Es probable que su red ya cuente con más identidades de las que su equipo puede gestionar cómodamente. Portátiles del personal, teléfonos personales, impresoras, televisiones inteligentes, terminales de punto de venta, escáneres, tabletas, equipos médicos, dispositivos de invitados, contratistas, residentes, quioscos. El problema no es solo si pueden conectarse. Es si cada uno de ellos debe conectarse, a qué y bajo qué condiciones.
Ahí es donde surge una pregunta muy práctica: ¿qué es el control de acceso a la red, en realidad? No la versión de la presentación del proveedor. La versión operativa.
La respuesta corta es sencilla. El control de acceso a la red (NAC) es la capa de políticas que decide quién y qué accede a su red, y luego aplica el nivel de acceso adecuado. Una buena implementación de NAC no se limita a comprobar un nombre de usuario y dar paso al tráfico. Identifica el dispositivo, comprueba si cumple la política y lo sitúa en la parte adecuada de la red, o en ninguna parte en absoluto.
Esto es aún más importante ahora que las organizaciones del Reino Unido se enfrentan a entornos densos, de alta velocidad y de uso mixto. La Cyber Security Breaches Survey 2024 del Gobierno del Reino Unido reveló que el 50 % de las empresas británicas notificaron una brecha o ataque de ciberseguridad en los 12 meses anteriores, una cifra que asciende al 74 % en el caso de las grandes empresas ( cifras de brechas en el Reino Unido referenciadas aquí ). En ese contexto, permitir que cualquier cosa con una señal de WiFi o puerto Ethernet acceda a la red por defecto es buscar problemas.
El portero digital: por qué toda red necesita control de acceso
Piense en un edificio bien gestionado con una recepción, tornos de acceso, pases para el personal, tarjetas de visitante y plantas restringidas. El vigilante no se limita a preguntar si ha aparecido alguien. Comprueba la identidad, el propósito y a dónde se le debe permitir ir a esa persona.
NAC hace el mismo trabajo para la red.
Un cortafuegos sigue siendo importante, pero no basta por sí solo. Un cortafuegos regula principalmente el flujo de tráfico. NAC regula la admisión. Se sitúa en el punto en el que un dispositivo intenta unirse a la red y plantea una serie de preguntas diferentes: quién es, qué es este dispositivo, cumple las normas y a qué se le debe permitir acceder?
Por qué se desmorona el viejo modelo
Muchas redes se construyeron sobre una base muy sencilla. Si un dispositivo conseguía entrar, se confiaba plenamente en él. Ese modelo se desmorona en los entornos modernos, donde el "interior" incluye teléfonos no gestionados, equipos de IoT, tráfico de invitados y usuarios temporales.
Algunos ejemplos habituales:
- El portátil de un contratista se conecta a la misma infraestructura inalámbrica que utiliza el personal de finanzas.
- El dispositivo de un invitado acaba en una red que no se ha segmentado limpiamente de los servicios internos.
- Una tableta compartida se autentica con credenciales válidas, pero le faltan los controles que exige su política.
- Un endpoint comprometido obtiene acceso normal y comienza a sondear lateralmente.
Ninguno de estos son escenarios exóticos. Son realidades operativas normales.
Regla práctica: Si no puedes decidir el acceso en el extremo, terminarás intentando solucionar problemas de confianza en una parte más profunda de la red, donde son más difíciles de contener.
En el contexto del Reino Unido, es por eso por lo que el NAC encaja de forma natural con un enfoque de acceso a la red Zero Trust . Se deja de asumir que la ubicación equivale a la confianza. El hecho de estar en las instalaciones, en el SSID o en el cable no significa que un usuario o dispositivo deba obtener un acceso amplio.
Qué cambia el NAC en la práctica
El mayor cambio que introduce el NAC es este: la conexión no equivale a la confianza.
En lugar de dar a los dispositivos un alcance amplio y confiar en los controles descendentes para solucionar las cosas, el NAC puede:
- Autenticar a usuarios y dispositivos antes de que se conceda el acceso normal
- Perfilar los endpoints para que los equipos desconocidos o no gestionados no se camuflen
- Aplicar el acceso basado en roles para que el personal, los invitados y los dispositivos no compartan la misma experiencia de red
- Poner en cuarentena los sistemas que no cumplen las normas en lugar de dejar que se mezclen con los activos de producción
Eso convierte al NAC en un control de primera línea, no en una capa de limpieza. Es especialmente útil en lugares donde muchas personas y dispositivos comparten la misma infraestructura física, pero nunca deberían compartir el mismo nivel de confianza.
Comprender los componentes principales de NAC
El NAC puede parecer complejo porque varios sistemas actúan juntos. Un modelo mental útil es el sistema de tráfico automatizado de una ciudad. Un sistema decide las reglas, otro valida quién tiene permitido el paso y otro controla las barreras y los cambios de carril sobre el terreno.
Esas piezas son el motor de políticas, el servidor de autenticación y el punto de ejecución.
El motor de políticas
Este es el que toma las decisiones. Toma datos sobre el usuario, el dispositivo, la ubicación, el tipo de conexión y el estado de seguridad, y luego los asigna a un resultado de acceso.
En pocas palabras, el motor de políticas responde a preguntas como:
- ¿Es un ordenador portátil del personal, un teléfono de un invitado o una impresora?
- ¿Está el usuario en el grupo correcto?
- ¿Es este dispositivo conocido y cumple con las normas?
- ¿Debería esta sesión obtener acceso completo, acceso solo a internet o acceso de reparación?
El motor de políticas es crucial porque el NAC no es solo una comprobación de autenticación. Es un sistema de aplicación de políticas. Dos personas pueden presentar identidades válidas y recibir diferentes rutas de red porque el motor de políticas trata el contexto de manera diferente.
El servidor de autenticación
Este es el verificador de identidad. En muchos entornos, esto significa RADIUS, a menudo vinculado a sistemas de directorio e identidad.
Cuando un dispositivo intenta conectarse, el servidor de autenticación comprueba las credenciales o el certificado presentado y responde con una aprobación, denegación o atributos adicionales que la red puede utilizar. Esos atributos pueden incluir el rol, la asignación de VLAN o las condiciones de acceso.
Un malentendido común entre los no especialistas es que el NAC y RADIUS son lo mismo. No lo son. RADIUS suele ser parte del flujo de trabajo. El NAC utiliza ese flujo de trabajo y, a continuación, añade una capa de políticas y aplicación de las mismas.
Un diseño de NAC saludable separa la prueba de identidad de la intención de acceso. La autenticación dice quién es. El NAC decide qué puede hacer esa identidad en esta red, en esta sesión.
El punto de aplicación
La red realiza su función de aplicación. El punto de aplicación suele ser el switch, el controlador inalámbrico o el punto de acceso que concede, restringe o deniega la conectividad.
Si la política dice "solo internet", el punto de aplicación puede redirigir el endpoint a una VLAN de invitados o a un rol restringido. Si la política dice "cuarentena", el endpoint queda aislado. Si la política dice "denegar", no va a ninguna parte.
Una vista sencilla tiene este aspecto:
| Componente | Función principal | Ejemplo típico |
|---|---|---|
| Motor de políticas | Aplica la lógica de acceso | Plataforma NAC |
| Servidor de autenticación | Verifica la identidad | Servicio RADIUS |
| Punto de aplicación | Modifica el acceso a la red | Switch, AP, controlador |
Lo que importa a nivel operativo es el traspaso entre estos componentes. Si los datos de identidad son débiles, la política se convierte en conjeturas. Si la aplicación es débil, la política se convierte en teatro.
Tipos de NAC y mecanismos de aplicación
No todos los despliegues de NAC se comportan de la misma manera. Algunos controles se realizan antes de que un dispositivo obtenga un acceso significativo. Otros continúan después de la conexión y ajustan el acceso a medida que cambian las condiciones. Las mejores implementaciones suelen combinar ambos.
En las redes empresariales del Reino Unido, el control de acceso a la red (NAC) se implementa con mayor frecuencia como una capa de aplicación de políticas en torno a IEEE 802.1X y RADIUS, donde el switch o el controlador inalámbrico detiene a un dispositivo en la puerta digital y utiliza RADIUS para verificar las credenciales y el estado de salud antes de que el NAC decida si ese dispositivo debe ubicarse en una VLAN específica, en una red restringida o si se le deniega el acceso por completo ( perspectiva técnica del NAC con 802.1X y RADIUS ).
Control previo a la admisión y posterior a la admisión
El control previo a la admisión es el modelo más limpio. El dispositivo demuestra su identidad y cumple con la política antes de obtener acceso real. Si falla, la red puede bloquearlo o colocarlo en un segmento fuertemente limitado.
El control posterior a la admisión asume que la conexión inicial no lo es todo. Los dispositivos pueden dejar de cumplir las normativas, las cuentas pueden cambiar y el comportamiento puede volverse sospechoso después de iniciar sesión. Los controles posteriores a la admisión permiten que el NAC vuelva a evaluar y restringir el acceso durante la sesión.
Una comparación práctica:
| Enfoque | Qué hace bien | Dónde puede tener dificultades |
|---|---|---|
| Previo a la admisión | Detiene el acceso no deseado de forma temprana | Más difícil con dispositivos heredados y no gestionados |
| Posterior a la admisión | Responde a condiciones cambiantes | Requiere una buena visibilidad y desencadenantes claros |
Los equipos suelen centrarse demasiado en la primera puerta y se olvidan del control de la sesión. Eso es un error. Un dispositivo que era aceptable a las 9 de la mañana puede no serlo más tarde si su estado de seguridad cambia o si el contexto de riesgo varía.
Con agente y sin agente
Algunas plataformas de NAC utilizan un agente en el endpoint para informar sobre el estado de seguridad de manera más fiable. Eso puede ser útil para portátiles del personal gestionados y otros dispositivos corporativos.
Otros escenarios requieren técnicas sin agente. Los teléfonos de invitados, los dispositivos de consumo y muchos endpoints de IoT no llevarán su agente, y forzar uno suele generar más fricción que valor. En esos casos, la creación de perfiles, las comprobaciones de certificados, los flujos de portales o los metadatos de red suelen ser más realistas.
Ningún modelo es universalmente mejor. La pregunta correcta es qué clases de dispositivos tiene y cuáles de ellos controla.
Las herramientas de aplicación que importan
Cuando la gente pregunta qué es el control de acceso a la red, a menudo esperan un único mecanismo. En realidad, el NAC es un conjunto de métodos de aplicación de políticas.
Algunos de los más comunes:
802.1X
El estándar para el control de acceso basado en puertos. Esta es la vía preferida cuando los dispositivos lo admiten de forma nativa, ya que proporciona una admisión basada en la identidad mucho más robusta tanto en redes cableadas como en redes WiFi.Asignación dinámica de VLAN
El NAC puede ubicar a los usuarios y dispositivos en diferentes VLAN según las políticas establecidas. Mismo puerto de switch o SSID, pero diferente segmento de red.Control de acceso basado en roles
Un portátil de finanzas, el móvil de un invitado y una impresora no deberían heredar la misma confianza. El RBAC permite que las políticas reflejen la función laboral y el tipo de dispositivo en lugar de limitarse a la ubicación de la conexión.Redes de cuarentena
Útiles cuando se conoce el dispositivo pero este no cumple con las políticas. En lugar de tomar una decisión de todo o nada, el NAC puede ubicarlo en un segmento seguro donde pueda subsanar el problema sin acceder a sistemas sensibles.Bypass de autenticación MAC
A menudo se utiliza para dispositivos que no admiten 802.1X, como ciertas impresoras, escáneres o equipos especializados. Funciona, pero es más débil que los métodos basados en certificados o usuarios, por lo que requiere políticas más estrictas a su alrededor.Captive Portals y autenticación web
Comunes en entornos de acceso para invitados. Son adecuados para accesos temporales, pero resultan incómodos para usuarios recurrentes y no son la solución ideal a largo plazo para el personal o los dispositivos de confianza.
Para las organizaciones que evalúan diferentes plataformas, resulta de gran ayuda comparar las soluciones de control de acceso a la red en función de cuáles de estos patrones de aplicación admiten con solvencia, más allá de la simple lista de funciones principales.
Cómo se integra el NAC con su infraestructura de TI actual
El NAC ofrece su mayor valor cuando no actúa de forma aislada. Por sí solo, puede verificar una solicitud de conexión y aplicar una regla local. Integrado correctamente, se convierte en un punto de decisión de acceso alimentado por la identidad, la confianza del dispositivo y el contexto operativo.
Eso cambia por completo la calidad de la decisión.
Plataformas de identidad y directorios
La mayoría de las organizaciones no quieren que el NAC mantenga un universo de usuarios y roles independiente. Prefieren que esté vinculado a los sistemas que ya definen la identidad de los empleados. En la práctica, esto suele traducirse en la integración con Microsoft Entra ID, Google Workspace, Okta o los servicios de directorio existentes.
Esto permite al NAC formular preguntas más útiles:
- ¿Es este usuario actual y está activo?
- ¿A qué grupo o rol pertenece?
- ¿Se ha revocado el acceso de forma centralizada?
- ¿Se debe tratar a esta persona como personal interno, contratista, invitado o residente?
Cuando la política de acceso sigue la realidad del directorio, la incorporación y la baja de usuarios se vuelven mucho más limpias. Si los cambios de identidad impulsados por RR. HH. se reflejan en las decisiones de acceso, la red deja de ir a la zaga del resto de su plano de control.
Certificados, postura y acceso sin contraseñas
Los entornos de NAC más sólidos no dependen de contraseñas compartidas que circulan por los SSID ni de credenciales estáticas con una validez demasiado larga. Utilizan certificados y señales de confianza del dispositivo para identificar el propio endpoint.
Esto es importante porque una cuenta de usuario solo cuenta una parte de la historia. Un usuario válido en un dispositivo desconocido sigue siendo un factor de riesgo.
Consejo práctico: Si el acceso de su personal todavía depende de una contraseña de WiFi compartida, no dispone de un control de admisión significativo. Lo que tiene es una configuración de conveniencia.
Aquí es también donde el NAC empieza a solaparse con las redes modernas sin contraseñas. El acceso basado en la identidad puede ir más allá de la antigua experiencia del Captive Portal . En entornos de invitados y recintos, tecnologías como OpenRoaming y Passpoint avanzan hacia una conexión segura y automática con menos fricciones. El acceso sigue requiriendo políticas. Simplemente, ya no necesita el antiguo e incómodo recorrido del usuario.
NAC en acción: casos de uso habituales
El NAC cobra más sentido cuando se observan los problemas operativos que resuelve. El motor de políticas y el flujo RADIUS son importantes, pero a la mayoría de los compradores solo les importa una cosa: ¿mejora el control sin romper la experiencia del usuario?
Hostelería
Los hoteles están llenos de zonas de confianza que se solapan. Los teléfonos y portátiles de los huéspedes necesitan acceso a internet. Los dispositivos del personal necesitan acceder a los sistemas operativos. Las televisiones, los sistemas de apertura de puertas, los quioscos y los equipos de gestión interna necesitan conectividad, pero no entre sí por defecto.
Un diseño de NAC adecuado separa de forma limpia esas clases, incluso cuando comparten la misma infraestructura física. Los huéspedes obtienen una incorporación sencilla y acceso a internet. Los dispositivos del personal se autentican contra el conjunto de identidades de la organización. Los dispositivos operativos se ubican en segmentos con un alcance estrictamente definido.
Lo que no funciona es la versión perezosa. Un SSID único y generalizado, una contraseña y "ya guardaremos los datos sensibles en otra parte". En hostelería, eso suele traducirse en problemas de resolución de incidencias y en una falta de claridad en las responsabilidades.
Retail
Los entornos de retail suelen mezclar WiFi pública, tabletas del personal, sistemas POS, escáneres, cartelería digital y equipos mantenidos por proveedores. Si no se cuenta con un NAC, las tiendas pueden acabar con sistemas que confían entre sí únicamente porque están cerca.
El control de mayor valor aquí es la admisión segmentada. Los sistemas POS solo deberían comunicarse con lo que necesitan. El tráfico de los invitados nunca debería ser un vecino con confianza implícita. El equipamiento de los proveedores debe ser identificable y estar restringido.
Una buena configuración de NAC para el sector minorista también reduce la ambigüedad operativa. Cuando aparece algo extraño en la red, el equipo puede clasificarlo más rápido y aplicar una política conocida en lugar de improvisar en pleno horario comercial.
Sector sanitario
El sector sanitario es donde el NAC demuestra su valía rápidamente. Las instalaciones incluyen a personal clínico, personal administrativo, invitados, contratistas, dispositivos médicos no gestionados y equipos especializados antiguos que no siempre admiten una autenticación moderna de forma limpia.
Las directrices del sector público del Reino Unido del NCSC se alinean con los principios de NAC al aconsejar a las organizaciones que adopten un enfoque de Zero Trust, verificando a cada usuario y dispositivo antes de conceder el acceso y utilizando la segmentación para limitar el impacto de un compromiso ( Alineación de Zero Trust y NAC en las directrices del sector público del Reino Unido ).
En hospitales y clínicas, la parte difícil no es la teoría. Es gestionar clases de dispositivos mixtas sin debilitar la confianza en toda la infraestructura.
Residencias de inquilinos múltiples y alojamiento para estudiantes
Los operadores residenciales necesitan un modelo de red que resulte sencillo para los residentes pero que permanezca aislado entre bastidores. Un residente no debería poder descubrir los dispositivos de otro residente solo por el hecho de estar en la misma infraestructura del edificio.
Las políticas de NAC, la asignación de redes privadas y los enfoques como iPSK resultan muy útiles en estas situaciones. Los residentes disfrutan de una experiencia similar a la de su hogar. Los dispositivos heredados pueden seguir conectándose. El operador mantiene la separación y el control.
Este es un problema muy diferente al del NAC para oficinas corporativas, pero se aplica la misma lógica de admisión. La identidad, el tipo de dispositivo y la política determinan en qué se convierte la red para ese usuario.
Buenas prácticas de despliegue y consideraciones sobre el ROI
La mayoría de los fallos de NAC no se deben a una tecnología deficiente. Se deben a políticas demasiado ambiciosas, entornos desordenados y equipos que intentan imponer demasiadas restricciones demasiado pronto.
Un enfoque mejor es disciplinado y un poco aburrido. Eso suele ser un cumplido en la seguridad de redes.
Lo que suele funcionar
Empiece por observar antes de bloquear. Ejecute NAC en modo de monitorización o de bajo impacto siempre que sea posible, cree una perspectiva realista de los tipos de dispositivos y, a continuación, endurezca las políticas por fases.
Una secuencia útil sería la siguiente:
El inventario es lo primero
Averigüe qué se está conectando. Las organizaciones suelen descubrir más dispositivos no gestionados o mal clasificados de lo esperado.Comience con una política sencilla
Los dispositivos gestionados por la empresa, los invitados, las impresoras y los desconocidos son suficientes para un modelo inicial. Podrá añadir matices más adelante.Planifique explícitamente las excepciones
Los dispositivos heredados, los equipos clínicos, el IoT especializado y los sistemas de las instalaciones necesitan un camino de integración. Fingir que se adaptarán al modelo limpio solo sirve para perder el tiempo.Trate lo cableado y lo inalámbrico de forma conjunta
Si la política es sólida en WiFi y débil en los puertos de los conmutadores, la gente encontrará el punto débil.
La privacidad y el cumplimiento en el Reino Unido forman parte del diseño
Esta parte se suele pasar por alto en los artículos sobre NAC, pero es importante en el Reino Unido. El NAC recopila y evalúa los atributos de los dispositivos y los usuarios, lo que plantea cuestiones de gobernanza. Según los principios del UK GDPR sobre minimización de datos y limitación de la conservación, las organizaciones deben recopilar lo que necesitan para un fin definido y conservarlo únicamente durante el tiempo necesario. Esto significa que el diseño del NAC debe definir qué atributos son esenciales para las decisiones de acceso, qué se registra, cuánto tiempo se conservan los registros y cómo se separan los datos de seguridad de los usos de marketing o analítica ( debate centrado en el Reino Unido sobre NAC y consideraciones de privacidad desde el diseño ).
Eso no hace que el NAC sea problemático. Simplemente significa que el modelo de datos necesita disciplina.
No construya el NAC como una aspiradora para cada atributo de identidad y dispositivo disponible. Constrúyalo como un sistema de decisión con un conjunto de pruebas justificadas.
El ROI va más allá de la reducción de brechas de seguridad
Los compradores de seguridad suelen pedir el retorno de la inversión y luego lo plantean de forma demasiado estrecha. El valor no reside únicamente en si el NAC detuvo un incidente. También se manifiesta en las operaciones diarias.
Las áreas habituales de retorno incluyen:
- Menor fricción en el soporte porque el personal y los invitados obtienen el estado de acceso correcto de forma más coherente
- Resolución de problemas más rápida porque la red dispone de un contexto de identidad y políticas más claro
- Proceso de salida más limpio cuando el acceso depende de la identidad central y del estado del certificado
- Menor gestión manual de excepciones una vez que los roles repetibles y las clases de dispositivos se han asignado correctamente
Aquí es también donde las opciones gestionadas en la nube y centradas en la identidad cobran sentido. Algunas organizaciones siguen prefiriendo un NAC local vinculado a RADIUS y conmutación locales. Otras prefieren una menor sobrecarga de infraestructura. Plataformas como los servicios de seguridad de red e inalámbrica de Purple se adaptan a este último patrón al combinar el acceso basado en la identidad, los flujos de trabajo sin contraseña y la integración de proveedores sin necesidad de la antigua carga operativa de las contraseñas compartidas y los flujos de invitados muy manuales.
El futuro del acceso - Del NAC a las redes de identidad
El NAC tradicional sigue siendo importante. Sigue siendo la capa de admisión que indica a la red en quién y en qué se debe confiar, bajo qué condiciones y con qué nivel de acceso.
Pero la experiencia de usuario en torno al NAC está cambiando.
A fecha de enero de 2024, el 96 % de los locales del Reino Unido tenían acceso a banda ancha con capacidad de gigabit ( consulte la actualización de conectividad del Reino Unido aquí ). Ese nivel de conectividad significa más dispositivos, más sesiones y una mayor expectativa de que el acceso debe ser inmediato. El viejo modelo de contraseñas compartidas, Captive Portals incómodos y excepciones manuales no escala bien en ese entorno.
La dirección que se está tomando es la de las redes basadas en la identidad. La decisión de acceso sigue rigiéndose por los principios del NAC, pero la implementación se vuelve más fluida. El personal se autentica con una confianza basada en la identidad y de nivel de certificado. Los invitados se conectan a través de estándares que reducen la fricción y mejoran el cifrado desde el primer paquete. Las sedes multiinquilino y de uso mixto obtienen aislamiento sin obligar a cada usuario a lidiar con los pasos de inicio de sesión.
Esa es la respuesta actual a lo que es el control de acceso a la red hoy en día. Ya no es solo un guardián heredado. Es la base de un acceso sin contraseñas y basado en la identidad que puede ser seguro, segmentado y utilizable al mismo tiempo.
Purple ayuda a las organizaciones a pasar de un acceso WiFi básico a redes basadas en la identidad, sustituyendo las contraseñas compartidas y los Captive Portals por un acceso seguro y sin contraseñas para invitados, personal y entornos multiinquilino. Si está evaluando cómo los principios de NAC pueden admitir OpenRoaming, Passpoint, acceso del personal basado en certificados o conectividad de residentes aislada, Purple es una plataforma que debe revisar.
