Cómo revocar el acceso a la WiFi cuando un empleado se marcha

Le damos la bienvenida al boletín técnico de Purple. Soy su anfitrión, y hoy abordamos una de las brechas más comunes en el proceso de offboarding empresarial: ¿qué ocurre realmente con el acceso a la WiFi cuando un empleado se marcha? Parece sencillo. Alguien entrega su tarjeta de identificación, RR. HH. cierra su cuenta y listo. Pero si su red sigue funcionando con una contraseña WPA2 compartida, esa persona se ha ido sabiendo todavía la contraseña. Y a menos que la rote para todo el mundo, puede volver a conectarse desde el aparcamiento. Ese es el problema que vamos a resolver hoy. Analizaremos los tres modelos viables para la revocación de WiFi por usuario, repasaremos una lista de comprobación para la revocación en el mismo día y explicaremos exactamente qué espera ver en sus registros un auditor de las normas ISO 27001 o SOC 2. Comencemos. Sección uno: por qué las contraseñas compartidas son la herramienta equivocada para este trabajo. WPA2-Personal, la configuración estándar de un router doméstico, utiliza una única clave precompartida. Todos en la red conocen la misma contraseña. Cuando una persona se marcha, esa contraseña sigue siendo válida en su teléfono, su portátil y cualquier dispositivo que haya conectado alguna vez. La única forma de revocar su acceso es cambiar la contraseña de toda la red y volver a distribuirla a todos los usuarios y dispositivos restantes. En un hotel con 200 empleados, eso significa actualizar cada terminal de punto de venta, cada ordenador de la oficina de administración y el teléfono de cada gerente. En una cadena de tiendas con 50 establecimientos, implica un despliegue coordinado en cada centro. El coste operativo es alto, la interrupción es real y el intervalo de tiempo entre el último día del empleado que se marcha y la finalización de la rotación es una brecha de seguridad real. PCI DSS, el estándar de seguridad de datos de la industria de tarjetas de pago, exige cambiar las credenciales compartidas siempre que se marche el personal que las conozca. Por lo tanto, si sus cajas registradoras están en la misma red que la WiFi de su personal, la salida de un empleado activa una obligación de cumplimiento, no solo una recomendación de buenas prácticas. La causa principal es sencilla: una contraseña compartida no tiene ninguna identidad asociada. La red no puede distinguir entre un empleado actual y uno antiguo. Para solucionar esto, necesita credenciales por usuario. Sección dos: los tres modelos que realmente funcionan. El primer modelo es 802.1X con autenticación basada en certificados EAP-TLS. Este es el estándar de oro para la seguridad WiFi empresarial. En este modelo, cada usuario o dispositivo posee un certificado digital único emitido por su Autoridad de Certificación (CA). Cuando se conectan a la WiFi, el servidor RADIUS valida ese certificado criptográficamente. El certificado está vinculado a una identidad, no a una contraseña. Para revocar el acceso, se revoca el certificado en la CA. El servidor RADIUS comprueba el estado de revocación en tiempo real mediante OCSP, el Protocolo de Estado de Certificados en Línea. Cuando marca un certificado como revocado, la próxima vez que ese dispositivo intente autenticarse, el servidor RADIUS consulta al respondedor OCSP, recibe una respuesta de revocado y envía un Access-Reject al punto de acceso. El dispositivo queda fuera de la red a los pocos segundos del siguiente intento de autenticación. Para las sesiones activas, se utiliza Change of Authorisation (CoA) de RADIUS para finalizar la sesión existente de inmediato. Combinados, OCSP y CoA permiten revocar el acceso a la WiFi de un empleado que se marcha en menos de un minuto, con una pista de auditoría completa en sus registros de RADIUS. El desafío con EAP-TLS es la sobrecarga de la PKI. Necesita una Autoridad de Certificación, un mecanismo para emitir certificados a los dispositivos, normalmente a través de un MDM como Microsoft Intune, y un proceso para revocarlos. Para organizaciones con una infraestructura de identidad y MDM madura, esta es la respuesta correcta. Para equipos más pequeños o entornos con dispositivos IoT que no admiten la autenticación por certificado, se necesita un enfoque diferente. El segundo modelo es iPSK, o clave precompartida de identidad. Cisco lo llama iPSK, Ruckus lo llama DPSK, Aruba lo llama MPSK, pero el concepto es el mismo: cada usuario o dispositivo obtiene una contraseña única, aunque todos se conecten al mismo SSID. El servidor RADIUS asocia cada clave única a una identidad específica y, opcionalmente, a una VLAN específica. Cuando elimina esa clave de la base de datos de RADIUS, el dispositivo ya no puede autenticarse. El radio de impacto de una baja es exactamente de una persona. Las claves de todos los demás siguen siendo válidas. iPSK se adapta especialmente bien a entornos con tipos de dispositivos mixtos. Los dispositivos IoT, los terminales de punto de venta y el hardware heredado que no admite certificados 802.1X pueden utilizar iPSK. También es más sencillo de operar que un despliegue completo de PKI, lo que lo convierte en la opción adecuada para organizaciones del mercado medio que necesitan revocación por usuario sin la sobrecarga de infraestructura. El tiempo de revocación para iPSK suele ser de unos minutos, no de segundos. La eliminación de la clave se propaga al servidor RADIUS, pero las sesiones activas pueden persistir hasta que el dispositivo se vuelva a autenticar o hasta que envíe un paquete CoA para forzar la desconexión. El tercer modelo es el desaprovisionamiento basado en SCIM. SCIM significa Sistema para la Gestión de Identidades entre Dominios. Es un estándar abierto, definido en RFC 7643 y RFC 7644, que permite a su proveedor de identidad enviar eventos del ciclo de vida del usuario a sistemas secundarios en tiempo real. Así es como funciona en la práctica. Su proveedor de identidad, ya sea Microsoft Entra ID, Okta o Google Workspace, es la fuente de verdad autoritativa para las cuentas de usuario. Cuando RR. HH. deshabilita la cuenta de un empleado que se marcha en el proveedor de identidad, SCIM envía una solicitud a cada sistema conectado, incluida su plataforma de gestión de WiFi. Purple se conecta a su proveedor de identidad a través de SCIM. En el momento en que deshabilita a un usuario en Entra ID, Okta o Google Workspace, Purple recibe el evento SCIM y revoca sus credenciales WiFi en la siguiente autenticación. El evento se registra con una marca de tiempo, la identidad del usuario y la acción realizada. Esa entrada de registro es exactamente lo que un auditor de la norma ISO 27001 necesita ver. SCIM no sustituye a 802.1X ni a iPSK. Se sitúa por encima de ellos. SCIM gestiona el ciclo de vida de la identidad; el protocolo de autenticación se encarga de la aplicación en la red. La combinación de SCIM más 802.1X le ofrece una revocación automática en tiempo real con una pista de auditoría completa y sin pasos manuales. Sección tres: la lista de comprobación para la revocación en el mismo día. Cuando llega el último día de un empleado que se marcha, esta es la secuencia que debe seguir su equipo de TI. Paso uno: deshabilite la cuenta en su proveedor de identidad. Este es el detonante de todo lo demás. En Microsoft Entra ID, establezca la cuenta como deshabilitada. En Okta, desactive al usuario. En Google Workspace, suspenda la cuenta. Paso dos: si utiliza SCIM, verifique que se haya activado el evento de desaprovisionamiento. Compruebe sus registros de SCIM o su plataforma de gestión de WiFi para ver el evento correspondiente. Si SCIM no está implementado, revoque manualmente el certificado en su CA o elimine la clave iPSK de su base de datos de RADIUS. Paso tres: envíe un CoA de RADIUS para finalizar cualquier sesión WiFi activa. La mayoría de los servidores RADIUS empresariales, y plataformas como Purple, pueden hacer esto automáticamente ante un evento de desaprovisionamiento. Si lo hace manualmente, utilice la interfaz CoA de su servidor RADIUS para desconectar el dispositivo del usuario por dirección MAC o ID de sesión. Paso cuatro: confirme que no queden sesiones activas. Compruebe el panel de control de su controlador WiFi. En Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme o Fortinet, debería poder buscar por nombre de usuario o dispositivo y confirmar que no hay asociaciones activas. Paso dos: archive la entrada del registro de auditoría. Exporte o marque el registro de autenticación de RADIUS, el registro de eventos de SCIM y el registro de CoA para el usuario y la fecha correspondientes. Almacénelos en su plataforma ITSM o de gestión de eventos e información de seguridad (SIEM). El control A.9.2.6 del Anexo A de la norma ISO 27001 exige eliminar o ajustar los derechos de acceso de todos los empleados y contratistas tras la rescisión de su contrato. Su registro es la prueba. Paso seis: si utiliza WPA2 con PSK compartida y nada de lo anterior es aplicable, rote la contraseña. Coordine el despliegue en todos los centros y dispositivos antes del último día del empleado que se marcha, si es posible, o inmediatamente después. Sección cuatro: qué espera el auditor. Tanto la norma ISO 27001 como SOC 2 exigen demostrar que el acceso se elimina de inmediato cuando finaliza la relación laboral. Específicamente para la WiFi, los auditores buscan cuatro cosas. Primero, un procedimiento de offboarding documentado que incluya explícitamente el acceso a la red. Segundo, pruebas de que se siguió el procedimiento para una muestra de bajas, normalmente de diez a veinticinco personas seleccionadas de los últimos doce meses. Tercero, un registro que muestre la marca de tiempo de la inhabilitación de la cuenta y la marca de tiempo de la revocación del acceso a la WiFi, con el intervalo entre ambas claramente visible. Cuarto, la confirmación de que ninguna cuenta de antiguo empleado muestre sesiones WiFi activas. Si utiliza WPA2 con PSK compartida, no podrá presentar pruebas para los puntos tres y cuatro. No existe un registro por usuario. Lo mejor que puede hacer es mostrar la fecha de rotación de la contraseña y argumentar que se completó antes del último día del empleado o en ese mismo día. Los auditores rechazan cada vez más este argumento. Si utiliza 802.1X con SCIM, el registro es automático. Purple registra cada evento de desaprovisionamiento de SCIM con una marca de tiempo UTC, la fuente del proveedor de identidad, el identificador único del usuario y la acción resultante. Ese es un registro limpio y auditable. Sección cinco: errores de implementación y cómo evitarlos. El error más común es asumir que deshabilitar una cuenta en el proveedor de identidad es suficiente. No lo es, a menos que su plataforma WiFi esté conectada a ese proveedor de identidad a través de SCIM o una integración similar en tiempo real. Sin esa conexión, el sistema WiFi no tiene forma de saber que la cuenta fue deshabilitada. El segundo error es el almacenamiento en caché de certificados. Incluso con OCSP, los servidores RADIUS almacenan en caché las respuestas válidas durante un período configurable, normalmente de 15 a 60 minutos. Si revoca un certificado y el servidor RADIUS tiene una respuesta válida en caché, el dispositivo puede seguir autenticándose hasta que la caché expire. Establezca el TTL de la caché OCSP en 15 minutos o menos para entornos de alta seguridad. El tercer error es olvidarse de las sesiones activas. Revocar las credenciales impide nuevas autenticaciones, pero no finaliza una sesión WiFi existente. Envíe siempre un CoA de RADIUS después de revocar las credenciales para desconectar el dispositivo de inmediato. El cuarto error son los dispositivos IoT y compartidos. Un dispositivo registrado con la identidad de un empleado que se marcha puede ser una estación de trabajo compartida o un elemento de hardware operativo. Antes de revocar, confirme que el dispositivo es personal y no compartido. Si es compartido, vuelva a registrarlo con una cuenta de servicio antes de revocar las credenciales del empleado que se marcha. Sección seis: preguntas rápidas. Pregunta: ¿con qué rapidez se puede revocar el acceso a la WiFi basado en certificados? Con OCSP y CoA de RADIUS, en menos de 60 segundos desde el momento en que se revoca el certificado en la CA. La comprobación de OCSP se realiza en el siguiente intento de autenticación. El CoA finaliza la sesión activa de inmediato. Pregunta: ¿funciona SCIM con todo el hardware WiFi? SCIM opera en la capa de gestión de identidades, no en la capa de hardware. Purple es independiente del hardware y funciona con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. La integración de SCIM se realiza con Purple, no directamente con los puntos de acceso. Pregunta: ¿qué pasa si no tenemos MDM y no podemos desplegar certificados? iPSK es su respuesta. Le ofrece revocación por usuario sin necesidad de una infraestructura de certificados. Purple puede gestionar las claves iPSK y conectarse a su proveedor de identidad para automatizar el ciclo de vida. Resumen y próximos pasos. El mensaje principal es este: si no puede revocar el acceso a la WiFi de una persona sin afectar a todos los demás, tiene un problema de credenciales compartidas. La solución son las credenciales por usuario, ya sean certificados a través de 802.1X EAP-TLS o claves únicas a través de iPSK, combinadas con el desaprovisionamiento basado en SCIM para automatizar la revocación en el momento en que RR. HH. actúe. Purple se conecta a Microsoft Entra ID, Okta y Google Workspace a través de SCIM, funciona en 80.000 establecimientos activos y registra cada evento de desaprovisionamiento para auditorías. Si se está preparando para la norma ISO 27001 o SOC 2, o simplemente desea cerrar la brecha de seguridad de las bajas antes de que se convierta en un incidente, ahí es donde debe empezar. Para obtener el desglose técnico completo de la revocación de certificados y OCSP, consulte nuestra guía sobre OCSP y revocación de certificados para la autenticación WiFi. Para obtener una visión más amplia de la automatización de altas, traslados y bajas (joiner-mover-leaver), consulte nuestra guía de seguridad WiFi empresarial. Gracias por escuchar el boletín técnico de Purple.