PPSK en la práctica: comparación de funciones y modelos de implementación

Bienvenido a la serie técnica de Purple WiFi. Hoy analizamos el ciclo de vida de PPSK (Private Pre-Shared Key), comparando sus características y modelos de despliegue para promotores inmobiliarios, propietarios y operadores de Build-to-Rent (BTR). Comencemos con un poco de contexto. Si gestiona un edificio residencial (ya sea una promoción de 50 viviendas BTR, una residencia de estudiantes o un espacio de co-living), es casi seguro que se haya topado con el mismo problema de WiFi: una única contraseña compartida para todo el edificio. Alguien se muda, usted cambia la clave y, de repente, 200 residentes no pueden conectar sus dispositivos. O peor aún, no la cambia y su exinquilino sigue teniendo acceso. El estándar PSK (Pre-Shared Key) nunca se diseñó para esto. Se concibió para un hogar de cuatro personas que confían entre sí; no para un edificio de 300 residentes que no se conocen. Entonces, ¿qué es PPSK? Private Pre-Shared Key proporciona a cada residente, o a cada dispositivo, su propia contraseña de WiFi única. Todos se conectan al mismo nombre de red (el mismo SSID), pero cada clave es exclusiva de ese residente. Cuando el residente A se conecta, la red sabe quién es. Cuando se muda, se revoca su clave. Nadie más se ve afectado. Ningún otro residente tiene que volver a conectar un solo dispositivo. Ahora bien, quizás esté pensando: ¿no es eso exactamente lo que hace 802.1X? Y tendría parte de razón. El estándar de autenticación empresarial IEEE 802.1X también proporciona credenciales individuales, pero requiere una infraestructura de certificados, un servidor RADIUS y la configuración del suplicante en el lado del cliente. Los dispositivos Chromecast, las consolas PlayStation y los termostatos inteligentes de sus residentes no admiten 802.1X porque no disponen del software necesario para ello. PPSK funciona con todos los dispositivos que pueden conectarse a una WiFi, ya que, desde la perspectiva del dispositivo, solo hay que introducir una contraseña. Esta es la clave de la vida con PPSK: obtiene una responsabilidad individual (el beneficio de seguridad de 802.1X) sin la sobrecarga de infraestructura ni los quebraderos de cabeza por la compatibilidad de los dispositivos. Hablemos ahora del panorama de los distintos fabricantes, ya que la terminología varía. Aruba lo llama MPSK (Multi-PSK). Cisco Meraki lo llama iPSK (Identity PSK) y recientemente ha añadido WiFi Personal Network sobre esta base. Ruckus lo denomina DPSK (Dynamic PSK). Extreme Networks, pionera en esta tecnología, lo llama PPSK. Juniper Mist utiliza ePSK. El concepto subyacente es idéntico en todos ellos: un único SSID, muchas claves y aislamiento por usuario. En Purple, nos situamos por encima de todo esto como una capa en la nube independiente del hardware. Funcionamos con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. Gestionamos el ciclo de vida de las claves (aprovisionamiento, rotación y revocación), independientemente de los puntos de acceso que estén instalados en el techo.Hablemos de la arquitectura. En un despliegue PPSK, el punto de acceso - o el controlador que hay detrás - mantiene una tabla que asocia cada clave a una VLAN. Cuando un dispositivo se conecta con la clave del residente A, el AP asigna ese dispositivo a la VLAN del residente A. Los dispositivos del residente B acaban en la VLAN del residente B. En la Capa 2, son completamente invisibles entre sí. Esto es lo que llamamos la burbuja WiFi. Cada residente dispone de una red de área privada - su propia red doméstica lógica - a pesar de compartir la infraestructura física. Su teléfono detecta su Chromecast. Su altavoz inteligente se vincula con sus bombillas. Su consola obtiene un tipo de NAT Abierto. Funciona exactamente igual que un router doméstico porque, desde la perspectiva de la red, es un router doméstico - solo que virtual. El servidor RADIUS es opcional en las implementaciones de algunos fabricantes para despliegues más pequeños, pero para cualquier instalación que supere unas pocas docenas de unidades, es recomendable incluir RADIUS en el flujo. Esto proporciona un registro centralizado, asignación dinámica de VLAN y la capacidad de integración con su proveedor de identidad - Microsoft Entra ID, Okta o Google Workspace. Purple ofrece RADIUS-as-a-Service como parte de la plataforma, por lo que no es necesario administrar un servidor propio. Ahora bien, WPA3 añade otro nivel aquí. WPA3-Personal introdujo SAE - Simultaneous Authentication of Equals -, que sustituye al antiguo protocolo de enlace de 4 vías. SAE es resistente a los ataques de diccionario fuera de línea, lo que significa que incluso si alguien captura el protocolo de enlace, no puede descifrar la clave por fuerza bruta de forma desconectada. Para los despliegues PPSK, el modo de transición WPA3 - que admite clientes WPA2 y WPA3 simultáneamente - es el punto de partida idóneo para 2025 en adelante. La mayoría de los puntos de acceso de Cisco Meraki, HPE Aruba y Ruckus ya lo admiten en la actualidad. Analicemos dos escenarios de despliegue reales, ya que la teoría solo sirve hasta cierto punto. Primer escenario: una promoción de 200 viviendas de alquiler residencial en Manchester. El promotor está precableando el edificio con puntos de acceso de HPE Aruba - uno por planta, montado en el pasillo. Quiere que los residentes dispongan de WiFi desde el primer día de su contrato, sin esperas de banda ancha, y quiere cobrar un extra por el servicio como parte del paquete de servicios adicionales del edificio. La arquitectura aquí es sencilla. Un único SSID en todo el edificio - llamémosle por el nombre del edificio. Purple proporciona una clave MPSK única para cada vivienda durante el proceso de incorporación previo al inicio del alquiler. El residente recibe su clave por correo electrónico antes de mudarse. Al llegar, conecta su teléfono y todos los demás dispositivos que añada utilizarán la misma clave. Su Chromecast funciona. Su Alexa funciona. Su PlayStation obtiene un tipo de NAT Abierto. Cuando se mudan, el sistema de gestión de la propiedad activa un webhook hacia la API de Purple. Purple revoca la clave. El siguiente residente recibe una clave nueva. Nadie más en el edificio se ve afectado. Todo el ciclo de vida - aprovisionamiento, rotación y revocación - está automatizado. El administrador de la propiedad no tiene que tocar la red. El resultado comercial: un estudio de la British Property Federation muestra que los operadores de BTR obtienen una prima de alquiler de entre quince y treinta libras por unidad al mes cuando el WiFi se incluye como servicio gestionado. Los periodos de inactividad se reducen de cinco a diez días porque la conectividad en el día de mudanza está garantizada. Y el coste por puerta de una superposición de software en el hardware propio suele ser entre un treinta y un cincuenta por ciento inferior al de los contratos de banda ancha por unidad. Segundo escenario: una residencia de estudiantes de 600 plazas. El reto aquí es la semana de incorporación: la primera semana de septiembre, cuando llegan seiscientos estudiantes simultáneamente, cada uno con una media de siete dispositivos. Portátiles, teléfonos, tabletas, consolas, altavoces inteligentes. Eso son más de cuatro mil dispositivos intentando conectarse en 48 horas. Con una configuración PSK estándar, esto es una pesadilla de soporte. Con PPSK, cada estudiante recibe su clave en el correo electrónico de bienvenida antes de su llegada. Llegan, se conectan una vez y todos sus dispositivos están en su segmento privado. La consola de videojuegos obtiene el tipo de NAT correcto. La televisión inteligente transmite sin almacenamiento en búfer. El portátil se conecta a la VPN de la universidad sin interferencias del tráfico de otros residentes. La diferencia operativa clave con respecto al BTR es la rotación anual del grupo. Cada agosto, se aprovisionan de forma masiva nuevas claves para el grupo entrante y se revocan de forma masiva las claves del grupo saliente. Purple gestiona esto mediante la integración SCIM con el sistema de gestión de estudiantes, o mediante una importación de CSV si el sistema no admite SCIM. De cualquier forma, es una operación programada, no manual. Ahora permítame cubrir los problemas de implementación, porque hay algunos que suelen pillar a la gente desprevenida. Primero: agotamiento de VLAN. Cada segmento de residente necesita su propia VLAN. Un edificio de 500 unidades necesita 500 VLAN. La mayoría de los switches empresariales admiten 4.096 VLAN según el estándar 802.1X, por lo que es poco probable que alcance el límite, pero debe planificar su rango de VLAN en la fase de diseño. No lo deje para el final. Segundo: mDNS y detección de dispositivos. Por defecto, mDNS - el protocolo que utilizan Chromecast, AirPlay y Sonos para descubrir dispositivos - no cruza los límites de la VLAN. Necesita tener configurada la reflexión o el proxy mDNS en su controlador o puerta de enlace para permitir la detección dentro de la VLAN de un residente mientras se bloquea entre VLAN. Todos los principales proveedores lo admiten, pero no siempre está activado por defecto. Compruébelo antes de la puesta en marcha. Tercero: aleatorización de direcciones MAC. Los dispositivos iOS y Android modernos aleatorizan su dirección MAC por red para proteger la privacidad. Esto rompe cualquier flujo de autenticación o registro de dispositivos basado en MAC. PPSK evita esto por completo - la autenticación se basa en claves, no en MAC - pero si tiene configuradas reglas de filtrado MAC complementarias, debe tener en cuenta la aleatorización.Cuarto: longitud y complejidad de la clave. Las claves PPSK deben tener al menos 20 caracteres, generarse de forma aleatoria y no reutilizarse nunca entre residentes. Una clave débil debilita todo el modelo de aislamiento. Purple genera claves criptográficamente aleatorias de forma predeterminada. Si genera las claves manualmente o mediante una integración con el sistema de gestión de propiedades, aplique una longitud mínima en su flujo de trabajo de aprovisionamiento. Quinto: el flujo de incorporación de IoT. Los dispositivos domésticos inteligentes (termostatos, cerraduras de puertas, enchufes inteligentes) suelen utilizar un modo de configuración por Bluetooth o WiFi temporal antes de unirse a la red principal. Las instrucciones de incorporación para los residentes deben tener esto en cuenta. El dispositivo debe unirse a la red PPSK del residente, no a la red de gestión del edificio. Una guía de configuración clara e ilustrada reduce significativamente los tickets de soporte. Hagamos una sesión rápida de preguntas y respuestas para abordar las dudas más comunes. Pregunta: ¿Necesito un servidor RADIUS para PPSK? Respuesta: Depende de la escala y del fabricante. El iPSK de Cisco Meraki admite hasta 50 claves sin RADIUS, pero escala hasta 5000 con RADIUS a través de WiFi Personal Network. El MPSK de Aruba requiere RADIUS para la asignación dinámica de VLAN. Para cualquier despliegue de más de 50 unidades, utilice RADIUS. Purple ofrece RADIUS-as-a-Service, por lo que no es necesario que ejecute el suyo propio. Pregunta: ¿Pueden los residentes usar PPSK en todos sus dispositivos, incluidas videoconsolas y televisores inteligentes? Respuesta: Sí. Esa es la principal ventaja frente a 802.1X. Cualquier dispositivo que admita WPA2-Personal (es decir, todos los dispositivos WiFi fabricados en los últimos 15 años) funciona con PPSK. Sin certificados, sin configuración de suplicante, sin Captive Portal. Solo una contraseña. Pregunta: ¿Qué ocurre si un residente pierde su clave o tiene un teléfono nuevo? Respuesta: Solicita una nueva clave a través del portal o la aplicación para residentes. Purple emite una nueva clave y la antigua puede revocarse de forma opcional. La nueva clave funciona en todos sus dispositivos. Se trata de un flujo de autoservicio que no requiere la intervención del departamento de TI. Pregunta: ¿Cumple PPSK con el GDPR? Respuesta: PPSK en sí es un mecanismo de acceso a la red, no una herramienta de recopilación de datos. El cumplimiento del GDPR depende de qué datos recopile y de cómo los procese. Purple cuenta con las certificaciones GDPR e ISO 27001. Los registros de WiFi de los residentes deben conservarse únicamente durante el tiempo que sea operativamente necesario (seis meses es un límite habitual). Las analíticas agregadas suelen ser correctas; el seguimiento del comportamiento individual dentro de la vivienda de un residente, no. Pregunta: ¿Cómo se compara PPSK con Passpoint y OpenRoaming? Respuesta: Casos de uso diferentes. Passpoint (también conocido como Hotspot 2.0) está diseñado para un roaming fluido entre recintos y operadores. OpenRoaming se basa en Passpoint para el roaming global. PPSK es para el acceso persistente y basado en la identidad dentro de una única propiedad o finca. Son complementarios, no de la competencia. Un desarrollo de BTR podría utilizar PPSK para los residentes y Passpoint para el acceso de visitantes en las zonas comunes. Permítanme concluir con las ideas clave. Uno: PPSK es el modelo de autenticación adecuado para WiFi residencial multi-inquilino. Le ofrece aislamiento por residente, compatibilidad con IoT y gestión automatizada del ciclo de vida - sin la infraestructura de certificados de 802.1X. Dos: la terminología de los proveedores varía - iPSK, MPSK, DPSK, ePSK - pero el concepto es idéntico. Elija su hardware en función de los requisitos de su edificio y utilice una solución superpuesta e independiente del hardware como Purple para gestionar el ciclo de vida en cualquier proveedor. Tres: planifique su rango de VLAN, la reflexión mDNS y el flujo de incorporación de IoT antes de la puesta en marcha. Estas son las tres fuentes más comunes de tickets de soporte post-despliegue. Cuatro: PPSK ofrece un retorno comercial medible. De quince a treinta libras por unidad al mes en primas de alquiler BTR, periodos de desocupación entre cinco y diez días más cortos y un coste por puerta entre un treinta y un cincuenta por ciento menor en comparación con los contratos de banda ancha por unidad. Cinco: el modo de transición WPA3 es el objetivo adecuado para los nuevos despliegues en 2025 y años posteriores. Soporta clientes WPA2 y WPA3, y la protección SAE refuerza significativamente las claves frente a ataques sin conexión. Si desea profundizar más, la guía de WiFi multi-inquilino de Purple cubre el dimensionamiento de subredes, la planificación del rango DHCP y los modelos de despliegue específicos del sector para BTR, alojamiento de estudiantes, vivienda social y coworking. También dispone de una herramienta gratuita de diseño de subredes iPSK en el sitio web de Purple. Gracias por escucharnos. Si tiene alguna pregunta, hable con uno de nuestros arquitectos de red en purple dot ai. Hasta la próxima.