Implementación de WPA3-Enterprise para una seguridad inalámbrica mejorada

Implementación de WPA3-Enterprise para una seguridad inalámbrica mejorada. Un informe de inteligencia de Purple WiFi. Bienvenido a la serie de informes técnicos de Purple. Hoy vamos directos a lo que importa: WPA3-Enterprise — qué significa realmente para su red, por qué el momento actual es crítico y cómo pasar de su situación actual a una infraestructura inalámbrica totalmente conforme y preparada para el futuro. Si gestiona un grupo hotelero, una red de tiendas, un centro de conferencias o una instalación del sector público, este informe es para usted. No nos vamos a perder en teorías académicas. Vamos a hablar de decisiones reales, configuraciones reales y resultados reales. WPA3-Enterprise pasó a ser un requisito obligatorio para los dispositivos Wi-Fi CERTIFIED en 2020 y, sin embargo, la mayoría de los entornos empresariales siguen funcionando con WPA2. Esa brecha es su exposición al riesgo. La norma PCI DSS 4.0, que entró en vigor en su totalidad en marzo de 2024, hace referencia explícita a estándares de autenticación más sólidos. Las obligaciones del GDPR en torno a la protección de datos por diseño se interpretan cada vez más en el sentido de incluir la seguridad a nivel de red. El plazo para considerar WPA3 como algo "deseable" se ha cerrado. Entremos en materia. ¿Qué cambia realmente con WPA3-Enterprise? Empecemos por la capa de autenticación. WPA2-Enterprise se basa en IEEE 802.1X con EAP —Protocolo de Autenticación Extensible— y esa parte no cambia con WPA3. Lo que cambia es todo lo que lo rodea. El saludo (handshake), el cifrado y la protección de las tramas de gestión. Bajo WPA2, el saludo de cuatro vías utilizado para derivar las claves de sesión es vulnerable a ataques de diccionario sin conexión. Un atacante captura el saludo, lo procesa sin conexión y lo ejecuta contra una lista de palabras. Esta es la base del ataque KRACK —Key Reinstallation Attack— revelado en 2017. WPA3 sustituye esto por SAE —Simultaneous Authentication of Equals—, que es un intercambio de claves basado en Diffie-Hellman. La diferencia fundamental es que SAE proporciona secreto perfecto hacia adelante (forward secrecy). Incluso si un atacante captura cada paquete de una sesión y posteriormente compromete una clave a largo plazo, no puede descifrar retroactivamente esa sesión. Cada sesión tiene sus propias claves efímeras. En el lado del cifrado, WPA2 utiliza CCMP-128 —Counter Mode with Cipher Block Chaining Message Authentication Code Protocol— basado en AES-128. WPA3-Enterprise exige GCMP-256 —Galois Counter Mode Protocol con claves de 256 bits— para su modo de seguridad de 192 bits. Este es el modo que desea para cualquier entorno que maneje datos sensibles: historiales médicos, datos de tarjetas de pago, información gubernamental. Por último, están las Tramas de Gestión Protegidas —PMF— definidas bajo IEEE 802.11w. Bajo WPA2, PMF es opcional. Bajo WPA3, es obligatorio. Las tramas de gestión son las señales de control que gestionan la asociación, desasociación y autenticación entre los clientes y los puntos de acceso. Sin PMF, un atacante puede falsificar tramas de desautenticación —forzando a los clientes a salir de la red— como un ataque de denegación de servicio o como paso previo a un ataque de intermediario (man-in-the-middle). La obligatoriedad de PMF cierra por completo ese vector.Ahora, la configuración del servidor RADIUS. Aquí es donde la mayoría de las implementaciones tienen éxito o se estancan. Su servidor RADIUS — ya sea Microsoft NPS, FreeRADIUS, Cisco ISE o Aruba ClearPass — debe estar configurado para admitir EAP-TLS como método de autenticación principal para WPA3-Enterprise. EAP-TLS utiliza autenticación mutua basada en certificados. El cliente presenta un certificado, el servidor presenta un certificado y ambos se validan mutuamente. No hay contraseñas en este intercambio. Esto elimina por completo los ataques basados en credenciales. La infraestructura de certificados — su PKI — es la columna vertebral de esto. Necesita una Entidad de Certificación (CA), ya sea interna mediante Microsoft Active Directory Certificate Services, o un servicio PKI basado en la nube. Cada dispositivo cliente necesita tener un certificado inscrito, normalmente a través de su plataforma MDM — Intune, Jamf o similar. El servidor RADIUS necesita su propio certificado de servidor de una CA en la que confíen sus clientes. Y necesita un punto de conexión OCSP o CRL para que los clientes puedan validar la revocación de certificados en tiempo real. Para entornos donde EAP-TLS completo no es viable de inmediato — tal vez porque tiene una combinación de dispositivos gestionados y no gestionados —, EAP-TTLS o PEAP con MSCHAPv2 siguen siendo una opción como medida de transición. Pero quiero ser directo: los métodos EAP basados en credenciales son un trampolín, no un destino. La postura de seguridad de EAP-TLS es categóricamente superior, y su hoja de ruta debería apuntar a ella. Una cosa más en el aspecto técnico: el modo de transición. La mayoría de los controladores inalámbricos modernos admiten el modo de transición WPA3, que permite que los clientes WPA2 y WPA3 se asocien al mismo SSID simultáneamente. Esta es su ruta de migración. Habilita el modo de transición, valida que los clientes WPA3 se estén autenticando correctamente, supervisa sus registros y luego — una vez que tenga confianza en el parque de clientes — pasa a WPA3-only. No intente realizar un cambio drástico el primer día. El modo de transición existe precisamente para evitar ese riesgo. Ahora permítame presentarle los tres modos de fallo más comunes que veo en las implementaciones de WPA3-Enterprise y cómo evitarlos. Primero: la gestión del ciclo de vida de los certificados. Las organizaciones implementan PKI, emiten certificados y luego olvidan que los certificados caducan. La caducidad de un certificado en su servidor RADIUS anulará la autenticación de cada uno de los clientes de su red simultáneamente. Necesita una renovación automatizada, alertas de supervisión a los 90, 60 y 30 días antes de la caducidad, y un manual de procedimientos de renovación probado. Esto no es opcional. He visto a grandes grupos hoteleros perder todo el acceso inalámbrico corporativo porque un certificado RADIUS caducó durante un fin de semana festivo. Segundo: supuestos de compatibilidad de clientes. No todos los dispositivos de su parque serán compatibles con WPA3. Los dispositivos IoT heredados (sistemas de gestión de edificios, terminales de punto de venta más antiguos, algunos sistemas de CCTV) pueden admitir únicamente WPA2 o incluso WPA. La solución es la segmentación de la red. Coloque sus dispositivos corporativos compatibles con WPA3 en un SSID exclusivo para WPA3. Coloque su IoT heredado en una VLAN independiente y aislada con WPA2, con reglas de firewall estrictas que impidan el movimiento lateral. No comprometa la postura de seguridad de su red principal para dar cabida a dispositivos heredados. Tercero: redundancia del servidor RADIUS. Un único servidor RADIUS es un punto único de fallo. En un despliegue multisitio (una cadena minorista con 200 tiendas, por ejemplo), necesita como mínimo un servidor RADIUS primario y otro secundario, con conmutación por error configurada a nivel de controlador inalámbrico. Pruebe su conmutación por error. Pruébela activamente. Simule un fallo del RADIUS primario en una ventana de mantenimiento y confirme que los clientes se autentican en el secundario dentro de su umbral de tiempo de espera aceptable. Específicamente para entornos de hostelería (cualquiera que gestione una plataforma de WiFi para invitados), se enfrenta a un doble desafío de red. Su red corporativa transporta los dispositivos del personal y los sistemas de back-office, y debería ser WPA3-Enterprise con EAP-TLS. Su red de invitados es un problema totalmente diferente, que normalmente se gestiona a través de un Captive Portal con autenticación social o por correo electrónico. Se trata de SSIDs independientes, VLANs independientes y políticas de seguridad independientes. No los mezcle. Algunas preguntas que me hacen con frecuencia. ¿Necesito puntos de acceso nuevos? Probablemente no. La mayoría de los puntos de acceso fabricados después de 2019 admiten WPA3 mediante una actualización de firmware. Consulte las notas de la versión de su proveedor. Ruckus, Cisco Meraki, Aruba y Ubiquiti ofrecen soporte para WPA3 en sus firmwares actuales. ¿Cuánto tiempo requiere un despliegue completo? Para un parque minorista de 50 centros con un MDM y Active Directory existentes, presupueste de 12 a 16 semanas. La creación de la PKI y la distribución de certificados es la tarea que más tiempo consume. ¿Cuánto cuesta esto? Es probable que ya disponga de los componentes de infraestructura (RADIUS, PKI, MDM). El coste incremental corresponde a los servicios profesionales de configuración y pruebas, además de cualquier coste de firmware o sustitución de puntos de acceso. Para la mayoría de las organizaciones, la mitigación del riesgo de cumplimiento normativo justifica por sí sola la inversión. ¿Afecta WPA3 al rendimiento? De forma insignificante. GCMP-256 es eficiente desde el punto de vista computacional. En la práctica, no notará ninguna diferencia de rendimiento en el hardware moderno. Para concluir: WPA3-Enterprise no es una consideración de futuro. Es un requisito actual para cualquier organización que se tome en serio la seguridad de la red, el cumplimiento normativo y la protección de los datos de las personas que utilizan sus instalaciones. Sus próximos pasos inmediatos: audite las versiones de firmware de sus puntos de acceso actuales y confirme la compatibilidad con WPA3. Evalúe su preparación para la PKI: ¿dispone de una CA interna o necesita crear una? Revise la configuración y la redundancia de su servidor RADIUS. Y mapee su parque de dispositivos cliente para identificar cualquier dispositivo heredado que deba ser segmentado. La plataforma de Purple se integra directamente con su infraestructura inalámbrica para proporcionar la capa de análisis y gestión sobre la base de su red segura. Ya sea que gestione un grupo hotelero, una cadena de tiendas o un recinto público, la combinación de WPA3-Enterprise para su red corporativa y una capa de guest WiFi debidamente protegida le ofrece tanto la postura de seguridad como la inteligencia de datos que su negocio necesita. Gracias por escucharnos. Si desea profundizar en alguno de estos temas (autenticación por certificados, configuración de RADIUS o arquitectura de redes de invitados), la guía escrita completa está disponible en el sitio web de Purple, junto con nuestra biblioteca más amplia de material de referencia técnica. Hasta la próxima.