las computadoras de Apple
www.cellebrite.com
Introducción

Esta guía está destinada a explicar información básica sobre las computadoras de Apple. Ya sea que se esté preparando para comenzar
su primera prueba o planeando declarar sobre una prueba, la información en esta guía está destinada a presentar conceptos que son
exclusivos de las computadoras de Apple.

Existen diferencias obvias entre Windows y macOS, este documento tiene la intención de presentar algunos de los conceptos que
necesitará saber, o proporcionar una referencia para que lo revise mientras realiza su prueba, o mientras se prepara para discutir su
prueba con otros. Si bien se proporciona información técnica, también hay información histórica e información sobre cómo los usuarios
interactúan con macOS.

El centro de los sistemas operativos de Apple

Por detrás de las bonitas interfaces de usuario de todos los sistemas operativos de Apple se encuentra Darwin. Darwin, llamado así
por Charles Darwin, es un sistema operativo tipo Unix desarrollado por Apple. Una gran parte del código utilizado para Darwin se
deriva del Berkley Software Distribution (BSD) variante de UNIX. En consecuencia, las estructuras de carpetas vistas en sistemas con
sistemas operativos UNIX también se pueden ver en macOS. En macOS, estas carpetas están ocultas de forma predeterminada y
están protegidas en la interfaz gráfica de usuario. Los usuarios avanzados pueden interactuar directamente con Darwin en macOS
utilizando la aplicación Terminal.

Terminal proporciona acceso a la línea de comandos similar a un símbolo del sistema de Windows. Al igual que UNIX, hay comandos
de shell disponibles para su uso en Terminal, cada uno con su propia sintaxis única. La shell predeterminada depende de la versión de
macOS y también puede ser cambiada por el usuario. En la mayoría de las versiones de macOS, la shell predeterminada es Bourne-
Again Shell (bash). En la última versión, macOS 10.15 (Catalina), la shell predeterminada es Z shell (zsh).

Este documento no entrará en más detalles sobre shell y comandos de shell, pero tenga en cuenta que los usuarios avanzados pueden
interactuar con macOS a través de Terminal.

Interacción del usuario con macOS

El entorno de la interfaz gráfica del usuario de macOS funciona con la aplicación Finder. Cuando un usuario inicia sesión por primera vez,
la aplicación Finder se está ejecutando. Se pueden ver los siguientes componentes: la barra de menú, Dock y el escritorio del usuario.

Figura 1: Escritorio de macOS

La barra de menú en la parte superior de la pantalla está asociada con la aplicación activa (que es Finder por defecto). Dock se verá
en la parte inferior de la pantalla de forma predeterminada, aunque el usuario puede mover Dock al lado izquierdo o derecho de la
pantalla. El usuario también puede elegir ocultar Dock. Cuando está oculto, Dock solo aparece cuando el mouse se mueve hacia donde
él está oculto (parte inferior, izquierda o derecha). El escritorio muestra archivos y carpetas en la carpeta del escritorio del usuario.
El usuario también puede elegir mostrar los siguientes elementos en el escritorio: Discos duros; discos externos; CD, DVD, iPods y
servidores conectados.

Guía técnica | Fundamentos de MacOS y de computadoras de Apple: Una guía para explicar los conceptos únicos de las computadoras de Apple
www.cellebrite.com
Ventanas de Finder

Si bien Finder siempre se ejecuta en macOS, también brinda al usuario la capacidad de acceder a archivos y carpetas almacenados
en su computadora, tanto remota como local. Finder es algo análogo al Explorador de Windows en Windows.

Figura 2: Ventana de Finder

El lado izquierdo de la ventana de Finder se conoce como barra lateral. La barra lateral proporciona acceso a ubicaciones de acceso
común, como las carpetas Descargas, Imágenes y Documentos en el perfil del usuario; la unidad iCloud Drive del usuario y otras
ubicaciones, como los discos duros internos, discos duros externos y CD o DVD. El usuario puede personalizar las ubicaciones que se
muestran en la barra lateral a través de Preferencias en la barra del menú de Finder.

Figura 3: Barra de menú de Finder

Una vez que se abre la ventana de Preferencias de Finder, la pestaña con la Barra lateral permite al usuario elegir qué ubicaciones se
muestran en la Barra lateral de Finder. El usuario también puede elegir no mostrar la barra lateral en las ventanas de Finder.

Figura 4: Opciones de la barra lateral de preferencias de Finder

Hay cuatro opciones sobre cómo ve el usuario los archivos y carpetas en Finder. Los botones están disponibles en cada ventana de Finder.

Figura 5: Botones en Finder

Guía técnica | Fundamentos de MacOS y de computadoras de Apple: Una guía para explicar los conceptos únicos de las computadoras de Apple
www.cellebrite.com
Las vistas son, de izquierda a derecha, icono, lista, columna y galería (macOS 10.14 y más reciente). En versiones anteriores, OS X 10.5
a macOS 10.13, la cuarta vista es Cover Flow en lugar de Galería.

Ícono Lista

Columna Galería

Figura 6: Vistas de Finder

Dock

Dock, también personalizable, proporciona acceso a aplicaciones y otras funciones de macOS. Las aplicaciones que se ejecutan
aparecen en Dock con un punto debajo.

Figura 7: Ejecución de la aplicación en Dock

Hay dos secciones en Dock, separadas por una línea. En el lado izquierdo, se muestran las aplicaciones. En el lado derecho, residen
las plataformas Descargas y Papelera, así como cualquier aplicación minimizada.

Figura 8: Muestra de Dock

Spotlight

Spotlight es la función de búsqueda en macOS, también se incluye en los sistemas iOS. Spotlight indexa todos los archivos y elementos,
lo que permite al usuario buscar datos en función de los datos contenidos en el archivo, atributos del archivo y metadatos. Spotlight
indexa la información contenida en los elementos (archivos, marcadores, historial del navegador web, notas, e-mails, etc.), así como
los metadatos asociados. Spotlight también proporciona "Sugerencias de Spotlight" que brindan acceso rápido a noticias, deportes,
películas, clima y más. El acceso a Spotlight se proporciona en la esquina superior derecha de la barra de menú.

Figura 9: Acceso a Spotlight en la barra de menú

El usuario también puede presionar Command + Barra espaciadora y Búsqueda con Spotlight aparece en la pantalla.

Figura 10: Búsqueda con Spotlight

Guía técnica | Fundamentos de MacOS y de computadoras de Apple: Una guía para explicar los conceptos únicos de las computadoras de Apple
www.cellebrite.com
Luego, el usuario comienza a escribir y Spotlight muestra sugerencias.

Figura 11: Sugerencias de búsqueda con Spotlight

Con Spotlight, el usuario puede buscar archivos por tipo, usando la palabra "clase" como en clase:audio, o usar otros atributos de
metadatos. Spotlight también puede hacer muchas otras cosas: proporcionar definiciones, realizar cálculos y conversiones, mostrar
el clima, encontrar horarios de películas y proporcionar mapas de lugares cercanos.

Los datos de Spotlight se almacenan en cualquier volumen que haya tocado un sistema macOS.

Quick Look

Quick Look es una función que se introdujo en OS X 10.5 (Leopard). Quick Look es una función de vista previa rápida integrada en
Finder. Cuando se selecciona un archivo en Finder y el usuario toca la barra espaciadora, se muestra una vista previa del archivo. Esto
funciona para muchos tipos de archivos: documentos, videos, imágenes, archivos de audio, etc.

Figura 12: Uso de Quick Look para ver el archivo pdf

App Store

App Store de Apple permite a los usuarios de dispositivos Apple comprar y descargar software y aplicaciones móviles. Inicialmente, App Store
se creó para distribuir y vender software para dispositivos iOS (iPhones y iPads). Ahora también está el Mac App Store con software para macOS.

App Store es organizado por Apple y el software debe cumplir con criterios específicos. Las aplicaciones comunes se distribuyen a
través de App Store como Microsoft Office, Evernote y Adobe Photoshop. También hay juegos y herramientas para desarrolladores.
Las compras en App Store se realizan con un Apple ID.

iTunes

iTunes fue lanzado inicialmente como un reproductor de música en 2001. Con el tiempo, se convirtió en un administrador de medios
y podía ser usado para sincronizar y respaldar dispositivos iOS (iPhones y iPads).

Además de música, iTunes proporcionaba acceso a otros contenidos multimedia digitales; películas, programas de televisión, estaciones
de radio por internet y audiolibros. El usuario usa su Apple ID para comprar contenido que luego está disponible en todos los dispositivos
que usan el mismo Apple ID; iPhones, iPads, Apple TV y computadoras Mac.

Con el lanzamiento de macOS 10.15 (Catalina), Apple dividió las funciones de iTunes en aplicaciones separadas y pasó la función de
copia de seguridad de iOS a Finder. Las aplicaciones para acceder al contenido de medios digitales incluyen Apple Music, Apple TV
(que no debe confundirse con el hardware de Apple TV) y Apple Podcasts.

Guía técnica | Fundamentos de MacOS y de computadoras de Apple: Una guía para explicar los conceptos únicos de las computadoras de Apple
www.cellebrite.com
Las computadoras de Apple que ejecutan versiones anteriores de macOS, versiones distintas de macOS 10.15 (Catalina), todavía usan
iTunes para acceder al contenido de medios digitales y para hacer copias de seguridad y sincronizar dispositivos iOS.

Apple ID y iCloud

Los usuarios de dispositivos de Apple confían en su Apple ID, que también proporciona acceso al almacenamiento remoto en iCloud.
Se necesita un Apple ID para iTunes y App Store y también se usa para FaceTime y iMessages.

Un usuario puede usar un Apple ID en múltiples dispositivos, compartiendo datos entre los dispositivos que usan el mismo Apple ID.
Al ver la información de Apple ID en macOS, se muestra una lista de todos los dispositivos registrados con ese Apple ID.

Figura 13: Dispositivos que usan el mismo Apple ID

Con el Apple ID, los usuarios obtienen acceso a iCloud, el servicio de almacenamiento remoto de Apple. Se ofrece cada Apple ID con
5 GB de almacenamiento gratuito de iCloud. Se puede comprar también almacenamiento adicional.

Los usuarios pueden optar por hacer una copia de seguridad de los dispositivos en iCloud, almacenar archivos en iCloud y sincronizar
aplicaciones, como Mail y Notes, a través de iCloud. Se puede acceder a iCloud Drive a través de Finder.

Figura 14: iCloud Drive en Finder

Al ver la información de Apple ID en macOS, también puede ver información sobre los datos almacenados en iCloud. En el ejemplo
a continuación, el usuario tiene 50 GB de almacenamiento en iCloud y 32,04 GB están disponibles. La mayoría de los datos en el
almacenamiento de iCloud de este usuario son copias de seguridad de dispositivos.

Figura 15: Información de iCloud

Guía técnica | Fundamentos de MacOS y de computadoras de Apple: Una guía para explicar los conceptos únicos de las computadoras de Apple
www.cellebrite.com
Time Machine

La función de copia de seguridad llamada Time Machine está integrada en macOS. Time Machine se introdujo en OS X 10.5 (Leopard).
Cualquier disco externo puede designarse como dispositivo de copia de seguridad de Time Machine. Time Machine realiza una copia
de seguridad de todos los archivos en el sistema macOS y proporciona una interfaz para revisar los archivos almacenados en las
copias de seguridad.

Las preferencias de Time Machine les permite al usuario configurar sus preferencias. Una vez configurada, puede ver el disco utilizado
para almacenar las copias de seguridad de Time Machine, la fecha de la copia de seguridad más antigua, la fecha de la última copia
de seguridad y más información. Hay opciones disponibles para excluir datos de las copias de seguridad de Time Machine.

Figura 16: Preferencias de Time Machine

El usuario puede leer las copias de seguridad de Time Machine en macOS utilizando la aplicación Time Machine. Si se han eliminado
los archivos, pueden ser restaurados con Time Machine.

Figura 17: Copias de seguridad en Time Machine

FileVault

FileVault es una tecnología de cifrado integrada en macOS, que actualmente se utiliza para cifrar el volumen de macOS. Se introdujo
FileVault por primera vez en OS X 10.3 (Panther) y ha evolucionado a lo largo de los años. Inicialmente, FileVault solo podía cifrar el
directorio de inicio del usuario.

La próxima evolución de FileVault, denominada FileVault 2, se lanzó con OS X 10.7 (Lion). FileVault 2, en su mayor parte, proporciona
cifrado completo de disco. FileVault 2 cifra el volumen total de macOS, las contraseñas de inicio de sesión del usuario se utilizan
para desbloquear el volumen. También se genera una clave de recuperación para los volúmenes cifrados de FileVault 2. A partir de
OS X 10.10 (Yosemite), hay una opción disponible para usar una cuenta de iCloud para desbloquear un volumen cifrado FileVault 2 y
restablecer la contraseña.

Guía técnica | Fundamentos de MacOS y de computadoras de Apple: Una guía para explicar los conceptos únicos de las computadoras de Apple
www.cellebrite.com
Se eliminó FileVault gradualmente después del lanzamiento de FileVault 2. Dentro de macOS, FileVault 2 simplemente se conoce
como FileVault.

Figura 18: Configuración de FileVault 2 en macOS

Con el lanzamiento de OS X 10.10 (Yosemite), durante la instalación, la opción predeterminada se configura para habilitar FileVault 2.
No es raro ver FileVault 2 habilitado en dispositivos macOS.

Boot Camp

Boot Camp es una utilidad en macOS que permite la instalación de Windows en una computadora de Apple. Una instalación de Windows
en una computadora de Apple generalmente se conoce como partición Boot Camp. Si FileVault 2 está en uso en la computadora y
Windows está instalado, el volumen de Boot Camp no está cifrado.

AirPort

Apple usa el nombre AirPort para dispositivos que usan protocolos Wi-Fi 802.11. Apple fabricó varios dispositivos de red con el nombre
AirPort, incluidos: AirPort Extreme, AirPort Express y AirPort Time Capsule. Estos productos ya no se fabrican, pero todavía reciben
soporte de Apple. AirPort Time Capsule es una combinación de enrutador inalámbrico y dispositivo de almacenamiento conectado a
la red. Fue diseñado para trabajar con Time Machine para brindar soporte a sistemas macOS.

La aplicación AirPort Utility en sistemas macOS permite a los usuarios actualizar el firmware y las configuraciones de los productos
AirPort. También puede ver el término AirPort en macOS en referencia a Wi-Fi.

AirDrop

AirDrop, presentado en OS X 10.7 (Lion), es una función incorporada para transferir archivos a otros dispositivos de Apple que estén cerca.
AirDrop también está disponible en dispositivos iOS, pero hasta macOS 10.10 (Yosemite), los protocolos AirDrop no eran compatibles
entre dispositivos iOS y macOS.

En sistemas macOS con 10.10 (Yosemite) y posteriores, AirDrop funciona entre dispositivos iOS y macOS. AirDrop utiliza Apple Wireless
Direct Link (AWDL), un protocolo inalámbrico peer-to-peer patentado, para transferir archivos entre dispositivos de Apple que estén cerca.

10

Guía técnica | Fundamentos de MacOS y de computadoras de Apple: Una guía para explicar los conceptos únicos de las computadoras de Apple
www.cellebrite.com
Preferencias del sistema

En Windows, los usuarios pueden cambiar la apariencia y el funcionamiento del sistema a través del panel de control. En macOS, estas
opciones se administran en Preferencias del sistema.

Figura 19: Preferencias del sistema

Todo desde el fondo de escritorio y los protectores de pantalla, hasta la configuración de red y los dispositivos periféricos se pueden
controlar dentro de Preferencias del sistema. En Preferencias del sistema, se puede acceder a funciones presentadas anteriormente
como Spotlight, FileVault y Time Machine. Hay algunas otras áreas aquí que son específicas de macOS e importantes para el usuario.

Siri

Se introdujo Siri por primera vez en dispositivos iOS, iPhones y iPads. Apple integró Siri en macOS 10.12 (Sierra). Al igual que Siri en
dispositivos iOS, los usuarios pueden hacer preguntas a Siri y pedirle que realice tareas, como enviar un mensaje o buscar un archivo.

Tiempo en pantalla

Con el lanzamiento de macOS 10.15 (Catalina), Apple incorporó a macOS Tiempo en pantalla. Al igual que Siri, Tiempo en pantalla fue
originalmente una función en iOS que Apple más tarde integró en macOS. Tiempo en pantalla monitorea el uso y puede usarse para
establecer el tiempo de inactividad para usuarios y aplicaciones específicos. El uso de un Apple ID permite que la información del
Tiempo en pantalla se comparta entre múltiples dispositivos de Apple.

Imágenes de disco y conjuntos o paquetes

Son exclusivos de macOS los archivos de imagen de disco, conjuntos y paquetes.

Imágenes de disco

Las imágenes de disco son archivos que contienen esencialmente una pequeña imagen de un disco físico o volumen. Estos archivos
contienen una estructura de partición y un sistema de archivos. Las imágenes de disco se usan comúnmente para distribuir aplicaciones,
pero también pueden ser utilizadas por los usuarios de macOS para almacenar archivos, de forma similar a cómo se usan los archivos
zip en Windows. Los usuarios pueden crear imágenes de disco cifradas que requieren una contraseña para abrir. Históricamente,
macOS ha utilizado imágenes de disco para las copias de seguridad de FileVault y Time Machine.

11

Guía técnica | Fundamentos de MacOS y de computadoras de Apple: Una guía para explicar los conceptos únicos de las computadoras de Apple
www.cellebrite.com
Las imágenes de disco reconocidas por macOS son de varios formatos. El formato que se ve con mayor frecuencia es dmg, ya que
se usa comúnmente para la instalación de software en macOS. Para acceder a la información en un archivo dmg, macOS ejecuta el
archivo como lo haría con cualquier otro dispositivo o volumen. Una vez que se ejecuta el archivo, se puede acceder al contenido. Los
dmg ejecutados pueden aparecer en el escritorio y en la barra lateral de Finder si el usuario ha configurado estas ubicaciones para
mostrar discos externos.

Figura 20: Archivos DMG ejecutados en el escritorio y en la barra lateral de Finder

Se almacenan los archivos dmg en tres formatos diferentes. El formato dmg más simple, se almacenan exactamente las estructuras de
datos como lo harían en los medios físicos. Si observa estos archivos dmg en datos hexadecimales, debería esperar ver las estructuras
de partición y del sistema de archivos. Algunos archivos dmg se almacenan en formato comprimido. Por lo general, los archivos dmg
utilizados para distribuir software se almacenan en un formato comprimido. El tercer formato son los archivos dmg cifrados. Cuando
un usuario crea un dmg, puede cifrar los contenidos usando cifrado AES de 128 bits o cifrado AES de 256 bits. Los usuarios pueden
crear archivos dmg cifrados para transferir información de forma segura a otros, o simplemente proteger la información confidencial
almacenada en su disco. En el lado más siniestro de las cosas, los usuarios que recopilan material de abuso sexual infantil (CSAM)
han utilizado imágenes de disco para ordenar y almacenar sus recopilaciones. La imposibilidad de localizar y analizar las imágenes
de disco puede resultar en la falta de archivos importantes para una investigación.

El otro formato de imagen de disco es la imagen dispersa. Las imágenes dispersas, inicialmente utilizadas por FileVault cuando solo se
cifraba el directorio de inicio del usuario, es una imagen de disco que crece en tamaño a medida que se agrega información. Cuando se
crea una imagen dispersa, el espacio de almacenamiento no se asigna al archivo hasta que se agregan datos a la imagen. La imagen
dispersa puede ser capaz de contener gigabytes de datos, pero el tamaño del archivo de imagen dispersa se correlacionará con la
cantidad real de datos almacenados en el archivo de imagen dispersa. Teóricamente, a medida que los datos se eliminan de una imagen
dispersa, el tamaño del archivo debería reducirse. Históricamente, las imágenes dispersas no se deshacen de los datos eliminados.

Conjuntos y paquetes

Un conjunto en macOS es un directorio (carpeta) que se presenta como un solo archivo en Finder. Los paquetes son conjuntos con
una estructura estándar, utilizados para aplicaciones macOS. Al observar un paquete de aplicaciones en macOS, parece ser un solo
archivo, similar a un ejecutable en Windows. Los paquetes de aplicaciones tienen una extensión de archivo .app, aunque Finder oculta
la extensión en la mayoría de los casos. Todos se identifican como Aplicación en el campo Finder Kind.

Figura 21: Paquetes de aplicación en Finder

12

Guía técnica | Fundamentos de MacOS y de computadoras de Apple: Una guía para explicar los conceptos únicos de las computadoras de Apple
www.cellebrite.com
Cuando el usuario hace clic en un paquetes de aplicaciones, se abre la aplicación. Si el usuario hace clic de control en un paquete de
aplicaciones, aparece un menú contextual con la opción de Mostrar contenido del paquete.

Figura 22: Menú desde Command + clic en un paquete de aplicaciones

Una vez que se selecciona Mostrar contenido del paquete, Finder muestra lo que está almacenado en el conjunto de aplicaciones.

Figura 23: Datos almacenados en el paquete de aplicaciones de App Store

Puede ver que el paquete de aplicaciones es en realidad una carpeta que contiene los archivos necesarios para ejecutar la aplicación,
incluido el ejecutable real. Los paquetes tienen una estructura jerárquica estándar que contiene el código ejecutable y cualquier otro
recurso necesario para ejecutar la aplicación.

Paquetes dispersos

En OS X 10.5 (Leopard), se introdujo una combinación de una imagen dispersa y un paquete para almacenar los datos de Time Machine.
Un paquete disperso de imagen de disco, como cualquier otro paquete, parece un solo archivo en Finder.

Figura 24: Paquetes dispersos de imagen de disco creados por Time Machine

13

Guía técnica | Fundamentos de MacOS y de computadoras de Apple: Una guía para explicar los conceptos únicos de las computadoras de Apple
www.cellebrite.com
Al igual que una imagen dispersa, se puede ejecutar un paquete disperso. Cuando se ejecutan paquetes dispersos creados por Time
Machine, el nombre del volumen es Copias de seguridad de Time Machine. Dentro de la copia de seguridad, el directorio contenido
en la carpeta Backups.backupdb tiene el mismo nombre que el archivo .sparsebundle ejecutado. Por ejemplo, cuando se ejecuta el
iMac.sparsebundle de Sara, puede ver el directorio iMac de Sara en la carpeta Backups.backupdb.

Figura 25: Paquete escaso ejecutado de Time Machine

El directorio iMac de Sara en el paquete disperso ejecutado contiene carpetas con fecha y hora de los datos de respaldo correspondientes
de Time Machine.

La diferencia entre la imagen dispersa y el paquete disperso es que la imagen dispersa es un archivo grande donde el paquete disperso
es un paquete, una carpeta que contiene una estructura de directorios.

Para ver lo que está almacenado dentro del paquete disperso, use la opción Mostrar contenido del paquete después de hacer control
+ clic en el archivo .sparsebundle en Finder.

Figura 26: Contenido de un paquete disperso

Dentro del paquete disperso hay archivos de configuración utilizados por Time Machine junto con una carpeta de bandas. Esta carpeta
contiene archivos llamados bandas que juntos crean la imagen del disco. El tamaño máximo de una banda es de 8,4 MB, por lo que
cuando Time Machine agrega o elimina datos del paquete disperso; se cambian, crean o eliminan las bandas individuales, en lugar
de tener que actualizar una imagen dispersa completa. Las bandas en el paquete disperso permiten que Time Machine funcione de
manera más eficiente.

Creación de una imagen de disco, imagen dispersa o paquete disperso

Los usuarios pueden crear imágenes de disco, incluidos archivos dmg, archivos de imagen dispersa y paquetes dispersos a través
de Utilidad de Discos. Se puede crear una imagen de disco desde una carpeta, o el usuario puede crear la imagen de disco y luego
agregar datos una vez que se haya creado y ejecutado.

Figura 27: Opciones para crear una imagen de disco

El campo Nombre es el nombre que se mostrará cuando la imagen del disco se monte en el Escritorio y en la barra lateral de Finder.
El campo Formato permite al usuario elegir el sistema de archivos utilizado en la imagen del disco.

Figura 28: Opciones de sistemas de archivos para imagen de disco

14

Guía técnica | Fundamentos de MacOS y de computadoras de Apple: Una guía para explicar los conceptos únicos de las computadoras de Apple
www.cellebrite.com
El campo Cifrado permite al usuario elegir una opción de cifrado.

Figura 29: Opciones de cifrado de imagen de disco

Cuando se elige el cifrado, el usuario debe ingresar una contraseña que se utilizará para cifrar y descifrar los datos. El campo Particiones
permite al usuario elegir un esquema de partición para la imagen del disco.

Figura 30: Opciones de partición de imagen de disco

El campo Formato de imagen es donde el usuario determina qué tipo de archivo de imagen de disco, o paquete, se creará.

Figura 31: Opciones de formato de archivo de imagen de disco

Conclusión

Los conjuntos y paquetes en macOS son carpetas que aparecen como un solo archivo en Finder, a menos que el usuario elija mostrar
el contenido del paquete. Los paquetes más comunes que encontrará son paquetes de aplicaciones y paquetes de imágenes de disco
dispersos.

Las imágenes de disco son archivos dmg, archivos de imagen dispersa o paquetes dispersos. Contienen una pequeña imagen de
un archivo o disco físico que incluye estructuras de partición y sistemas de archivos. La imagen de disco debe ejecutarse en macOS
como un disco físico para acceder a los contenidos. Las imágenes de disco en formato dmg tienen un tamaño de archivo específico y
consumen mucho espacio en el disco. Las imágenes dispersas y los paquetes dispersos pueden crecer y reducirse en el disco físico,
dependiendo de la cantidad de datos almacenados en ellos.

Espere ver imágenes de disco dmg para la instalación del software, como cuando se descarga Google Chrome. Se crean los paquetes
dispersos con copias de seguridad de Time Machine.

El lado técnico de macOS

En cuanto a aspectos más técnicos, el hardware y software de Apple ha evolucionado con el tiempo, por lo que aquí es donde las
cosas comienzan a complicarse. A veces hay diferencias significativas entre las diferentes versiones de macOS, por lo que si el último
sistema macOS que examinó o utilizó fue hace cinco años, un nuevo sistema se verá muy diferente. Incluso viendo la información
presentada anteriormente, puede ver que se introducen nuevas características con cada versión diferente del sistema operativo. Las
características no son el único cambio; Apple también actualizó los formatos de hardware y almacenamiento como esquemas de
partición y sistemas de archivos.

Hardware

Firmware y procesadores

Al trabajar con computadoras personales, el firmware utilizado para iniciar el sistema suele ser un sistema básico de entrada/salida,
comúnmente conocido como BIOS. Las computadoras de Apple nunca han tenido BIOS. El firmware utilizado en las computadoras de
Apple depende del procesador de la computadora.

Uno de los cambios de hardware más significativos en las computadoras de Apple fue el cambio a los procesadores Intel en 2006.
Antes de eso, las computadoras de Apple usaban procesadores PowerPC. Las máquinas con procesadores PowerPC usan firmware
abierto, mientras que las que tienen procesadores Intel usan la interfaz de firmware extensible (EFI).

15

Guía técnica | Fundamentos de MacOS y de computadoras de Apple: Una guía para explicar los conceptos únicos de las computadoras de Apple
www.cellebrite.com
¿Entonces que significa esto para usted? Bueno, al igual que el BIOS en las computadoras tienen teclas de acceso rápido particulares,
teclas que puede mantener presionadas durante el proceso de inicio para ingresar a la interfaz del BIOS, o cambiar el orden de inicio,
o elegir desde qué dispositivo iniciar, las computadoras de Apple también tienen teclas de acceso rápido o combinaciones de tecla
de arranque. Para usar las teclas de arranque, mantenga presionada la combinación de teclas cuando el sistema se esté iniciando.

Las siguientes son la combinación de teclas de arranque junto con una descripción de lo que hacen:

Tecla de arranque Descripción

Command + R Inicia el sistema desde la partición de recuperación de macOS incorporada
Option + Command + R Inicia el sistema usando recuperación de macOS desde internet
Option Inicia el sistema en el Administrador de arranque, que muestra los volúmenes o
discos de arranque disponibles.
Option + Command + P + R Restablece la NVRAM o PRAM
Shift Inicia el sistema en modo seguro
D Inicia el sistema con la utilidad de diagnóstico de Apple
Option + D Inicia el sistema en la utilidad de diagnóstico de Apple en internet.
N Inicia desde un servidor NetBoot
Command + S Inicia el sistema en modo de usuario único
T Inicia el sistema en modo de disco de destino (TDM)
Command + V Inicia el sistema en modo detallado

Otra cosa a tener en cuenta es que las Mac pueden tener una contraseña de firmware habilitada. Si un sistema tiene una contraseña
de firmware, el uso de las teclas de arranque a veces da como resultado una solicitud para ingresar la contraseña de firmware, pero
la mayoría de las veces simplemente se ignoran las teclas de arranque. La mejor manera de determinar si se ha establecido una
contraseña de firmware es iniciar en el Administrador de arranque (mantenga presionada la tecla option durante el inicio).

Algunas otras cosas que puede necesitar saber:

• La partición de recuperación no apareció hasta OS X 10.7 (Lion)

• El modo de usuario único desapareció en macOS 10.14 (Mojave)
• El modo de disco de destino, exclusivo de las computadoras Apple, transforma el sistema en un disco duro externo que se puede
conectar a otro sistema. Nota: TDM no protege el sistema contra escritura de ninguna manera. Una computadora iniciada en
TDM actuará como cualquier otro dispositivo de almacenamiento externo cuando esté conectada a otra computadora.

Fusion Drives

A finales de 2012, Apple presentó Fusion Drives, una configuración de hardware que combina el almacenamiento en la memoria flash
interna y un disco duro de alta capacidad. MacOS ve y usa las dos unidades como un solo disco.

Chips de seguridad T2

La última innovación de hardware de Apple es la incorporación del chip de seguridad T2. El chip T2 es un coprocesador, integrando en el
hardware, almacenamiento cifrado de hardware y el inicio seguro. El propósito de todo esto es agregar seguridad a la computadora de Apple.

En una computadora con un chip T2, los datos almacenados en la memoria interna se cifran automáticamente utilizando las teclas
contenidas en el chip T2. Incluso si el cifrado de software, como FileVault 2, no está activado, el hardware cifra los datos. Solo se puede
acceder a los datos de la memoria interna con ese hardware, ese chip T2 específico y ese conjunto de llaves de cifrado.

Para proporcionar protección adicional, la configuración predeterminada en las computadoras Mac con el chip T2 no permite el arranque
desde medios externos. En la Utilidad de seguridad de arranque, disponible en la Partición de recuperación, se puede cambiar esta
configuración. Se requiere una contraseña de administrador para acceder a esta utilidad.

Versiones, nombres de sistemas operativos y sistemas de archivos

El sistema operativo utilizado en las computadoras de Apple desde principios de 2000 se llamaba OS X y se pronunciaba "O - S - Diez"
(sí, ese es un número romano). Cada versión tenía un nombre y número asociado. En 2016, el sistema operativo pasó a llamarse
macOS. Este nombre se cambió para alinearse con los otros sistemas operativos de Apple (iOS, watchOS y tvOS). Al igual que OS X,
cada versión de macOS tiene un número de versión y un nombre asociado.

16

Guía técnica | Fundamentos de MacOS y de computadoras de Apple: Una guía para explicar los conceptos únicos de las computadoras de Apple
www.cellebrite.com
Partición

El disco duro interno, o unidad de estado sólido de una computadora de Apple debe estar particionado y contener un sistema de
archivos para el volumen de arranque de macOS. El procesador determina el esquema de partición y la versión del sistema operativo
determina el sistema de archivos.

El procesador determina el esquema de partición utilizado en el disco duro interno de una computadora de Apple. Los sistemas con
procesadores PowerPC usan Apple Partition Map (APM). Los sistemas con arquitectura Intel utilizan el mapa de partición de identificador
único global (GUID). Con la partición GUID, una partición EFI siempre está presente en el dispositivo de memoria interna.

Si bien el dispositivo de memoria interna se debe particionar con el esquema de partición utilizado por el procesador, los discos externos
o las imágenes de disco utilizadas con las computadoras Mac se pueden particionar con APM, Mapa de partición GUID, o incluso el
Registro de arranque maestro (MBR) que normalmente utiliza Windows.

Hasta macOS 10.13 (Hight Sierra), el sistema de archivos utilizado en las computadoras Apple era jerarquico, (Hierarchical File System
Plus) (HFS +), también conocido como Mac OS Extended. También hay una variante sensible a las mayúsculas y minúsculas, HFSX
disponible para su uso. En 2017, Apple lanzó el nuevo sistema de archivos de Apple (APFS). Las computadoras de Apple con macOS
10.13 o superior usan APFS, que es un sistema de archivos mucho más complicado que HFS + o HFSX. También hay una versión
sensible a las mayúsculas y minúsculas de APFS.

Figura 32: Esquemas de partición reconocidos por macOS

Sistemas de archivos y versiones del sistema operativo

El sistema operativo (macOS) puede leer y escribir en APFS, APFS (sensible a las mayúsculas y minúsculas), HFS +, HFSX, FAT32 y
ExFat. En macOS se les conoce con los siguientes nombres:

macOS puede leer NTFS pero no puede escribir en él sin la instalación de impulsores de terceros.

Figura 33: Sistemas de archivos que usan macOS

Para complicar aún más las cosas, con el lanzamiento de macOS 10.15 (Catalina), se agregó una mayor protección al sistema. El
sistema operativo, macOS 10.15, se ejecuta en un volumen de sistema de solo lectura que está separado de otros archivos. El volumen
de arranque se divide en dos partes. En el escritorio y en Finder, el volumen de arranque aparece como un volumen. Durante una
prueba, aparecerán como volúmenes separados.

17

Guía técnica | Fundamentos de MacOS y de computadoras de Apple: Una guía para explicar los conceptos únicos de las computadoras de Apple
www.cellebrite.com
Dado que todos estos nombres y números pueden volverse confusos rápidamente, aquí está el desglose de las versiones de OS X y
macOS junto con otra información pertinente:

Partición de
Versión Nombre Sistema de archivos Time Machine File Vault Procesador Año
recuperación
OS X 10.0 Cheetah HFS+ No No Ninguno PowerPC 2001

OS X 10.1 Puma HFS+ No No Ninguno PowerPC 2001

OS X 10.2 Jaguar HFS+ No No Ninguno PowerPC 2002

OS X 10.3 Panther HFS+ No No FV PowerPC 2003

OS X 10.4 Tiger HFS+ No No FV PowerPC 2005

OS X 10.5 Leopard HFS+ No Sí FV Ambos 2007

OS X 10.6 Snow Leopard HFS+ No Sí FV Ambos 2009

OS X 10.7 Lion HFS+ Sí Sí FV2 Intel 2011

OS X 10.8 Mountain Lion HFS+ Sí Sí FV2 Intel 2012

OS X 10.9 Mavericks HFS+ Sí Sí FV2 Intel 2013

OS X 10.10 Yosemite HFS+ Sí Sí FV2 Intel 2014

OS X 10.11 El Capitan HFS+ Sí Sí FV2 Intel 2015

macOS 10.12 Sierra HFS+ Sí Sí FV2 Intel 2016

macOS 10.13 High Sierra APFS Sí Sí FV2 Intel 2017

macOS 10.14 Mojave APFS Sí Sí FV2 Intel 2018

macOS 10.15 Catalina APFS - Volumen de arranque Sí Sí FV2 Intel 2019

dividido

Al escribir sobre estas diferentes versiones, algunos documentos se refieren al número de versión, otros se refieren al nombre de la
versión, y algunos usan ambos. Los términos genéricos OS X y macOS también pueden verse cuando generalmente se hace referencia
al sistema operativo que se encuentra en las computadoras de Apple.

Volúmenes predeterminados

Como se discutió anteriormente, cuando se usa la partición GUID, se creará automáticamente una partición del sistema EFI en el
dispositivo de memoria interna. Al revisar el cuadro anterior, también debe sospechar una partición de Recuperación en alguna versión
de OS X y macOS. Con el cambio a APFS, también se crean otros volúmenes predeterminados y 10.15 (Catalina) divide el volumen de
arranque de macOS.

APFS no define un volumen, es un contenedor en el que residen varios volúmenes. A diferencia de las particiones tradicionales, APFS
permite que los volúmenes compartan un grupo de almacenamiento. Mirando un volumen APFS, espere al menos las siguientes
particiones:

• Prearranque
• Recuperación
• VM
• Volumen de arranque de macOS

18

Guía técnica | Fundamentos de MacOS y de computadoras de Apple: Una guía para explicar los conceptos únicos de las computadoras de Apple
www.cellebrite.com
Se usa la partición de prearranque cuando se inicia macOS. Se ha discutido previamente sobre la partición de recuperación. La partición
VM, donde VM significa Memoria Virtual, es utilizada por macOS cuando se requiere más espacio del que está disponible en la RAM del
sistema. El volumen de arranque de macOS, de forma predeterminada, se denomina Macintosh HD. Este nombre puede ser cambiado por
el usuario. En un sistema con 10.15 (Catalina), se espera ver dos volúmenes en su lugar. La parte que contiene los archivos bloqueados del
sistema operativo mantiene el nombre del volumen original. La parte reservada para los datos del usuario tiene el nombre del volumen
original seguido de "- Datos" cuando ve el volumen en la Utilidad de Discos. En Finder y en el Escritorio, solo aparecerá un volumen.

Figura 34: Vista de utilidad de disco del contenedor APFS con volumen de arranque dividido

En este ejemplo, el volumen de arranque de macOS se llama MacSSD. En el contenedor APFS con disk1 se encuentran: MacSSD,
MacSSD - Data, VM y dos particiones no ejecutadas. Las particiones no ejecutadas son Prearranque y Recuperación.

Instantáneas APFS

En sistemas macOS que utilizan APFS, Time Machine se ha modificado para almacenar copias de seguridad de forma local. Las copias
de seguridad almacenadas de forma local se denominan instantáneas. Dado que Time Machine generalmente usa medios externos
para almacenar copias de seguridad, las instantáneas locales se crean cuando el disco de copia de seguridad no está disponible.

Llaveros y listas de propiedades

Llaveros (Keychain).

Una característica integrada en macOS es un sistema de gestión de contraseñas llamado Llavero (Keychain). Si bien los algoritmos
de cifrado han evolucionado con el tiempo, el llavero ha sido implementado en todas las versiones de OS X y macOS. En el entorno
integrado de Apple, también es posible compartir datos del llavero entre dispositivos que usan el mismo Apple ID. Un llavero contiene
contraseñas, notas seguras, información de autocompletar para Safari, claves privadas y certificados. Se puede acceder a los llaveros
en macOS con Keychain Access.

Figura 35: Llaveros mostrados en Keychain Access

Cada usuario de macOS tiene su propio llavero almacenado en su carpeta de perfil de usuario llamada login.keychain. De forma
predeterminada, la contraseña para abrir este llavero es la contraseña de inicio de sesión del usuario y se abre automáticamente. Si
el usuario tiene una configuración, también se puede acceder al llavero de iCloud en Keychain Access. El llavero predeterminado final
es el llavero del sistema. Este llavero es accesible para todos los usuarios en el sistema macOS. Las contraseñas de aeropuerto o
Wi-Fi se almacenan en el llavero del sistema.

Listas de propiedades

Windows tiene archivos de registro para almacenar información sobre cuentas de usuario, software, hardware y ajustes de configuración.
En macOS no hay una ubicación central para este tipo de información. En cambio, macOS usa archivos de lista de propiedades,
comúnmente conocidos como archivos plist. Los archivos plist se utilizan para almacenamiento en macOS, paquetes de aplicaciones,
carpetas de usuarios y otras ubicaciones en el sistema.

19

Guía técnica | Fundamentos de MacOS y de computadoras de Apple: Una guía para explicar los conceptos únicos de las computadoras de Apple
www.cellebrite.com
Los archivos plist se utilizan para almacenar toneladas de información, desde la versión del sistema operativo y el nombre de la
computadora hasta las cuentas de usuario activas o eliminadas. Los archivos de lista almacenados en el directorio de un usuario
pertenecen a ese usuario en particular. Nuevamente, la información almacenada en los archivos plist de un usuario es enorme,
desde marcadores de Safari hasta información de Dock y de Finder. Los archivos plist también se pueden encontrar en otros sistemas
operativos de Apple (iOS, watchOS y tvOS).

Hay dos formatos de archivo plist comunes: <xml> y un formato binario con el encabezado bplist. Se puede usar QuickLook para ver
el contenido de un archivo plist. Si el archivo plist está en formato binario, QuickLook lo muestra en formato xml.

Figura 36: Contenidos de visualización de QuickLook del archivo com.apple.DiskUtility.plist del usuario

Conclusión

Los conceptos presentados en este documento proporcionan información básica sobre las computadoras de Apple y macOS. Una
comprensión de cómo funciona macOS y cómo los usuarios interactúan con el sistema debería ayudar durante una prueba o al tratar
de explicar los artefactos encontrados durante una prueba. Los artefactos encontrados pueden estar relacionados con Finder, la barra
lateral de Finder, Dock, Spotlight o cualquiera de las otras interfaces únicas de macOS. Incluso si nunca usa una computadora de
Apple, la información en este documento proporciona un panorama de cómo funciona macOS.

Capacitación adicional

Para obtener más información sobre cómo realizar pruebas, acceda al Centro de aprendizaje de Cellebrite en
https://www.cellebritelearningcenter.com/.

20

Guía técnica | Fundamentos de MacOS y de computadoras de Apple: Una guía para explicar los conceptos únicos de las computadoras de Apple
www.cellebrite.com
OFICINA CORPORATIVA APAC

8045 Leesburg Pike 150 Beach Road

Suite 220 #08-05/08 Gateway West
Viena, VA 22182, EE. UU. Singapur 189720
Tel.: +1 703 828-7854 Tel.: +65 6438 6240
Fax: +1 201 848 9982 Fax: +65 6 438 6280

ISRAEL AUSTRALIA

94 Derech Shlomo Schmeltzer St Level 9, 2 Phillip Law Street

Kiryat Aryeh, Petah Tikva PO Box 3925, Israel Canberra ACT 2601
Tel.: +972 3 394 8000 Australia
Fax: +972 3 924 7104 Tel.: +61 2 6243 4841

REINO UNIDO INDIA

First Central 200 Room No. 516, 5th Floor,

2 Lakeside Drive Tower C Green Boulevard
Park Royal B-Block Sector 62 Noida 201309
Londres NW10 7FQ, Reino Unido India
Tel.: +44 20 3949 9521 Tel.: +91 9811144437

ALEMANIA JAPÓN

Herzog-Heinrich-Strasse 20, 100-0005東京都千代田区丸の内3-2-2

80336 Munich, Alemania 丸の内二重橋ビル２F
Tel.: +49 (0) 89 2 15 45 37 18 Level 2, Marunouchi Nijyubashi Building, 3-2-2
Tel.: +49 (0) 89 2 15 45 37 99 Marunouchi, Chiyoda-ku,
Tokio 100-0005 JAPÓN
LATAM Tel.: +91 9811144437

Av. Engenheiro Luiz

Carlos Berrini, 550-12º
Andar Brooklin
04571-000 São Paulo, Brasil
Tel.: +55 11 3216 3800

Acerca de Cellebrite

Cellebrite ha sido el líder global y principal proveedor de soluciones de inteligencia digital integrada para las fuerzas de seguridad pública, las fuerzas armadas, el
gobierno y empresas privadas de todo el mundo durante más de 20 años. Ayudamos a resolver investigaciones más rápidamente al abordar los desafíos cada vez
mayores de un mundo digital en expansión.

Desarrollado en estrecha colaboración con nuestros clientes, nuestro conjunto integrado de software de inteligencia digital, soluciones y capacitación incluye: acceso
a todos los dispositivos, plataformas digitales y aplicaciones, cuándo y dónde los equipos lo necesiten; gestión y control de todos los datos relevantes en un sistema
seguro y de colaboración; y un sólido aprovechamiento para detectar rápidamente información crítica.

Nuestras soluciones se integran perfectamente con las infraestructuras existentes, lo que permite a las agencias tomar decisiones de mando de manera más
eficiente para proteger mejor a sus comunidades.

Para obtener más información, visite: www.cellebrite.com