El modo de espera es una función de ahorro de energía que hiberna automáticamente una Mac después de que haya estado en modo de suspensión durante un tiempo, lo que hace que disminuya aún más el consumo de batería. Cuando una Mac que utiliza el cifrado de FileVault se pone en modo de espera, se almacena una clave de FileVault (sí, esta clave está cifrada) en EFI (firmware) para que pueda salir rápidamente del modo de espera cuando se despierta del sueño profundo.Para el 99% de los usuarios, eso apenas importa y no es un problema de seguridad, pero para aquellos que están preocupados por la máxima seguridad absoluta y por proteger una Mac de algunos ataques inusualmente agresivos (es decir, nivel de espionaje), puede configurar OS X para que destruya automáticamente eso. Clave de FileVault cuando se coloca en modo de espera de ahorro de energía, evitando que la clave almacenada sea un punto débil potencial o un objetivo de ataque. Al habilitar esta configuración, los usuarios de FileVault deben ingresar su contraseña de FileVault cuando una Mac se despierta del modo de espera, porque la clave FV ya no se almacena para un despertar rápido. No es un inconveniente, pero ralentiza un poco el despertar del sueño profundo y requiere que el usuario participe en un nivel adicional de autenticación más allá de las funciones estándar de bloqueo e inicio de sesión antes de que la Mac vuelva a ser utilizable.

Aumente la seguridad de FileVault al destruir las claves de FileVault en el modo de espera

Este comando debe ingresarse en la Terminal, que se encuentra en /Aplicaciones/Utilidades/

pmset -a destroyfvkeyonstandby 1

La bandera -a aplica la configuración a todos los perfiles de energía, es decir, tanto la batería como el cargador.

Si encuentra esta característica innecesaria o frustrante, puede revertirla fácilmente configurando 1 a 0 y usando el comando nuevamente de la siguiente manera:

pmset -a destroyfvkeyonstandby 0

Tenga en cuenta que, dependiendo de los privilegios de la cuenta de usuario activa, es posible que deba prefijar ambos comandos con sudo para que se ejecuten desde el superusuario, por lo que los comandos serían los siguientes:

Habilitación de la destrucción de claves de FileVault

sudo pmset -a destroyfvkeyonstandby 1

Deshabilitar la destrucción de claves de FileVault

sudo pmset -a destroyfvkeyonstandby 0

Siempre puede verificar la configuración de pmset para ver si está habilitado o deshabilitado actualmente usando el siguiente comando:

pmset -g

Es cierto que esto es un poco técnico y un poco extremo y, por lo tanto, no se aplicará a la gran mayoría de los usuarios de Mac. No obstante, para quienes se encuentran en entornos de seguridad confidenciales, quienes tienen datos muy confidenciales almacenados en sus computadoras, o incluso para las personas que desean lo máximo en seguridad personal, esta es una opción muy valiosa y se debe considerar si la compensación de un sistema más lento la hora de despertarse vale el beneficio de seguridad adicional.

Como siempre con FileVault, no olvide la contraseña, o todo el contenido de la Mac se volverá inaccesible de forma permanente ya que el nivel de cifrado es tan fuerte que prácticamente nada podría superarlo en una escala de tiempo humana. Si es nuevo en FileVault y en el concepto de cifrado de disco completo, asegúrese de configurarlo correctamente y nunca pierda la clave de recuperación de FileVault.

Para obtener mucha más información técnica sobre este tema, Apple tiene una excelente guía de implementación de FileVault disponible en formato PDF.