Guía completa de iPSK para empresas

Hable en inglés británico con un tono seguro, autoritario y conversacional - como el de un consultor senior de redes informando a un CTO antes de una reunión de la junta directiva. Un ritmo pausado, una dicción clara y, de vez en cuando, un toque de ironía sutil. No es una clase magistral. Es un informe: Bienvenido a la sesión técnica de Purple. [pausa corta] Hoy vamos a hablar de arti iPSK, que, para quien no se haya topado aún con el término, es la abreviatura de la gestión automatizada o asistida por inteligencia artificial de claves precompartidas de identidad. [pausa corta] Es un concepto complejo de pronunciar, pero la idea es sencilla y, al final de estos diez minutos, sabrá con total exactitud si encaja en el diseño de su red para este trimestre. Permítame situarle en el escenario. [pausa corta] Supongamos que es usted promotor inmobiliario, operador de alquiler residencial (BTR) o director de TI responsable de la conectividad en un edificio multi-inquilino. Tiene cientos de residentes, cada uno con entre quince y veinticinco dispositivos: teléfonos, portátiles, smart TVs, consolas de videojuegos, altavoces inteligentes y termostatos. Todos necesitan WiFi. Todos esperan que funcione como una red doméstica privada. Y usted debe garantizar que el residente A no pueda ver, acceder ni interferir con los dispositivos del residente B - nunca. [pausa corta] Ese es el problema. iPSK es la arquitectura que lo resuelve. Arti iPSK es lo que ocurre cuando se automatiza la gestión del ciclo de vida de esa arquitectura a gran escala. [pausa media] Bien. Entremos en la arquitectura técnica, porque aquí es donde suelen fallar la mayoría de las conversaciones de adquisición. [pausa corta] El estándar WPA2-Personal - la contraseña en la parte trasera de un router - ofrece una única clave compartida por todo el mundo. En una promoción BTR de 200 viviendas, eso significa que 200 hogares, potencialmente 4,000 dispositivos, se autentican con la misma credencial. Si un residente comparte esa contraseña, se pierde el control del perímetro de la red. Si un residente se muda y usted necesita revocar su acceso, tiene que cambiar la contraseña de todo el edificio. Eso no es una estrategia de gestión de red. Es una vulnerabilidad. [pausa corta] En el otro extremo del espectro, tenemos WPA3-Enterprise con el estándar IEEE 802.1X, el modelo corporativo. Requiere un nombre de usuario y contraseña exclusivos, o un certificado digital, por cada dispositivo. Es altamente seguro. Pero aquí está el problema: los dispositivos sin interfaz de usuario (headless) - consolas de videojuegos, smart TVs, Amazon Echo, Chromecast - no pueden procesar certificados 802.1X. Sencillamente no pueden conectarse. En un entorno residencial, eso es un impedimento insalvable. [pausa corta] iPSK se sitúa precisamente en el medio. Identity Pre-Shared Key asigna una contraseña de WiFi única a cada residente individual o grupo de dispositivos, todo bajo un único SSID. Desde la perspectiva del dispositivo, este se conecta a una red WPA2 o WPA3 estándar utilizando una clave previamente compartida. Sin certificados, sin procesos complejos de incorporación. Pero entre bastidores, su controlador inalámbrico - ya sea Cisco Meraki, HPE Aruba, Ruckus o Juniper Mist - mantiene una base de datos de claves únicas, una por residente. Cuando un dispositivo se conecta y presenta su clave, el controlador la asocia con un registro de identidad y aplica la política de red correspondiente: asignación de VLAN, límites de ancho de banda, control de acceso. [medium pause] Ahora, la parte realmente potente es lo que ocurre en la capa VLAN. [short pause] En un desarrollo de BTR (build to rent), se desean como mínimo cuatro segmentos de red. Una VLAN de residentes para dispositivos personales. Una VLAN de personal para la gestión del edificio. Una VLAN de IoT para los sistemas de gestión del edificio, CCTV y cerraduras inteligentes. Y una VLAN de invitados para las zonas comunes. Con una única PSK compartida, no se puede diferenciar entre estos grupos sin desplegar múltiples SSIDs - lo que genera congestión de radiofrecuencia y costes de gestión. Con iPSK, un único SSID dirige dinámicamente cada dispositivo que se conecta a la VLAN correcta en función de la clave que haya presentado. Limpio, escalable y operativamente sencillo. [short pause] Esto también crea lo que llamamos una Red de Área Privada - una burbuja de WiFi alrededor de los dispositivos de cada residente. Dentro de la burbuja, el aislamiento de Capa 2 se desactiva, por lo que el reflejo mDNS funciona. El iPhone de un residente puede descubrir su propio Chromecast o impresora inalámbrica, igual que en un router doméstico. Fuera de la burbuja, el aislamiento de Capa 2 se aplica estrictamente. El residente A no puede ver, enviar contenido ni interactuar con los dispositivos del residente B, incluso si están conectados al mismo punto de acceso físico en el pasillo. Esa es la arquitectura que cumple con el GDPR para WiFi multiinquilino. [medium pause] Entonces, ¿dónde entra la parte "arti"? [short pause] Arti iPSK se refiere a la capa de automatización e inteligencia sobre la arquitectura iPSK principal. Gestionar manualmente miles de claves únicas - generándolas, distribuyéndolas, revocándolas cuando finaliza un contrato de alquiler - sencillamente no es viable a gran escala. Un desarrollo de 500 camas con un ciclo de alquiler de 52 semanas significa cientos de eventos del ciclo de vida de las claves al año. Si su equipo gestiona eso en una hoja de cálculo, está creando un riesgo operativo. [short pause] La capa de automatización conecta su controlador inalámbrico con su proveedor de identidad - Microsoft Entra ID, Okta o Google Workspace - y con su sistema de gestión de propiedades a través de una API REST. Cuando se añade un nuevo residente a su sistema de alquiler, se genera y distribuye automáticamente una clave iPSK única - a través de la aplicación Purple, un correo electrónico de bienvenida o un código QR en una tarjeta de mudanza. Cuando finaliza el contrato de alquiler, la clave se revoca automáticamente. Sin intervención manual. Sin tickets de soporte. Sin credenciales huérfanas que se acumulen como un riesgo de seguridad. [short pause] La plataforma de WiFi multiinquilino de Purple gestiona todo este ciclo de vida como una capa de nube sobre su hardware existente. Funcionamos con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks y Fortinet - por lo que no está limitado a un proveedor específico. La plataforma cuenta con la certificación ISO 27001, cumple con el GDPR y la CCPA, y ofrece un tiempo de actividad del 99.999 % en 80 000 ubicaciones activas. [medium pause] Permítame presentarle dos escenarios del mundo real para concretar esto. [short pause] Escenario uno: una promoción de Build-to-Rent de 300 unidades en Mánchester. El promotor especificó puntos de acceso Cisco Meraki en todo el edificio - un AP por pasillo y dos por planta en las zonas de alta densidad. La capa de nube de Purple se conecta al controlador Meraki mediante RADIUS y API. Cuando un nuevo residente firma su contrato de alquiler en el sistema de gestión de propiedades, Purple genera automáticamente una clave iPSK única de 32 caracteres y la envía al correo electrónico del residente con un código QR. El día de la mudanza, el residente escanea el código QR en su teléfono. Todos los dispositivos que conecte posteriormente con esa clave - ordenador portátil, smart TV, consola de videojuegos, altavoz inteligente - entran en su VLAN privada. Su Chromecast funciona. Su PlayStation obtiene un tipo de NAT limpio. Su vecino no puede ver ninguno de sus dispositivos. Cuando se mudan, la clave se revoca a los pocos minutos de que se actualice la fecha de finalización del alquiler en el sistema de gestión de propiedades. El siguiente residente recibe una clave nueva antes de su llegada. [short pause] Escenario dos: un hotel de 250 habitaciones. Históricamente, el hotel utilizaba un Captive Portal - los huéspedes tenían que iniciar sesión a través de una página web cada 24 horas. La queja más común de los huéspedes era la dificultad para volver a conectarse al WiFi. Los Apple TV de las habitaciones no funcionaban en absoluto, porque los Captive Portals impiden el emparejamiento de dispositivos. El hotel integró su sistema de gestión de propiedades con Purple. Al registrarse, el PMS activa automáticamente la generación de claves. El huésped recibe su clave iPSK única en su confirmación de registro. Se conectan una sola vez. Sus dispositivos permanecen conectados durante toda su estancia. La clave caduca automáticamente al realizar el registro de salida. Las puntuaciones de satisfacción de los huéspedes con el WiFi mejoraron un 34 % en el primer trimestre tras la implementación - según los propios datos de implementación de Purple. [medium pause] De acuerdo. Recomendaciones de implementación y errores que se deben evitar. [short pause] Primero: generación de claves. Sus claves iPSK deben tener un mínimo de 20 caracteres, idealmente 32, y ser criptográficamente aleatorias. No permita que los residentes elijan sus propias claves. No utilice patrones secuenciales o predecibles. Genérelas mediante programación y distribúyalas de forma segura. [short pause] Segundo: compatibilidad con controladores. No todos los controladores inalámbricos implementan iPSK de la misma manera. Cisco lo llama iPSK o red privada personal. Aruba lo llama MPSK - Multi-PSK. Ruckus lo llama DPSK - Dynamic PSK. Los límites de escala, las capacidades de API y la granularidad del direccionamiento de VLAN varían entre plataformas y versiones de firmware. Antes de comprometerse con una plataforma, valide el número máximo de claves únicas compatibles por SSID. Algunas plataformas más antiguas limitan esto a unos pocos cientos, lo que es insuficiente para un gran desarrollo. [short pause] Tercero: límites de dispositivos por clave. Los estudiantes y residentes conectan múltiples dispositivos. Si no configura un límite de dispositivos por clave, una única iPSK puede proliferar en docenas de dispositivos, lo que resta eficacia a su capacidad para atribuir el tráfico con precisión. Establezca un límite de cuatro a seis dispositivos por clave y aplíquelo en el controlador. [short pause] Cuarto: dimensionamiento del alcance de DHCP. En un entorno residencial de alta densidad, agotará las direcciones IP rápidamente. Planifique de 15 a 25 dispositivos por hogar. Utilice tiempos de concesión de DHCP de cuatro a ocho horas en lugar de las 24 horas predeterminadas para recuperar direcciones de manera eficiente. [short pause] El error que debe evitar por encima de todos los demás: desplegar iPSK sin un proceso documentado de ciclo de vida de las claves. Las claves que nunca se revocan se acumulan con el tiempo y se convierten en un riesgo de seguridad. Diseñe el flujo de trabajo de revocación antes de la puesta en marcha, no después. [medium pause] Preguntas rápidas. [short pause] ¿Requiere iPSK un certificado en el dispositivo del cliente? No. El dispositivo del cliente ve una solicitud de contraseña estándar WPA2 o WPA3. Sin certificados, sin configuración del suplicante. [short pause] ¿Se puede limitar el ancho de banda por residente? Sí. El servidor RADIUS identifica al residente específico y puede enviar atributos de política de límite de velocidad al controlador. [short pause] ¿Es seguro si un residente comparte su clave? Mucho más seguro que el PSK estándar. El nuevo dispositivo se une únicamente a la red de área privada aislada de ese residente, no a la red general del edificio ni a los dispositivos de otros residentes. Y puede establecer un límite de direcciones MAC concurrentes por clave. [short pause] ¿Funciona iPSK con WPA3? Sí. WPA3-SAE se puede combinar con iPSK en hardware compatible, lo que añade confidencialidad directa perfecta y resistencia a ataques de diccionario sin conexión. [medium pause] Para terminar. [short pause] Arti iPSK - la gestión automatizada de Identity Pre-Shared Key - es la arquitectura adecuada para cualquier despliegue de WiFi multiinquilino en el que se necesite una responsabilidad individual por residente sin la complejidad de una infraestructura 802.1X completa. Le ofrece credenciales únicas por residente, direccionamiento dinámico de VLAN, gestión detallada del ciclo de vida y un registro de auditoría listo para auditorías de cumplimiento, todo ello con una experiencia de incorporación de dispositivos tan sencilla como introducir una contraseña de WiFi. [short pause] El caso comercial es claro. En el sector BTR, el WiFi gestionado como servicio adicional permite un incremento en el alquiler de quince a treinta libras por unidad al mes y reduce los periodos de desocupación de cinco a diez días - según estudios del sector de la British Property Federation. Para un desarrollo de 200 unidades, esto representa una contribución significativa a los ingresos operativos netos. [short pause] Purple lleva gestionando WiFi en más de 80.000 establecimientos desde 2012. Contamos con la certificación ISO 27001, cumplimos con GDPR y CCPA, y somos una empresa con certificación B Corp. Nuestra plataforma Multi-Tenant WiFi gestiona todo el ciclo de vida del residente - registro, gestión de credenciales, soporte de IoT, analítica y cumplimiento - como una capa de nube sobre el hardware que ya posee o que está especificando hoy mismo. [short pause] Si se encuentra en la fase de diseño de un desarrollo BTR o está revisando una red existente que no rinde correctamente, visite purple punto ai para obtener la guía escrita completa, diagramas de arquitectura y una calculadora de ROI. [short pause] Gracias por escucharnos.