Cómo ver la actividad reciente y los intentos de inicio de sesión en tu Mac »Wiki Ùtil MacMyths

¿Crees que alguien inició sesión en tu MacBook y copió los archivos? ¿Sientes que algo ha cambiado en tu Mac, pero no sabes por qué tienes esa sensación? Si es así, entiendo su preocupación porque esta es una de las preguntas más comunes que las personas hacen después de dejar sus MacBooks en casa o en el trabajo.

Siempre recomiendo establecer contraseñas de inicio de sesión y cambiarlas de vez en cuando. hora. Pero incluso si lo hace, existe el riesgo de que alguien pueda descifrar y aún obtener acceso a su computadora.

En este caso, probablemente desee verificar el historial de inicio de sesión de Mac cuando busque actividad sospechosa cuando asume que su Mac está en modo de suspensión.

La forma más fácil de ver el historial de inicio de sesión de MacBook es usar el comando «último». Use la combinación de teclas Comando + espacio para iniciar la búsqueda de Spotlight, escriba Terminal en la ventana de búsqueda y presione Entrar. En la ventana de la aplicación Terminal, escriba «último» y presione Enter. El comando imprimirá todos los eventos de inicio de sesión en orden descendente.

Permítanme explicar cómo verificar el último inicio de sesión en Mac con la Terminal. Por ejemplo, aquí está la captura de pantalla del comando que ejecuté en una de mis Mac. Para hacer las cosas más interesantes, también me conecté de forma remota como usuario desde mi otra MacBook.

La primera salida en la pantalla está mi conexión remota. Como puede ver, inicié sesión desde otra computadora usando Terminal (ttys001) como usuario1 .

Un usuario Usuario1 es un segundo usuario que creé en mi Mac local. También puede ver la dirección IP (192.168.0.102) de la Mac remota desde la que inicié sesión en la computadora local. Dado que ambas Mac están en la misma red WiFi, pude usar ssh para iniciar sesión.

Es posible deshabilitar las conexiones remotas a su Mac, consulte mi artículo sobre los pasos exactos involucrados en deshabilitar el uso compartido preferencias.

La segunda línea es de mi usuario actual «tester» y todavía estoy conectado (obviamente). El ttys000 solo significa la primera ventana de terminal. Si abre otra ventana de Terminal, se le asignará como ttys001. El siguiente será ttys002, y así sucesivamente. Por lo tanto, si ve el último inicio de sesión como ttys000, simplemente significa su sesión actual.

Además de este comando simple, hay otras formas de ver si alguien ha iniciado sesión en su Mac y se ha metido con él.

Cómo ver la actividad reciente en tu Mac

Utilice la aplicación Consola para navegar por los registros

Durante mucho tiempo, macOS tenía registros repartidos en varios lugares del disco, y cualquiera que quisiera para encontrar cualquier información se vio obligado a verificar varios registros, generalmente en la carpeta var logs. Ahora, todos los registros se han consolidado y hay una aplicación que proporciona acceso unificado a todos ellos a la vez. La aplicación se llama Consola.

Para iniciarla, escriba Consola en Spotlight Search o inicie LaunchPad y busque la aplicación en la carpeta Otro.

La mejor manera de buscar todos los registros es escribir una parte de la cadena que está buscando en la barra de búsqueda.

Por ejemplo, si quiero saber cuándo Yo (u otra persona) abrí la tapa de mi MacBook, puedo escribir LidOpen . De la captura de pantalla a continuación, puedo decir que la última vez que abrí mi computadora portátil a las 20:40. Y antes de eso, hice lo mismo a las 19:32, 18:27 y 18:05. Probablemente fui interrumpido demasiadas veces ese día.

Pero estos eran solo datos recientes. Para ver los datos históricos, haga clic en la sección Datos de análisis de Mac a la izquierda. Y en la barra de búsqueda, escriba «Tapa abierta» (con espacio).

Y nuevamente, vería las mismas horas y más. Por ejemplo, puedo ver que la última vez que abrí mi MacBook el día anterior a las 20:44, y la próxima vez que lo hice al día siguiente a las 9:18 am.

Use el comando log config para intentos fallidos de inicio de sesión

Otra cosa al investigar si alguien ha iniciado sesión en su Mac es saber si hubo intentos fallidos de iniciar sesión in. Obtener esta información es sorprendentemente difícil, especialmente para personas sin conocimientos técnicos.

Para ver los intentos fallidos de inicio de sesión en macOS High Sierra o versiones anteriores, habilite primero el registro de datos privados. Utilice el comando sudo log config –mode “private_data: on” en la Terminal con el usuario administrador. Después de esto, el registro del sistema contendrá información sobre todos los intentos de inicio de sesión.

Sin embargo, recientemente Apple reforzó la seguridad y el comando ya no funciona. En su lugar, imprimirá el mensaje “log: Invalid Modes 'private_data: on'” . Si realmente necesita habilitar esto, este tipo desarrolló un ejecutable. Por lo tanto, hágalo bajo su propio riesgo.

Verifique las carpetas recientes en el Finder

Si sospecha que alguien está navegando por el disco con el Finder (también conocido como explorador en Mac), debe saber que la aplicación rastrea la carpeta a la que se accedió recientemente.

Para verlos, inicie el Finder desde el puerto. En la barra de menú, haga clic en Ir -> menú Carpetas recientes. Es posible borrar esta lista haciendo clic en el elemento Borrar menú en la parte inferior de la lista. La combinación de borrar el menú y verificar las carpetas recientes se puede usar para averiguar si alguien estaba usando la Mac sin que usted lo supiera.

En este caso, usaría Clear Menu para comenzar con un borrón y cuenta nueva y luego evite abrir la Mac durante un par de días. Después de un tiempo, abra el Finder nuevamente y verifique si las Carpetas recientes se han llenado y qué carpetas se han utilizado.

También hay Elementos recientes en el menú principal de Apple: haga clic en el logotipo de Apple y haga clic en Elementos recientes en la lista desplegable. Esta lista contiene las últimas aplicaciones que se ejecutaron y los documentos recientes abiertos.

Y el último lugar para buscar es la carpeta Recientes en el Finder. A diferencia de las Carpetas recientes, la carpeta Recientes no se puede limpiar porque no es una carpeta real. Hay formas de ocultar archivos y carpetas para que no se rastreen aquí, y las describí todas en mi publicación anterior.

Verifique el historial del navegador

Otra forma de ver si alguien usó una computadora es verificar el historial del navegador. De forma predeterminada, todos los navegadores, incluidos Safari y Google Chrome, guardan las páginas que se han abierto.

Es posible que el navegador esté configurado para borrar el historial al salir. Por lo general, tengo un navegador configurado de esta manera para evitar guardar información confidencial. Junto con VPN, es una excelente manera de asegurarse de que nadie pueda rastrear su actividad.

No voy a publicar aquí los pasos para verificar el historial del navegador. Los pasos cambian con demasiada frecuencia y se pueden encontrar fácilmente en Internet.

Verifique los elementos recientes en las aplicaciones

Otra forma de ver qué archivos se han abierto es comprobar las aplicaciones asociadas a ellos. Por ejemplo, la aplicación predeterminada que se inicia al abrir una imagen, png o jpeg, es la Vista previa.

Para ver la lista de imágenes abiertas recientemente, vaya al menú Archivo-> Abrir reciente. Nuevamente, en la parte inferior de la lista, hay un comando Borrar menú, que se puede usar para borrar la lista Recientes. Y luego simplemente observe si alguien abre imágenes que está tratando de ocultar.

Otras aplicaciones para verificar son Microsoft Word y Excel, Adobe Acrobat.

Instalar Keylogger para rastrear la actividad

Hace algún tiempo, escribí un artículo sobre keyloggers y cómo encontrar si alguien más los instaló en tu computadora.

La cosa es que es posible tenerlo instalado en tu propia computadora (no instales keyloggers en la Mac de otra persona, pero puedes hacer lo que quieras en tu computadora). Y esta es una herramienta fantástica para ver si alguien estaba usando tu Mac sin permiso. E incluso obtener más información.

Así es como se hace:

1. Descargar Refog Keylogger para Mac

Cuando revisé varios keyloggers en mi publicación, Refog era la opción menos spam. De hecho, promueven su herramienta como una solución para que los padres rastreen la actividad de sus hijos o para que los empleadores monitoreen a sus empleados.

Entonces, primero, vaya a esta página (afiliado) y haga clic en Descargar.

Primero le pedirá que cree una cuenta.

Una vez creada la cuenta, inicie sesión y descargue la versión que necesita (Personal Monitor para Mac).

Haga doble clic en el archivo DMG (tendría un nombre aleatorio) para iniciar el instalador.

Luego proceda con el asistente de instalación. Tienen un buen documento de instalación en línea.

Además, si tiene un antivirus, se deben seguir varios pasos para evitar conflictos. Consulte las instrucciones detalladas aquí.

Tenga en cuenta que tiene varios días para ejecutar la herramienta en modo de prueba. Cuando el registrador de teclas Refog esté en modo de prueba, estará en un modo visible: habrá un icono de Refog en la barra superior. Para ocultar Refog, debe actualizar a una versión paga.

2. Configurar los ajustes

Me gusta configurar algunos ajustes antes de usar el registrador de teclas.

En el conjunto de capturas de pantalla con qué frecuencia tomarlos. Si lo configura para que lo haga con demasiada frecuencia, tendrá demasiados datos. Si se configura como infrecuente, se perderá la información importante. Es posible equilibrar la frecuencia con la calidad de las imágenes. La elección de la opción Escala de grises y una calidad más baja permite obtener instantáneas más frecuentes con el mismo uso de disco y red.

En la pestaña Entrega, ingrese la dirección de correo electrónico si desea recibir notificaciones por correo electrónico. Para ello, abriría una nueva cuenta de correo electrónico. No ponga su correo electrónico principal aquí.

3. Analizar los datos recopilados

Hay varias áreas donde puede ver información útil en el panel de Refog.

Toda la actividad está agrupada por usuarios, por lo que si tiene varios usuarios, habrá varios grupos.

Ahora, puede ver los sitios web que visitó cualquier persona en su Mac, el texto que se escribió en el teclado, capturas de pantalla periódicas y cuándo se iniciaron y detuvieron las aplicaciones.

Dado que estamos interesados ​​en el historial de inicio de sesión, está disponible en la pestaña Aplicaciones.

En la captura de pantalla anterior , puede ver que tenía dos usuarios en mi MacBook: Tester y User1. En la pestaña Aplicaciones, hay varios eventos:

  • Iniciar sesión: es un evento cuando el usuario inicia sesión escribiendo la contraseña.
  • Bloqueo de pantalla: cuando el usuario bloqueó la pantalla, por ejemplo, usando las teclas Comando + Control + Q.
  • Dormir: cuando el usuario cerró la tapa del MacBook
  • Despierta – cuando el el usuario abrió la tapa
    • Apagar: cuando el usuario cerró la sesión de Mac

    Entonces, en resumen, un keylogger (asumiendo que fue instalado en su propia Mac), es la forma más fácil de verificar la actividad reciente en la computadora en comparación con otras opciones de bricolaje.

    ¿Qué sigue?

    Ahí es mucho más lo que pueden hacer los hackers o amigos enemigos cuando acceden a tu Mac. Por ejemplo, pueden conectarse a su MacBook de forma remota.

    Esta publicación es parte de la serie de artículos sobre seguridad Mac. Use los enlaces a continuación para leerlos todos si le preocupa que alguien piratee su computadora.

    Crédito de la foto: © canva.com / Olga Vorobeva