Saltar al contenido principal

EAP-TLS vs. EAP-TTLS: ¿Qué protocolo WiFi basado en certificados debería elegir?

Esta guía ofrece una comparación definitiva y directa de EAP-TLS frente a EAP-TTLS para la autenticación WiFi empresarial bajo el estándar 802.1X. Explica la diferencia arquitectónica entre la autenticación mutua de certificados y el túnel de certificados solo de servidor, y proporciona a los responsables de TI, arquitectos de red y CISOs un marco de decisión claro basado en las capacidades de gestión de dispositivos y los requisitos de cumplimiento. Purple admite las vías de autenticación EAP-TLS y EAP-TTLS para el WiFi de empleados, y esta guía ayuda a las organizaciones a comprender los compromisos de infraestructura antes de comprometerse con cualquiera de los dos enfoques.

📖 9 min de lectura📝 2,090 palabras🔧 2 ejemplos prácticos4 preguntas de práctica📚 10 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
INTRODUCCIÓN Y CONTEXTO (0:00 - 2:00) Hola y bienvenidos a esta sesión técnica de Purple. Soy vuestro anfitrión y hoy vamos a analizar las diferencias críticas entre EAP-TLS y EAP-TTLS para la autenticación WiFi empresarial. Si eres un arquitecto de red, un director de TI o gestionas la infraestructura de grandes recintos como cadenas de tiendas, hospitales o estadios, esta sesión está diseñada específicamente para ti. Vamos a ir directos al grano para hablar sobre la arquitectura de seguridad, los pros y contras de la implementación y cómo elegir el protocolo adecuado para tu entorno. Comencemos. Antes de profundizar en los protocolos, analicemos el panorama actual. La mayoría de los despliegues de WiFi empresarial todavía dependen hoy en día de una única contraseña compartida - una clave previamente compartida o PSK. Cada dispositivo de la red utiliza la misma credencial. Cuando un empleado se marcha o se pierde un dispositivo, tienes dos opciones: cambiar la contraseña para todo el mundo o asumir el riesgo de que un antiguo empleado o un ladrón sigan teniendo credenciales válidas. Ninguna de las dos opciones es aceptable para una empresa seria. La respuesta es 802.1X, el estándar IEEE para el control de acceso a la red basado en puertos. 802.1X proporciona a cada dispositivo su propia credencial de autenticación individual. Cuando un dispositivo se conecta, el punto de acceso no concede el acceso directamente, sino que reenvía la solicitud de autenticación a un servidor RADIUS centralizado, que verifica la credencial e indica al punto de acceso si debe abrir el puerto. El resultado es un control de acceso por dispositivo, auditable y revocable. Esa es la base sobre la que se construyen tanto EAP-TLS como EAP-TTLS. Ambos protocolos son métodos de Protocolo de Autenticación Extensible - o métodos EAP - que operan dentro de este marco de trabajo 802.1X. La pregunta no es si se debe utilizar 802.1X, sino qué método EAP se debe utilizar dentro de él. Y eso es lo que vamos a responder hoy. ANÁLISIS TÉCNICO DETALLADO DE EAP-TLS (2:00 - 5:30) Comencemos con EAP-TLS, que significa Transport Layer Security. EAP-TLS está definido en el RFC 5216 y se considera el estándar de oro para la autenticación inalámbrica. El principio fundamental es la autenticación mutua. Tanto el dispositivo cliente como el servidor RADIUS deben presentar certificados digitales X.509 válidos para demostrar su identidad antes de que se conceda el acceso a la red. No hay contraseñas involucradas en ningún momento del proceso. Ninguna. Esto es enormemente importante desde el punto de vista de la seguridad. Las contraseñas se pueden obtener mediante phishing, se pueden adivinar por fuerza bruta o se pueden robar en una brecha de datos de un servicio de terceros donde tu empleado haya reutilizado la misma contraseña. Los certificados no se pueden obtener mediante phishing, no se pueden adivinar y están vinculados a un dispositivo específico. Si un actor malicioso quiere acceder a tu red, necesita el dispositivo físico y su clave privada criptográfica integrada. Ese es un modelo de amenaza fundamentalmente diferente. Permítame guiarle a través del protocolo de enlace EAP-TLS en detalle, ya que comprenderlo aclara por qué el protocolo es tan seguro. Cuando un dispositivo intenta conectarse a la red WiFi, el punto de acceso envía una solicitud EAP-Request para obtener la identidad del dispositivo. El dispositivo responde. El punto de acceso reenvía esto al servidor RADIUS. El servidor RADIUS inicia el protocolo de enlace TLS enviando un mensaje Server Hello, junto con su certificado X.509. El cliente valida este certificado de servidor comparándolo con su almacén de Autoridad de Certificación raíz de confianza. Si la validación falla, el protocolo de enlace finaliza inmediatamente. El dispositivo se niega a conectarse. Esto es lo que protege contra los ataques de gemelo malvado, en los que un hacker configura un punto de acceso no autorizado para suplantar su red. Si el certificado del servidor es válido, el cliente presenta su propio certificado X.509 al servidor RADIUS. El servidor RADIUS valida el certificado del cliente: comprueba la cadena de firma hasta la CA raíz de confianza, verifica que el certificado no haya caducado y consulta la Lista de Revocación de Certificados para asegurarse de que el certificado no haya sido revocado. Solo cuando ambas partes están conformes se establece el túnel TLS y se envía el mensaje EAP-Success, otorgando acceso a la red. Todo el intercambio utiliza TLS 1.2 o 1.3, lo que proporciona una perfecta confidencialidad directa. Ahora bien, este nivel de seguridad conlleva un requisito operativo: se necesita una Infraestructura de Clave Pública, o PKI. Como mínimo, se necesita una Autoridad de Certificación raíz fuera de línea y una Autoridad de Certificación emisora en línea. La CA raíz debe estar aislada físicamente, porque su clave privada es el ancla de confianza maestra para toda la jerarquía de certificados. La CA emisora se encarga de la emisión diaria de certificados y publica la Lista de Revocación de Certificados. Y, fundamentalmente, se necesita un mecanismo para implementar certificados de cliente en cada dispositivo de la red. Para una flota de miles de dispositivos, esto significa integrar su PKI con una plataforma de gestión de dispositivos móviles utilizando SCEP - el Protocolo Simple de Inscripción de Certificados. Cuando un dispositivo corporativo se registra en su MDM, solicita y recibe automáticamente su certificado sin ninguna interacción del usuario. ESCENARIOS DE IMPLEMENTACIÓN (5:30 - 8:00) Entonces, ¿qué protocolo debería implementar? La decisión depende casi por completo de sus capacidades de gestión de dispositivos y de sus requisitos de cumplimiento normativo. Permítame ofrecerle un marco de decisión práctico. Hágase tres preguntas. Primero: ¿todos los dispositivos que se conectan a esta red están gestionados a nivel corporativo a través de una plataforma MDM como Microsoft Intune o Jamf? Si la respuesta es sí, dispone de la infraestructura para implementar certificados de cliente y EAP-TLS es la opción correcta. Segundo: ¿esta red debe cumplir con los requisitos PCI-DSS 4.0, HIPAA o WPA3 Enterprise de 192 bits? Si la respuesta es sí, EAP-TLS es la opción obligatoria. Tercero: ¿tiene una proporción significativa de dispositivos no gestionados o BYOD? Si la respuesta es sí, EAP-TTLS es la opción pragmática para ese segmento de su red. Permítame presentarle dos escenarios reales muy concretos. Escenario uno: una cadena de retail nacional con cuatrocientas tiendas. Cada terminal de punto de venta y cada escáner de mano del personal están registrados en Microsoft Entra ID. La red entra dentro del alcance de PCI-DSS 4.0. En este entorno, se despliega EAP-TLS. Se establece una PKI privada, se utiliza Intune para enviar certificados de cliente únicos a cada dispositivo a través de SCEP y se configura el servidor RADIUS para comprobar la Lista de Revocación de Certificados. Si roban un dispositivo, se revoca su certificado y queda fuera de la red en cuestión de minutos. Sin contraseñas que restablecer. Sin secretos compartidos que rotar en cuatrocientas sedes. Escenario dos: un gran campus universitario con veinte mil estudiantes que utilizan ordenadores portátiles, smartphones y tabletas personales. El equipo de TI no puede instalar certificados en los dispositivos personales. En este entorno, EAP-TTLS es la opción más pragmática. Se instala un certificado de confianza en los servidores RADIUS, se integra con el servicio de directorio de la universidad y los estudiantes se autentican utilizando sus credenciales existentes dentro del túnel seguro. Es compatible con Windows, macOS, Linux, Android e iOS sin necesidad de software adicional en el lado del cliente. En muchas grandes empresas, la respuesta es, de hecho, utilizar ambos. Se despliega EAP-TLS para los dispositivos corporativos gestionados y EAP-TTLS o una red segura independiente para contratistas, visitantes y BYOD. Este es un patrón común en grupos hoteleros, donde los dispositivos del personal están gestionados y se les asignan certificados, mientras que la infraestructura orientada a los huéspedes utiliza una ruta de autenticación totalmente diferente. PREGUNTAS Y RESPUESTAS RÁPIDAS (8:00 - 9:00) Permítame ofrecerle algunas respuestas rápidas a las preguntas que escuchamos con más frecuencia de los CTO y arquitectos de redes. Pregunta uno: ¿Es necesario EAP-TLS para WPA3 Enterprise? Si está implementando el conjunto de seguridad de 192 bits de WPA3 Enterprise, sí, EAP-TLS es el único método permitido. Es el único método EAP que cumple los requisitos de 192 bits de WPA3-Enterprise de la Wi-Fi Alliance. Pregunta dos: ¿Podemos utilizar EAP-TTLS para dispositivos IoT? Por lo general, no. Los dispositivos IoT sin interfaz de usuario, como las bombas de infusión o los sensores ambientales, suelen carecer de la interfaz necesaria para gestionar métodos complejos de autenticación interna. EAP-TLS es en realidad más adecuado para IoT, ya que se puede aprovisionar el certificado durante la preparación del dispositivo. El dispositivo se autentica automáticamente, sin necesidad de interacción por parte del usuario. Pregunta tres: ¿Qué ocurre con el BYOD en una red EAP-TLS? Para dispositivos personales no gestionados, EAP-TLS es operativamente complejo. Puede utilizar portales de incorporación para aprovisionar un certificado temporal, pero esto añade fricción. Para BYOD, EAP-TTLS o una red de invitados dedicada con la segmentación adecuada suele ser la respuesta correcta. Pregunta cuatro: ¿Cómo se relaciona esto con los proveedores de hardware? Tanto EAP-TLS como EAP-TTLS son compatibles con las principales plataformas de hardware WiFi empresarial: Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist y Ubiquiti UniFi. Los detalles de configuración varían según la plataforma, pero los estándares subyacentes son independientes del proveedor. RESUMEN Y SIGUIENTES PASOS (9:00 - 10:00) Para terminar, aquí tiene los puntos clave. EAP-TLS ofrece el nivel más alto de seguridad mediante la autenticación mutua por certificados. Elimina por completo el riesgo de las contraseñas y es la opción correcta para flotas de dispositivos gestionados y entornos regulados. EAP-TTLS ofrece una seguridad sólida mediante certificados en el lado del servidor y un túnel de credenciales cifrado. Es la opción correcta para entornos mixtos o BYOD. Ambos protocolos requieren que aplique la validación del certificado del servidor en cada cliente. Sin ella, ninguno de los dos protocolos le protegerá contra puntos de acceso no autorizados. Y la gestión del ciclo de vida de los certificados es el principal reto operativo de EAP-TLS; automatícela a través de MDM y SCEP desde el primer día. ¿Sus siguientes pasos? Audite su despliegue actual de 802.1X. Si todavía depende de contraseñas compartidas, planifique su migración. Compruebe si los suplicantes de sus clientes están validando el certificado del servidor. Y si va a realizar el despliegue en múltiples sedes o en un entorno distribuido, considere la posibilidad de utilizar un servicio RADIUS alojado en la nube para reducir la carga operativa. Gracias por escuchar esta sesión informativa técnica de Purple. Purple admite las rutas de autenticación EAP-TLS y EAP-TTLS para Staff WiFi en nuestros más de 80.000 puntos activos. Para obtener guías de despliegue más detalladas y comprender cómo nuestras plataformas de análisis e identidad se integran con sus redes seguras, visite purple dot ai.

header_image.png

Resumen Ejecutivo

Elegir el método EAP adecuado para su despliegue 802.1X determina si su WiFi empresarial es verdaderamente segura o meramente conforme sobre el papel. EAP-TLS (Extensible Authentication Protocol - Transport Layer Security), definido en RFC 5216, requiere autenticación mutua mediante certificados: tanto el dispositivo cliente como el servidor RADIUS presentan certificados X.509 válidos antes de que se conceda el acceso a la red. En ningún momento se intercambian contraseñas. EAP-TTLS (Tunneled Transport Layer Security), definido en RFC 5281, requiere únicamente un certificado en el lado del servidor para establecer un túnel TLS cifrado, dentro del cual el cliente se autentica utilizando las credenciales de directorio existentes.

Para los CTO y arquitectos de red que gestionan la infraestructura en cadenas de retail, establecimientos de hostelería y organizaciones del sector público, esta decisión se reduce a una sola pregunta: ¿gestiona usted los dispositivos? Si controla la flota de dispositivos a través de un MDM, EAP-TLS es la opción definitiva. Si da soporte a un entorno BYOD diverso o carece de una infraestructura de clave pública (PKI) robusta, EAP-TTLS proporciona una alternativa práctica y altamente segura. Purple admite ambas vías de autenticación para el WiFi del personal a través de más de 80.000 puntos activos.

comparison_chart.png


Análisis Técnico Detallado

Arquitectura de EAP-TLS

EAP-TLS opera bajo un modelo de autenticación mutua dentro del marco de control de acceso basado en puertos IEEE 802.1X. Cada intercambio de autenticación involucra tres componentes principales: el suplicante (dispositivo cliente), el autenticador (punto de acceso inalámbrico) y el servidor de autenticación (servidor RADIUS). El punto de acceso no toma la decisión de autenticación por sí mismo. Actúa como un relé transparente, encapsulando los mensajes EAP en paquetes RADIUS y reenviándolos al servidor de autenticación. El protocolo de enlace EAP-TLS se realiza de la siguiente manera. El punto de acceso envía un EAP-Request/Identity al dispositivo que se conecta. El dispositivo responde con su identidad. El servidor RADIUS inicia el protocolo de enlace TLS con un mensaje EAP-TLS/Start. El cliente envía un ClientHello, anunciando los conjuntos de cifrado TLS que admite. El servidor RADIUS responde con un ServerHello, su certificado de servidor X.509 y una solicitud de certificado. El cliente valida el certificado del servidor comparándolo con su almacén de CA raíz de confianza. Si la validación falla, el protocolo de enlace finaliza, proporcionando protección contra puntos de acceso no autorizados. A continuación, el cliente presenta su propio certificado X.509. El servidor RADIUS valida el certificado del cliente, verificando la cadena de firma hasta la CA raíz de confianza, comprobando que el certificado no haya caducado y consultando la lista de revocación de certificados (CRL) o mediante OCSP. El túnel TLS se establece y se concede el acceso a la red únicamente cuando ambas partes están conformes.

Dado que no se intercambian contraseñas, EAP-TLS es seguro frente a ataques de diccionario sin conexión, relleno de credenciales (credential stuffing) y phishing. Es el único método EAP que cumple con los requisitos de WPA3-Enterprise de 192 bits (Suite B), y está recomendado u ordenado de forma estricta por PCI-DSS 4.0 para entornos de datos de titulares de tarjetas y por NIST SP 800-120 para despliegues de WiFi de alta seguridad.

EAP-TLS requiere una PKI. Se necesita al menos una CA raíz sin conexión y una CA emisora en línea. La CA raíz debe estar aislada físicamente (air-gapped), ya que su clave privada es el ancla de confianza maestra para toda la jerarquía de certificados. La CA emisora se encarga de la emisión diaria de certificados y de publicar las CRL. Los certificados de cliente se emiten para dispositivos individuales, no para usuarios; se trata de un modelo de identidad de dispositivo. Esta distinción es fundamental para dispositivos IoT, terminales compartidos y sistemas sin cabezal (headless).

Estructura de EAP-TTLS

EAP-TTLS se diseñó para proporcionar una seguridad robusta de 802.1X sin la carga operativa de tener que implementar certificados en cada dispositivo cliente. Funciona en dos fases. En la primera fase, el servidor RADIUS presenta su certificado y establece un túnel TLS seguro. Solo el servidor requiere un certificado. En la segunda fase, el cliente se autoriza dentro de ese túnel cifrado utilizando un método de autenticación interno. Los métodos internos comunes incluyen PAP (Password Authentication Protocol), CHAP y MS-CHAPv2. El cliente envía su nombre de usuario y contraseña, pero dado que este intercambio ocurre dentro del túnel TLS, las credenciales se cifran en tránsito y nunca quedan expuestas en el aire.

EAP-TTLS proporciona un excelente soporte multiplataforma en macOS, Linux, Android e iOS. La advertencia es con Windows: el suplicante integrado de Windows no admite de forma nativa EAP-TTLS para WiFi 802.1X de forma predeterminada. Los entornos con un gran volumen de dispositivos Windows pueden requerir un suplicante de terceros, lo que aumenta la complejidad operativa. Para entornos centrados en Windows, PEAP con MS-CHAPv2 suele ser la opción más pragmática.La mayor limitación de EAP-TTLS es que no elimina los riesgos inherentes de las contraseñas. Si un usuario elige una contraseña débil, esta sigue siendo vulnerable a ataques de fuerza bruta fuera de línea. Si la autenticación interna utiliza PAP, la contraseña se envía en texto plano dentro del túnel, lo cual es aceptable si confía en su infraestructura RADIUS, pero sigue siendo un modelo de confianza esencial que debe comprender.

Comparación Directa

Característica EAP-TLS EAP-TTLS
Estándar RFC RFC 5216 RFC 5281
Certificado de Cliente Requerido No
Certificado de Servidor Requerido
Modelo de Autenticación Mutua (Ambas partes) Solo Servidor
Riesgo de Contraseña Ninguno - Sin contraseñas Contraseña en Túnel Cifrado
Requisito de PKI PKI Completa (CA Raíz + CA Emisora + MDM) Solo Certificado de Servidor
WPA3-Enterprise de 192 bits Método Requerido No Soportado
Alineación con PCI-DSS 4.0 Fuertemente Recomendado Aceptable con Autenticación Interna Fuerte
Idoneidad para BYOD Baja (Requiere Certificado de Cliente) Alta (Solo Credenciales)
Idoneidad para Dispositivos IoT Alta (Certificado Aprovisionado en Fase de Preparación) Baja (Sin interfaz para Introducir Credenciales)
Soporte Nativo de Windows Parcial (Suele Requerir un Suplicante de Terceros)
Soporte de macOS/Linux/Android
Complejidad de Despliegue Alta Media

Guía de Implementación

Despliegue de EAP-TLS para Flotas Gestionadas

El despliegue de EAP-TLS requiere una PKI funcional y una plataforma de MDM. La instalación manual de certificados no es viable a escala empresarial. Debe integrar su PKI con su MDM utilizando SCEP (Simple Certificate Enrolment Protocol) o EST (Enrolment over Secure Transport). Cuando se registra un dispositivo corporativo, este solicita y recibe automáticamente su certificado sin intervención del usuario.

Para la gestión de identidades, Purple actúa como un proveedor de identidad gratuito para servicios como OpenRoaming bajo la licencia Connect, facilitando un roaming seguro en diferentes ubicaciones mediante marcos de identidad y certificados subyacentes.

En el lado de RADIUS, configure su servidor para validar los certificados de cliente contra su CA interna y verifique las CRL o utilice OCSP para la verificación de revocación en tiempo real. Las plataformas RADIUS soportadas incluyen FreeRADIUS, Microsoft NPS y Cisco ISE. La capa de nube de Purple se integra con hardware de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet.

Despliegue de EAP-TTLS para Entornos Mixtos

EAP-TTLS es la opción óptima para entornos con dispositivos no gestionados. Solo necesita desplegar un certificado de confianza en su servidor RADIUS. Asegúrese de que su servidor RADIUS se integre directamente con su servicio de directorio - Microsoft Entra ID, Okta o Google Workspace - para validar las credenciales de autenticación interna. Configure sus perfiles de WiFi desplegados por MDM para exigir la validación del certificado del servidor frente a su CA de confianza específica. Sin este paso, el túnel TLS no ofrece protección contra puntos de acceso no autorizados. decision_framework.png


Mejores prácticas

Forzar la validación del certificado de servidor en cada cliente

El paso de configuración más crítico tanto para EAP-TLS como para EAP-TTLS es forzar la validación del certificado de servidor en los dispositivos cliente. Si un dispositivo no valida el certificado del servidor RADIUS frente a una CA de confianza específica, se conectará a cualquier servidor que presente cualquier certificado - incluyendo un punto de acceso no autorizado. Especifique siempre la CA de confianza y el nombre de servidor esperado en sus perfiles WiFi implantados mediante MDM. Esta única comprobación de configuración es la mejora de seguridad más eficaz que puede implementar hoy en día.

Automatizar la gestión del ciclo de vida de los certificados

Los certificados caducan. Si no dispone de un proceso de renovación automatizado, se enfrentará a fallos masivos de autenticación cuando los certificados caduquen simultáneamente. Utilice SCEP o EST para automatizar las renovaciones y configure alertas de monitorización con suficiente antelación a las fechas de caducidad. Si se pierde un dispositivo o un empleado se marcha, revoque el certificado inmediatamente. Configure su servidor RADIUS para comprobar las CRL o utilice OCSP para la validación en tiempo real.

Segmentar la red por método de autenticación

En entornos grandes o distribuidos, considere la posibilidad de ejecutar ambos protocolos en SSIDs independientes. Los dispositivos corporativos gestionados se autentican mediante EAP-TLS en un SSID dedicado para el WiFi del personal. Los contratistas y los dispositivos BYOD se autentican mediante EAP-TTLS en un SSID independiente con la segmentación de VLAN adecuada. Este patrón es común en grupos hoteleros como Premier Inn y Whitbread, donde los dispositivos del personal están gestionados y se les emiten certificados, mientras que la infraestructura de invitados utiliza una ruta de autenticación independiente. Para obtener más detalles sobre la arquitectura de SSID, consulte nuestra guía Tres SSIDs para gobernarlos a todos: el diseño de WiFi para invitados, personal e IoT .

Sincronizar la hora en toda la infraestructura

La validación de certificados depende de una hora de sistema precisa. El desvío de la hora en los dispositivos cliente o en los servidores RADIUS genera errores de certificado "aún no válido" o "caducado" que son difíciles de diagnosticar. Asegúrese de que todos los componentes de la infraestructura estén sincronizados con servidores NTP fiables.


Resolución de problemas y mitigación de riesgos

Errores de CA desconocida

Si los registros de RADIUS muestran "CA desconocida", el dispositivo cliente no confía en la CA que emitió el certificado del servidor RADIUS. Verifique que su perfil de MDM incluya el certificado de la CA raíz y que el suplicante esté configurado para confiar en él. Tras una rotación de CA o una renovación de certificados, vuelva a enviar el paquete de CA actualizado a todos los dispositivos.

Incompatibilidad de método EAP

Si los dispositivos se conectan al punto de acceso pero la autenticación falla, verifique que el método EAP configurado en el cliente coincida con el método aceptado por el servidor RADIUS. Un perfil de dispositivo configurado para EAP-TLS fallará en un servidor RADIUS configurado únicamente para PEAP.

Fallos masivos debido a certificados caducados

Si un gran número de dispositivos no logra autenticarse simultáneamente, compruebe primero las fechas de caducidad de los certificados. Esta es la causa más común de fallos masivos de 802.1X en despliegues EAP-TLS. Implemente un sistema de monitorización que envíe alertas 60 días, 30 días y siete días antes de la caducidad.

Configuración incorrecta del cliente RADIUS

Cada punto de acceso o controlador inalámbrico debe definirse como un cliente RADIUS con la dirección IP y el secreto compartido correctos. Las discrepancias causan tiempos de espera de autenticación que a menudo se atribuyen incorrectamente al método EAP. Active el registro detallado de RADIUS desde el primer día. Para obtener más orientación sobre la resolución de problemas de WiFi, consulte nuestra guía Troubleshooting Public WiFi: Fixing 'Connected, No Internet' and Splash Page Redirection Failures .


Cumplimiento y alineación regulatoria

Para los CISO y arquitectos de red, comprender el panorama regulatorio es esencial al decidir entre EAP-TLS y EAP-TTLS. La elección del método EAP afecta directamente a su estado de cumplimiento en varios marcos clave.

PCI-DSS 4.0 (Payment Card Industry Data Security Standard) requiere una autenticación criptográfica sólida para las redes inalámbricas en entornos de datos de titulares de tarjetas. El requisito 8.3 exige la autenticación multifactor para todo acceso al CDE, y las redes inalámbricas dentro del alcance deben utilizar mecanismos de autenticación sólidos. EAP-TLS, con autenticación mutua basada en certificados, cumple definitivamente con este requisito. EAP-TTLS con MS-CHAPv2 es aceptable si la autenticación interna está debidamente protegida y se aplica la validación del certificado del servidor, pero EAP-TLS es la opción más sólida y preferida por los auditores. HIPAA (Health Insurance Portability and Accountability Act) exige a las entidades cubiertas que implementen salvaguardas técnicas que protejan la información médica protegida electrónica (ePHI) transmitida a través de redes de comunicaciones electrónicas. La norma de seguridad HIPAA no impone protocolos específicos, pero la expectativa de cifrado y control de acceso para las redes inalámbricas que transportan ePHI se inclina fuertemente a favor de EAP-TLS para flotas de dispositivos médicos gestionados y de EAP-TTLS con validación obligatoria de certificados de servidor para dispositivos del personal. WPA3-Enterprise 192-bit (también conocido como Suite B o modo CNSA) es el nivel de seguridad más alto de la certificación WPA3 de la Wi-Fi Alliance. Exige EAP-TLS como único método de autenticación permitido, requiere TLS 1.2 o superior con suites de cifrado específicas (ECDHE con P-384, AES-256-GCM) y requiere certificados ECDSA o RSA-3072. Las organizaciones que despliegan WPA3-Enterprise 192-bit para aplicaciones gubernamentales, de defensa o de infraestructuras críticas deben utilizar EAP-TLS. ISO 27001 no exige protocolos específicos, pero requiere que las organizaciones implementen controles de acceso adecuados para los recursos de red. Un despliegue de 802.1X con EAP-TLS o EAP-TTLS (con validación forzada del certificado del servidor) cumple los requisitos de control de acceso a la red de los Anexos A.9.1 y A.13.1.

-

ROI e impacto empresarial

La migración a EAP-TLS requiere una inversión inicial en la integración de PKI y MDM, pero elimina los costes operativos de los restablecimientos de contraseñas y el riesgo financiero de las violaciones de red debidas a credenciales comprometidas. Para una cadena minorista con 400 tiendas, una sola contraseña comprometida en una red PSK compartida puede poner en peligro todo el negocio. EAP-TLS elimina por completo ese vector de ataque.

Para entornos multi-inquilino y centros de transporte, la autenticación segura garantiza que solo los usuarios autorizados accedan al ancho de banda de la red, optimizando así la utilización de la infraestructura. La asignación dinámica de VLAN a través de los atributos de certificado RADIUS permite una segmentación de red reforzada criptográficamente, lo que garantiza que los dispositivos se ubiquen en el segmento de red correcto en función de las propiedades del certificado, en lugar de depender de la selección de SSID o del filtrado de direcciones MAC.

La plataforma de WiFi Analytics de Purple se integra con ambas rutas de autenticación, proporcionando visibilidad sobre el número de dispositivos, la duración de las sesiones y la utilización de la red en todas sus instalaciones. Para obtener una guía de despliegue específica para su sector, explore nuestros recursos para Hospitality , Retail , Healthcare y Transport .

Definiciones clave

EAP-TLS (Protocolo de autenticación extensible - Seguridad de la capa de transporte)

Un método de autenticación 802.1X definido en RFC 5216 que requiere que tanto el dispositivo cliente como el servidor RADIUS presenten certificados X.509 válidos. No se intercambian contraseñas. La autenticación es mutua y está vinculada criptográficamente.

El estándar de oro para la seguridad inalámbrica empresarial. Requerido para WPA3-Enterprise de 192 bits y fuertemente recomendado para entornos de datos de titulares de tarjetas PCI-DSS 4.0.

EAP-TTLS (Protocolo de autenticación extensible - Seguridad de la capa de transporte tunelizada)

Un método de autenticación 802.1X definido en RFC 5281 que requiere únicamente un certificado en el lado del servidor para establecer un túnel TLS cifrado. El cliente se autentica dentro del túnel mediante un método de autenticación interno secundario, normalmente un nombre de usuario y una contraseña.

La opción preferida para entornos BYOD y redes con sistemas operativos mixtos donde la implementación de certificados de cliente no es práctica desde el punto de vista operativo.

802.1X

Un estándar IEEE para el control de acceso a la red basado en puertos que proporciona un mecanismo de autenticación para los dispositivos que se conectan a una LAN o WLAN. Define las funciones de suplicante, autenticador y servidor de autenticación.

El marco fundamental que permite a las redes empresariales autenticar dispositivos individuales en lugar de depender de una única contraseña compartida. Tanto EAP-TLS como EAP-TTLS operan dentro de este marco.

RADIUS (Servicio de usuario de marcación telefónica de autenticación remota)

Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad para los usuarios que se conectan a un servicio de red. En las implementaciones de 802.1X, el servidor RADIUS es el servidor de autenticación que verifica los certificados o las credenciales.

El componente del servidor que verifica los certificados o contraseñas e indica al punto de acceso si debe conceder o denegar el acceso a la red. Las plataformas compatibles incluyen FreeRADIUS, Microsoft NPS y Cisco ISE.

PKI (Infraestructura de clave pública)

Un conjunto de funciones, políticas, hardware, software y procedimientos necesarios para crear, gestionar, distribuir, utilizar, almacenar y revocar certificados digitales. Una PKI empresarial típica consta de una CA raíz fuera de línea y una CA emisora en línea.

La infraestructura de backend necesaria para emitir los certificados de cliente y servidor utilizados en la autenticación EAP-TLS. Sin una PKI, EAP-TLS no se puede implementar.

MDM (Gestión de dispositivos móviles)

Software utilizado por los departamentos de TI para supervisar, gestionar y proteger los dispositivos móviles y portátiles de los empleados. Las plataformas MDM como Microsoft Intune y Jamf pueden automatizar la implementación de certificados y perfiles de WiFi en los dispositivos registrados.

Esencial para automatizar la implementación de certificados de cliente para EAP-TLS a escala. Sin la integración de MDM, la instalación manual de certificados en miles de dispositivos es operativamente imposible.

SCEP (Protocolo simple de inscripción de certificados)

Un protocolo utilizado para automatizar la emisión de certificados digitales a dispositivos de red. Las plataformas MDM utilizan SCEP para solicitar e instalar certificados de forma silenciosa en los dispositivos corporativos registrados sin la interacción del usuario.

El mecanismo estándar para el aprovisionamiento de certificados sin intervención en implementaciones de EAP-TLS. Compatible con Microsoft Intune, Jamf y la mayoría de las plataformas MDM empresariales.

CRL (Lista de revocación de certificados)

Una lista de certificados digitales que han sido revocados por la Autoridad de Certificación emisora antes de su fecha de caducidad programada. Los servidores RADIUS comprueban la CRL para verificar que el certificado de un dispositivo que se conecta sigue siendo válido.

El mecanismo que permite bloquear inmediatamente el acceso a la red a un dispositivo robado o comprometido mediante la revocación de su certificado. Los servidores RADIUS deben configurarse para verificar la CRL con frecuencia o utilizar OCSP para la validación en tiempo real.

X.509

Un estándar de la UIT-T que define el formato de los certificados de clave pública. EAP-TLS y EAP-TTLS utilizan certificados X.509 para la autenticación del servidor. EAP-TLS también requiere certificados X.509 en el dispositivo cliente.

El formato de certificado utilizado en todos los despliegues de PKI empresariales. Cuando los equipos de TI se refieren a "certificados digitales" en el contexto de 802.1X, se refieren a certificados X.509.

Método de autenticación interna

El protocolo de autenticación secundaria utilizado dentro del túnel TLS cifrado establecido por EAP-TTLS. Los métodos internos habituales incluyen PAP (Protocolo de autenticación de contraseña), CHAP y MS-CHAPv2.

La elección del método de autenticación interna afecta a las propiedades de seguridad de un despliegue de EAP-TTLS. PAP envía la contraseña en texto plano dentro del túnel; MS-CHAPv2 utiliza un mecanismo de desafío - respuesta. El túnel cifra todo el tráfico de autenticación interna.

Ejemplos prácticos

Una cadena minorista nacional con 400 tiendas necesita proteger sus terminales de punto de venta (TPV) y los escáneres de mano del personal. El entorno está dentro del alcance de PCI-DSS 4.0. Todos los dispositivos están registrados en Microsoft Intune. ¿Qué protocolo deberían implementar y cuáles son los pasos clave de configuración?

Implemente EAP-TLS. Paso 1: Establezca una PKI de dos niveles con una CA raíz fuera de línea (aislada) y una CA emisora en línea. Paso 2: Configure Microsoft Intune con un perfil de certificado SCEP dirigido a todos los dispositivos TPV y escáneres. Paso 3: Implemente un servidor RADIUS (Microsoft NPS o RADIUS en la nube) y configúrelo para validar los certificados de cliente contra la CA interna. Paso 4: Habilite la verificación CRL u OCSP en el servidor RADIUS. Paso 5: Distribuya un perfil WiFi a través de Intune especificando el SSID, EAP-TLS como método de autenticación, la CA raíz de confianza y el nombre del servidor RADIUS esperado. Paso 6: Realice pruebas con un grupo piloto de 10 dispositivos antes de implementarlo en los 400 centros. Paso 7: Establezca un proceso de supervisión de la expiración de certificados con alertas a los 60, 30 y siete días de la fecha de vencimiento.

Comentario del examinador: EAP-TLS es la opción correcta porque PCI-DSS 4.0 recomienda encarecidamente la autenticación mutua por certificado para redes inalámbricas en el entorno de datos de los titulares de tarjetas. Depender de contraseñas (EAP-TTLS) para los dispositivos TPV introduce un riesgo inaceptable de robo de credenciales. La integración MDM a través de SCEP es esencial: la instalación manual de certificados en 400 centros es inviable a nivel operativo. El punto de fallo más común en este escenario es olvidar forzar la validación del certificado de servidor en el perfil WiFi de Intune, lo que dejaría a los dispositivos vulnerables a ataques de tipo Evil Twin a pesar de la implementación de EAP-TLS.

Un campus universitario de gran tamaño necesita proporcionar WiFi seguro para 20 000 estudiantes que utilizan una mezcla de portátiles personales, smartphones y tabletas (BYOD). El equipo de TI no puede instalar certificados en los dispositivos personales. La universidad utiliza Microsoft Entra ID para la gestión de identidades. ¿Qué protocolo deberían implementar?

Implemente EAP-TTLS con MS-CHAPv2 como método de autenticación interno, integrado con Microsoft Entra ID a través de RADIUS. Paso 1: Obtenga un certificado de servidor de una CA pública en la que confíen todos los sistemas operativos principales, o implemente una CA interna y distribuya el certificado raíz a través de las herramientas de gestión de dispositivos de la universidad para los dispositivos gestionados. Paso 2: Configure el servidor RADIUS para autenticarse contra Microsoft Entra ID mediante LDAP o proxy RADIUS. Paso 3: Cree una guía de incorporación a la red WiFi para los estudiantes especificando el SSID, EAP-TTLS, MS-CHAPv2 y la CA de confianza. Paso 4: Aplique políticas de contraseñas seguras a nivel de Entra ID y considere la posibilidad de habilitar la autenticación multifactor para el registro inicial. Paso 5: Configure el perfil WiFi para forzar la validación del certificado de servidor y especifique la CA de confianza y el nombre del servidor RADIUS.

Comentario del examinador: EAP-TTLS es la opción pragmática en este caso. Gestionar una PKI para 20.000 dispositivos personales no administrados es operativamente imposible. EAP-TTLS proporciona un túnel seguro para las credenciales, protegiéndolas de la interceptación inalámbrica y, al mismo tiempo, es compatible con diversos sistemas operativos, incluidos Windows, macOS, Linux, Android e iOS. El riesgo crítico en este escenario es que los estudiantes configuren incorrectamente sus dispositivos para omitir la validación del certificado del servidor. Publicar una guía de incorporación clara con los pasos exactos de configuración y utilizar un certificado de servidor de confianza pública reduce significativamente este riesgo.

Preguntas de práctica

Q1. Está desplegando EAP-TLS para una flota de 5000 portátiles corporativos en 50 ubicaciones de oficinas. Tras aplicar el perfil de WiFi a través de Microsoft Intune, los dispositivos no consiguen conectarse. Los registros del servidor RADIUS muestran "CA desconocida" para cada intento de autenticación fallido. ¿Cuál es la causa más probable y cómo se resuelve?

Sugerencia: Considere la cadena de validación de certificados en el lado del cliente y lo que debe incluir el perfil de MDM más allá de la configuración del método EAP.

Ver respuesta modelo

Los dispositivos cliente no están configurados para confiar en la Autoridad de Certificación interna que emitió el certificado del servidor RADIUS. El perfil de WiFi de MDM debe incluir el certificado de la CA raíz (y cualquier certificado de CA intermedia) y configurar el suplicante para que confíe en ellos para la validación del servidor. Sin esto, el cliente rechaza el certificado del servidor RADIUS y finaliza el saludo. Solución: actualice el perfil de WiFi de Intune para incluir el certificado de la CA raíz de confianza en la configuración "Certificado raíz para validación de servidor" y vuelva a aplicar el perfil a todos los dispositivos.

Q2. Su organización ha desplegado EAP-TTLS para un entorno BYOD mixto. Durante una revisión de seguridad, su equipo de pruebas de penetración demuestra que pueden capturar las credenciales de los usuarios configurando un punto de acceso falso con un certificado autofirmado. ¿Cómo solucionaría esta vulnerabilidad sin migrar a EAP-TLS?

Sugerencia: Piense en lo que ocurre antes de la autenticación interna y qué configuración en el lado del cliente impide que el túnel TLS se establezca con un servidor no confiable.

Ver respuesta modelo

La vulnerabilidad existe porque los dispositivos cliente no están configurados para validar el certificado del servidor RADIUS. Solución: actualice todos los perfiles de WiFi (mediante MDM para dispositivos gestionados y mediante una nueva guía de incorporación para BYOD) para exigir la validación del certificado del servidor. Especifique la CA de confianza y el nombre del servidor RADIUS esperado en el perfil. Los clientes configurados de este modo se negarán a establecer el túnel TLS con cualquier servidor que no pueda presentar un certificado firmado por la CA de confianza especificada, eliminando el vector de ataque del punto de acceso falso.

Q3. El director de TI de un hospital quiere desplegar 802.1X para sus dispositivos IoT médicos (bombas de infusión, monitores de pacientes, sensores ambientales). Está considerando EAP-TTLS porque cree que la gestión de certificados es demasiado compleja. ¿Por qué es erróneo este razonamiento y cuál es el enfoque correcto?

Sugerencia: Considere cómo manejan los dispositivos IoT sin interfaz los avisos de autenticación y qué ocurre cuando un dispositivo no puede introducir credenciales.

Ver respuesta modelo

El razonamiento es erróneo por dos motivos. Primero, la mayoría de los dispositivos IoT médicos sin cabezal (headless) no tienen una interfaz de usuario para introducir credenciales, lo que hace que el uso de EAP-TTLS con autenticación interna por usuario y contraseña sea operativamente imposible. Segundo, EAP-TLS es en realidad más sencillo para IoT en la práctica: los certificados se pueden aprovisionar durante la preparación de los dispositivos antes de su despliegue, y el dispositivo se autentica automáticamente sin interacción del usuario. El enfoque correcto es EAP-TLS con certificados aprovisionados a través del sistema de gestión de dispositivos utilizado durante la fase de preparación. Esto también cumple con los requisitos de HIPAA para una autenticación inalámbrica sólida en entornos sanitarios.

Q4. Usted es el arquitecto de red de un grupo hotelero con 200 establecimientos. Necesita proteger la WiFi del personal para 3000 dispositivos corporativos administrados (inscritos en Intune) y también proporcionar una WiFi segura para contratistas y proveedores externos que traen sus propios portátiles. Diseñe la arquitectura de autenticación.

Sugerencia: Considere si un único SSID con un único método EAP puede dar servicio a ambas poblaciones, y qué implicaciones de segmentación de red surgen de los dos tipos de usuarios.

Ver respuesta modelo

Despliegue dos SSID independientes con diferentes métodos de autenticación y asignaciones de VLAN. SSID 1 (WiFi de personal): EAP-TLS, certificados distribuidos mediante Intune SCEP, VLAN asignada al segmento de red del personal con acceso total a los sistemas de gestión del hotel. SSID 2 (WiFi de contratistas): EAP-TTLS con MS-CHAPv2, credenciales validadas contra un directorio independiente o una cuenta de contratista con límite de tiempo en Microsoft Entra ID, VLAN asignada a un segmento aislado solo para internet sin acceso a los sistemas internos. Ambos SSID deben aplicar la validación del certificado del servidor. Esta arquitectura proporciona al personal la máxima seguridad al tiempo que ofrece a los contratistas un método de autenticación práctico, y la segmentación de red garantiza que una credencial de contratista comprometida no pueda llegar a los sistemas internos de gestión del hotel.

Continúe leyendo esta serie

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Esta guía de referencia técnica describe la arquitectura, configuración y despliegue de la autenticación RADIUS para redes WiFi empresariales de invitados y de personal. Proporciona a los arquitectos de redes y responsables de TI los protocolos exactos, los estándares de seguridad y las metodologías de resolución de problemas necesarios para crear sistemas de control de acceso inalámbrico seguros y escalables.

Leer la guía →

Passpoint y OpenRoaming: Guía completa

Esta guía de referencia técnica proporciona un análisis exhaustivo de los frameworks Passpoint (Hotspot 2.0) y WBA OpenRoaming dentro de las redes WiFi empresariales. Detalla los protocolos de autenticación subyacentes, los componentes arquitectónicos y las estrategias de despliegue necesarias para establecer una conectividad de invitados segura y sin fricciones. Los arquitectos de redes y los líderes de TI aprenderán a diseñar, implementar y solucionar problemas de estos estándares para eliminar las barreras de inicio de sesión manual mientras mantienen una seguridad de nivel empresarial.

Leer la guía →

Cómo implementar SCEP para un BYOD seguro y registro de red en educación superior

Esta guía técnica proporciona a arquitectos de red y directores de TI un plan de acción independiente del proveedor para desplegar el registro de certificados basado en SCEP para proteger las redes de campus de educación superior. Detalla cómo migrar de PEAP basado en contraseñas a 802.1X EAP-TLS, automatizar la incorporación de BYOD y aplicar una segmentación robusta de VLAN.

Leer la guía →