Saltar al contenido principal
Español

How to Set Up Enterprise WiFi on Android Devices with EAP-TLS

Esta guía de referencia técnica proporciona a los líderes de TI sénior un plan integral para implementar la autenticación 802.1X EAP-TLS en dispositivos Android. Cubre la mecánica de la arquitectura, las estrategias de implementación manuales y basadas en MDM, y las metodologías de resolución de problemas necesarias para proteger las redes inalámbricas empresariales.

📖 5 min de lectura📝 1,161 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Cómo configurar WiFi empresarial en dispositivos Android con EAP-TLS Una sesión técnica de Purple — Aproximadamente 10 minutos --- INTRODUCCIÓN Y CONTEXTO — aproximadamente 1 minuto Le damos la bienvenida a la serie de sesiones técnicas de Purple. Soy su anfitrión y hoy vamos a profundizar en los detalles de la implementación de la autenticación 802.1X EAP-TLS en dispositivos Android, ya sea que gestione un complejo hotelero, una cadena de tiendas, un estadio o un campus del sector público. Si es responsable de una red que necesita autenticar dispositivos Android corporativos o BYOD sin depender de contraseñas compartidas, este episodio es para usted. EAP-TLS es el estándar de oro para la seguridad de WiFi empresarial: utiliza autenticación mutua basada en certificados, lo que significa que no hay credenciales que puedan ser objeto de phishing, no hay contraseñas que rotar y ofrece una postura de cumplimiento que satisface PCI DSS, ISO 27001 y la mayoría de los marcos de seguridad del sector público. Al final de esta sesión, comprenderá exactamente cómo funciona EAP-TLS en Android, cuáles son sus opciones de implementación y los tres errores más comunes que provocan fallos en el despliegue. Comencemos. --- ANÁLISIS TÉCNICO DETALLADO — aproximadamente 5 minutos Comencemos con la arquitectura. 802.1X es el estándar IEEE que rige el control de acceso a la red basado en puertos. Cuando un dispositivo Android se conecta a una red WiFi empresarial (una configurada como WPA2-Enterprise o WPA3-Enterprise), el punto de acceso actúa como lo que se denomina un autenticador. No toma la decisión de autenticación por sí mismo; transmite la conversación entre el dispositivo y un servidor RADIUS, que es el servidor de autenticación real. EAP-TLS (Protocolo de autenticación extensible con seguridad de la capa de transporte) es el método de autenticación que se ejecuta dentro de ese marco 802.1X. Lo que lo diferencia de EAP-PEAP o EAP-TTLS, que utilizan nombre de usuario y contraseña dentro de un túnel TLS, es que EAP-TLS utiliza certificados X.509 en ambos lados. El servidor RADIUS presenta un certificado de servidor al dispositivo, y el dispositivo presenta un certificado de cliente de vuelta al servidor RADIUS. Ambas partes se validan mutuamente. Eso es autenticación mutua, y es lo que convierte a EAP-TLS en la opción más segura disponible. Ahora, específicamente en Android, hay algunas cosas que debe comprender. Android 11 y versiones posteriores introdujeron requisitos de validación de certificados más estrictos. Si está realizando la implementación en Android 11 o superior (que en este momento es la gran mayoría de su parque de dispositivos), el dispositivo se negará a conectarse a menos que el certificado del servidor RADIUS sea de confianza explícita. No puede confiar únicamente en el almacén de confianza del sistema; debe enviar el certificado de la CA raíz al dispositivo o configurar el perfil de WiFi para que haga referencia a él de forma explícita. Hablemos de la cadena de certificados. Necesita tres componentes listos antes de que un solo dispositivo Android pueda autenticarse a través de EAP-TLS. Primero, una Entidad de Certificación (CA), ya sea su PKI interna, Microsoft Active Directory Certificate Services o una PKI en la nube como SCEP a través de Intune. Segundo, un certificado de servidor emitido para su servidor RADIUS, firmado por esa CA. Tercero, un certificado de cliente único emitido para cada dispositivo o usuario, también firmado por la misma CA. El dispositivo presenta su certificado de cliente durante el protocolo de enlace TLS, y el servidor RADIUS lo valida contra la lista de revocación de certificados de la CA (CRL) o mediante OCSP (Protocolo de Estado de Certificados en Línea). Para Android, el certificado de cliente y la clave privada se empaquetan normalmente como un archivo PKCS12 (un archivo .P12 o .PFX) que contiene tanto el certificado como la clave privada cifrada. En un dispositivo configurado manualmente, el usuario importa este archivo a través de Ajustes, luego Seguridad y, por último, Instalar un certificado. En un dispositivo gestionado por MDM, el certificado se envía de forma silenciosa al almacén de claves gestionado del dispositivo, sin necesidad de interacción por parte del usuario. Ahora hablemos del perfil de WiFi en sí. Al configurar una conexión WiFi empresarial en Android, debe especificar: el SSID, el tipo de seguridad (WPA2-Enterprise o WPA3-Enterprise), el método EAP (que es TLS), el certificado de la CA para la validación del servidor, el certificado de cliente para la autenticación del dispositivo y la cadena de identidad, que suele ser el Nombre Común (CN) del dispositivo o el UPN del usuario. En Android 11 y versiones superiores, también debe especificar la coincidencia de sufijo de dominio o el asunto del certificado del servidor para evitar ataques de intermediario (man-in-the-middle). Para despliegues de MDM (y aquí es donde entra en juego la verdadera escalabilidad), todo esto se envía como un perfil de configuración estructurado. En Microsoft Intune, se crea un perfil de certificado SCEP que solicita e instala automáticamente un certificado de cliente único en cada dispositivo Android registrado. A continuación, se crea un perfil de configuración de WiFi que hace referencia a ese perfil de certificado. Cuando el dispositivo se conecta, recibe tanto el certificado como el perfil de WiFi, y se conecta a su red 802.1X de forma automática. Sin interacción del usuario, sin llamadas de soporte. Si utiliza Intune para esto, nuestra guía complementaria sobre cómo utilizar Microsoft Intune para enviar certificados WiFi a dispositivos detalla los pasos exactos de configuración; le recomiendo leerla junto con este informe. Para VMware Workspace ONE y Jamf Connect, el proceso es idéntico desde el punto de vista de la arquitectura: un perfil de certificado SCEP o PKCS, seguido de un perfil de WiFi que hace referencia a él. La interfaz de usuario específica varía, pero la cadena de certificados y los requisitos de configuración de RADIUS son los mismos. Un detalle que vale la pena destacar en lo que respecta a RADIUS: si utilizas FreeRADIUS, Microsoft NPS o Cisco ISE, asegúrate de que el certificado de tu servidor incluya los atributos correctos de Uso mejorado de clave (EKU); específicamente, Autenticación de servidor, OID 1.3.6.1.5.5.7.3.1. Android es muy estricto con esto. Un certificado que funciona perfectamente con clientes de Windows puede fallar en Android si el EKU falta o está mal configurado. --- RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES — aproximadamente 2 minutos Bien, hablemos de lo que suele fallar en la práctica, porque aquí es donde la mayoría de los despliegues encuentran problemas. El primer fallo y el más común es la confianza en el certificado. Android 11 y versiones superiores no se conectarán si no se puede validar la cadena de certificados del servidor RADIUS. La solución es sencilla: distribuye el certificado de tu CA raíz en el almacén de certificados de usuario del dispositivo a través de un MDM, y haz referencia a él de forma explícita en el campo de certificado de CA del perfil de WiFi. No lo dejes como "No validar"; eso es una brecha de seguridad y, de todos modos, fallará en algunas versiones de Android. El segundo error común es la caducidad de los certificados. Los certificados de cliente suelen tener un periodo de validez de uno a dos años. Si no dispones de una renovación automatizada a través de SCEP o NDES, te despertarás una mañana y descubrirás que la mitad de tus dispositivos han perdido el acceso a la WiFi simultáneamente. Integra la automatización de la renovación de certificados en el flujo de trabajo de tu MDM desde el primer día, no como una ocurrencia tardía. El tercer problema es la capacidad del servidor RADIUS. Los intercambios de señales (handshakes) de EAP-TLS son computacionalmente más costosos que los de PEAP debido al intercambio mutuo completo de certificados. En un estadio o centro de conferencias con miles de autenticaciones simultáneas, un servidor RADIUS infradimensionado se convertirá en un cuello de botella. Dimensiona tu infraestructura RADIUS para picos de autenticaciones concurrentes, no para la carga media. Por último, en lo que respecta a Android, ten en cuenta que los diferentes fabricantes (Samsung, Google, Xiaomi) tienen implementaciones ligeramente distintas de la API de configuración de WiFi. Prueba los perfiles distribuidos por MDM en dispositivos representativos de cada fabricante en tu parque antes de realizar un despliegue a gran escala. Los dispositivos Samsung, en particular, históricamente han requerido que el campo de identidad se configure de forma explícita, incluso cuando se puede deducir del certificado. --- PREGUNTAS Y RESPUESTAS RÁPIDAS — aproximadamente 1 minuto Algunas preguntas rápidas que me hacen con frecuencia. ¿Puedo usar EAP-TLS para dispositivos BYOD? Sí, pero requiere que el usuario instale un certificado de cliente en su dispositivo personal. Para BYOD a gran escala, evalúa si EAP-TTLS con PAP o PEAP-MSCHAPv2 es una solución de compromiso más práctica, reservando EAP-TLS para los dispositivos propiedad de la empresa. ¿Funciona EAP-TLS con WPA3-Enterprise? Sí, y de hecho WPA3-Enterprise con modo de 192 bits exige obligatoriamente EAP-TLS. Si vas a desplegar WPA3-Enterprise en entornos de alta seguridad, EAP-TLS es tu única opción compatible. ¿Cuál es la versión mínima de Android que debería tener como objetivo? Android 8 y versiones superiores son compatibles con EAP-TLS de forma nativa. Para Android 11 y versiones superiores, aplique la validación explícita del certificado de CA. Para Android 13 y versiones superiores, puede aprovechar las API de gestión de certificados mejoradas para un control más detallado. ¿Puede la plataforma de Purple integrarse con redes EAP-TLS? La plataforma de analítica y WiFi para invitados de Purple funciona en un SSID independiente de su red corporativa 802.1X. Sus dispositivos corporativos se autentican a través de EAP-TLS en el SSID seguro, mientras que los dispositivos de los invitados utilizan el Captive Portal de Purple en el SSID de invitados. Ambos coexisten en la misma infraestructura de puntos de acceso, con la separación de VLAN proporcionando el límite de seguridad. --- RESUMEN Y PRÓXIMOS PASOS — aproximadamente 1 minuto Para resumir: EAP-TLS en Android es el método de autenticación WiFi empresarial más seguro disponible y, con las herramientas de MDM modernas, es totalmente viable de implementar a escala. Los tres aspectos que debe asegurar son: una PKI correctamente configurada con renovación automática de certificados, la confianza explícita en el certificado de CA en Android 11 y versiones superiores, y una infraestructura RADIUS dimensionada para picos de carga. Si está realizando el despliegue en un espacio con tráfico mixto de corporativos e invitados, la plataforma de Purple le ofrece la capa de analítica e interacción en la red de invitados, mientras que su infraestructura EAP-TLS protege el lado corporativo. Ambos se complementan a la perfección. Como próximos pasos: revise nuestro diagrama de arquitectura en la guía completa, siga el tutorial de despliegue de Intune y realice un piloto en un subconjunto de dispositivos antes de implementarlo en todo su parque. Comience con un grupo controlado de cincuenta dispositivos, valide la entrega de certificados y la conectividad WiFi, y luego escale con total confianza. Gracias por escuchar el Informe Técnico de Purple. Encontrará la guía escrita completa, los diagramas y las referencias de configuración en purple.ai. Hasta la próxima.

header_image.png

Resumen Ejecutivo

Proteger las redes inalámbricas empresariales contra el robo de credenciales y el acceso no autorizado requiere ir más allá de las contraseñas compartidas. Para las flotas de dispositivos Android en entornos corporativos, 802.1X EAP-TLS (Protocolo de autenticación extensible con seguridad de la capa de transporte) representa el estándar de seguridad definitivo. Al aprovechar la autenticación mutua basada en certificados, EAP-TLS elimina los riesgos asociados con la fatiga de contraseñas, el phishing y las credenciales débiles.

Esta guía de referencia técnica proporciona a arquitectos de red, responsables de TI y CTO estrategias prácticas para implementar EAP-TLS en dispositivos Android. Ya sea para gestionar terminales de punto de venta en Retail , dispositivos clínicos en Healthcare o de operaciones internas en Hospitality , dominar esta implementación garantiza un sólido cumplimiento de la seguridad (PCI DSS, GDPR, ISO 27001) al tiempo que ofrece una experiencia de conexión fluida para los usuarios finales. Cubrimos tanto la configuración manual para entornos BYOD como el aprovisionamiento MDM zero-touch para flotas propiedad de la empresa.

Escuche la sesión informativa

Análisis técnico detallado

La arquitectura 802.1X y el funcionamiento de EAP-TLS

En su esencia, 802.1X es un estándar IEEE para el control de acceso a la red basado en puertos. En un contexto inalámbrico, el punto de acceso actúa como el autenticador, facilitando la comunicación entre el dispositivo Android (el suplicante) y el servidor RADIUS (el servidor de autenticación).

A diferencia de PEAP o TTLS, que canalizan la autenticación de contraseña heredada dentro de TLS, EAP-TLS se basa completamente en certificados X.509. Esto crea un paradigma de autenticación mutua:

  1. El servidor RADIUS presenta su certificado al dispositivo Android para demostrar que la red es legítima.
  2. El dispositivo Android presenta su certificado de cliente único al servidor RADIUS para demostrar que es un endpoint autorizado.

eap_tls_architecture_overview.png

Requisitos de certificado específicos de Android

La implementación en Android introduce limitaciones específicas, especialmente a partir de Android 11. Google dejó obsoleta la opción "No validar" para los certificados de servidor con el fin de mitigar los ataques de intermediario (MitM). En consecuencia, el dispositivo Android debe poseer el certificado de la CA raíz que firmó el certificado del servidor RADIUS.

Furthermore, the RADIUS server certificate must contain the correct Extended Key Usage (EKU) attributes—specifically Server Authentication (OID 1.3.6.1.5.5.7.3.1). Without this, the Android supplicant will silently drop the TLS handshake.

For the client side, Android requires the private key and certificate to be bundled, typically in a PKCS#12 format (.p12 or .pfx).

Integration with Purple's Ecosystem

While EAP-TLS secures your corporate devices and operational infrastructure, venue operators must also manage visitor access. This is where a dual-SSID strategy becomes critical. Your corporate SSID utilises 802.1X EAP-TLS, while your public SSID leverages Purple's Guest WiFi platform. This separation ensures operational security while allowing the marketing team to leverage WiFi Analytics on the guest network. For a broader view on securing the physical infrastructure, refer to Access Point Security: Your 2026 Enterprise Guide .

Implementation Guide

Deploying EAP-TLS on Android can be approached manually for small BYOD deployments or via Mobile Device Management (MDM) for enterprise scale.

mdm_deployment_comparison.png

Method 1: Manual Configuration (BYOD / Small Scale)

This method is support-intensive and only recommended for limited rollouts or testing.

  1. Certificate Delivery: Securely deliver the .p12 client certificate and the Root CA .cer file to the Android device (e.g., via secure portal or encrypted email).
  2. Installation:
    • Navigate to Settings > Security > Encryption & credentials > Install a certificate.
    • Install the Root CA as a "Wi-Fi certificate".
    • Install the .p12 file, providing the extraction password when prompted.
  3. Network Configuration:
    • Go to Settings > Network & internet > Wi-Fi and select "Add network".
    • Enter the SSID.
    • Set Security to WPA/WPA2/WPA3-Enterprise.
    • Set EAP method to TLS.
    • Set CA certificate to the installed Root CA.
    • Set Online Certificate Status to Request certificate status.
    • Set Domain to match the RADIUS server's certificate Subject Alternative Name (SAN).
    • Select the installed Client certificate.
    • Enter the Identity (usually the user's UPN or device MAC).

Method 2: MDM-Pushed Profile (Enterprise Scale)

For large estates, such as a university campus or a logistics hub in Transport , MDM is mandatory. This provides zero-touch provisioning and lifecycle management.

  1. PKI Integration: Connect your MDM (Intune, Workspace ONE, Jamf) to your Certificate Authority using SCEP or NDES.
  2. Perfil de certificado: cree un perfil de configuración para enviar la CA raíz al almacén de confianza del dispositivo. Cree un segundo perfil (SCEP) para solicitar e instalar automáticamente el certificado de cliente único.
  3. Perfil de WiFi: cree un perfil de configuración de Wi-Fi que vincule los certificados implementados.
    • Tipo de seguridad: WPA2/WPA3 Enterprise
    • Tipo de EAP: EAP-TLS
    • Método de autenticación: Certificado
    • Confianza del servidor: especifique la CA raíz y el nombre de dominio exacto del servidor.

Para obtener instrucciones detalladas específicas de Microsoft, consulte nuestra guía: Cómo usar Microsoft Intune para enviar certificados de WiFi a los dispositivos .

Buenas prácticas

  1. Forzar WPA3-Enterprise: siempre que el hardware lo admita, exija WPA3-Enterprise. El conjunto de seguridad de 192 bits requiere explícitamente EAP-TLS, lo que garantiza los estándares criptográficos más altos.
  2. Automatizar el ciclo de vida de los certificados: los certificados de cliente caducan. Si depende de renovaciones manuales, se enfrentará a interrupciones masivas del servicio. Implemente SCEP/NDES para renovar automáticamente los certificados 30 días antes de su vencimiento.
  3. Implementar un DNS robusto: las comprobaciones de la Lista de revocación de certificados (CRL) y OCSP requieren una resolución de DNS fiable desde el extremo. Obtenga más información en Proteja su red con un DNS sólido y seguridad .
  4. Segmentación de VLAN: asocie las sesiones autenticadas por EAP-TLS a VLAN específicas en función de los atributos del certificado (por ejemplo, separando los terminales de punto de venta de las tabletas de los gerentes) utilizando atributos RADIUS como Tunnel-Private-Group-Id.

Resolución de problemas y mitigación de riesgos

Cuando los dispositivos Android no logran conectarse a través de EAP-TLS, el problema casi siempre reside en la cadena de certificados o en la configuración de RADIUS.

  • Síntoma: los dispositivos Android 11+ se desconectan inmediatamente o muestran "Error de autenticación" sin preguntar al usuario.
    • Causa principal: el dispositivo no confía en el certificado del servidor RADIUS. El campo "Dominio" en el perfil de WiFi debe coincidir exactamente con el SAN del certificado del servidor, y la CA raíz debe estar instalada.
  • Síntoma: la conexión agota el tiempo de espera durante el protocolo de enlace TLS.
    • Causa principal: el servidor RADIUS no puede acceder al punto de distribución de la CRL para verificar el estado de revocación del certificado de cliente. Asegúrese de que su servidor RADIUS tenga acceso HTTP saliente a los endpoints de la CRL de su PKI.
  • Síntoma: los dispositivos Windows se conectan, pero los dispositivos Android fallan.
    • Causa principal: falta el EKU de Autenticación de servidor en el certificado RADIUS, o el suplicante de Android está intentando utilizar un conjunto de cifrado no compatible. Revise los registros de RADIUS para ver si hay fallos en la negociación TLS.

ROI e impacto empresarial

La transición a EAP-TLS requiere una inversión inicial en infraestructura de PKI y MDM, pero el retorno de la inversión es sustancial para los líderes de TI sénior.

  • Reducción de costes de Helpdesk: Los restablecimientos de contraseñas representan entre el 20% y el 30% de los tickets de soporte de TI. La autenticación basada en certificados elimina las políticas de rotación de contraseñas para el acceso a la red, reduciendo drásticamente los costes indirectos de soporte.
  • Mitigación de riesgos: EAP-TLS ofrece inmunidad contra la recopilación de credenciales y los ataques de diccionario fuera de línea. El coste de una sola brecha de seguridad en un sector regulado como el de la Sanidad supera con creces el coste de despliegue de una PKI.
  • Continuidad operativa: El aprovisionamiento automatizado de certificados garantiza que los dispositivos operativos críticos —desde escáneres de almacén hasta sistemas POS minoristas— nunca se desconecten de la red debido a credenciales caducadas. A medida que Purple sigue ampliando su alcance, como destacan movimientos estratégicos recientes como Purple Signals Higher Education Ambitions with Appointment of VP Education Tim Peers , una conectividad de base sólida se convierte en el facilitador de la analítica avanzada y el engagement.

Definiciones clave

802.1X

Un estándar IEEE para el Control de Acceso a Redes basado en puertos (PNAC) que proporciona un mecanismo de autenticación a los dispositivos que desean conectarse a una LAN o WLAN.

El marco fundamental que evita que dispositivos no autorizados accedan a la red corporativa en el extremo.

EAP-TLS

Protocolo de Autenticación Extensible con Seguridad en la Capa de Transporte. Un marco de autenticación que utiliza certificados X.509 para la autenticación mutua entre el cliente y el servidor.

Considerado el tipo de EAP más seguro, elimina la dependencia de las contraseñas, lo que lo hace esencial para entornos de alta seguridad.

RADIUS

Servicio de Usuario de Acceso Telefónico de Autenticación Remota. Un protocolo de red que proporciona una gestión centralizada de Autenticación, Autorización y Contabilidad (AAA).

El componente de servidor (por ejemplo, Cisco ISE, Microsoft NPS) que valida el certificado del dispositivo Android frente a la PKI.

Supplicant

El dispositivo cliente (en este caso, el smartphone o tablet Android) que solicita acceso a la red.

Comprender las limitaciones específicas del sistema operativo del supplicant (como la validación estricta de Android 11) es clave para una implementación exitosa.

Authenticator

El dispositivo de red (el punto de acceso WiFi) que facilita el proceso de autenticación entre el Supplicant y el servidor RADIUS.

El AP no toma la decisión; simplemente aplica el control de puertos basándose en la respuesta del servidor RADIUS.

PKI

Infraestructura de Clave Pública. Un conjunto de roles, políticas, hardware, software y procedimientos necesarios para crear, gestionar, distribuir, utilizar, almacenar y revocar certificados digitales.

La columna vertebral de EAP-TLS. Sin una PKI sólida, la autenticación basada en certificados es imposible.

SCEP

Protocolo Simple de Inscripción de Certificados. Un protocolo diseñado para hacer que la emisión y revocación de certificados digitales sea lo más escalable posible.

Utilizado por las plataformas MDM para aprovisionar automáticamente certificados de cliente en dispositivos Android sin intervención del usuario.

SAN

Nombre Alternativo del Sujeto. Una extensión de X.509 que permite asociar varios valores a un certificado de seguridad.

Android 11+ requiere que el campo 'Dominio' en el perfil WiFi coincida con el SAN del certificado del servidor RADIUS.

Ejemplos prácticos

Una cadena minorista nacional necesita implementar 5.000 tabletas de punto de venta (POS) basadas en Android. El equipo de seguridad exige que estos dispositivos no utilicen contraseñas compartidas y sean inmunes al phishing de credenciales. ¿Cómo debería abordar el equipo de infraestructura esta implementación?

El equipo debe implementar una solución de gestión de dispositivos móviles (MDM) integrada con su infraestructura de clave pública (PKI) interna a través de SCEP. El MDM enviará un perfil de configuración que contiene el certificado de la CA raíz, solicitará automáticamente un certificado de cliente único para cada tableta POS y configurará el perfil de WiFi WPA3-Enterprise para usar EAP-TLS. El servidor RADIUS se configurará para asignar estos dispositivos a una VLAN de POS aislada tras una validación de certificado exitosa.

Comentario del examinador: Este es el enfoque empresarial óptimo. Intentar la configuración manual para 5.000 dispositivos es inviable desde el punto de vista operativo. Al utilizar MDM y SCEP, la organización logra un aprovisionamiento sin intervención y la renovación automática de certificados, cumpliendo con el mandato de seguridad y minimizando la fricción en la implementación.

El responsable de TI de un hospital está actualizando la red inalámbrica. Tras la actualización, los dispositivos Android 9 más antiguos se conectan correctamente a la red EAP-TLS, pero los dispositivos Android 12 recién adquiridos no logran autenticarse, mostrando un error de confianza.

El responsable de TI debe actualizar el perfil de configuración de WiFi enviado a los dispositivos. Android 11+ impone una validación estricta del certificado del servidor. El perfil debe actualizarse para definir explícitamente el certificado de la CA raíz en el que confiar y especificar el "Dominio" exacto (que coincida con el SAN del servidor RADIUS) para evitar ataques MitM.

Comentario del examinador: Esto resalta un cambio crítico a nivel de sistema operativo en el comportamiento del suplicante de Android. Las configuraciones heredadas de "No validar" representan un riesgo de seguridad significativo y están totalmente obsoletas en las versiones modernas de Android. La solución identifica correctamente la necesidad de una configuración de confianza explícita.

Preguntas de práctica

Q1. Su organización está migrando de PEAP-MSCHAPv2 a EAP-TLS. Durante la fase piloto, varios dispositivos Android 13 no logran conectarse. Los registros de RADIUS muestran que el protocolo de enlace TLS se inicia pero el cliente lo interrumpe antes de que se envíe el certificado de cliente. ¿Cuál es el error de configuración más probable?

Sugerencia: Considere los estrictos requisitos de validación introducidos en las versiones recientes de Android con respecto a la identidad del servidor.

Ver respuesta modelo

El error más probable es que el perfil de WiFi enviado a los dispositivos Android 13 no especifica correctamente la coincidencia del sufijo de "Dominio", o la CA raíz no está vinculada correctamente en el perfil. Android interrumpe la conexión para evitar un ataque de Man-in-the-Middle porque no puede validar el certificado del servidor RADIUS.

Q2. Está diseñando la arquitectura para el despliegue en un gran estadio. El cliente desea utilizar EAP-TLS para todos los dispositivos del personal. ¿Qué componente de infraestructura específico debe dimensionarse al alza en comparación con una red WPA2-PSK estándar y por qué?

Sugerencia: EAP-TLS implica operaciones criptográficas complejas durante la fase de conexión.

Ver respuesta modelo

La infraestructura del servidor RADIUS debe dimensionarse al alza de forma significativa. EAP-TLS requiere una validación mutua completa de certificados (criptografía asimétrica), lo cual es computacionalmente costoso. En el entorno de un estadio con miles de dispositivos que potencialmente realizan roaming o se autentican simultáneamente, un despliegue de RADIUS de tamaño insuficiente provocará tiempos de espera de autenticación y fallos de conexión.

Q3. Un certificado de cliente se ve comprometido en una tableta Android extraviada. ¿Cuál es el mecanismo exacto mediante el cual la red impide que este dispositivo se conecte a través de EAP-TLS?

Sugerencia: ¿Cómo sabe el servidor RADIUS que el certificado ya no es válido antes de su fecha de caducidad?

Ver respuesta modelo

El administrador de TI revoca el certificado de cliente en la PKI. La PKI actualiza su Lista de Revocación de Certificados (CRL) o el respondedor OCSP. Cuando la tableta extraviada intenta conectarse, el servidor RADIUS comprueba el certificado de cliente con la CRL/OCSP. Al ver que está revocado, el servidor RADIUS rechaza la solicitud de autenticación.

Continúe leyendo esta serie

PSK por dispositivo según el fabricante: comparación de iPSK, DPSK, MPSK y PPSK (y compatibilidad con WPA3)

Una comparación exhaustiva de las implementaciones de PSK por dispositivo en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet y Ubiquiti UniFi. Descubra cómo afecta WPA3-SAE a las estrategias de claves por dispositivo y cuándo implementar modos de transición en lugar de migrar a 802.1X.

Leer la guía →

Comparativa de métodos de autenticación de Captive Portal

Esta guía de referencia técnica autorizada evalúa las ventajas y desventajas arquitectónicas, operativas y de cumplimiento de cinco métodos principales de autenticación de Captive Portal. Proporciona a los arquitectos de red, directores de TI y directores de marketing los datos cuantitativos y los marcos de decisión necesarios para equilibrar la fricción en el registro de invitados con los requisitos de recopilación de datos en los recintos empresariales.

Leer la guía →

¿Qué es la autenticación por dirección MAC? Cuándo usarla y cuándo evitarla

Esta guía de referencia técnica autorizada aborda la autenticación por dirección MAC en entornos WiFi empresariales: cómo funciona la autenticación MAC basada en RADIUS en la Capa 2, sus vulnerabilidades de seguridad inherentes (incluido el spoofing de MAC y el impacto de la aleatorización de MAC a nivel de sistema operativo) y los contextos operativos precisos donde sigue siendo una herramienta válida para gestionar dispositivos IoT y headless. Proporciona orientación de despliegue práctica para responsables de TI y arquitectos de red en sectores como hostelería, retail, sanidad y espacios públicos, con ejemplos prácticos reales, marcos de decisión y contexto de integración para la plataforma de analítica y WiFi de invitados de Purple.

Leer la guía →