802.1X vs PSK vs Open WiFi: ¿Qué método de autenticación es el adecuado para usted?

Esta guía ofrece una comparación definitiva y neutral de los tres principales métodos de autenticación WiFi —802.1X (WPA2/3-Enterprise), clave compartida previamente (PSK) y Open WiFi—, adaptada para directores de TI, arquitectos de red y CTO de los sectores de hostelería, comercio minorista, eventos y sector público. Reduce la complejidad técnica para ofrecer pautas de implementación prácticas, casos de estudio reales y un marco de decisión claro para proteger las redes tanto del personal como de los invitados. Entender qué modelo de autenticación implementar no es una mera decisión técnica; es una decisión empresarial estratégica con implicaciones directas en la postura de seguridad, el cumplimiento normativo, la eficiencia operativa y la capacidad de extraer valor comercial de su infraestructura de WiFi.

📖 8 min de lectura📝 1,898 palabras🔧 2 ejemplos prácticos❓ 3 preguntas de práctica📚 8 definiciones clave

Conclusiones clave

✓802.1X (WPA2/3-Enterprise) es el único modelo de autenticación defendible para redes de personal corporativo, ya que proporciona responsabilidad individual, claves de cifrado dinámicas por sesión y revocación instantánea del acceso mediante la integración con Active Directory.
✓PSK (Pre-Shared Key) es una opción pragmática para entornos de invitados pequeños y controlados, pero su naturaleza estática y compartida lo hace inadecuado para despliegues a gran escala o de alta seguridad sin una rotación regular de claves y controles complementarios.
✓Open WiFi ofrece un cifrado de capa de enlace nulo y solo debe desplegarse como rampa de lanzamiento para un Captive Portal; nunca debe utilizarse para ninguna red donde la privacidad del usuario o la seguridad de los datos corporativos sean una preocupación.
✓La segmentación de red a través de VLAN es la base no negociable de cualquier arquitectura WiFi multiuso: el tráfico de invitados, del personal y de los TPV debe estar aislado entre sí, siendo este un requisito estricto para el cumplimiento de PCI DSS.
✓Un Captive Portal es un control empresarial, no un control de seguridad: establece acuerdos legales, captura datos de marketing, hace cumplir las políticas de uso aceptable y proporciona analíticas, pero no cifra el tráfico WiFi.
✓El modelo de autenticación adecuado se determina según el tipo de usuario (personal frente a invitados), las obligaciones de cumplimiento (PCI DSS, GDPR), la infraestructura de identidad existente (Active Directory/Azure AD) y la escala prevista de usuarios concurrentes.
✓La plataforma de Purple es agnóstica a la autenticación, integrándose con los tres modelos para proporcionar el mejor Captive Portal de su clase, analíticas de visitantes y capacidades de interacción que transforman el WiFi de invitados de un centro de costes a un activo empresarial estratégico.

Resumen Ejecutivo

Para cualquier empresa moderna, espacio o entidad del sector público, la elección del método de autenticación WiFi es una decisión fundamental con profundas consecuencias para la seguridad, la experiencia de usuario y los costes operativos. Esta guía proporciona una comparación directa y práctica de los tres modelos de autenticación principales: 802.1X (WPA2/3-Enterprise), Pre-Shared Key (PSK) y Open WiFi. Dejamos de lado la jerga técnica para ofrecer pautas prácticas a directores de TI, arquitectos de red y directores de tecnología (CTO). La premisa central es la siguiente: no existe un único método "ideal", sino el método "adecuado" para cada caso de uso específico. El estándar 802.1X ofrece el máximo nivel de seguridad para el personal corporativo al integrarse con la infraestructura de identidad existente, pero a costa de una mayor complejidad. Por su parte, las redes PSK y Open, cuando se combinan con un Captive Portal, proporcionan el acceso flexible y escalable que necesitan los invitados, transformando un servicio básico en una potente herramienta de analítica de datos e interacción con el usuario. Esta referencia le permitirá tomar una decisión estratégica e informada que se alinee con el perfil de riesgo de su organización, los requisitos de cumplimiento normativo (como PCI DSS y GDPR) y sus objetivos de negocio, garantizando que su red WiFi sea un activo seguro, fiable y valioso.

{{asset:802_1x_vs_psk_vs_open_wifi_which_authentication_method_is_right_for_you__podcast.mp3}}

Análisis Técnico Detallado

Comprender las diferencias de arquitectura entre 802.1X, PSK y Open WiFi es crucial para tomar una decisión informada. Cada método funciona de manera diferente a nivel fundamental, ofreciendo distintas ventajas y desventajas en términos de seguridad, complejidad y experiencia de usuario.

802.1X: El Estándar Corporativo

El estándar IEEE 802.1X es un marco de control de acceso a la red basado en puertos (PNAC). No es un método de cifrado en sí mismo, sino más bien un marco de autenticación que posteriormente habilita protocolos de cifrado robustos como WPA2 y WPA3-Enterprise. Su arquitectura se basa en tres componentes principales: el Suplicante (el dispositivo cliente que solicita el acceso), el Autenticador (el punto de acceso WiFi que actúa como intermediario) y el Servidor de Autenticación (un servidor RADIUS centralizado que valida las credenciales).

Cuando un usuario intenta conectarse, el solicitante presenta las credenciales al autenticador. El AP no valida estas credenciales por sí mismo; en su lugar, encapsula la solicitud dentro del Extensible Authentication Protocol (EAP) y la reenvía al servidor RADIUS. Dicho servidor comprueba las credenciales frente a una base de datos de identidad centralizada, que suele ser Microsoft Active Directory, LDAP o un proveedor de identidad basado en la nube. Si son válidas, el servidor RADIUS emite un mensaje "Access-Accept", se abre el puerto y se genera dinámicamente una clave de cifrado única por sesión para ese usuario específico. Esta generación de claves por usuario es lo que hace que 802.1X sea fundamentalmente más seguro que cualquier modelo de clave compartida: incluso si la sesión de un usuario se ve comprometida, el tráfico de ningún otro usuario corre peligro.

La implicación práctica para los responsables de TI es significativa. Cuando un empleado deja la organización, la desactivación de su cuenta de Active Directory revoca de forma instantánea y automática su acceso a la red en todos los centros y puntos de acceso. Sin rotación manual de claves, sin tener que rastrear dispositivos. Este nivel de responsabilidad individual es lo que convierte a 802.1X en la única opción defendible para las redes del personal corporativo en cualquier organización con obligaciones de cumplimiento o seguridad significativas.

PSK: El secreto compartido

La autenticación por clave precompartida (PSK) es un modelo considerablemente más sencillo. Se configura una única contraseña alfanumérica tanto en el punto de acceso como en todos los dispositivos cliente. Cuando un dispositivo se conecta, realiza un protocolo de enlace de 4 vías (4-Way Handshake) criptográfico con el AP para demostrar que conoce la clave compartida. Si el proceso tiene éxito, se concede el acceso.

La sencillez resulta atractiva, pero las limitaciones de seguridad son sustanciales en un contexto empresarial. La principal debilidad es la naturaleza estática y compartida de la clave. No existe una responsabilidad individual; cualquiera que conozca la contraseña tiene acceso. Revocar el acceso de un solo usuario requiere cambiar la clave en el AP y volver a configurar cada dispositivo autorizado, lo que supone una pesadilla logística a gran escala. Además, una clave comprometida permite a un atacante que haya capturado el protocolo de enlace inicial descifrar el tráfico de otros usuarios en la misma red. El protocolo Simultaneous Authentication of Equals (SAE) del estándar WPA3 refuerza significativamente la PSK contra ataques de diccionario sin conexión, pero el riesgo fundamental de un secreto estático y compartido permanece.

Open WiFi: La pasarela sin fricciones

Una red abierta (Open) no conlleva autenticación ni cifrado de capa de enlace. Todo el tráfico entre el cliente y el punto de acceso se transmite en texto plano, lo que facilita enormemente que cualquier atacante dentro del alcance de la radio intercepte y lea los datos: un clásico ataque de intermediario (man-in-the-middle). El Open WiFi nunca debe utilizarse para ninguna red en la que se espere privacidad para el usuario. Su único caso de uso profesional válido es como plataforma de lanzamiento para un Captive Portal, que proporciona autenticación y aplicación de políticas en una capa superior de la pila de red, transformando un riesgo de seguridad en un activo gestionado y de valor comercial.

La siguiente tabla resume los aspectos clave y compromisos de los tres modelos:

Dimensión	802.1X (WPA2/3-Enterprise)	PSK (WPA2/3-Personal)	Open WiFi
Nivel de seguridad	Alto: claves individuales y dinámicas	Medio: clave compartida y estática	Ninguno: tráfico no cifrado
Complejidad de despliegue	Alta: RADIUS, certificados, AD	Baja: frase de contraseña única	Muy baja: sin configuración
Experiencia de usuario	Fluida tras el registro inicial	Introducción sencilla de contraseña	Instantánea, sin fricciones
Responsabilidad individual	Sí: credenciales por usuario	No: clave compartida	No: sin credenciales
Revocación de acceso	Instantánea deshabilitando la cuenta en AD	Requiere rotación completa de la clave	N/D
Idoneidad de cumplimiento	PCI DSS, GDPR, HIPAA	Limitada	No apto sin portal
Caso de uso ideal	Personal corporativo, dispositivos gestionados	Redes de invitados pequeñas, pymes	Acceso público a gran escala
Integración con Purple	Capa de analítica, soporte RADIUS	Captive Portal, captura de datos	Captive Portal, analítica completa

Guía de implementación

Traducir la teoría a la práctica requiere una comprensión clara de los pasos de despliegue y las decisiones de arquitectura de cada modelo.

Despliegue de 802.1X para el WiFi del personal

El primer requisito previo es un servidor RADIUS. Puede ser un servidor dedicado que ejecute FreeRADIUS, el rol Network Policy Server (NPS) en Windows Server o, cada vez más habitual, un servicio RADIUS alojado en la nube que elimina la necesidad de infraestructura local. También se necesita un almacén de identidades (Active Directory, Azure AD o Google Workspace) al que el servidor RADIUS pueda consultar.

La elección del tipo de EAP es la siguiente decisión crítica. EAP-TLS, que utiliza certificados digitales tanto en el servidor como en cada dispositivo cliente, proporciona la seguridad más sólida, pero requiere una infraestructura de clave pública (PKI) y añade costes de gestión. PEAP-MSCHAPv2, que solo requiere un certificado en el servidor y utiliza nombres de usuario y contraseñas estándar para los clientes, es la opción más común para organizaciones que no disponen de una PKI consolidada. Para dispositivos gestionados por la empresa, una plataforma de gestión de dispositivos móviles (MDM) o una directiva de grupo (GPO) pueden instalar automáticamente el perfil de WiFi y los certificados, logrando que la experiencia del usuario final sea completamente fluida. Para escenarios de BYOD, un portal de registro de autoservicio es fundamental.

Despliegue de PSK o Open WiFi con un Captive Portal para invitados

El paso más importante de todos es la segmentación de la red. El tráfico de invitados debe aislarse de la red corporativa mediante VLAN y reglas de cortafuegos, dirigiendo dicho tráfico directamente a internet e impidiendo que acceda a cualquier recurso interno. Esto no es negociable y es un requisito previo para cumplir con la normativa PCI DSS.

La elección entre una capa base abierta (Open) o con clave precompartida (PSK) depende del contexto del recinto. Para un hotel, una PSK dinámica generada por huésped al realizar el registro de entrada proporciona una primera capa útil de control de acceso. Para un estadio o un entorno de retail, una red abierta maximiza la accesibilidad. En ambos casos, el Captive Portal —donde la plataforma de Purple aporta su valor fundamental— es el lugar donde se realizan la autenticación, la captura de datos, la aplicación de políticas y la interacción con el usuario. Dentro de Purple, puede configurar la autenticación a través de correo electrónico, inicio de sesión con redes sociales o códigos de acceso patrocinados, establecer límites de ancho de banda y duración de las sesiones, y aplicar términos y condiciones que cumplan con el GDPR.

Prácticas recomendadas

La segmentación de red es la práctica de seguridad más importante para cualquier entorno WiFi multiusuario. El tráfico de invitados y del personal nunca debe compartir una VLAN. Más allá de la segmentación, las organizaciones deben adoptar WPA3 en todas las nuevas implementaciones de hardware, ya que proporciona mejoras de seguridad significativas con respecto a WPA2 tanto para el modo Enterprise como para el Personal. Para las implementaciones PSK que aún no se puedan migrar a 802.1X, se debe aplicar la rotación de claves de forma periódica, como mínimo trimestralmente, e inmediatamente ante cualquier sospecha de vulneración o salida de personal.

Para las redes de invitados, el Captive Portal debe tratarse como un activo estratégico, no como un mero trámite legal. Los datos recopilados a través de un portal bien diseñado (datos demográficos de los visitantes, frecuencia de visitas recurrentes, tiempo de permanencia, tipo de dispositivo) proporcionan información útil para los equipos de marketing, operaciones y gestión del recinto. La transparencia con los usuarios respecto a la recopilación de datos es tanto una obligación legal según el GDPR como una práctica recomendada para generar confianza; su portal debe incluir un enlace claro a una política de privacidad y, en el caso de las redes abiertas, aconsejar a los usuarios que utilicen una VPN para transacciones confidenciales.

Resolución de problemas y mitigación de riesgos

El fallo más común en las implementaciones de 802.1X es una configuración incorrecta entre el punto de acceso y el servidor RADIUS; normalmente una dirección IP incorrecta, un puerto UDP erróneo (1812 para autenticación, 1813 para contabilidad) o un secreto compartido que no coincide. Los registros del servidor RADIUS son la primera herramienta de diagnóstico; proporcionan motivos detallados de rechazo que localizan el problema. Los fallos relacionados con los certificados (certificados caducados, entidades de certificación no fiables o nombres alternativos de sujeto incorrectos) son la segunda causa más frecuente de interrupciones de 802.1X y requieren un proceso disciplinado de gestión del ciclo de vida de los certificados.

Para entornos PSK, el riesgo principal es la filtración de credenciales. La estrategia de mitigación consiste en tratar la PSK como un código de acceso con límite de tiempo en lugar de como una contraseña permanente. Plataformas como Purple pueden automatizar esto mediante la generación de códigos únicos y temporales para cada invitado o sesión, reduciendo drásticamente la superficie de riesgo. Para redes abiertas, el riesgo de interceptación es inherente y no se puede eliminar en la capa de red; el Captive Portal debe comunicar esto explícitamente a los usuarios, y la organización debe asegurarse de que sus propios sistemas internos no sean accesibles desde la VLAN de invitados bajo ninguna circunstancia.

La alta disponibilidad del servidor RADIUS es una preocupación operativa crítica. En un entorno 802.1X, si el servidor RADIUS no está accesible, no se podrá realizar ninguna nueva autenticación. Los servidores RADIUS redundantes con conmutación por error (failover) automática, o un servicio RADIUS alojado en la nube con un SLA sólido, son esenciales para cualquier despliegue en producción.

ROI e impacto empresarial

El retorno de la inversión al elegir el modelo de autenticación adecuado se manifiesta en múltiples dimensiones. Para 802.1X en redes de personal, el principal impulsor del ROI es la mitigación de riesgos. El coste medio de una filtración de datos en el Reino Unido supera los 3 millones de libras si se tienen en cuenta las multas regulatorias, los costes de remediación y el daño a la reputación. Al eliminar las credenciales compartidas y permitir la revocación instantánea del acceso, 802.1X reduce drásticamente la superficie de ataque. El segundo impulsor es la eficiencia operativa: el aprovisionamiento y desaprovisionamiento automatizados mediante la integración con Active Directory ahorra a los equipos de TI un tiempo administrativo considerable en comparación con la gestión manual de rotaciones de PSK o listas blancas de direcciones MAC.

Para redes de invitados con Captive Portals, el ROI es comercial. Un Captive Portal de Purple bien configurado transforma el WiFi de un centro de costes a un activo generador de ingresos. Una cadena hotelera que capture las direcciones de correo electrónico del 60 % de sus huéspedes puede crear un canal de marketing directo valorado en decenas de miles de libras anuales en reservas recurrentes. Una cadena de distribución que comprenda qué departamentos de la tienda atraen los tiempos de permanencia más largos puede optimizar la colocación de productos y la dotación de personal. Un centro de conferencias que pueda demostrar datos verificados de afluencia a patrocinadores y expositores puede exigir tarifas premium por el espacio de exposición. La red WiFi, en este contexto, no es infraestructura: es una plataforma de captación de datos y de interacción.

Referencias

Estándar IEEE 802.1X-2020, "Port-Based Network Access Control" — https://standards.ieee.org/ieee/802.1X/7345/
Wi-Fi Alliance, "WPA3 Specification" — https://www.wi-fi.org/discover-wi-fi/security
PCI Security Standards Council, "PCI DSS v4.0" — https://www.pcisecuritystandards.org/document_library/
Oficina del Comisionado de Información del Reino Unido (ICO), "Guide to the UK GDPR" — https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/
IETF RFC 2865, "Remote Authentication Dial In User Service (RADIUS)" — https://www.rfc-editor.org/rfc/rfc2865

Definiciones clave

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA) para los usuarios que se conectan a un servicio de red. En un despliegue de WiFi 802.1X, el servidor RADIUS es el motor de validación central que comprueba las credenciales de los usuarios con un servicio de directorio e indica al punto de acceso que conceda o deniegue el acceso.

Los equipos de TI se enfrentan a RADIUS siempre que solucionan problemas de fallos de autenticación 802.1X. Es el componente que con mayor probabilidad puede ser el origen de problemas de conectividad, y sus registros son la principal herramienta de diagnóstico. Los arquitectos de red deben planificar la redundancia del servidor RADIUS, ya que su indisponibilidad impide todas las nuevas autenticaciones 802.1X.

EAP (Extensible Authentication Protocol)

Un marco de autenticación utilizado dentro de 802.1X que admite múltiples métodos de autenticación. Los tipos comunes incluyen EAP-TLS (basado en certificados, máxima seguridad), PEAP-MSCHAPv2 (usuario/contraseña con certificado en el lado del servidor) y EAP-TTLS. La elección del tipo de EAP determina la experiencia de autenticación del cliente y la infraestructura requerida.

Los arquitectos de red deben seleccionar un tipo de EAP durante la fase de diseño de un despliegue 802.1X. EAP-TLS es el estándar de oro pero requiere una PKI; PEAP-MSCHAPv2 es la opción pragmática para la mayoría de los despliegues empresariales. Una elección incorrecta puede dar lugar a una mala experiencia de usuario o a una seguridad inadecuada.

VLAN (Virtual Local Area Network)

Una segmentación lógica de una red física que crea dominios de difusión aislados. Los dispositivos en diferentes VLAN no pueden comunicarse sin pasar por un router o un conmutador de Capa 3, que puede aplicar reglas de cortafuegos para controlar y restringir ese tráfico.

Las VLAN son la herramienta de seguridad fundamental para cualquier entorno WiFi multiuso. Separar el tráfico de invitados, personal y TPV en VLAN distintas es el primer paso y el más crítico para proteger la red corporativa y lograr el cumplimiento de PCI DSS. Los responsables de TI deben tratar cualquier red plana —donde todo el tráfico WiFi comparte la misma VLAN— como una vulnerabilidad de seguridad crítica.

Captive Portal

Una página web que intercepta la primera solicitud HTTP/HTTPS de un usuario al conectarse a una red WiFi y lo redirige a una página de inicio de sesión o de aceptación de condiciones antes de concederle un acceso más amplio a internet. Funciona en la Capa 7 del modelo OSI, por encima de la capa de enlace WiFi.

Para los operadores de establecimientos, el Captive Portal es la interfaz comercial de su WiFi de invitados. Es donde se aplican las condiciones legales, se capta el consentimiento de marketing, se recopilan los datos de los usuarios y se muestra la imagen de marca. Plataformas como Purple proporcionan capacidades sofisticadas de Captive Portal que incluyen inicio de sesión social, analíticas e integración con CRM. Es fundamental tener en cuenta que un Captive Portal no cifra el tráfico WiFi subyacente.

PCI DSS (Payment Card Industry Data Security Standard)

Un conjunto de estándares de seguridad exigidos por las principales marcas de tarjetas (Visa, Mastercard, Amex) para cualquier organización que almacene, procese o transmita datos de titulares de tarjetas. Incluye requisitos específicos de segmentación de red, control de acceso y monitorización que rigen directamente la arquitectura WiFi en entornos de retail y hostelería.

PCI DSS es el motor de cumplimiento más común para las decisiones de arquitectura WiFi en los sectores de retail y hostelería. El Requisito 1 (segmentación de red) y el Requisito 7 (control de acceso) son directamente relevantes para el diseño de WiFi. Una auditoría QSA (Asesor de Seguridad Cualificado) que detecte WiFi de invitados o del personal en el mismo segmento de red que los sistemas TPV dará lugar a un hallazgo crítico.

WPA3 (Wi-Fi Protected Access 3)

La tercera generación del programa de certificación de seguridad de Wi-Fi Alliance, ratificada en 2018. WPA3-Enterprise exige una seguridad de fuerza mínima de 192 bits para entornos sensibles. WPA3-Personal introduce la Autenticación Simultánea de Iguales (SAE), que sustituye al protocolo de intercambio de claves de 4 vías (4-Way Handshake) y proporciona secreto hacia adelante, haciendo inviables los ataques de diccionario fuera de línea contra los intercambios de claves capturados.

Los CTO y los arquitectos de red deberían especificar el soporte WPA3 como un requisito obligatorio en todas las nuevas adquisiciones de puntos de acceso. Aunque WPA2 sigue estando ampliamente implantado y es aceptable, WPA3 aporta mejoras de seguridad significativas, especialmente para redes PSK donde el protocolo SAE elimina el riesgo de descifrado de contraseñas fuera de línea a partir de los intercambios de claves capturados.

Man-in-the-Middle (MitM) Attack

Un ciberataque en el que un actor malicioso se posiciona entre dos partes que se comunican, interceptando y potencialmente alterando el tráfico sin el conocimiento de ninguna de las partes. En una red WiFi abierta, este ataque es sumamente fácil de ejecutar utilizando herramientas ampliamente disponibles.

Este es el principal modelo de amenaza para las redes WiFi abiertas y la razón por la que nunca deberían utilizarse para comunicaciones sensibles. Los responsables de TI deben asumir que cualquier tráfico en una red abierta es visible para otros usuarios de esa red. La mitigación práctica es la educación del usuario y el fomento del uso de VPN, combinado con la garantía de que todos los sistemas internos sensibles sean inaccesibles desde la VLAN de invitados.

Active Directory (AD) / Azure AD

El servicio de directorio de Microsoft para gestionar usuarios, ordenadores y otros recursos dentro de una organización. Sirve como el almacén de identidad central que los servidores RADIUS consultan para validar las credenciales en un despliegue 802.1X. Azure AD es el equivalente alojado en la nube, utilizado por organizaciones que ejecutan Microsoft 365.

Para la mayoría de las organizaciones empresariales, Active Directory o Azure AD es la columna vertebral de identidad que hace que 802.1X sea viable. La integración entre el servidor RADIUS y AD significa que la gestión del acceso WiFi está totalmente automatizada: los nuevos empleados obtienen acceso cuando se crea su cuenta de AD; los empleados que se van pierden el acceso cuando se deshabilita su cuenta. Los arquitectos de red deben confirmar la compatibilidad de integración con AD/Azure AD antes de seleccionar una solución RADIUS.

Ejemplos prácticos

A 200-room boutique hotel wants to provide secure WiFi for staff and seamless, high-quality internet for guests. They need to comply with GDPR and want to encourage guests to follow their social media channels. How should they architect their WiFi deployment?

The solution requires a hybrid architecture serving two distinct user populations. First, implement two primary VLANs: VLAN 10 for staff and VLAN 20 for guests, with strict firewall rules preventing any cross-VLAN traffic. For the staff network, deploy an SSID named 'Staff_Secure' using WPA2/3-Enterprise (802.1X). Integrate a cloud-hosted RADIUS server with the hotel's Microsoft 365 or Azure AD tenant. Staff authenticate with their existing work email and password, gaining access to the hotel's property management system (PMS) and back-office applications. For the guest network, deploy an SSID named 'Hotel_Guest_WiFi' using a dynamic PSK model. At check-in, the PMS automatically generates a unique PSK for each guest, valid only for the duration of their stay, and prints it on the keycard holder. When the guest connects and enters this PSK, they are redirected to a Purple Captive Portal. The portal presents options to authenticate via Facebook, Instagram, or email form, captures marketing consent in compliance with GDPR, and displays the hotel's branding. Post-stay, the captured email list is used for targeted re-engagement campaigns.

Comentario del examinador: This solution correctly identifies that the two user populations—staff and guests—have fundamentally different security and experience requirements. The 802.1X deployment for staff provides the individual accountability and instant revocation capability that a business with access to financial and guest data requires. The dynamic PSK-per-guest model is a significant improvement over a single shared password; it limits the blast radius of any credential leak to a single guest's stay. The Captive Portal layer is the commercial engine of the guest WiFi, turning a cost centre into a GDPR-compliant marketing and analytics platform. The key architectural decision—strict VLAN segmentation—is correctly identified as the non-negotiable foundation of the entire design.

A national retail chain with 150 stores needs to provide in-store WiFi for customers and for staff using handheld inventory scanners. Their PCI DSS QSA has flagged the current flat network as a compliance risk. How should they redesign their network architecture?

PCI DSS compliance demands strict network segmentation as its foundational requirement. The redesign implements three VLANs across all 150 sites: VLAN 10 (Corporate/POS) for point-of-sale terminals and back-office computers, VLAN 20 (Staff_Tools) for handheld inventory scanners and tablets, and VLAN 30 (Public_Guest) for customer WiFi. The POS network (VLAN 10) is wired-only with no WiFi access permitted, satisfying the PCI DSS requirement to isolate cardholder data environments. The Staff_Tools network uses WPA2/3-Enterprise (802.1X) with EAP-TLS certificate-based authentication. Each handheld scanner is issued a unique device certificate from an internal PKI, managed via MDM. This ensures that only authorised, managed devices can access the inventory system, and any lost or stolen device can have its certificate instantly revoked. The Public_Guest network uses an Open SSID with a Purple Captive Portal. Customers authenticate via email or social login, and the Purple platform provides location analytics, measuring dwell time by department, visit frequency, and campaign attribution. This data is fed into the marketing team's CRM for targeted promotions.

Comentario del examinador: This scenario tests the understanding of compliance-driven network design. The critical insight is that PCI DSS does not just require a guest network to be isolated—it requires the cardholder data environment to be isolated from everything, including general staff WiFi. The decision to make the POS network wired-only is the correct and most defensible approach. Using certificate-based 802.1X for the inventory scanners is the right call for managed, corporate-owned devices; it provides strong authentication without the password management overhead. The Open network with Captive Portal for customers is appropriate for the retail context, where the business value comes entirely from the analytics and marketing capabilities of the portal, not from the network layer security.

Preguntas de práctica

Q1. Un gran centro de conferencias organiza un evento tecnológico de 3 días con 5.000 asistentes. Los organizadores del evento desean ofrecer WiFi gratuito a todos los asistentes y también quieren poder enviar una encuesta posterior al evento a todos los que se hayan conectado. ¿Qué modelo de autenticación recomendarías y qué configuración específica implementarías?

Sugerencia: Considera la escala, la naturaleza temporal de los usuarios, la capacidad operativa del equipo del recinto y el objetivo comercial específico de capturar datos de contacto para la comunicación posterior al evento.

Ver respuesta modelo

La recomendación correcta es una red WiFi abierta con un Captive Portal. Con 5.000 usuarios, cualquier forma de gestión de contraseñas, ya sea distribuir una PSK o crear cuentas individuales, resulta operativamente inviable. Una red abierta proporciona el acceso fluido necesario. El captive portal es el componente crítico para cumplir con el objetivo comercial: configúralo para requerir una dirección de correo electrónico válida para el acceso, con una casilla de consentimiento que cumpla estrictamente con la GDPR para comunicaciones posteriores al evento. Esto proporciona la lista de contactos para la encuesta. El portal también debe mostrar la imagen de marca del evento y las condiciones de uso. La red debe estar en una VLAN completamente aislada con políticas de gestión de ancho de banda para garantizar un uso equitativo entre los 5.000 usuarios concurrentes. La plataforma de Purple se encargaría del captive portal, la captura de datos y las analíticas, proporcionando además a los organizadores datos de asistencia en tiempo real.

Q2. Tu organización está implementando una política de BYOD (Bring Your Own Device), lo que permite a los empleados acceder al correo electrónico corporativo y a las aplicaciones internas desde sus smartphones personales. A tu CTO le preocupan los dispositivos personales no gestionados en la red corporativa. ¿Cómo se puede configurar 802.1X para mitigar este riesgo sin bloquear el BYOD por completo?

Sugerencia: Ten en cuenta que 802.1X puede hacer algo más que validar un nombre de usuario y una contraseña: también puede evaluar el estado del dispositivo que se conecta antes de concederle el acceso.

Ver respuesta modelo

La solución consiste en implementar 802.1X con capacidades de control de acceso a la red (NAC) o comprobación del estado del dispositivo (posture checking). Cuando el dispositivo personal de un empleado intenta autenticarse, el servidor RADIUS se puede configurar para realizar un control de estado del dispositivo antes de conceder el acceso completo. Esta comprobación puede verificar que el dispositivo tenga un sistema operativo actualizado, el bloqueo de pantalla activado y que no presente signos de haber sido sometido a jailbreak o root. Los dispositivos que superan la comprobación se ubican en la VLAN corporativa con acceso total. Los dispositivos que fallan se desvían a una VLAN de cuarentena con acceso únicamente a un portal de solución, el cual guía al usuario a través de los ajustes de seguridad requeridos. Esto permite a la organización adoptar el BYOD al tiempo que aplica un estándar mínimo de seguridad. Para el registro inicial de BYOD, un portal de autoservicio que guíe a los usuarios para instalar el perfil de WiFi necesario y aceptar la política de MDM resulta esencial para una experiencia de usuario fluida.

Q3. Una pequeña firma de contabilidad con 18 empleados utiliza actualmente una única clave WPA2-PSK para la red WiFi de su oficina. Una auditoría de seguridad reciente ha señalado esto como un riesgo, indicando que tres antiguos empleados aún conocen la contraseña. La firma utiliza Microsoft 365 pero no dispone de servidores locales ni de personal de TI dedicado. ¿Cuál es la ruta de actualización más pragmática y rentable?

Sugerencia: La suscripción actual de la empresa a Microsoft 365 es un activo importante. Considera soluciones nativas de la nube que eliminen la necesidad de infraestructura local.

Ver respuesta modelo

La vía más pragmática es implementar 802.1X utilizando un servicio RADIUS alojado en la nube e integrado con el entorno Azure AD (Microsoft Entra ID) existente de la empresa, que está incluido en su suscripción de Microsoft 365. Varios proveedores ofrecen servicios RADIUS en la nube (incluidos aquellos integrados en las plataformas modernas de gestión de puntos de acceso) que pueden autenticarse contra Azure AD sin necesidad de ningún servidor local. La firma debería sustituir o reconfigurar sus puntos de acceso para utilizar WPA2/3-Enterprise con PEAP-MSCHAPv2, apuntando al servicio RADIUS en la nube. A continuación, los empleados inician sesión con su correo electrónico y contraseña habituales de Microsoft 365. De inmediato, el acceso de los tres antiguos empleados queda revocado al desactivar sus cuentas de Azure AD, sin necesidad de realizar una rotación de contraseñas. El coste adicional total suele limitarse a la suscripción del servicio RADIUS en la nube, que para una empresa de este tamaño es mínimo. Esto proporciona una gran mejora de seguridad con un gasto de capital mínimo y sin necesidad de contar con experiencia en TI en las instalaciones.

Continúe leyendo esta serie

PSK por dispositivo según el fabricante: comparación de iPSK, DPSK, MPSK y PPSK (y compatibilidad con WPA3)

Una comparación exhaustiva de las implementaciones de PSK por dispositivo en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet y Ubiquiti UniFi. Descubra cómo afecta WPA3-SAE a las estrategias de claves por dispositivo y cuándo implementar modos de transición en lugar de migrar a 802.1X.

Comparativa de métodos de autenticación de Captive Portal

Esta guía de referencia técnica autorizada evalúa las ventajas y desventajas arquitectónicas, operativas y de cumplimiento de cinco métodos principales de autenticación de Captive Portal. Proporciona a los arquitectos de red, directores de TI y directores de marketing los datos cuantitativos y los marcos de decisión necesarios para equilibrar la fricción en el registro de invitados con los requisitos de recopilación de datos en los recintos empresariales.

¿Qué es la autenticación por dirección MAC? Cuándo usarla y cuándo evitarla

Esta guía de referencia técnica autorizada aborda la autenticación por dirección MAC en entornos WiFi empresariales: cómo funciona la autenticación MAC basada en RADIUS en la Capa 2, sus vulnerabilidades de seguridad inherentes (incluido el spoofing de MAC y el impacto de la aleatorización de MAC a nivel de sistema operativo) y los contextos operativos precisos donde sigue siendo una herramienta válida para gestionar dispositivos IoT y headless. Proporciona orientación de despliegue práctica para responsables de TI y arquitectos de red en sectores como hostelería, retail, sanidad y espacios públicos, con ejemplos prácticos reales, marcos de decisión y contexto de integración para la plataforma de analítica y WiFi de invitados de Purple.