Saltar al contenido principal
Español

Directorio PPSK: comparación de funciones y modelos de implementación

Esta guía detalla la arquitectura del directorio PPSK (Private Pre-Shared Key) para redes multi-inquilino, comparándola con 802.1X y el PSK estándar. Proporciona a los arquitectos de red y a los administrores de TI modelos de implementación independientes del proveedor para Build to Rent, residencias de estudiantes y entornos MDU, abarcando el controlador en la nube, el backend RADIUS y los patrones de autenticación híbridos.

📖 8 min de lectura📝 1,990 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
[00:00:00] Bienvenido al informe técnico de Purple. Hoy abordaremos la gestión de directorios PPSK. Es decir, la gestión de directorios de Claves Privadas Precompartidas. Qué es, cómo se compara con sus alternativas y cómo desplegarlo correctamente en entornos multi-inquilino. [00:00:20] Empecemos con el problema que resuelve. Usted gestiona una propiedad de alquiler de 200 viviendas (Build to Rent). Si utiliza una red WPA2 estándar de uso personal, todos los residentes comparten la misma contraseña. Cuando el inquilino del piso 12 se muda, tiene dos opciones. O cambia la contraseña, lo que interrumpe la conexión WiFi de todos los demás residentes. O deja al antiguo residente con acceso. Ninguna es aceptable. [00:00:45] PPSK resuelve esto. Se emite un único nombre de red - un único SSID. Pero la red emite una contraseña única para cada piso. Cuando un residente se conecta, el punto de acceso consulta el directorio PPSK, valida la clave y sitúa a ese residente en su propia VLAN aislada. Su teléfono ve su smart TV. Su Chromecast funciona. Pero no pueden ver la televisión del piso de al lado. [00:01:10] Ahora bien, ¿por qué no usar simplemente 802.1X? El protocolo 802.1X es excelente para entornos corporativos. Utiliza RADIUS y proveedores de identidad como Microsoft Entra ID u Okta. Pero requiere un suplicante en el dispositivo. Un suplicante es el componente de software que gestiona el intercambio de autenticación. El altavoz inteligente de su residente no tiene un suplicante 802.1X. Tampoco lo tiene su termostato inteligente, su impresora inalámbrica o su videoconsola. PPSK le ofrece un aislamiento de nivel empresarial con compatibilidad para dispositivos domésticos. Esa es la propuesta de valor principal. [00:02:00] Veamos la terminología, porque varía según el fabricante y eso genera una confusión real. Aruba lo llama PPSK - Private Pre-Shared Key. Cisco Meraki lo llama iPSK - Identity PSK. Juniper Mist utiliza ePSK. Extreme Networks, que originalmente desarrolló el concepto bajo la marca Aerohive, lo llama Private PSK. Ubiquiti UniFi simplemente lo llama PPSK. El mecanismo subyacente es idéntico en todos ellos. Un único SSID, múltiples claves únicas y cada clave vinculada a una VLAN o a un grupo de políticas. [00:02:40] Técnicamente, esto es lo que ocurre en la capa de asociación. Cuando un dispositivo se conecta, presenta su clave precompartida durante el saludo de cuatro vías (four-way handshake) de WPA2. El punto de acceso consulta el directorio PPSK - alojado en el controlador en la nube o en un backend RADIUS - para validar la clave y recuperar la VLAN asignada. El dispositivo percibe una red doméstica estándar. No tiene idea de que ha sido ubicado en un segmento aislado. Todo se comporta exactamente igual que en una conexión de banda ancha doméstica. [00:03:20] Veamos los modelos de despliegue. Existen tres patrones principales en producción hoy en día. El primero es el modelo de controlador en la nube. Este es el más común para nuevas implementaciones. Sus puntos de acceso se conectan a una plataforma de gestión en la nube. El almacén de claves PPSK reside en el controlador en la nube. Cuando da de alta a un nuevo residente, crea una clave en el portal, la asigna a una VLAN y el controlador envía la política a cada punto de acceso del edificio. El residente recibe su clave por correo electrónico, SMS o un código QR en un paquete de bienvenida. Lo escanean, todos sus dispositivos se conectan, y su Chromecast, altavoz inteligente y consola funcionan de inmediato. Cuando se mudan, usted elimina la clave. Sus dispositivos dejan de conectarse. Nadie más se ve afectado. [00:04:30] El segundo modelo es PPSK con un backend RADIUS local. Algunas implementaciones empresariales utilizan un servidor RADIUS para almacenar y validar las credenciales PPSK. Esto le proporciona un registro centralizado, pistas de auditoría e integración con su plataforma de gestión de identidad. Añade costes de infraestructura, pero le ofrece la trazabilidad de 802.1X con la compatibilidad de dispositivos de PPSK. Es el modelo adecuado para entornos mixtos - por ejemplo, un espacio de coworking donde tiene tanto dispositivos corporativos gestionados como equipos IoT propiedad de los miembros. [00:05:15] El tercer modelo es la autenticación híbrida. Los residentes utilizan PPSK para sus portátiles y dispositivos IoT. El personal del edificio utiliza 802.1X para los dispositivos corporativos. Ambos grupos se conectan a la misma infraestructura física pero se mapean en segmentos lógicos diferentes. Purple recomienda esta arquitectura para implementaciones completas de Build to Rent y unidades polifamiliares. Tres modelos de autenticación distintos, tres VLANs distintas, una sola infraestructura física. [00:06:00] Ahora hablemos de los errores de implementación. Estos son los modos de fallo que veo repetidamente en las implementaciones en producción. Primer error: la proliferación de SSIDs. Cada SSID que se emite consume tiempo de transmisión para las tramas de baliza (beacon frames). En un edificio residencial denso, si está emitiendo seis u ocho SSIDs por punto de acceso, está degradando el rendimiento para todos. Manténgalo en un máximo de cuatro SSIDs por radio. Utilice PPSK para dar servicio a múltiples segmentos de residentes desde un único SSID en lugar de crear un SSID independiente por piso o por planta. [00:06:45] Segundo error: configuración insuficiente de los puertos troncales. Diseña un esquema de VLAN limpio, despliega los puntos de acceso y, de repente, el tráfico se cae silenciosamente porque alguien olvidó permitir las VLANs correspondientes en un enlace troncal entre el conmutador de distribución y la capa de acceso. Valide cada puerto troncal durante la puesta en marcha. Documéntelo. Pruébelo con un dispositivo en cada VLAN antes de que se muden los residentes. [00:07:20] Tercer error: la distribución de claves. Generar claves es fácil. Entregárselas a los residentes de forma segura y operativamente gestionable es más difícil. Un código QR en el paquete de bienvenida funciona bien para el día de la mudanza. Un portal del residente donde puedan recuperar su clave y añadir nuevos dispositivos es mejor para las operaciones del día a día. Diseñe el flujo de trabajo de distribución de claves antes del despliegue, no después. Cuarto error común: la compatibilidad con WPA3. La mayoría de las plataformas empresariales admiten PPSK en WPA3, lo que protege contra los ataques de diccionario fuera de línea. Sin embargo, Ubiquiti UniFi actualmente restringe PPSK a WPA2. Si necesita la banda de 6 gigahercios, necesitará WPA3. Planifique su hardware en consecuencia. [00:08:00] Veamos dos escenarios de despliegue en el mundo real. Escenario uno: una promoción de Build to Rent de 180 viviendas en el centro de una ciudad. El operador quería que el WiFi estuviera incluido en el alquiler como un servicio adicional, con activación el mismo día de la mudanza y compatibilidad total con el hogar inteligente. Desplegaron puntos de acceso HPE Aruba gestionados a través de Aruba Central. Cada piso recibe una clave PPSK única generada al firmar el contrato de alquiler. La clave se envía por correo electrónico al residente con un código QR. El operador informó de una reducción del 30 % en los tickets de soporte relacionados con el WiFi en comparación con su despliegue anterior de contraseña compartida. [00:08:45] Escenario dos: un bloque de alojamiento para estudiantes construido a tal efecto con 400 camas. El reto aquí es la semana de mudanza del grupo de estudiantes, con la llegada simultánea de cientos de ellos. El operador utilizó puntos de acceso Ruckus con SmartZone, desplegando PPSK con una clave por habitación. Las claves se generaron previamente y se incluyeron en el paquete de bienvenida enviado antes de la llegada. Los estudiantes escanearon el código QR a su llegada y se conectaron en cuestión de segundos. [00:09:20] Preguntas rápidas. ¿Cuántas claves PPSK puede gestionar un único punto de acceso? Cisco Meraki admite hasta 5000 entradas iPSK por red. Aruba escala de forma similar. UniFi admite hasta 1000. ¿Puedo integrar PPSK con mi sistema de gestión de propiedades? Sí, a través de la API REST del proveedor. ¿Funciona PPSK con WPA3? Sí, en la mayoría de las plataformas empresariales. La excepción es UniFi, que actualmente solo admite WPA2. [00:09:50] En resumen: la gestión de directorios PPSK es la arquitectura correcta para el WiFi multiinquilino. Diseñe sus VLAN con cuidado antes de tocar el hardware. Proteja sus enlaces troncales. Automatice la distribución de sus claves. Y compruebe la compatibilidad de su proveedor con WPA3 si está desplegando WiFi 6E. Gracias por escuchar el Purple Technical Briefing.

header_image.png

Resumen ejecutivo

Las redes WPA2-Personal tradicionales comparten una única contraseña para todos los dispositivos. En una promoción de alquiler residencial de 200 viviendas, esto significa una sola contraseña para cada residente, cada televisión inteligente, cada termostato y cada videoconsola del edificio. Cuando un inquilino se muda, hay que cambiar la contraseña de todo el mundo - interrumpiendo la conexión de los otros 199 pisos - o dejar al antiguo inquilino con acceso. Ninguna de las dos opciones es aceptable.

La integración de directorios con Clave Precompartida Privada (PPSK) soluciona este problema. PPSK asigna una contraseña de WiFi única a cada residente o vivienda, vinculando esa clave a una Red de Área Local Virtual (VLAN) específica. Los dispositivos se conectan al mismo Identificador de Conjunto de Servicios (SSID), pero la red los aísla en segmentos privados. Los dispositivos de cada residente se detectan entre sí, pero ningún residente puede ver los de los demás. Cuando finaliza un contrato de alquiler, se revoca esa clave específica sin alterar la conexión de nadie más.

Esta guía compara el despliegue de directorios PPSK con PSK estándar e IEEE 802.1X, detalla las tres arquitecturas principales de despliegue y ofrece directrices prácticas de implementación para promotores inmobiliarios, operadores de alquiler residencial y los equipos de TI que les dan soporte. Purple opera en más de 80.000 centros activos e integra una capa en la nube compatible con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks y Fortinet.

Análisis técnico detallado: PPSK frente a 802.1X frente a PSK estándar

Para entender por qué PPSK domina en los despliegues multiinquilino, es necesario compararlo con las alternativas en la capa de asociación.

PSK estándar: el modelo de red doméstica

En una configuración WPA2-Personal estándar, el Punto de Acceso (AP) emite un SSID y requiere una única Clave Precompartida. Todos los dispositivos utilizan esta clave. El AP ubica todos los dispositivos en la misma VLAN. Los dispositivos pueden descubrirse entre sí, lo cual es ideal para un hogar individual, pero inaceptable para una promoción de alquiler residencial de 200 viviendas. El PSK estándar carece de cualquier mecanismo de revocación por usuario. Revocar el acceso a un usuario exige cambiar la clave para todo el mundo.

802.1X: el estándar empresarial

IEEE 802.1X (WPA-Enterprise) requiere un servidor RADIUS, un proveedor de identidad como Microsoft Entra ID, Okta o Google Workspace, y un suplicante en cada dispositivo. El suplicante gestiona el intercambio de Protocolo de Autenticación Extensible (EAP). Esto proporciona una seguridad robusta y respaldada por la identidad con responsabilidad por usuario. Sin embargo, 802.1X falla en entornos residenciales porque los dispositivos IoT - televisores inteligentes, videoconsolas, altavoces inalámbricos y sensores domésticos inteligentes - carecen de suplicantes 802.1X. Implementar 802.1X en un edificio BTR significa dejar todos los dispositivos IoT sin autenticar o en una red no gestionada independiente.

Directorio PPSK: la solución multi-inquilino

PPSK (denominado iPSK por Cisco Meraki, Personal Private Network por Cisco y ePSK por Juniper Mist y Cambium) cubre esta brecha. El AP emite un único SSID. Cuando un dispositivo se conecta, presenta su clave exclusiva durante el protocolo de acuerdo de cuatro vías de WPA2. El AP consulta el directorio PPSK - alojado en el controlador de la nube o en un backend RADIUS - para validar la clave y recuperar la VLAN asignada. El dispositivo percibe una red doméstica estándar. El operador logra un aislamiento completo por unidad.

comparison_chart.png

La siguiente tabla resume las diferencias clave de capacidad entre los tres modelos de autenticación.

Capacidad PSK estándar Directorio PPSK 802.1X / WPA-Enterprise
Compatibilidad de dispositivos Universal Amplia (todos los dispositivos WPA2) Limitada (requiere suplicante)
Integración de directorio Ninguna Nativa (nube o RADIUS) Nativa (RADIUS + IdP)
Revocación por usuario No es posible Instantánea Instantánea
Soporte para dispositivos IoT No (sin suplicante)
Asignación dinámica de VLAN No
Complejidad de despliegue Muy baja Moderada Alta
Soporte WPA3 Sí (la mayoría de fabricantes)

Guía de implementación: arquitectura y modelos de despliegue

El despliegue de un directorio PPSK requiere un enfoque estructurado del diseño lógico antes de comenzar cualquier configuración de hardware.

Paso 1: diseño lógico de la red

Mapee el número de residentes y las categorías de dispositivos IoT antes de tocar el hardware. Un despliegue estándar de BTR aísla el tráfico de la siguiente manera. Las VLAN de residentes abarcan desde la VLAN 10 hasta la que requiera el número de unidades - una VLAN por apartamento es el enfoque estándar. Una VLAN dedicada a IoT (normalmente la VLAN 99) da servicio a los sistemas de gestión de edificios, CCTV y sensores inteligentes. Una VLAN de gestión (VLAN 100) transporta el tráfico de los dispositivos del personal, autenticado mediante 802.1X. Una VLAN de invitados (VLAN 200) da servicio a los visitantes temporales en las zonas comunes mediante un Captive Portal.

Calcule sus requisitos de direccionamiento IP con cuidado. La investigación de la British Property Federation indica que hay de 15 a 25 dispositivos por hogar. Un edificio de 200 unidades alberga hasta 5.000 dispositivos de forma simultánea. Utilice el direccionamiento privado RFC 1918 con una subred /24 (254 direcciones útiles) por VLAN de residente para garantizar una capacidad suficiente. Una /23 (510 direcciones) proporciona margen de maniobra para unidades de alta densidad.

Paso 2: elegir el modelo de despliegue

Hoy en día existen tres arquitecturas PPSK principales en producción.

Modelo de controlador en la nube. El directorio PPSK reside en la plataforma en la nube del proveedor: Aruba Central, Meraki Dashboard, Ruckus Cloud o Juniper Mist. El controlador envía las políticas a los AP. Cuando un residente se muda, se genera una clave en el portal. Cuando se va, se elimina. Este es el modelo más común para nuevos despliegues debido a su simplicidad operativa y a que no requiere infraestructura local.

Modelo con backend RADIUS. Los AP reenvían las solicitudes de autenticación a un servidor RADIUS central, como Cisco ISE o FreeRADIUS, que consulta un almacén de identidad. El servidor RADIUS devuelve la asignación de VLAN a través de un atributo Cisco-AVPair. Este modelo se adapta a entornos que requieren pistas de auditoría detalladas e integración con directorios empresariales existentes. Añade sobrecarga de infraestructura, pero proporciona la trazabilidad de 802.1X con la compatibilidad de dispositivos de PPSK.

Modelo de autenticación híbrido. Los residentes utilizan PPSK para sus ordenadores portátiles y dispositivos IoT. El personal del edificio utiliza 802.1X para los dispositivos corporativos contra Microsoft Entra ID u Okta. Ambos grupos se conectan a la misma infraestructura física pero se asocian a diferentes segmentos lógicos. Purple recomienda esta arquitectura para despliegues completos de BTR y unidades multifamiliares (MDU). Los residentes obtienen PPSK. Los sistemas de gestión del edificio obtienen una VLAN de IoT dedicada con PPSK. Los dispositivos del equipo de gestión de la propiedad utilizan 802.1X. Tres modelos de autenticación distintos, tres VLAN distintas, una infraestructura física.

architecture_overview.png

Paso 3: integración de hardware

PPSK es compatible con las principales plataformas de AP empresariales, aunque los detalles de implementación varían según el proveedor.

Proveedor Término PPSK Plataforma de gestión Compatibilidad con WPA3 Límite de claves
Cisco Meraki iPSK Meraki Dashboard 5.000 por red
HPE Aruba PPSK Aruba Central / ArubaOS Miles
Ruckus PPSK SmartZone / Ruckus Cloud Miles
Juniper Mist ePSK Mist AI Miles
Ubiquiti UniFi PPSK UniFi Network No (solo WPA2) 1.000 por red
Cambium ePSK cnMaestro Miles
Extreme Private PSK ExtremeCloud IQ Miles
Fortinet PPSK FortiWLM / FortiGate Miles

Ten en cuenta la restricción específica con Ubiquiti UniFi: su implementación actual de PPSK está restringida a WPA2. Si despliegas puntos de acceso WiFi 6E y necesitas la banda de 6 GHz, debes utilizar una plataforma que admita WPA3-SAE con PPSK. Aruba, Ruckus y Meraki admiten PPSK en configuraciones WPA3.

Purple se integra como una superposición en la nube independiente del hardware en todas las plataformas de esta lista, proporcionando un directorio PPSK unificado e interfaz de gestión de residentes independientemente del proveedor de hardware subyacente. Consulta nuestra guía sobre Tres SSIDs para gobernarlos a todos: invitado, Passpoint e IoT WiFi para obtener más información sobre el contexto de la arquitectura SSID general.

Buenas prácticas para WiFi multi-inquilino

Controlar la proliferación de SSIDs

Limita la transmisión a un máximo de cuatro SSIDs por radio. Cada SSID adicional consume tiempo de transmisión para las tramas de baliza (beacons). En un edificio residencial denso con 30 APs, transmitir ocho SSIDs por AP genera 240 transmisiones de baliza que compiten por el tiempo de transmisión. Utiliza PPSK para segmentar lógicamente a los usuarios detrás de un único SSID en lugar de crear un SSID independiente por piso o apartamento. Consulta Tres SSIDs para gobernarlos a todos para ver la arquitectura SSID recomendada.

Automatizar la distribución de claves

No dependas de hojas de contraseñas manuales. Integra tu directorio PPSK con tu sistema de gestión de propiedades a través de la API REST del proveedor. Genera la clave única automáticamente al registrar el contrato de alquiler y envíala a través de un código QR en el correo electrónico de bienvenida. Diseña el flujo de trabajo de distribución de claves antes del despliegue, no después. Los operadores que automatizan la entrega de claves notifican un 30% menos de incidencias de soporte relacionadas con WiFi en comparación con los métodos de distribución manual (datos internos de Purple, 2024).

Validar enlaces troncales antes de la puesta en marcha

El fallo de puesta en marcha más común es la falta de etiquetas VLAN en los enlaces troncales entre los switches de distribución y la red troncal. Diseña tu esquema de VLAN y luego verifica que cada VLAN de residente esté permitida en cada enlace troncal relevante. Realiza pruebas con un dispositivo en cada VLAN antes de que se muden los residentes.

Aplicar filtrado de salida a la VLAN de IoT

Los dispositivos de infraestructura del edificio - controladores de HVAC, cámaras de CCTV, paneles de control de acceso - deben ubicarse en una VLAN de IoT dedicada con un filtrado de salida estricto en el firewall. Esto evita que un dispositivo de IoT comprometido acceda a las VLAN de los residentes o a la red de gestión.

Para obtener más información sobre la arquitectura de Guest WiFi y la integración de WiFi Analytics , consulta nuestra documentación de producto. Los operadores de Hospitality también deben revisar nuestra guía sobre cómo causar una excelente primera impresión con su Guest WiFi .

Resolución de problemas y mitigación de riesgos

Consolas de videojuegos y tipo de NAT

Los residentes esperan que su PlayStation o Xbox muestre un tipo de NAT "Tipo 2" o "Abierto" para el modo multijugador online. Una implementación demasiado agresiva de la NAT de nivel de operador (CGNAT) produce una NAT "Estricta", lo que genera un gran volumen de tickets de soporte. Configure su cortafuegos para gestionar UPnP correctamente por segmento de residente. No aplique una restricción general a todas las VLAN de los residentes.

Vinculación de dispositivos domésticos inteligentes

Chromecast, Apple TV, Amazon Echo y Sonos requieren la detección de dispositivos en la misma red lógica. Con PPSK, todos los dispositivos con la misma clave de residente comparten una VLAN y pueden detectarse entre sí. Los dispositivos con claves diferentes no pueden hacerlo. Este es el comportamiento correcto. Si los residentes informan de fallos en la vinculación de dispositivos inteligentes, verifique que todos sus dispositivos estén utilizando la misma clave PPSK.

Agotamiento de claves en UniFi

Ubiquiti UniFi admite hasta 1.000 entradas PPSK por red. Para una promoción de más de 1.000 unidades, o una con un elevado número de dispositivos IoT, este límite requiere una planificación cuidadosa. Considere segmentar la red en múltiples sitios UniFi o migrar a una plataforma con límites de claves más altos como HPE Aruba o Cisco Meraki.

GDPR y datos de los residentes

Los almacenes de claves PPSK contienen datos que identifican a los residentes. Asegúrese de que su plataforma de gestión de claves almacene los datos en una región que cumpla con las normativas. Purple almacena los datos de acuerdo con los requisitos de GDPR y CCPA, con residencia de datos seleccionable para despliegues en la UE. Conserve los registros de WiFi que identifiquen a los residentes solo durante el tiempo requerido para la seguridad y las operaciones - seis meses es un límite común para los entornos BTR.

ROI e impacto empresarial

El WiFi gestionado es un servicio básico en el sector BTR y en las residencias de estudiantes especialmente diseñadas. Los operadores que despliegan redes PPSK ven retornos medibles en tres dimensiones.

Suplemento de alquiler. Los operadores de BTR suelen obtener un suplemento mensual de entre 15 y 30 libras por unidad por un WiFi de alta calidad y listo para usar desde el primer día, según las investigaciones del sector de la British Property Federation. En una promoción de 200 unidades, esto representa entre 36.000 y 72.000 libras de ingresos anuales adicionales.

Eficiencia operativa. Las claves únicas eliminan las rotaciones de contraseñas en todo el edificio. Los operadores informan de una reducción del 30% en los tickets de soporte relacionados con el WiFi tras migrar de un PSK compartido a PPSK (datos internos de Purple, 2024). La conectividad desde el día de la mudanza también reduce los periodos de desocupación entre cinco y diez días.

Despliegue independiente del hardware. Al desplegar la solución WiFi Multi-Tenant de Purple como una capa de software sobre su hardware existente o elegido, mantiene el control de la red y el aumento de los ingresos operativos netos (NOI). Evita ceder los ingresos a un proveedor de banda ancha externo que agrupa la conectividad en un contrato que absorbe el valor de este servicio.

Purple ha operado en más de 80.000 centros activos desde 2012, con un tiempo de actividad del 99,999% y certificaciones ISO 27001, GDPR, CCPA y Cyber Essentials. Para despliegues en Retail y Healthcare que requieran una segmentación de red similar, se aplica la misma arquitectura de directorio PPSK con capas de cumplimiento específicas para cada sector.

Para la variante iPSK de esta arquitectura, consulte nuestra guía relacionada: Logo guild iPSK: una guía completa para empresas .

Definiciones clave

PPSK (Private Pre-Shared Key)

Un método de autenticación que emite contraseñas WiFi únicas a usuarios, dispositivos o unidades individuales en un único SSID, asociando cada clave a una política de red o VLAN específica. También se denomina iPSK (Cisco Meraki), ePSK (Juniper Mist, Cambium) o Private PSK (Extreme Networks).

Esencial para entornos multi-inquilino donde los residentes requieren aislamiento por unidad pero sus dispositivos IoT no son compatibles con 802.1X.

IEEE 802.1X

Un estándar IEEE para el control de acceso a redes basado en puertos que proporciona acceso autenticado mediante un servidor RADIUS y un proveedor de identidad. Requiere un suplicante de software en el dispositivo cliente.

Se utiliza para las redes del personal y de la dirección en implementaciones de BTR. No se puede utilizar para dispositivos IoT que carecen de suplicantes.

VLAN (Virtual Local Area Network)

Una subred lógica que agrupa un conjunto de dispositivos, aislando su tráfico de difusión de otros dispositivos en la misma infraestructura física.

PPSK utiliza VLAN para crear burbujas de WiFi privadas para cada piso. La clave de cada residente se asocia a una VLAN única.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad para los usuarios que se conectan a un servicio de red.

Se utiliza en el modelo de implementación de backend RADIUS para validar las credenciales PPSK con un almacén de identidades y devolver las asignaciones de VLAN mediante atributos Cisco-AVPair.

Supplicant

Un cliente de software en un dispositivo de usuario final que se comunica con un autenticador para obtener acceso a la red a través de 802.1X. Gestiona el intercambio de autenticación EAP.

La ausencia de supplicants en los dispositivos IoT es la razón principal por la que se requiere PPSK en las redes residenciales. Los portátiles y los teléfonos tienen supplicants; los altavoces inteligentes y los termostatos no.

WPA3-SAE (Simultaneous Authentication of Equals)

El último estándar de seguridad WiFi que utiliza un intercambio de claves Dragonfly para protegerse contra ataques de diccionario sin conexión, sustituyendo al saludo de cuatro vías de WPA2 para la autenticación PSK.

Requerido para el funcionamiento de la red de 6GHz en puntos de acceso WiFi 6E. Los arquitectos deben verificar que el proveedor de AP elegido sea compatible con PPSK sobre WPA3 antes de especificar el hardware.

CGNAT (Carrier-Grade NAT)

Un método para compartir una única dirección IP pública entre varias direcciones IP privadas, utilizado habitualmente por los ISP y los grandes operadores de red para conservar el espacio de direcciones IPv4.

Una configuración incorrecta de CGNAT en las redes BTR restringe la conectividad de multijugador en las consolas de videojuegos, produciendo un tipo de NAT "Estricto" en lugar del tipo "Abierto" o "Tipo 2" requerido.

SSID (Service Set Identifier)

El nombre de una red WiFi emitido por un punto de acceso. Los dispositivos buscan SSIDs para identificar las redes disponibles.

PPSK permite que múltiples segmentos de residentes compartan un único SSID, lo que evita la degradación del tiempo de transmisión en el aire causada por la emisión de SSIDs separados por unidad.

Ejemplos prácticos

Una promoción de Build to Rent de 180 unidades requiere WiFi disponible desde el día de la mudanza con total compatibilidad con hogares inteligentes. El operador desea eliminar la rotación de contraseñas cuando finalizan los contratos de alquiler y reducir los tickets de soporte de los residentes que no pueden conectar su Chromecast o su altavoz inteligente.

Implementar puntos de acceso HPE Aruba gestionados a través de Aruba Central. Configurar un único SSID con PPSK habilitado. Asociar las VLAN de la 10 a la 190 a pisos individuales (una VLAN por unidad). Integrar el sistema de gestión de propiedades a través de la REST API de Aruba Central para generar automáticamente una clave PPSK única al firmar el contrato de alquiler. Enviar la clave al residente mediante un código QR en su correo electrónico de bienvenida. Cuando finalice un contrato de alquiler, eliminar la clave en el portal. Configurar DHCP con subredes /24 por VLAN para dar cabida a hasta 25 dispositivos por piso. Configurar una VLAN dedicada a IoT (VLAN 99) para los sistemas de gestión del edificio con filtrado de salida.

Comentario del examinador: Este enfoque elimina las vulnerabilidades de las contraseñas compartidas. Revocar una clave al mudarse un inquilino solo afecta a esa VLAN específica, dejando operativas las otras 179 unidades. La incorporación mediante código QR reduce los tickets de soporte del primer día. Se seleccionó HPE Aruba porque es compatible con PPSK en WPA3, lo que permite la futura implementación de WiFi 6E en la banda de 6 GHz.

Un bloque de residencias de estudiantes de 400 camas necesita gestionar la semana de mudanza de la cohorte, con cientos de estudiantes llegando simultáneamente y conectando múltiples dispositivos cada uno. La implementación anterior utilizaba una contraseña compartida que se rotaba anualmente, lo que causaba el caos al inicio de cada año académico.

Implementar puntos de acceso Ruckus gestionados a través de SmartZone. Configurar PPSK con una clave única por habitación. Generar previamente todas las claves antes de que comience el año académico. Incluir el código QR de cada habitación en el paquete de bienvenida enviado a los estudiantes antes de su llegada. Configurar VLAN por habitación con subredes /23 para dar cabida a ordenadores portátiles, teléfonos, consolas y televisores inteligentes. Habilitar WPA3-SAE en el SSID con PPSK para mejorar la seguridad. Configurar un portal de autoservicio para residentes donde los estudiantes puedan recuperar su clave y añadir nuevos dispositivos a mitad de año sin tener que ponerse en contacto con el departamento de TI.

Comentario del examinador: La generación y distribución previa de claves antes de la llegada elimina el pico de autenticación del día de la mudanza. El aislamiento de las VLAN por habitación significa que el tráfico de cada estudiante es independiente, por lo que el uso de gran ancho de banda de un estudiante no perjudica a sus vecinos. El portal de autoservicio reduce la carga de trabajo de TI durante todo el año académico.

Preguntas de práctica

Q1. ¿Qué causa probable y qué recomendación daría a un operador de BTR que busca actualizar un complejo de 400 viviendas y que actualmente emite un SSID independiente para cada planta (ocho plantas, ocho SSIDs), donde los residentes reportan un WiFi lento, especialmente por las noches?

Sugerencia: Considere la relación entre el número de SSIDs, las tramas de baliza y la utilización del tiempo de transmisión en el aire.

Ver respuesta modelo

La causa probable es la saturación del tiempo de transmisión en el aire debido a un exceso de tramas de baliza. Cada SSID emite balizas varias veces por segundo. Ocho SSIDs en 30 puntos de acceso generan 240 transmisiones de baliza competidoras, consumiendo una proporción significativa del tiempo de transmisión disponible antes de que se envíe ningún dato de los residentes. La recomendación es consolidar en un único SSID e implementar PPSK para lograr el aislamiento requerido por planta o por unidad. Esto elimina la sobrecarga de balizas mientras se mantiene la seguridad.

Q2. Un operador de BTR informa de que los televisores inteligentes, Chromecasts y altavoces inteligentes de los residentes dejan de funcionar con frecuencia después de que otros residentes se mudan. El equipo de TI rota la contraseña del edificio en cada mudanza. ¿Cuál es el fallo de arquitectura y cuál es la solución correcta?

Sugerencia: Analice el impacto de una PSK compartida en todos los dispositivos conectados cuando se rota la clave.

Ver respuesta modelo

La red utiliza una PSK compartida estándar para todos los residentes. Cuando la clave rota al mudarse un residente, todos los dispositivos del edificio pierden la conexión y deben volver a conectarse manualmente. La solución correcta es migrar a un directorio PPSK, emitiendo una clave única por vivienda. Cuando un residente se muda, el operador elimina únicamente la clave de esa vivienda. Las otras 399 viviendas no se ven afectadas. Los televisores inteligentes, Chromecasts y altavoces inteligentes se vuelven a conectar automáticamente porque sus credenciales no han cambiado.

Q3. Está especificando puntos de acceso WiFi 6E para una nueva promoción de BTR de 200 viviendas. El cliente requiere claves PPSK únicas por vivienda y desea utilizar la banda de 6GHz para aplicaciones de gran ancho de banda. Está evaluando Ubiquiti UniFi frente a HPE Aruba. ¿Qué problema de compatibilidad debe identificar y cómo afecta a su recomendación de hardware?

Sugerencia: Compruebe la relación entre la banda de 6GHz, los requisitos de WPA3 y las limitaciones de implementación de PPSK de los proveedores.

Ver respuesta modelo

La banda de 6GHz exige WPA3-SAE. Ubiquiti UniFi limita actualmente PPSK a WPA2 únicamente, lo que significa que los clientes PPSK no pueden utilizar la banda de 6GHz en el hardware UniFi. HPE Aruba admite PPSK en WPA3-SAE, lo que permite la utilización completa de la banda de 6GHz para los clientes PPSK. La recomendación es HPE Aruba para este despliegue. Si el cliente tiene una inversión existente en UniFi, los clientes PPSK deben limitarse a las bandas de 2.4GHz y 5GHz hasta que Ubiquiti añada soporte WPA3 para PPSK.

Continúe leyendo esta serie

Uu PPSK pdf: comparación de características y modelos de despliegue

Esta guía de referencia técnica compara la arquitectura WiFi PPSK (Private Pre-Shared Key) con los despliegues tradicionales de 802.1X y PSK estándar. Proporciona a los arquitectos de red y a los responsables de TI estrategias de implementación neutras respecto al proveedor para entornos multiinquilino residenciales, IoT y BTR.

Leer la guía →

Uu PPSK 2023: comparación de características y modelos de despliegue

Esta guía de referencia técnica compara la arquitectura WiFi Unique per-User Private Pre-Shared Key (UU PPSK) frente a los despliegues tradicionales de PSK compartido y 802.1X, con un enfoque específico en el panorama de 2023 de las implementaciones de proveedores y las capacidades de las plataformas. Proporciona a los promotores inmobiliarios, operadores de BTR y arrendadores de MDU estrategias de despliegue prácticas, orientación sobre arquitectura de VLAN y flujos de trabajo automatizados para la gestión del ciclo de vida. La guía cubre tres modelos de despliegue, casos de estudio del mundo real y las implicaciones de cumplimiento de cada enfoque de autenticación.

Leer la guía →

PPSK xaverius: comparación de características y modelos de implementación

Esta guía autorizada analiza la arquitectura PPSK xaverius para entornos multi-inquilino como Build to Rent y residencias de estudiantes. Compara los modelos de implementación, detalla las estrategias de ejecución y explica cómo el aislamiento de VLAN por unidad ofrece una experiencia de WiFi doméstica manteniendo la seguridad empresarial.

Leer la guía →