Las ventajas de seguridad de RADIUS as a Service para plantillas híbridas

Esta guía técnica de referencia explica cómo RADIUS as a Service protege el acceso a la red para plantillas híbridas en centros distribuidos. Abarca la arquitectura, las ventajas de seguridad y los pasos de implementación para sustituir la infraestructura RADIUS local por un servicio de autenticación gestionado en la nube. Diseñada para responsables de TI y arquitectos de redes de hoteles, cadenas de tiendas, estadios y organismos del sector público, esta guía aporta los argumentos necesarios para evaluar y ejecutar la migración a un RADIUS en la nube este trimestre.

📖 9 min de lectura📝 2,171 palabras🔧 2 ejemplos prácticos❓ 3 preguntas de práctica📚 9 definiciones clave

Escuchar esta guía

Ver transcripción del podcast

Le damos la bienvenida a esta sesión técnica de Purple. Soy su anfitrión y hoy analizaremos un cambio crítico en la arquitectura de redes empresariales: la migración de servidores RADIUS locales a RADIUS as a Service. Si gestiona el departamento de TI de un grupo hotelero, una cadena minorista, un estadio o cualquier gran recinto público, sabrá que proteger el acceso a la red para una plantilla híbrida ya no es una preocupación secundaria. Es un aspecto central para su seguridad operativa, su cumplimiento normativo y, sinceramente, para su tranquilidad.

Hoy abordaremos cinco áreas. Primero, el contexto: por qué la infraestructura RADIUS local tradicional tiene dificultades para seguir el ritmo del trabajo híbrido. Segundo, la arquitectura técnica de RADIUS as a Service y cómo funciona realmente. Tercero, los beneficios específicos de seguridad que obtendrá. Cuarto, una guía práctica de implementación y los errores que debe evitar. Y quinto, una sección rápida de preguntas y respuestas que cubre las dudas que escuchamos con más frecuencia de los responsables de TI y arquitectos de red.

Comencemos con el contexto. Durante dos décadas, la autenticación 802.1X ha dependido de servidores físicos que ejecutaban FreeRADIUS en Linux, Microsoft Network Policy Server en Windows o Cisco Identity Services Engine en hardware dedicado. Estos sistemas funcionaban. Siguen funcionando. Pero requieren una atención constante. Había que parchear sistemas operativos, gestionar cadenas de certificados, configurar la alta disponibilidad manualmente y crear redundancia en múltiples servidores. En un mundo donde los trabajadores se mueven constantemente entre la oficina, ubicaciones remotas, habitaciones de hotel y las sedes de los clientes, esa infraestructura estática y local se convierte en un verdadero inconveniente.

El problema se ve agravado por la migración a los proveedores de identidad en la nube. Microsoft NPS, por ejemplo, está estrechamente vinculado a Active Directory. No tiene soporte nativo para Microsoft Entra ID, Google Workspace o Okta. Si su organización ha migrado a cualquiera de estos directorios en la nube, se enfrenta a una difícil elección: mantener un Active Directory paralelo solo para dar soporte a su servidor RADIUS o invertir un esfuerzo de ingeniería considerable en integraciones personalizadas. Ninguna de las dos opciones es atractiva.

RADIUS as a Service cambia la ecuación por completo. Traslada el motor de autenticación a la nube. Usted ya no gestiona la infraestructura, sino las políticas. El proveedor se encarga de los servidores, los parches, la alta disponibilidad y las integraciones. Usted define quién tiene acceso a qué y el servicio lo aplica.

Pasemos ahora a la arquitectura técnica. RADIUS, que significa Remote Authentication Dial-In User Service (Servicio de autenticación de usuarios de acceso telefónico de forma remota), es el protocolo definido en RFC 2865. Proporciona servicios centralizados de autenticación, autorización y contabilidad (lo que llamamos AAA) para el acceso a la red. Cuando un dispositivo se conecta a su red WiFi, el punto de acceso actúa como un cliente RADIUS. Reenvía la solicitud de autenticación al servidor RADIUS. El servidor valida las credenciales con su almacén de identidades y devuelve un Access-Accept o un Access-Reject.

En un despliegue de RADIUS en la nube, el proveedor aloja el servidor en varios centros de datos distribuidos geográficamente. Sus puntos de acceso, ya sean Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist o Ubiquiti UniFi, apuntan a los endpoints de RADIUS en la nube a través de túneles seguros y cifrados. El flujo de autenticación es idéntico al de un RADIUS local desde la perspectiva del punto de acceso. La diferencia es que el propio servidor es gestionado, parcheado y escalado por el proveedor.

La mejora de seguridad más importante en los despliegues modernos de RADIUS en la nube es la transición a EAP-TLS, que significa Protocolo de Autenticación Extensible con Seguridad en la Capa de Transporte. EAP-TLS está definido en RFC 5216 y proporciona autenticación mutua mediante certificados digitales. Tanto el dispositivo cliente como el servidor RADIUS se presentan certificados mutuamente. Esto elimina por completo las contraseñas del proceso de autenticación. Un certificado está vinculado criptográficamente al dispositivo y no se puede pescar (phishing), adivinar ni robar de la forma en que se puede hacer con una contraseña.

La segunda capacidad de seguridad principal es la asignación dinámica de VLAN. Cuando el servidor RADIUS autentica a un usuario, no se limita a conceder o denegar el acceso. También le indica al punto de acceso en qué LAN virtual debe colocar el dispositivo, en función de la identidad y el rol del usuario. Un recepcionista de hotel se autentica y se le coloca en la VLAN de recepción con acceso al sistema de gestión hotelera. Un miembro del personal de limpieza se coloca en una VLAN restringida con acceso exclusivo a internet. Un dispositivo de invitado se coloca en la VLAN de invitados, completamente aislado de todos los recursos corporativos. Un dispositivo IoT, como una cámara de seguridad, se coloca en una VLAN de IoT dedicada.

Esta segmentación de red basada en la identidad es fundamental para un modelo de seguridad Zero Trust. Ya no se confía en un dispositivo por el hecho de haberse conectado a un SSID concreto. Se concede el acceso en función de una identidad verificada y se limita ese acceso únicamente a lo que esa identidad requiere. Este es el principio de mínimo privilegio aplicado al acceso a la red.

Abordemos también el aspecto del cumplimiento normativo. PCI DSS versión 4.0 exige controles de acceso estrictos para cualquier red que esté en contacto con datos de titulares de tarjetas. El Requisito 8 exige una autenticación única para todos los usuarios. El Requisito 1 exige la segmentación de la red. RADIUS en la nube, con EAP-TLS y asignación dinámica de VLAN, cumple directamente con ambos requisitos. Para el GDPR, el registro de auditoría centralizado que proporciona RADIUS en la nube le ofrece un historial completo de quién accedió a la red, cuándo y desde qué dispositivo. Esa pista de auditoría es esencial para demostrar el cumplimiento normativo y para investigar cualquier posible brecha de datos.

Ahora permítame guiarle a través de dos escenarios de implementación concretos que ilustran cómo funciona esto en la práctica.

El primer escenario es un grupo hotelero. Imagine un hotel de doscientas habitaciones. Actualmente utilizan una clave compartida común para el WiFi de su personal. Todos los miembros del equipo, desde el director general hasta el personal de limpieza de temporada, utilizan la misma contraseña. Cuando un empleado de temporada se marcha al final del verano, la contraseña rara vez se cambia porque hacerlo implica actualizar todos los dispositivos del establecimiento. Esta es una vulnerabilidad de seguridad de manual.

La solución es implementar RADIUS como servicio integrado con Microsoft Entra ID. El hotel configura sus puntos de acceso Cisco Meraki para utilizar WPA3-Enterprise con 802.1X. Cada miembro del personal se autentica utilizando sus credenciales de Entra ID. El servidor RADIUS lee su rol desde el directorio y los asigna a la VLAN correspondiente de forma dinámica. El personal de limpieza se asigna a la VLAN 10, con acceso exclusivo al sistema de gestión de tareas de limpieza. El personal de recepción se asigna a la VLAN 20, con acceso al sistema de gestión del establecimiento. La dirección se asigna a la VLAN 30, con un acceso más amplio. Cuando finaliza el contrato de un empleado de temporada, su cuenta de Entra ID se deshabilita y su acceso WiFi se revoca al instante en todos los puntos de acceso del establecimiento, sin necesidad de cambiar contraseñas.

El segundo escenario es una cadena minorista nacional. Imagine una cadena con cuatrocientas tiendas que actualmente gestiona cuatrocientas instancias independientes de FreeRADIUS en servidores locales de cada tienda. Cada servidor requiere parches, supervisión y mantenimiento individuales. Cuando se detecta una vulnerabilidad crítica, el equipo de seguridad debe parchear cuatrocientos servidores, lo que a menudo lleva semanas y deja los establecimientos expuestos durante ese periodo.

La solución es migrar a una única instancia de RADIUS como servicio. Las cuatrocientas tiendas dirigen sus puntos de acceso HPE Aruba a los mismos endpoints de RADIUS en la nube. Los terminales de punto de venta se autentican mediante EAP-TLS con certificados de máquina distribuidos a través de la plataforma MDM. El servidor RADIUS los asigna a una VLAN compatible con PCI, aislada de todo el demás tráfico de red. El personal de la tienda utiliza un SSID independiente autenticado a través de Okta, que los ubica en una VLAN para el personal general. Ahora, el equipo de seguridad gestiona un único conjunto de políticas desde un único panel de control. Cuando se detecta una vulnerabilidad, el proveedor parchea la infraestructura. El equipo de seguridad de la cadena minorista se centra en la política, no en la infraestructura física.

Veamos ahora las recomendaciones de implementación y los errores que se deben evitar.

El primer paso consiste en conectar el servicio RADIUS en la nube a su proveedor de identidad. En el caso de Microsoft Entra ID o Google Workspace, esto suele implicar la autorización de una aplicación empresarial. Asocie sus grupos de directorio a políticas de red específicas. Defina detenidamente su taxonomía de roles antes de empezar; hacerlo bien desde el principio le evitará tener que repetir gran parte del trabajo más adelante.

El segundo paso es configurar el despliegue de certificados para dispositivos corporativos. Configure su plataforma MDM para enviar certificados de cliente a los dispositivos gestionados. Esto permite la autenticación EAP-TLS y elimina por completo las contraseñas de la ecuación. Para los dispositivos que no gestione, puede utilizar PEAP con una credencial de usuario como alternativa, pero EAP-TLS debería ser el objetivo para todos los dispositivos propiedad de la empresa.

El tercer paso es configurar el hardware de red. Añada las direcciones IP de RADIUS en la nube y los secretos compartidos a sus controladores inalámbricos o puntos de acceso. Configure siempre tanto el extremo principal como el secundario para aprovechar la redundancia integrada del proveedor.

El cuarto paso es definir sus políticas de VLAN. Cuando el servidor RADIUS autentica a un usuario, devuelve el ID de VLAN correcto al punto de acceso. Planifique esto antes de realizar el despliegue. Sepa en qué VLAN debe acabar cada rol de usuario y pruébelo a fondo antes de lanzarlo a producción.

Ahora, los errores comunes. El fallo más habitual es un cortafuegos mal configurado que bloquea los puertos UDP 1812 y 1813, que son los puertos de autenticación y contabilidad de RADIUS. Verifique siempre la conectividad entre sus puntos de acceso y los extremos de RADIUS en la nube antes de la puesta en marcha. El segundo error es una cadena de confianza de certificados rota. Si sus dispositivos cliente no confían en la Entidad de Certificación Raíz que emitió el certificado del servidor RADIUS, rechazarán silenciosamente la conexión. Esto puede parecer una caída de la red cuando en realidad es un problema de configuración de la PKI.

Pasemos a las preguntas rápidas.

Pregunta uno: ¿Qué ocurre si se cae nuestra conexión a internet? Si la sede se queda sin internet, no podrá comunicarse con el RADIUS en la nube. No obstante, si la sede no tiene internet, los usuarios tampoco podrán acceder a las aplicaciones en la nube de todos modos. Para los recursos locales de misión crítica, algunos puntos de acceso ofrecen modos de supervivencia local. Pero la dependencia principal es su enlace WAN, lo cual se aplica a casi cualquier servicio SaaS que utilice su organización.

Pregunta dos: ¿Cumple el RADIUS en la nube con el GDPR y PCI DSS? Sí. La autenticación centralizada con transporte cifrado favorece un sólido cumplimiento normativo. Los registros de auditoría satisfacen los requisitos de PCI DSS, y los estrictos controles de acceso respaldan los principios de minimización de datos y limitación de acceso del GDPR.

Pregunta tres: ¿Funciona esto con nuestro hardware actual? Sí. RADIUS es un protocolo estándar definido en RFC 2865. Si su hardware es compatible con 802.1X, y todos los equipos empresariales de Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet lo son, funcionará con cualquier RADIUS as a Service que cumpla con los estándares.

Para resumir los puntos clave. En primer lugar, RADIUS as a Service sustituye los servidores locales por una plataforma en la nube gestionada, lo que reduce el gasto de capital y los costes de mantenimiento. En segundo lugar, cloud RADIUS se integra de forma nativa con Microsoft Entra ID, Okta y Google Workspace, eliminando la necesidad de un middleware complejo. En tercer lugar, permite la asignación dinámica de VLAN, garantizando que los usuarios y dispositivos accedan al segmento de red correcto en función de su identidad verificada. En cuarto lugar, la transición a EAP-TLS elimina el riesgo de robo de contraseñas y ataques de phishing en su red. En quinto lugar, la gestión centralizada en la nube garantiza políticas de seguridad coherentes en cientos de ubicaciones físicas distribuidas. En sexto lugar, los proveedores se encargan de los parches de seguridad y de la alta disponibilidad. Y en séptimo lugar, cloud RADIUS facilita el cumplimiento de PCI DSS y GDPR al imponer controles de acceso estrictos basados en la identidad con un registro de auditoría completo.

Su siguiente paso es evaluar su infraestructura RADIUS actual. Calcule el coste real de propiedad, incluyendo las licencias, los ciclos de renovación de hardware y el tiempo de ingeniería dedicado al mantenimiento. A continuación, realice una prueba de concepto con un proveedor de cloud RADIUS. Es muy probable que compruebe que el despliegue requiere horas, no semanas. Gracias por su atención. Proteja sus redes, segmente su tráfico y deje de gestionar servidores que no necesita tener en propiedad.

Conclusiones clave

✓RADIUS as a Service sustituye los servidores locales por una plataforma en la nube gestionada, eliminando el CapEx de hardware y los costes de mantenimiento.
✓Cloud RADIUS se integra de forma nativa con Microsoft Entra ID, Okta y Google Workspace, eliminando la necesidad de middleware complejo o despliegues paralelos de Active Directory.
✓La asignación dinámica de VLAN garantiza que los usuarios y dispositivos se ubiquen automáticamente en el segmento de red correcto según su identidad verificada, no según el SSID al que se hayan conectado.
✓La transición a EAP-TLS (autenticación basada en certificados) elimina el riesgo de robo de contraseñas y ataques de phishing en su red.
✓La gestión centralizada en la nube aplica políticas de seguridad coherentes en cientos de ubicaciones distribuidas desde un único panel de control.
✓Los proveedores se encargan de los parches de seguridad y de la alta disponibilidad multirregión, garantizando que los servicios de autenticación sigan disponibles incluso durante las actualizaciones de la infraestructura.
✓Cloud RADIUS facilita el cumplimiento de PCI DSS v4.0 y GDPR mediante la aplicación de controles de acceso estrictos basados en la identidad con un registro de auditoría totalmente centralizado.

Resumen ejecutivo

La transición hacia plantillas de trabajo híbridas ha puesto al descubierto una debilidad fundamental en la seguridad de red tradicional: los servidores RADIUS locales se diseñaron para un mundo en el que los empleados se sentaban en un único edificio y se conectaban a una sola red. Ese mundo ya no existe. Hoy en día, su personal se autentica desde habitaciones de hotel, tiendas físicas, oficinas remotas y recintos de eventos. Sus proveedores de identidad residen en la nube. Sus puntos de acceso se extienden por cientos de ubicaciones. Sin embargo, muchas organizaciones siguen dependiendo de servidores RADIUS físicos que requieren parches manuales, no pueden integrarse de forma nativa con Microsoft Entra ID o Google Workspace y fallan de forma silenciosa cuando el hardware experimenta problemas.

RADIUS as a Service reemplaza esa infraestructura con un motor de autenticación nativo de la nube. Solo tiene que apuntar sus puntos de acceso a los endpoints en la nube. El proveedor gestiona los servidores, el parcheado y la alta disponibilidad. Usted gestiona las políticas. Para los equipos de TI de grupos de Hostelería , cadenas de Retail y recintos públicos, este cambio elimina los costes generales de hardware, impone la segmentación de red basada en la identidad y ofrece la pista de auditoría que exigen PCI DSS y el GDPR.

Análisis técnico detallado

Por qué el RADIUS local se queda atrás

RADIUS, definido en la norma RFC 2865, proporciona autenticación, autorización y contabilidad (AAA) centralizadas para el acceso a la red. Todas las empresas que utilizan WiFi WPA2-Enterprise o WPA3-Enterprise dependen de él. El protocolo en sí es sólido. El problema reside en el modelo de infraestructura que creció a su alrededor.

FreeRADIUS en Linux requiere una experiencia técnica significativa para su despliegue, endurecimiento de seguridad y mantenimiento. Microsoft Network Policy Server (NPS) está estrechamente vinculado a Active Directory y carece de soporte nativo para Microsoft Entra ID, Okta o Google Workspace. Cisco Identity Services Engine (ISE) ofrece funciones de políticas de nivel empresarial, pero exige hardware dedicado, licencias complejas y un equipo especializado para gestionarlo. Los tres sistemas le obligan a configurar y mantener la alta disponibilidad de forma manual, normalmente ejecutando dos servidores con replicación de bases de datos y un equilibrador de carga por delante.

Para una organización con una sola sede y un Active Directory estable, este modelo es manejable. Para un grupo hotelero con 50 propiedades, una cadena de retail con 400 tiendas o una universidad con un campus distribuido, resulta inviable. O bien centraliza los servidores RADIUS y acepta la latencia de autenticación de las sedes remotas, o bien despliega servidores en cada ubicación y los gestiona individualmente. Ninguna de las dos opciones es escalable.

La arquitectura de RADIUS as a Service

RADIUS as a Service es un modelo de entrega basado en la nube para el protocolo RADIUS. El protocolo en sí no cambia, siguiendo la norma RFC 2865 y sus extensiones. Lo que cambia es quién mantiene la infraestructura.

Cuando un dispositivo se conecta a su red WiFi, el punto de acceso (el cliente RADIUS) reenvía la solicitud de autenticación a los endpoints de RADIUS en la nube a través de un túnel seguro y cifrado. El servicio en la nube valida las credenciales frente a su proveedor de identidad y devuelve un mensaje Access-Accept o Access-Reject, junto con atributos de política como las asignaciones de VLAN dinámicas. Desde la perspectiva del punto de acceso, el flujo de autenticación es idéntico al de un RADIUS local.

El proveedor de la nube gestiona los servidores RADIUS en múltiples centros de datos distribuidos geográficamente. La conmutación por error es automática. Si un endpoint deja de estar disponible, el tráfico se redirige al siguiente que esté activo sin necesidad de intervención por parte de su equipo. Para organizaciones con ubicaciones en múltiples regiones, la autenticación se realiza en el endpoint de la nube más cercano, manteniendo una baja latencia independientemente de la geografía.

Métodos IEEE 802.1X y EAP

IEEE 802.1X es el estándar para el control de acceso a redes basado en puertos (NAC). Obliga a un dispositivo a autenticarse antes de que se le asigne una dirección IP y se le permita transmitir tráfico. RADIUS es el servidor de autenticación en una implementación de 802.1X.

El protocolo de autenticación extensible (EAP) define cómo se intercambian las credenciales. Cloud RADIUS es compatible con toda la gama de métodos EAP:

Método EAP	Tipo de autenticación	Nivel de seguridad	Uso recomendado
EAP-TLS	Basado en certificados mutuos	El más alto	Dispositivos corporativos con certificados gestionados por MDM
PEAP-MSCHAPv2	Usuario y contraseña	Moderado	Dispositivos heredados o BYOD sin MDM
EAP-TTLS	Credenciales en túnel	Moderado	Entornos mixtos
MAC Authentication Bypass	Dirección MAC del dispositivo	Bajo	Dispositivos IoT que no admiten 802.1X

EAP-TLS, definido en RFC 5216, es el estándar de referencia. Tanto el dispositivo cliente como el servidor RADIUS se presentan mutuamente certificados digitales. Esta autenticación mutua elimina por completo las contraseñas del proceso de acceso a la red. Un certificado está vinculado criptográficamente al dispositivo y no se puede pescar (phishing), adivinar ni robar como se puede hacer con una contraseña. Para las organizaciones que han sufrido brechas basadas en credenciales, esta es la mitigación técnica más directa disponible.

Asignación dinámica de VLAN

Más allá de la autenticación, el servidor RADIUS aplica la autorización. Cuando acepta una conexión, devuelve atributos de política al punto de acceso, incluido el ID de VLAN que debe asignarse al dispositivo. Esta asignación dinámica de VLAN es el mecanismo que hace posibles las redes basadas en la identidad (Identity-Based Networks).

La recepcionista de un hotel se autentica y se le asigna la VLAN de recepción con acceso al sistema de gestión de la propiedad. Un miembro del personal de limpieza se ubica en una VLAN restringida solo con acceso a internet. El dispositivo de un huésped se ubica en la VLAN de Guest WiFi, completamente aislado de todos los recursos corporativos. Un dispositivo IoT, como una cámara de seguridad, se ubica en una VLAN de IoT dedicada. Todo esto ocurre automáticamente, basándose en la identidad verificada por el servidor RADIUS, sin necesidad de configurar manualmente la VLAN por dispositivo.

Este es el principio de mínimo privilegio aplicado al acceso a la red. No se confía en un dispositivo solo porque se haya conectado a un SSID en particular. Se concede acceso en función de una identidad verificada y se limita ese acceso únicamente a lo que esa identidad requiere. Para ver más a fondo cómo encaja esto en una estrategia más amplia de control de acceso a la red, consulte nuestra guía sobre sistemas de control de acceso a la red .

Integración nativa de la identidad en la nube

La ventaja operativa más significativa de cloud RADIUS es su integración nativa con los proveedores de identidad modernos. Cloud RADIUS se conecta directamente a Microsoft Entra ID, Okta y Google Workspace a través de protocolos estándar que incluyen OIDC, SAML y LDAP. Cuando se da de alta a un nuevo empleado en su proveedor de identidad, este puede autenticarse en la red Wi-Fi de inmediato. Cuando se da de baja a un empleado, se deshabilita su cuenta en el directorio y su acceso a la Wi-Fi se revoca instantáneamente, en cada punto de acceso y en cada ubicación.

Esta sincronización en tiempo real elimina una de las brechas de seguridad más persistentes en la Wi-Fi empresarial: el exempleado que aún conserva la PSK compartida, o cuya cuenta RADIUS no se eliminó manualmente al marcharse. Con cloud RADIUS y un proveedor de identidad en la nube, la baja es una única acción con un efecto inmediato en toda la red.

Guía de implementación

Paso 1: Conectar su proveedor de identidad

Conecte el servicio cloud RADIUS a su proveedor de identidad. En el caso de Microsoft Entra ID o Google Workspace, esto suele implicar la autorización de una aplicación empresarial mediante OAuth o la configuración de un conector LDAP. Vincule los grupos de su directorio con políticas de red específicas. Defina su taxonomía de roles antes de empezar: qué grupos se vinculan con qué VLAN y qué derechos de acceso conlleva cada VLAN. Hacerlo bien al principio evita un trabajo de reconfiguración considerable más adelante.

Paso 2: Implementar certificados para dispositivos corporativos

Para los dispositivos propiedad de la empresa, configure su plataforma de gestión de dispositivos móviles (MDM), como Microsoft Intune o Jamf, para enviar certificados de cliente a los dispositivos. Esto permite la autenticación EAP-TLS. Asegúrese de que todos los dispositivos cliente confían en la autoridad de certificación (CA) raíz que emitió el certificado del servidor RADIUS. Una cadena de confianza rota es la causa más común de fallos de autenticación silenciosos.

Paso 3: Configurar el hardware de su red

Añada las direcciones IP de RADIUS en la nube y los secretos compartidos a sus controladores inalámbricos o puntos de acceso. Configure siempre tanto el endpoint primario como el secundario para utilizar la redundancia integrada del proveedor. Asegúrese de que los puertos UDP 1812 (autenticación) y 1813 (accounting) estén abiertos en sentido saliente desde sus puntos de acceso hacia los endpoints de RADIUS en la nube. Verifique esto antes de la puesta en marcha. Las reglas de firewall mal configuradas son la segunda causa más común de fallos en el despliegue.

RADIUS en la nube funciona con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. Los pasos de configuración varían según el fabricante, pero el protocolo RADIUS está estandarizado, por lo que los parámetros principales (IP del servidor, secreto compartido, puerto de autenticación) son consistentes.

Paso 4: Definir políticas de VLAN

Configure la asignación dinámica de VLAN en su motor de políticas de RADIUS. Asocie cada rol de usuario o tipo de dispositivo a un ID de VLAN específico. Pruebe cada política antes de lanzarla a producción. Una matriz de prueba sencilla (un dispositivo por rol, una VLAN por rol, verificar la asignación) detecta la mayoría de los errores de configuración antes de que afecten a los usuarios.

Buenas prácticas

Fuerce EAP-TLS para todos los dispositivos corporativos. Abandone PEAP-MSCHAPv2 tan rápido como lo permita su despliegue de MDM. PEAP depende de contraseñas, que pueden verse comprometidas. EAP-TLS depende de certificados, que no se pueden comprometer.

Segmente todo. Nunca coloque al personal, a los invitados y a los dispositivos IoT en la misma subred. Utilice RADIUS para aplicar límites estrictos de VLAN. Esto es fundamental para entornos de Retail que manejan datos de tarjetas de pago bajo PCI DSS, y para entornos de Healthcare que protegen datos de pacientes.

Alinéese con WPA3-Enterprise. WPA3-Enterprise, el estándar de seguridad Wi-Fi actual, requiere autenticación 802.1X. Asegúrese de que sus puntos de acceso sean compatibles con WPA3-Enterprise y configúrelo como el estándar de seguridad mínimo para las redes del personal.

Audite sus logs de RADIUS regularmente. RADIUS en la nube proporciona logs de auditoría centralizados. Revise los fallos de autenticación semanalmente. Un pico de fallos desde un dispositivo o ubicación específicos es un indicador temprano de una configuración incorrecta o de un ataque potencial.

Pruebe el failover. Al menos una vez al trimestre, simule un fallo en el endpoint primario de RADIUS y verifique que la autenticación continúe a través del endpoint secundario. Documente el resultado. Esta es una prueba sencilla que la mayoría de los equipos nunca realizan hasta que la necesitan.

Para los espacios que despliegan WiFi en entornos complejos, incluidos entornos marítimos o ubicaciones remotas, consulte nuestra guía sobre cómo configurar un Captive Portal en Starlink para conocer las consideraciones sobre la dependencia de la WAN.

Resolución de problemas y mitigación de riesgos

Timeouts de autenticación

Si los dispositivos no logran autenticarse, compruebe primero la conectividad entre sus puntos de acceso y los endpoints de RADIUS en la nube. Verifique que los puertos UDP 1812 y 1813 estén abiertos para el tráfico saliente. La inspección profunda de paquetes en los firewalls modernos puede retrasar o descartar los paquetes RADIUS. Si observa tiempos de espera agotados, revise las reglas de la política de su firewall que puedan estar inspeccionando o limitando la tasa de tráfico UDP hacia los endpoints de RADIUS.

Fallos en la cadena de confianza de certificados

Si utiliza EAP-TLS, asegúrese de que los dispositivos cliente confíen en la CA raíz que emitió el certificado del servidor RADIUS. Si la cadena de confianza está rota, el dispositivo rechazará silenciosamente la conexión para evitar un ataque de tipo man-in-the-middle. Esto se manifiesta como un fallo de conexión sin un mensaje de error obvio. Compruebe los logs del servidor RADIUS en busca de fallos en el saludo (handshake) EAP-TLS. Implemente el certificado de la CA raíz en todos los dispositivos gestionados a través de un MDM.

Dependencia de la red WAN

El servicio de RADIUS en la nube requiere una conexión activa a internet. Si el enlace WAN falla, las solicitudes de autenticación no podrán llegar al servidor. Para recursos locales de misión crítica, evalúe puntos de acceso que admitan la supervivencia local o el almacenamiento en caché de autenticación. Para la mayoría de las implementaciones, la dependencia de la red WAN es aceptable porque una sede sin internet no puede acceder a las aplicaciones en la nube de todos modos.

Discordancia en el secreto compartido (shared secret)

Cada punto de acceso o controlador inalámbrico debe estar configurado como un cliente RADIUS con el secreto compartido correcto. Una discordancia provoca que todas las solicitudes de autenticación de ese dispositivo se descarten silenciosamente. Si un punto de acceso específico está fallando mientras que otros funcionan correctamente, verifique la configuración del secreto compartido en ese dispositivo.

ROI e impacto empresarial

El caso de negocio de RADIUS como servicio se apoya en tres pilares: reducción de gastos de capital (CapEx), menor sobrecarga operativa (OpEx) y una mejora en la postura de seguridad.

En cuanto a los gastos de capital, se elimina el coste de adquisición, licencias y renovación de servidores físicos. Una implementación mínima viable de RADIUS de forma local (on-premise) requiere dos servidores para garantizar la alta disponibilidad, licencias de sistemas operativos y la renovación del hardware cada tres o cinco años. Para un grupo hotelero de 50 propiedades, esto representa una inversión significativa en hardware en todo su patrimonio.

En relación a la sobrecarga operativa, su equipo de ingeniería ya no tendrá que dedicar tiempo a parchear Windows Server, solucionar problemas de configuración de FreeRADIUS ni gestionar la renovación de certificados en la infraestructura física. Ese tiempo se redirige a tareas de políticas de seguridad que mejoran directamente su postura.

Sobre la postura de seguridad, la transición a EAP-TLS y la asignación dinámica de VLAN reduce materialmente la superficie de ataque. El robo de credenciales es la causa principal de las brechas de red. Eliminar las contraseñas del proceso de autenticación de red aborda directamente ese riesgo. El registro centralizado de auditoría facilita el cumplimiento de las normativas PCI DSS v4.0 y GDPR, reduciendo el coste y la complejidad de las auditorías de conformidad.Para las organizaciones que gestionan centros de Transport o espacios de gran afluencia, la capacidad de aplicar políticas de seguridad uniformes en todas las ubicaciones desde un único panel de control supone una mejora operativa medible. Purple opera en más de 80.000 espacios activos y ha procesado 440 millones de inicios de sesión en 2024 (datos internos de Purple, 2024). La infraestructura que soporta esa escala es nativa de la nube por diseño.

Para obtener una visión más amplia de cómo la analítica de WiFi y la inteligencia de red se conectan con los resultados de negocio, consulte nuestra plataforma de WiFi Analytics .

Referencias

[1] IEEE Standard for Local and metropolitan area networks - Port-Based Network Access Control. IEEE Std 802.1X-2020. [2] IETF. Remote Authentication Dial In User Service (RADIUS). RFC 2865. 1997. [3] IETF. The EAP-TLS Authentication Protocol. RFC 5216. 2008. [4] IronWiFi. Benefits of a Cloud RADIUS Server: Why Enterprises Are Moving Authentication Online. Febrero de 2026. [5] SecureW2. Cloud vs. On-Site RADIUS: Which is Better? Mayo de 2026. [6] Portnox. RADIUS as a Service. 2026. [7] PCI Security Standards Council. PCI DSS v4.0. Marzo de 2022. [8] Purple. Datos de la plataforma interna: 440 millones de inicios de sesión, más de 80.000 espacios. 2024.

Definiciones clave

RADIUS

Remote Authentication Dial-In User Service. Un protocolo de red definido en RFC 2865 que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA) para los usuarios que se conectan a un servicio de red.

Los equipos de TI utilizan RADIUS como el motor de decisión central para verificar si un dispositivo o usuario tiene permitido el acceso a la red WiFi corporativa. Se sitúa entre el punto de acceso y el proveedor de identidad.

802.1X

Un estándar de la IEEE para el control de acceso a la red basado en puertos. Proporciona un mecanismo de autenticación para los dispositivos que desean conectarse a una LAN o WLAN, obligándolos a autenticarse antes de recibir una dirección IP.

Este es el estándar en el que se basa la seguridad WiFi de nivel empresarial. Sin 802.1X, cualquier dispositivo que se conecte al SSID obtiene acceso a la red. Con 802.1X, cada dispositivo debe demostrar su identidad primero.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Un método de autenticación definido en RFC 5216 que requiere tanto al dispositivo cliente como al servidor RADIUS presentar certificados digitales, proporcionando una autenticación mutua sin contraseñas.

Considerado el estándar de oro para la seguridad WiFi empresarial. Los certificados se despliegan en los dispositivos corporativos a través de MDM. EAP-TLS elimina el riesgo de robo de contraseñas y ataques de phishing en la red.

PEAP

Protected Extensible Authentication Protocol. Un método EAP que encapsula un intercambio de nombre de usuario y contraseña dentro de una sesión TLS. Es menos seguro que EAP-TLS porque depende de contraseñas.

PEAP-MSCHAPv2 está ampliamente desplegado en entornos heredados. Los equipos de TI deben planificar una migración a EAP-TLS para los dispositivos corporativos, utilizando PEAP solo como alternativa para dispositivos no gestionados o BYOD.

Asignación dinámica de VLAN

Un proceso en el que el servidor RADIUS indica al punto de acceso en qué red de área local virtual (VLAN) debe ubicar un dispositivo, basándose en la identidad y el rol verificados del usuario, en lugar del SSID al que se conectó.

Esencial para la segmentación de red en entornos con múltiples roles. Un único SSID de "Personal" puede separar de forma segura el tráfico de limpieza, recepción y dirección en diferentes VLAN con diferentes derechos de acceso.

AAA

Autenticación, Autorización y Contabilidad (Accounting). Las tres funciones que realiza un servidor RADIUS: verificar la identidad (autenticación), determinar qué acceso está permitido (autorización) y registrar los datos de la sesión para fines de auditoría (contabilidad).

Los equipos de TI y los auditores utilizan AAA como un marco de referencia para evaluar el control de acceso a la red. Cloud RADIUS ofrece estas tres funciones desde un servicio gestionado.

WPA3-Enterprise

El estándar de seguridad WiFi actual para redes empresariales, que requiere autenticación 802.1X a través de un servidor RADIUS. Ofrece una mayor robustez criptográfica en comparación con WPA2-Enterprise, incluyendo un modo de seguridad de 192 bits para entornos de alta seguridad.

Los administradores de TI deben configurar WPA3-Enterprise como el estándar de seguridad mínimo para las redes del personal. Las redes de invitados pueden utilizar WPA2 o autenticación abierta con un Captive Portal.

Control de Acceso a la Red (NAC)

Un enfoque de seguridad que aplica políticas en los dispositivos que intentan acceder a los recursos de la red, combinando la evaluación de la seguridad del endpoint, la autenticación de la identidad y la aplicación de políticas de red.

RADIUS es un componente fundamental de NAC. Cloud RADIUS extiende NAC a entornos distribuidos y multisitio sin necesidad de infraestructura local en cada ubicación.

Captive portal

Una página web con la que el usuario de una red de acceso público debe interactuar antes de que se le conceda acceso a Internet. Se utiliza habitualmente en redes WiFi para invitados con el fin de recopilar el consentimiento o mostrar las condiciones de uso.

Los portales cautivos gestionan el acceso de invitados no autenticados, mientras que 802.1X gestiona el acceso del personal autenticado. Ambos mecanismos funcionan en SSIDs y VLANs independientes.

Ejemplos prácticos

Un hotel de 200 habitaciones necesita proteger la red de su personal (limpieza, recepción y dirección), manteniendo la red Guest WiFi totalmente independiente. Actualmente utilizan una clave PSK compartida para la red del personal, que no se ha cambiado en dos años.

Implementar RADIUS as a Service integrado con Microsoft Entra ID. Configurar los puntos de acceso Cisco Meraki para utilizar WPA3-Enterprise con 802.1X. El personal de limpieza se autentica con sus credenciales de Entra ID; el servidor RADIUS lee su grupo de directorio y los asigna dinámicamente a la VLAN 10 (con acceso exclusivo al sistema de tareas de limpieza). El personal de recepción se asigna a la VLAN 20 (acceso al sistema de gestión hotelera). La dirección se asigna a la VLAN 30 (acceso más amplio). La red Guest WiFi permanece en un SSID independiente con un Captive Portal, aislada en la VLAN 40. Cuando un empleado de temporada se marcha, se desactiva su cuenta de Entra ID, lo que revoca al instante su acceso a la WiFi en todos los puntos de acceso del establecimiento.

Comentario del examinador: Este enfoque elimina la vulnerabilidad de la clave PSK compartida y el riesgo de que los antiguos empleados sigan teniendo acceso. La asignación dinámica de VLAN garantiza que un dispositivo de limpieza en peligro no pueda acceder al sistema de gestión hotelera. Al utilizar un RADIUS en la nube, se elimina la necesidad de disponer de un servidor físico en el limitado cuarto de TI del hotel. La integración con Entra ID permite que la baja de un empleado sea una única acción con efecto inmediato en toda la red.

Una cadena nacional de tiendas de retail con 400 establecimientos necesita garantizar el cumplimiento de la normativa PCI DSS para sus terminales de punto de venta (TPV). Actualmente gestionan 400 instancias independientes de FreeRADIUS en servidores locales de cada tienda, y cada una de ellas requiere parches individuales.

Migrar a una única instancia de RADIUS as a Service. Configurar los puntos de acceso HPE Aruba en las 400 tiendas para autenticar los dispositivos TPV mediante EAP-TLS con certificados de máquina distribuidos a través de Microsoft Intune. El servidor RADIUS en la nube autentica los certificados y sitúa los dispositivos TPV en una VLAN que cumple con la normativa PCI (VLAN 30), aislada del resto del tráfico de red. El personal de la tienda utiliza un SSID independiente autenticado a través de Okta, que lo sitúa en una VLAN de personal general (VLAN 20). Los clientes de la red de invitados están aislados en la VLAN 40. El equipo de seguridad gestiona todas las políticas desde un único panel de control.

Comentario del examinador: La centralización de la infraestructura RADIUS elimina la carga de mantenimiento que supone parchear 400 servidores locales. El uso de EAP-TLS para los dispositivos TPV elimina por completo las contraseñas, lo que evita el robo de credenciales. Esta arquitectura cumple con el Requisito 8 (autenticación única) y el Requisito 1 (segmentación de red) de PCI DSS v4.0. Cuando se detecta una vulnerabilidad, el proveedor aplica el parche en la infraestructura de la nube, en lugar de que el equipo de seguridad de la cadena de tiendas tenga que parchear 400 servidores a lo largo de varias semanas.

Preguntas de práctica

Q1. ¿El campus de tu universidad utiliza actualmente Microsoft NPS en Windows Server para autenticar a los estudiantes a través de PEAP-MSCHAPv2. La institución está migrando a Google Workspace y desea retirar todos los servidores locales en un plazo de 12 meses. ¿Cuál es el cambio arquitectónico más seguro y operativamente eficiente para la infraestructura de autenticación WiFi?

Sugerencia: Microsoft NPS no es compatible de forma nativa con Google Workspace. Considera qué reemplaza tanto al servidor como al método de autenticación.

Ver respuesta modelo

Migrar a RADIUS como servicio con integración nativa con Google Workspace. El servicio RADIUS en la nube se conecta directamente a Google Workspace a través de LDAP u OIDC, eliminando la necesidad de Active Directory o NPS. Simultáneamente, realizar la transición de los dispositivos gestionados de estudiantes y personal de PEAP-MSCHAPv2 a EAP-TLS mediante la implementación de certificados de cliente a través de la plataforma MDM de la institución. Esto elimina las contraseñas del proceso de autenticación y garantiza que solo los dispositivos gestionados y de confianza puedan acceder a las redes de personal y estudiantes. La migración se puede realizar por fases: implementar RADIUS en la nube junto con NPS, migrar un SSID a la vez y, a continuación, retirar NPS una vez que todos los dispositivos utilicen el nuevo servicio.

Q2. Un estadio con capacidad para 80.000 personas requiere WiFi seguro para el personal corporativo, las terminales de venta de entradas, los miembros de la prensa y los contratistas los días de evento. ¿Cómo se debe configurar la red utilizando RADIUS en la nube para aplicar el acceso adecuado a cada grupo?

Sugerencia: Considera cómo gestiona RADIUS la autorización, no solo la autenticación. Cada grupo necesita diferentes derechos de acceso.

Ver respuesta modelo

Implementar un único SSID 802.1X para todos los grupos autenticados. Configurar el servicio RADIUS en la nube para utilizar la asignación dinámica de VLAN basada en el rol del usuario en el proveedor de identidad. Al personal corporativo se le asigna la VLAN 10 con acceso a los sistemas internos. Las terminales de venta de entradas, autenticadas mediante certificados de máquina (EAP-TLS), se ubican en una VLAN 20 restringida con acceso exclusivo a la plataforma de venta de entradas. A los miembros de la prensa se les asigna la VLAN 30 con acceso a internet de banda ancha pero sin acceso a los sistemas internos. A los contratistas de los días de evento se les asigna la VLAN 40 con acceso exclusivo a internet de forma limitada. Un SSID abierto independiente con un Captive Portal gestiona el acceso de los aficionados y asistentes en la VLAN 50, aislado de todo el demás tráfico.

Q3. Durante una auditoría de seguridad, se descubre que el servidor FreeRADIUS de tu organización no ha recibido un parche de seguridad en ocho meses. El equipo se ha mostrado reacio a parchearlo porque la última actualización provocó una interrupción de la autenticación de dos horas. ¿Cómo resuelve la migración a RADIUS como servicio tanto el riesgo de seguridad como el riesgo operativo?

Sugerencia: Considera la división de responsabilidades en un modelo de servicio gestionado y cómo gestionan los proveedores las actualizaciones sin tiempo de inactividad.

Ver respuesta modelo

RADIUS como servicio transfiere la responsabilidad del parcheado del sistema operativo y la gestión de vulnerabilidades al proveedor. El proveedor opera clústeres multirregión de alta disponibilidad, lo que le permite parchear endpoints individuales y aplicar actualizaciones de forma progresiva sin causar interrupciones en la autenticación. Tu equipo ya no necesita programar ventanas de mantenimiento ni aceptar el riesgo de una interrupción provocada por un parche. El riesgo de seguridad se elimina porque el proveedor parchea la infraestructura a medida que se revelan las vulnerabilidades, a menudo antes de que la CVE se haga pública de forma generalizada. El riesgo operativo se elimina porque el SLA del proveedor garantiza el tiempo de actividad independientemente de la actividad de parcheado. El rol de tu equipo pasa del mantenimiento de la infraestructura a la gestión de políticas.

Continúe leyendo esta serie

Integración de RADIUS as a Service con directorios en la nube (Azure AD y Google Workspace)

Esta guía de referencia técnica detalla cómo integrar RADIUS as a Service con directorios en la nube (Microsoft Entra ID y Google Workspace) para la autenticación WiFi empresarial. Cubre la transición arquitectónica de NPS local a RADIUS nativo de la nube, el despliegue de la autenticación EAP-TLS basada en certificados y las mejores prácticas operativas para proteger el acceso inalámbrico en entornos de hostelería, comercio minorista y sector público. Para los responsables de TI y arquitectos de redes que ya han invertido en identidad en la nube, esta guía cierra la brecha entre la gestión de directorios y la seguridad de la red física.

Cómo implementar la autenticación 802.1X con Cloud RADIUS

Esta guía de referencia técnica proporciona un marco integral para implementar la autenticación 802.1X con Cloud RADIUS en entornos empresariales distribuidos. Detalla la arquitectura, la selección del método EAP, la secuencia de despliegue y las estrategias de mitigación de riesgos necesarias para proteger el acceso a la red, eliminando al mismo tiempo los costes operativos de la infraestructura local.

¿Qué es Cloud RADIUS? Una guía completa de RADIUS como servicio

Esta guía completa analiza Cloud RADIUS (RADIUS como servicio), detallando su arquitectura, métodos EAP y estrategias de implementación. Proporciona a los líderes de TI información práctica sobre la migración de servidores locales a un modelo de autenticación basado en la nube, escalable, seguro y conforme a las normativas.