Guía completa de iPSK: una guía detallada para empresas

Bienvenido a la sesión técnica de Purple. Hoy analizaremos iPSK (Identity Pre-Shared Key) y por qué se ha convertido en el modelo definitivo de seguridad WiFi para promotores inmobiliarios, operadores de BTR y promociones residenciales multiinquilino. Permítame empezar por el problema real que intenta resolver. Usted gestiona una promoción Build-to-Rent. Puede tener 100 unidades o 500. Quiere que cada residente tenga WiFi privado y seguro desde el primer día. No quiere instalar un router independiente en cada piso. No quiere gestionar cientos de redes distintas. Y, bajo ningún concepto, puede permitir que el Residente A acceda a la smart TV del Residente B a través de la red. El estándar WPA2-PSK, el modelo de contraseña compartida, resulta inviable a esta escala. Una sola contraseña para todo el edificio significa que una brecha de seguridad afecta a todos. Además, no se puede revocar el acceso de un solo residente sin cambiar la contraseña de todos los demás. Eso es operativamente imposible. El otro extremo es WPA3-Enterprise con 802.1X. Es muy seguro, pero requiere certificados digitales o credenciales de usuario y contraseña para cada dispositivo. Las videoconsolas, los altavoces inteligentes y los termostatos de sus residentes sencillamente no pueden conectarse a una red 802.1X. No disponen de suplicante. Estaría recibiendo llamadas de soporte todos los días. iPSK se sitúa justo en el medio. Cada residente recibe su propia clave precompartida exclusiva. Para el residente, el proceso es idéntico al de una contraseña de WiFi doméstica. La introduce una vez y todos sus dispositivos se conectan. Sin embargo, en segundo plano, el punto de acceso inalámbrico envía una solicitud RADIUS a la nube de Purple con la dirección MAC del cliente. Nuestro servidor RADIUS busca esa MAC, encuentra el perfil de autorización correspondiente y devuelve la PSK correcta. A continuación, el punto de acceso valida la conexión con esa clave individual. El resultado: un único SSID para todo el edificio, pero cada residente queda aislado en su propio segmento de red privado. Ahora permítame guiarle a través de la arquitectura, porque aquí es donde reside el verdadero potencial. El flujo de autenticación consta de cuatro pasos. En primer lugar, el dispositivo del cliente envía una solicitud de asociación al punto de acceso. En segundo lugar, el controlador inalámbrico (ya sea Cisco Meraki, HPE Aruba, Ruckus o Juniper Mist) envía una solicitud RADIUS Access-Request a la nube de Purple con la dirección MAC del cliente. En tercer lugar, nuestro servidor RADIUS evalúa la política de autorización: asocia la dirección MAC con el registro del residente, recupera la PSK asignada y devuelve una respuesta Access-Accept que contiene el VLAN ID de ese residente. En cuarto lugar, el punto de acceso asigna al cliente su VLAN dedicada. Desde la perspectiva del residente, esto no se diferencia en nada de una conexión WiFi doméstica estándar. La complejidad reside por completo en el lado del servidor. Esa es la elegancia de iPSK. La anulación de VLAN a través de RADIUS significa que el Residente A aterriza en la VLAN 101, el Residente B en la VLAN 102, y los dispositivos IoT de su edificio, sensores de puertas, CCTV y contadores inteligentes se encuentran en una VLAN completamente separada, sin contaminación cruzada. Un apunte sobre lo que llamamos la Red de Área Privada, o PAN. Esta es la burbuja virtual que se crea alrededor de los dispositivos de cada residente. Aunque cientos de residentes comparten la misma infraestructura de WiFi, iPSK garantiza el aislamiento de Capa 2. El teléfono del Residente A puede ver su propio Chromecast y su impresora. El Residente B del apartamento de al lado no puede ver ni interactuar con esos dispositivos en absoluto. Esto también permite lo que se conoce como mDNS Reflection, que permite que los dispositivos se descubran entre sí dentro de su propio segmento privado. Así, transmitir Netflix a un Chromecast funciona perfectamente, tal y como lo haría en un router doméstico, pero no se filtra al pasillo ni a la red de ningún otro residente. Permítame ahora comparar iPSK con las alternativas, porque la elección del modelo de autenticación es una de las decisiones más trascendentales que tomará en el diseño de su red. El PSK estándar, WPA2-Personal, ofrece simplicidad. Todos utilizan la misma contraseña. Pero no hay control central. Si un residente filtra la contraseña, toda la red está en peligro. Rotar la contraseña cuando un residente se marcha afecta a todos los demás residentes. Con 200 unidades, esto resulta inmanejable. 802.1X EAP-TLS es el estándar corporativo de alta seguridad. Proporciona autenticación basada en certificados por dispositivo. Puede revocar el acceso individual al instante. Pero requiere una autoridad de certificación, gestión de certificados y un suplicante en cada dispositivo. Las videoconsolas, las smart TV y los dispositivos Amazon Alexa no son compatibles con 802.1X. En un entorno residencial, esto es inviable. iPSK le ofrece la identidad por dispositivo de 802.1X con la simplicidad operativa de una contraseña doméstica. Es compatible con el 100% de los dispositivos, incluidos todos los dispositivos IoT sin pantalla que posean sus residentes. Y se escala a miles de unidades sin añadir costes de gestión, porque el ciclo de vida está automatizado. La terminología de los proveedores varía, y conviene conocer las equivalencias. HPE Aruba lo llama MPSK, Multi-PSK. Ruckus y Juniper Mist utilizan DPSK, Dynamic PSK. Ubiquiti UniFi lo llama PPSK, Private PSK. El concepto es idéntico en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. Purple se implementa como una capa de nube sobre todas estas plataformas. No es necesario que sustituya sus puntos de acceso. Ahora permítame guiarle a través de la implementación, porque aquí es donde las implementaciones suelen fallar. El primer error y el más común es dimensionar a la baja el alcance de DHCP. Los ingenieros de red a veces asignan una subred barra 28 por apartamento para ahorrar espacio de direcciones IP. Eso son 14 direcciones útiles. En 2026, una pareja en un piso de alquiler residencial (BTR) agotará 14 direcciones IP antes del martes. Un teléfono, un portátil, una tablet, una televisión inteligente, una consola de videojuegos, un altavoz inteligente, un par de bombillas inteligentes. Ya se llega a ocho dispositivos antes de invitar a algún amigo. Utilice siempre por defecto una subred barra 24 por residente. El segundo detalle crítico es el aislamiento de clientes. Debe asegurarse de que el aislamiento de clientes esté desactivado dentro de la VLAN del residente. Si deja activado el aislamiento de clientes, romperá la funcionalidad de hogar inteligente para la que iPSK está diseñado. Los dispositivos con la misma clave no se comunicarán entre sí, y estará respondiendo a tickets de soporte técnico sobre Chromecast toda la semana. La tercera consideración es el roaming. Si un residente camina desde su piso en la cuarta planta hasta el gimnasio en la planta baja, su conexión debe mantenerse. Esto significa que su VLAN específica debe estar troncalizada hasta el punto de acceso del gimnasio, o bien debe canalizar el tráfico de vuelta a un controlador central. Este es un descuido común en los despliegues iniciales. Ahora, el gran dilema pendiente: WPA3 y la banda de 6 GHz. WiFi 6E y WiFi 7 exigen la seguridad WPA3 en la banda de 6 GHz. WPA3 sustituye el antiguo intercambio de cuatro vías por la Autenticación Simultánea de Iguales, o SAE. El problema es que el estándar IEEE 802.11 para SAE no admite actualmente varias contraseñas por SSID como lo hace WPA2. Este no es un problema de Cisco Meraki ni de Aruba. Es una limitación de toda la industria arraigada en el propio estándar IEEE. La mejor práctica actual es un enfoque híbrido. Mantenga un SSID iPSK WPA2 en las bandas de 2.4 y 5 GHz para dispositivos heredados y hardware IoT. Para la banda de 6 GHz, despliegue un SSID independiente utilizando 802.1X para puntos finales corporativos gestionados. También existe el desafío de la aleatorización de direcciones MAC. Apple iOS 14 y Android 10 introdujeron direcciones MAC aleatorias por red. En un despliegue iPSK basado en MAC, el punto de acceso envía la MAC aleatoria al servidor RADIUS. El servidor no la reconoce. La autenticación falla. El modo Easy PSK de Cisco Meraki resuelve esto en gran medida al autenticar mediante parámetros EAPOL en lugar de una búsqueda de MAC. Si utiliza Meraki y tiene clientes iOS o Android, use el modo Easy PSK. Dos escenarios del mundo real para concretar esto. Escenario uno: una promoción de Build-to-Rent de 350 unidades. El operador quería que los residentes recibieran sus credenciales de WiFi antes del día de la mudanza. La plataforma Multi-Tenant WiFi de Purple se integró con el sistema de gestión de la propiedad. Al firmar el contrato de alquiler, el PMS activó una llamada API a Purple, que generó una iPSK única y la aprovisionó automáticamente. El residente recibió su clave por correo electrónico. Entró el primer día, conectó todos sus dispositivos y la red ya estaba activa. Cuando se mudó, la clave se revocó automáticamente. Cero intervención manual por parte del equipo de instalaciones. El operador redujo las llamadas de soporte relacionadas con el WiFi en más de un 60% en comparación con su modelo anterior de contraseña compartida. Escenario dos: un hotel de 180 habitaciones. El hotel quería eliminar el inicio de sesión del Captive Portal del que los huéspedes se quejaban continuamente. Con iPSK, cada habitación recibía una clave única impresa en la tarjeta de acceso o enviada a través del correo electrónico de confirmación de la reserva. Los huéspedes se conectaban una vez. Su teléfono, tableta y ordenador portátil se unían automáticamente en las visitas posteriores dentro de la misma estancia. Los dispositivos IoT de la habitación estaban en una VLAN separada, aislada del tráfico de los huéspedes. Las claves se generaban al registrarse y se revocaban al salir, sin necesidad de realizar ningún paso manual en recepción. Pasemos ahora a las preguntas rápidas. ¿Puede funcionar iPSK sin Cisco ISE? Sí. Tanto FreeRADIUS como Microsoft NPS admiten el atributo Tunnel-Password que requiere iPSK. Purple actúa como servidor RADIUS, por lo que no necesita implementar ni gestionar su propia infraestructura RADIUS en absoluto. ¿Cumple iPSK con PCI-DSS? iPSK admite los requisitos de segmentación de red de PCI-DSS 4.0. Los entornos de datos de titulares de tarjetas deben estar aislados de las redes de huéspedes y de IoT. La capacidad de anulación de VLAN de iPSK es el mecanismo que logra esta segmentación. ¿Cuál es el caso comercial? Las investigaciones de la British Property Federation indican que el WiFi gestionado permite obtener un recargo de alquiler de entre 15 y 30 libras por unidad al mes en las promociones de Build-to-Rent del Reino Unido. También se elimina el periodo de inactividad de cinco a diez días mientras el residente espera a un ingeniero del ISP. En resumen: iPSK le ofrece una identidad por dispositivo en un único SSID, sin la complejidad de los certificados 802.1X y sin los fallos de seguridad de una contraseña compartida. Es el modelo adecuado para Build-to-Rent, hoteles, sector de retail y cualquier entorno multi-tenant en el que necesite aislar el tráfico, automatizar el ciclo de vida del acceso y admitir todos los tipos de dispositivos. Cinco reglas antes de terminar. Primera: si tiene más de 50 dispositivos o usuarios en un único SSID y necesita un control de acceso por dispositivo, iPSK es casi con toda seguridad el modelo adecuado. Segunda: planifique siempre su arquitectura VLAN antes de configurar iPSK. Tercera: si utiliza Cisco Meraki con clientes iOS o Android, utilice el modo Easy PSK. Cuarta: no implemente iPSK sin una capa de gestión del ciclo de vida. Quinta: planifique su migración a WPA3 ahora.La plataforma Multi-Tenant WiFi de Purple se encarga de la parte de automatización del ciclo de vida, conectando su sistema de gestión de propiedades o proveedor de identidad a su hardware, automatizando la provisión y revocación de claves a escala en más de 80.000 recintos activos y sumando. Si desea profundizar más, ya sea para una revisión de la arquitectura, un recorrido de configuración o un despliegue piloto, el enlace para hablar con nuestro equipo está en la guía. Gracias por su atención.