Saltar al contenido principal

Buenas prácticas para asegurar redes escolares K-12 con NAC

Esta guía de referencia técnica proporciona estrategias prácticas para que los líderes de TI diseñen, implementen y gestionen el Control de Acceso a la Red (NAC) en entornos escolares K-12. Abarca temas esenciales, desde la autenticación 802.1X y la segmentación de VLAN hasta la gestión de dispositivos IoT con MAB y MPSK, garantizando una protección sólida y el cumplimiento normativo.

📖 6 min de lectura📝 1,270 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Mejores prácticas para proteger redes de colegios K-12 con NAC Un informe de inteligencia de Purple WiFi - Aproximadamente 10 minutos --- INTRODUCCIÓN Y CONTEXTO - aproximadamente 1 minuto Le damos la bienvenida al informe de inteligencia de Purple WiFi. Soy su anfitrión y hoy abordaremos un tema que se encuentra justo en la intersección de la protección, el cumplimiento y la ingeniería de redes práctica: la protección de las redes de colegios K-12 mediante el control de acceso a la red, o NAC. Si es un responsable de TI o arquitecto de redes que trabaja en el sector educativo, ya conoce el reto. Dispone de una única red física que debe dar servicio a profesores, alumnos, equipos directivos, padres de visita, dispositivos IoT como pizarras inteligentes y cámaras de videovigilancia, y a veces contratistas, todo al mismo tiempo, y todos con niveles de confianza y requisitos de acceso muy diferentes. Hay mucho en juego. Los colegios almacenan datos personales sensibles de menores. Están sujetos al GDPR, a la CIPA en el contexto de EE. UU. y, cada vez más, a las directrices de Ofsted y el DfE en el Reino Unido. Un solo punto de acceso mal configurado puede exponer registros de protección de menores o permitir que un estudiante acceda a la red de administración. Por eso, hoy vamos a analizar detalladamente cómo diseñar e implementar una solución NAC en un entorno K-12: los estándares, la estrategia de segmentación, los puntos de integración y los errores que pueden pillar desprevenidos incluso a los equipos con más experiencia. Empecemos. --- ANÁLISIS TÉCNICO DETALLADO - aproximadamente 5 minutos Comencemos con los fundamentos. NAC (control de acceso a la red) es la disciplina que consiste en controlar quién y qué puede conectarse a su red, y qué puede hacer una vez dentro. En el contexto de un colegio K-12, esto significa aplicar la autenticación, la autorización y las políticas en el punto de entrada de la red, ya sea un puerto de switch por cable o un punto de acceso inalámbrico. El estándar fundamental en este sentido es IEEE 802.1X. Este es el protocolo de autenticación basado en puertos que se sitúa entre un suplicante (el dispositivo que intenta conectarse), un autenticador (que es su switch o punto de acceso) y un servidor de autenticación, que suele ser un servidor RADIUS. Cuando un dispositivo intenta conectarse, 802.1X lo mantiene en un estado no autenticado, envía las credenciales al servidor RADIUS y solo concede acceso a la red una vez que el servidor confirma que la identidad y las políticas coinciden. En un colegio, esto se asocia directamente con sus grupos de usuarios. El personal se autentica con sus credenciales de Active Directory o Azure AD. Los alumnos se autentican con sus credenciales emitidas por el colegio o con certificados de dispositivo. Los dispositivos no gestionados (el teléfono de un padre en una tarde de puertas abiertas, el portátil de un contratista) se redirigen a un Captive Portal o a una VLAN de invitados restringida. Ahora hablemos de la segmentación de VLAN, porque aquí es donde la mayoría de las redes de los colegios o bien aciertan o bien se quedan expuestas. El modelo de segmentación mínimo viable para una red de primaria y secundaria (K-12) tiene el siguiente aspecto. Se necesitan al menos cuatro VLANs. En primer lugar, una VLAN de Personal y Administración - esta transporta las estaciones de trabajo de los profesores, los sistemas MIS, los datos de RR. HH. y las aplicaciones financieras. Acceso total a internet, pero sin acceso lateral a los dispositivos de los estudiantes. En segundo lugar, una VLAN de Estudiantes - acceso a internet filtrado, con filtrado de contenidos aplicado y sin acceso a los recursos del personal. En tercer lugar, una VLAN de IoT e Infraestructura - aquí es donde residen las pizarras interactivas, las cámaras IP, los controladores de acceso a puertas y las impresoras. Fundamentalmente, esta VLAN no debe tener ningún acceso a internet a menos que un dispositivo específico lo requiera, y debe estar protegida por un cortafuegos tanto de la VLAN de personal como de la de estudiantes. En cuarto lugar, una VLAN de Invitados o Visitantes - solo para internet, completamente aislada y con un Captive Portal para la aceptación de condiciones y la captura de identidad. El servidor RADIUS es el cerebro de esta operación. En la mayoría de las implementaciones escolares, integrará RADIUS con su servicio de directorio existente. Si utiliza Microsoft Active Directory, esto se hace normalmente a través de NPS (Network Policy Server) en Windows Server, o a través de un servicio RADIUS en la nube si se ha trasladado a Azure AD o Google Workspace. El servidor RADIUS aplica políticas basadas en la pertenencia a grupos: a un usuario del grupo de seguridad "Personal" se le asigna la VLAN 10, a un usuario de "Estudiantes" se le asigna la VLAN 20, y así sucesivamente. En el lado inalámbrico, la mejor práctica actual es WPA3-Enterprise. WPA3 aborda las vulnerabilidades conocidas de WPA2, en particular los ataques de diccionario fuera de línea y la vulnerabilidad KRACK. WPA3-Enterprise utiliza el modo de seguridad de 192 bits para entornos de alta sensibilidad, lo cual es adecuado para el SSID de administración y personal. Para los SSIDs de estudiantes, WPA3-Personal con SAE (Simultaneous Authentication of Equals) representa una mejora significativa con respecto a WPA2-PSK, ya que evita los ataques de fuerza bruta fuera de línea incluso si la clave precompartida se ve comprometida. Una decisión de arquitectura que vale la pena destacar es si utilizar un único SSID con asignación dinámica de VLAN o múltiples SSIDs. El enfoque de un único SSID es más limpio desde el punto de vista operativo - los usuarios se conectan a un solo nombre de red y el servidor RADIUS los asigna dinámicamente a la VLAN correcta en función de sus credenciales. Esto reduce la sobrecarga de RF y simplifica la configuración del dispositivo. Sin embargo, requiere que todos sus puntos de acceso admitan la asignación dinámica de VLAN mediante atributos RADIUS, específicamente los atributos Tunnel-Type, Tunnel-Medium-Type y Tunnel-Private-Group-ID en la respuesta RADIUS Access-Accept. Ahora bien, la gestión de dispositivos IoT representa un reto particular en los colegios. Las pizarras inteligentes, los visualizadores de documentos y los sensores ambientales a menudo no admiten 802.1X en absoluto. La solución en este caso es MAC Authentication Bypass, o MAB, combinado con Multi-PSK, o MPSK. MAB le permite autenticar dispositivos por su dirección MAC comparándola con una lista de permitidos en su servidor RADIUS. MPSK va más allá: le permite asignar una clave precompartida única por dispositivo o grupo de dispositivos, de modo que cada dispositivo IoT tenga su propia credencial y la vulneración de la clave de un dispositivo no afecte a los demás. Para ver un análisis detallado de este enfoque, la guía de Purple sobre Gestión de la seguridad de dispositivos IoT con NAC y MPSK cubre en profundidad los detalles de configuración. Abordemos también la comprobación del estado de conformidad de los endpoints, ya que es aquí donde las soluciones NAC empresariales aportan un valor añadido significativo con respecto a 802.1X básico. Soluciones como Cisco ISE, Aruba ClearPass o Forescout pueden interrogar a los endpoints antes de concederles acceso: comprueban si un dispositivo tiene las definiciones de antivirus actualizadas, si el sistema operativo tiene instalados los parches o si el cifrado de disco está activado. En el contexto escolar, esto resulta especialmente valioso para los dispositivos propiedad del personal o en casos de BYOD. Un dispositivo que no supere las comprobaciones de estado se puede aislar en una VLAN de remediación donde solo pueda acceder a los servidores de actualización, en lugar de concederle acceso total a la red. - RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES - aproximadamente 2 minutos Permítame detallarle la secuencia práctica de despliegue y, a continuación, señalar los tres errores que veo con más frecuencia. Comience con una auditoría de red completa. Antes de modificar una sola configuración, necesita un inventario completo de todos los dispositivos de la red - con cable e inalámbricos - y de cada SSID que se esté emitiendo actualmente. Utilice una herramienta como Nmap o su plataforma de gestión de red actual para enumerar los dispositivos. Es casi seguro que encontrará elementos de shadow IT: puntos de acceso personales, switches no gestionados y dispositivos que nadie sabía que estaban allí. Realice el despliegue de forma progresiva. No intente imponer la autenticación 802.1X en todo el colegio desde el primer día. Empiece con una prueba piloto, normalmente la red del personal en el bloque de administración. Ejecútelo primero en modo de monitorización, donde se evalúa 802.1X pero no se aplica, para que pueda identificar qué dispositivos fallarán en la autenticación antes de bloquear el acceso a nadie. A continuación, pase a la fase de aplicación, VLAN por VLAN. Realice la integración con su servicio de directorio antes de desplegarlo para los usuarios. El fallo más común consiste en desplegar RADIUS y descubrir después que la integración con el directorio falla, ya sea por reglas de firewall que bloquean el tráfico LDAP o porque la cuenta de servicio que utiliza RADIUS no tiene permisos suficientes para consultar la pertenencia a grupos. Ahora, los tres errores más comunes. Primero: los dispositivos heredados. Todos los colegios los tienen. Impresoras antiguas, equipos audiovisuales antiguos, pizarras interactivas de 2012. Estos dispositivos no admitirán 802.1X. Tenga preparada una estrategia de lista blanca de MAB antes de imponer la autenticación o estará respondiendo llamadas de todos los profesores cuyas impresoras dejaron de funcionar el primer día de clase. Segundo: la gestión de certificados. La autenticación WPA3-Enterprise y EAP-TLS requiere certificados. Si utiliza una PKI gestionada por el colegio, asegúrese de que su entidad de certificación sea de confianza en todos los dispositivos gestionados antes del despliegue. Los dispositivos BYOD no gestionados solicitarán a los usuarios que acepten un certificado no de confianza, lo que crea un riesgo de phishing: los usuarios se acostumbran a hacer clic en "aceptar" en las advertencias de certificados. Tercero: el cumplimiento de la normativa de la red de invitados. En virtud del GDPR, si recopila datos personales a través de un captive portal (incluso solo una dirección de correo electrónico), necesita una base legal, un aviso de privacidad y una política de retención de datos. La plataforma de guest WiFi de Purple gestiona esto de forma nativa, proporcionando flujos de captive portal conformes con la normativa con gestión de consentimiento integrada, lo que resulta especialmente útil para jornadas de puertas abiertas y eventos de padres en los que se incorporan rápidamente a un gran número de visitantes. - PREGUNTAS Y RESPUESTAS RÁPIDAS - aproximadamente 1 minuto Permítame repasar las preguntas que recibo con más frecuencia sobre este tema. "¿Necesitamos un servidor RADIUS dedicado o podemos utilizar un servicio en la nube?" - Ambos son válidos. NPS local en Windows Server es gratuito y se integra de forma nativa con Active Directory. Los servicios de cloud RADIUS como Foxpass o JumpCloud RADIUS se adaptan mejor a entornos Azure AD o Google Workspace, y reducen el tamaño de su infraestructura local. "¿Qué pasa con los Chromebooks?" - Los Chromebooks admiten 802.1X de forma nativa y se pueden configurar a través de Google Admin Console para utilizar EAP-TLS con certificados de dispositivo emitidos a través de la gestión de certificados de Google. Este es el enfoque más limpio para los despliegues de Google Workspace para Educación. "¿Cómo gestionamos a los padres en las jornadas de puertas abiertas?" - Captive portal en una VLAN de invitados aislada. No se requiere 802.1X. La plataforma de guest WiFi de Purple proporciona un portal personalizado que cumple con el GDPR, el cual recopila el consentimiento y puede enviar datos analíticos a su equipo de marketing o comunicación. "¿Cuál es el caso de ROI para NAC en un colegio?" - Principalmente la mitigación de riesgos. Una filtración de datos que afecte a los expedientes de los alumnos puede dar lugar a multas de la ICO, daños a la reputación y costes significativos de reparación. El coste de una solución NAC correctamente desplegada es una fracción del coste de la investigación de una sola filtración. - RESUMEN Y PRÓXIMOS PASOS - aproximadamente 1 minuto En resumen: proteger una red de educación primaria y secundaria (K-12) con NAC se reduce a cuatro pilares. Identidad: saber quién y qué está en su red en todo momento. Segmentación: garantizar que un dispositivo de un estudiante comprometido no pueda acceder a los datos del personal o a la infraestructura IoT. Cumplimiento: cumplir con los requisitos de GDPR, CIPA y DfE para la protección de datos y la salvaguarda de menores. Y visibilidad: tener la capacidad de registro y análisis para detectar anomalías y responder rápidamente. El punto de partida práctico es una auditoría de red y el diseño de VLAN. Si hace eso bien, la implementación de 802.1X seguirá una secuencia lógica. No intente hacerlo todo a la vez: hágalo por fases, realice pruebas en modo de monitorización y cree su lista blanca de MAB antes de aplicar las políticas. Si está evaluando cómo encaja una plataforma de análisis y WiFi para invitados en esta arquitectura, la plataforma de Purple se integra directamente con su infraestructura NAC para ofrecer un registro de invitados conforme a la normativa, análisis de visitantes y aplicación de políticas, sin añadir complejidad a la segmentación de su red principal. Para profundizar en el tema, en las notas del programa encontrará los enlaces a las guías de Purple sobre seguridad de dispositivos IoT con NAC y MPSK, así como otros recursos más amplios sobre arquitectura de redes empresariales. Gracias por escucharnos. Hasta la próxima. --- FIN DEL GUION

header_image.png

Resumen ejecutivo

Garantizar la seguridad de las redes escolares de educación primaria y secundaria es, fundamentalmente, un ejercicio de mitigación de riesgos, gestión de identidades y cumplimiento normativo. Los responsables de TI se enfrentan al complejo reto de proporcionar un acceso fluido a una base de usuarios muy diversa (que incluye personal, estudiantes, visitantes y contratistas) al tiempo que protegen una gama cada vez mayor de dispositivos IoT, como pizarras interactivas y cámaras de seguridad. El control de acceso a la red (NAC), impulsado por IEEE 802.1X, proporciona la base arquitectónica para una segmentación de red robusta, garantizando que los dispositivos se autentiquen, autoricen y aíslen adecuadamente antes de que se les conceda acceso a la red.

Esta guía proporciona un marco técnico completo para desplegar NAC en entornos educativos. Detalla las mejores prácticas para la integración de RADIUS, la arquitectura de VLAN, el control de estado de los endpoints y el onboarding seguro de invitados. Al implementar estas estrategias, los directores de operaciones de las instalaciones y los arquitectos de red pueden reducir significativamente la superficie de ataque, proteger los datos sensibles de protección de menores y mantener un estricto cumplimiento de las normas regulatorias (como el GDPR y CIPA) sin comprometer la eficiencia operativa del centro educativo.

Análisis técnico profundo

El principio fundamental de NAC es el zero trust en el extremo de la red. Cuando un dispositivo (el suplicante) se conecta a un switch de acceso o a un punto de acceso inalámbrico (el autenticador), el dispositivo se coloca en un estado restringido. El autenticador reenvía las credenciales a un servidor de autenticación (normalmente un servidor RADIUS) utilizando el protocolo 802.1X. Solo una vez que la autenticación se realiza correctamente y se supera la evaluación de políticas, el dispositivo se asigna a la VLAN adecuada con listas de control de acceso (ACL) específicas.

El protocolo 802.1X y los métodos EAP

El marco del protocolo de autenticación extensible (EAP) proporciona el mecanismo de transporte para varios métodos de autenticación dentro de 802.1X. En los entornos educativos de primaria y secundaria, las implementaciones más comunes son:

  • PEAP-MSCHAPv2: Se utiliza habitualmente para que los dispositivos del personal y de los estudiantes se autentiquen con las credenciales de Active Directory. Aunque es más fácil de implementar, es vulnerable a ataques de robo de credenciales si los clientes no validan estrictamente el certificado del servidor.
  • EAP-TLS: El estándar de oro para la seguridad empresarial. Se basa en una autenticación mutua basada en certificados, eliminando por completo la necesidad de contraseñas. Se recomienda encarecidamente para dispositivos gestionados (como los Chromebooks del centro escolar o los portátiles del personal), donde una infraestructura de clave pública (PKI) o una solución de gestión de dispositivos móviles (MDM) puede aprovisionar automáticamente los certificados necesarios.

Estándares de seguridad inalámbrica: WPA3-Enterprise

Para redes inalámbricas, WPA3-Enterprise es el punto de referencia actual. Exige tramas de gestión protegidas (PMF) para evitar ataques de desautenticación y ofrece un modo de seguridad de 192 bits para entornos de alta sensibilidad (como redes de personal/administración). Para redes de estudiantes donde WPA3-Enterprise puede resultar demasiado complejo debido a escenarios BYOD, WPA3-Personal con autenticación simultánea de iguales (SAE) proporciona una protección sólida contra ataques de diccionario fuera de línea, lo que supone una mejora significativa con respecto al estándar heredado WPA2-PSK.

Arquitectura de segmentación de red

Un NAC eficaz se basa en una segmentación de red estricta. Una arquitectura de red plana es una vulnerabilidad crítica. Una implementación estándar para educación primaria y secundaria (K-12) debería implementar, como mínimo, la siguiente estructura de VLAN:

  1. VLAN de personal y administración: acceso completo a recursos internos, sistemas MIS e internet. El movimiento lateral desde otras VLAN está estrictamente restringido.
  2. VLAN de estudiantes: acceso a internet filtrado con un filtrado de contenidos estricto. Sin acceso a recursos de personal ni a interfaces de gestión.
  3. VLAN de IoT e infraestructura: alberga pizarras inteligentes, cámaras IP y sistemas de gestión de edificios. Esta VLAN no debe tener acceso saliente a internet a menos que un dispositivo específico lo requiera de forma explícita, y debe estar aislada de las VLAN de usuarios.
  4. VLAN de invitados: acceso exclusivo a internet, aislada de todas las redes internas, normalmente precedida por un Captive Portal para la aceptación de condiciones y la captura de identidad.

nac_architecture_overview.png

Guía de implementación

La implementación de NAC requiere un enfoque gradual y metódico para evitar interrumpir las operaciones educativas.

Fase 1: Descubrimiento y auditoría

Antes de aplicar cualquier tipo de control, realice una auditoría de red exhaustiva. Utilice herramientas para descubrir todos los dispositivos conectados, identificar el hardware no autorizado (switches o puntos de acceso no autorizados) y documentar el estado actual de la red. Esta fase es fundamental para crear una lista blanca de derivación de autenticación MAC (MAB) precisa para los dispositivos heredados.

Fase 2: Implementación de la infraestructura RADIUS

Implemente su infraestructura RADIUS. Si utiliza un Active Directory local, Network Policy Server (NPS) es una opción habitual. Para entornos centrados en la nube (Azure AD, Google Workspace), las soluciones RADIUS en la nube ofrecen una integración simplificada. Asegúrese de que el servidor RADIUS esté correctamente configurado para comunicarse con su servicio de directorio y de que las reglas de firewall permitan el tráfico LDAP/LDAPS.

Fase 3: Modo de monitorización

Habilite 802.1X en modo de monitorización (a veces llamado modo abierto) en los switches de acceso y controladores inalámbricos. En este estado, el autenticador evalúa las credenciales 802.1X y registra los resultados, pero no bloquea el acceso cuando falla la autenticación. Esto permite al equipo de TI identificar dispositivos mal configurados, certificados ausentes o dispositivos heredados que requieren MAB sin causar interrupciones en la red.

Fase 4: Aplicación y segmentación

Una vez que los registros del modo de monitorización muestren una alta tasa de éxito y se hayan resuelto todas las anomalías, comience a aplicar la autenticación 802.1X. Realice el despliegue por etapas - comience con un grupo piloto (por ejemplo, el departamento de TI), luego extiéndalo al personal y, por último, a los estudiantes. Implemente la asignación dinámica de VLAN mediante atributos de RADIUS (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) para garantizar que los usuarios se ubiquen en el segmento de red correcto en función de su pertenencia a grupos de directorio.

nac_deployment_checklist.png

Mejores prácticas

  • Implemente MAB y MPSK para IoT: Los dispositivos heredados y los terminales IoT sin interfaz de usuario a menudo carecen de un suplicante 802.1X. Utilice MAC Authentication Bypass (MAB) para el equipamiento heredado, pero prefiera Multi-PSK (MPSK) para los dispositivos IoT modernos. MPSK asigna una clave precompartida única a cada dispositivo, lo que garantiza que, incluso si una clave se ve comprometida, el resto de la red permanezca segura. Para ver una guía detallada de configuración, consulte la guía Gestión de la seguridad de dispositivos IoT con NAC y MPSK .
  • Aplique la comprobación de postura del terminal: Vaya más allá de la simple autenticación integrando comprobaciones de postura. Antes de conceder el acceso, la solución NAC debe verificar que los terminales tengan un software antivirus activo, estén totalmente parcheados y tengan habilitado el cifrado de disco. Los dispositivos que no cumplan los requisitos deben ubicarse en una VLAN de remediación.
  • Integre el acceso de invitados con analíticas: La red de invitados debe estar aislada y cumplir con las normativas. La integración de una plataforma como Guest WiFi garantiza que el acceso de los visitantes sea seguro, cumpla con el GDPR y proporcione valiosas WiFi Analytics para comprender el uso del establecimiento y la afluencia.
  • Utilice autenticación basada en certificados (EAP-TLS) siempre que sea posible: Para los dispositivos gestionados, EAP-TLS elimina la dependencia de las contraseñas, reduciendo drásticamente el riesgo de robo de credenciales y ataques de phishing.

Resolución de problemas y mitigación de riesgos

Modos de fallo comunes

  1. Errores de confianza en certificados: si se pide a los usuarios de BYOD que acepten un certificado de servidor no seguro durante la autenticación PEAP, se les está habituando a ignorar las advertencias de seguridad, lo que crea una enorme vulnerabilidad ante el phishing. Mitigación: utilice siempre un certificado firmado por una entidad de certificación (CA) de confianza pública para el servidor RADIUS, o asegúrese de distribuir el certificado raíz de la CA interna a todos los dispositivos gestionados a través de un MDM.
  2. Fallos de integración con el directorio: si el servidor RADIUS no puede comunicarse con el servicio de directorio (por ejemplo, si los controladores de dominio de AD no están disponibles o la contraseña de una cuenta de servicio ha caducado), la autenticación RADIUS fallará. Mitigación: implemente servidores RADIUS redundantes y supervise de forma continua el estado de la integración con el directorio.
  3. El "problema de las impresoras" (bloqueo de dispositivos heredados): aplicar 802.1X sin una lista blanca completa de MAB desconectará de inmediato las impresoras heredadas, los equipos audiovisuales y las pizarras inteligentes más antiguas. Mitigación: la fase en modo de monitorización es fundamental. No pase a la aplicación de políticas hasta que todos los dispositivos que no se autentican hayan sido identificados y perfilados.

ROI e impacto empresarial

Aunque el control de acceso a la red (NAC) es principalmente una inversión en seguridad y cumplimiento normativo, ofrece un valor empresarial medible:

  • Mitigación de riesgos: el coste financiero y de reputación de una brecha de datos que afecte a los expedientes de los estudiantes es catastrófico. El NAC reduce drásticamente la superficie de ataque y evita el movimiento lateral, conteniendo las posibles brechas.
  • Eficiencia operativa: la asignación dinámica de VLAN reduce la carga de trabajo administrativa que supone configurar manualmente los puertos de los switches. El equipo de TI dedica menos tiempo a gestionar las VLAN y más a iniciativas estratégicas.
  • Garantía de cumplimiento normativo: un despliegue de NAC sólido proporciona los registros de auditoría y los controles de acceso necesarios para demostrar el cumplimiento de la directiva GDPR, la CIPA y las normativas de protección locales, lo que simplifica las auditorías y reduce el riesgo legal.

Definiciones clave

Control de Acceso a la Red (NAC)

Una arquitectura de seguridad que aplica políticas en los dispositivos que intentan acceder a una red, garantizando que solo se conceda acceso a los dispositivos autenticados y que cumplan con las normativas.

Esencial para que los equipos de TI eviten el acceso no autorizado y segmenten el tráfico de la red en función de los roles de los usuarios (por ejemplo, personal frente a estudiantes).

IEEE 802.1X

El estándar IEEE para el Control de Acceso a la Red basado en puertos, que proporciona un mecanismo de autenticación para los dispositivos que desean conectarse a una LAN o WLAN.

El protocolo fundamental que permite a los switches y puntos de acceso verificar la identidad del usuario antes de conceder acceso a la red.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA) para los usuarios que se conectan y utilizan un servicio de red.

El "cerebro" de la implementación de NAC, responsable de verificar las credenciales frente a un directorio (como Active Directory) y asignar VLAN.

Bypass de Autenticación MAC (MAB)

Una técnica utilizada para autenticar dispositivos que no admiten 802.1X mediante el uso de su dirección MAC como credencial frente a una lista blanca aprobada previamente.

Crucial para permitir que los dispositivos heredados, como impresoras antiguas y pizarras inteligentes, accedan a la red sin comprometer el requisito de 802.1X para los dispositivos modernos.

Multi-PSK (MPSK)

Una función de seguridad inalámbrica que permite utilizar varias Pre-Shared Keys únicas en un único SSID, asignando cada clave políticas de red o VLANs específicas.

La mejor práctica para proteger los dispositivos IoT modernos que no pueden realizar la autenticación 802.1X, aislándolos de forma segura.

Dynamic VLAN Assignment

El proceso mediante el cual un servidor RADIUS indica al switch o punto de acceso que sitúe a un usuario autenticado en una VLAN específica en función de su pertenencia a un grupo de directorio.

Reduce los costes administrativos al permitir que un único SSID o una única configuración de puerto de switch sirva a múltiples tipos de usuarios de forma segura.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Un método de autenticación 802.1X que requiere autenticación mutua mediante certificados entre el cliente y el servidor, eliminando el uso de contraseñas.

El método de autenticación más seguro, muy recomendado para dispositivos gestionados de propiedad del centro escolar para evitar el robo de credenciales.

Endpoint Posture Checking

El proceso de evaluación del estado de seguridad de un dispositivo (por ejemplo, el estado del antivirus o el nivel de parches de OS) antes de concederle acceso a la red.

Garantiza que incluso los usuarios autenticados no puedan introducir malware en la red a través de dispositivos comprometidos o sin actualizar.

Ejemplos prácticos

Una escuela secundaria de 1500 estudiantes necesita implementar 200 nuevos sensores ambientales inalámbricos en todo el campus. Estos sensores solo admiten WPA2-Personal y no disponen de un suplicante 802.1X. ¿Cómo debería el arquitecto de red proteger estos dispositivos sin comprometer la red principal?

El arquitecto debe desplegar un SSID oculto dedicado para los dispositivos IoT e implementar Multi-PSK (MPSK). A cada sensor (o grupo de sensores) se le asigna una clave precompartida única y compleja. El controlador inalámbrico o servidor RADIUS se configura para mapear estas claves específicas a la VLAN aislada de "IoT e Infraestructura". Esta VLAN debe tener aplicadas ACL estrictas que denieguen todo el acceso a las VLAN de personal y estudiantes, y restrinjan el acceso a internet saliente solo a los endpoints en la nube específicos requeridos por los sensores ambientales.

Comentario del examinador: Este enfoque aísla los dispositivos IoT vulnerables al tiempo que evita la pesadilla operativa de gestionar una única PSK compartida. Si un sensor es robado o se ve comprometido, su clave individual puede ser revocada sin afectar a los otros 199 dispositivos. Esto se alinea con las mejores prácticas descritas en la guía [Gestión de la seguridad de dispositivos IoT con NAC y MPSK](/guides/managing-iot-device-security-with-nac-and-mpsk).

Durante el despliegue de 802.1X (PEAP-MSCHAPv2) para dispositivos BYOD de estudiantes, el servicio de soporte de TI se ve desbordado por solicitudes de estudiantes que informan de que sus dispositivos les advierten de un "certificado de red no confiable". ¿Cómo se debe resolver esto?

El problema ocurre porque el servidor RADIUS está utilizando un certificado firmado por la Autoridad de Certificación (CA) interna y privada de la escuela, en la que los dispositivos BYOD no confían de forma nativa. La solución inmediata es reemplazar el certificado del servidor RADIUS por uno emitido por una CA pública ampliamente reconocida (por ejemplo, DigiCert, Let's Encrypt). A largo plazo, la escuela debería implementar un portal de incorporación que configure de forma segura el suplicante e instale las de confianza necesarias antes de que el dispositivo intente conectarse.

Comentario del examinador: Instruir a los usuarios para que acepten o confíen manualmente en un certificado desconocido es un fallo de seguridad crítico, ya que los entrena para ser víctimas de ataques de tipo Evil Twin o Man-in-the-Middle (MitM). El uso de una CA pública para la autenticación RADIUS de BYOD es una práctica recomendada estándar de la industria para garantizar una incorporación fluida y segura.

Preguntas de práctica

Q1. Un distrito escolar está migrando sus servicios de directorio por completo a Google Workspace y eliminando progresivamente Active Directory local. Actualmente utilizan NPS para RADIUS. ¿Qué cambio de arquitectura es necesario para mantener la autenticación 802.1X en su flota de Chromebooks gestionados?

Sugerencia: Piensa en cómo se autentican los Chromebooks de forma nativa y qué infraestructura se necesita cuando se elimina Active Directory.

Ver respuesta modelo

El distrito debería migrar a un proveedor de RADIUS en la nube (por ejemplo, SecureW2, Foxpass) que se integre de forma nativa con Google Workspace, o utilizar las capacidades de Cloud RADIUS propias de Google si están disponibles en su nivel de licencia. Deberían configurar los Chromebooks a través de la consola de administración de Google para utilizar EAP-TLS, aprovechando los certificados de dispositivo aprovisionados automáticamente por la gestión de certificados de Google, eliminando por completo la dependencia de contraseñas y servidores NPS locales.

Q2. Durante una auditoría de red, el equipo de TI descubre un router inalámbrico de consumo conectado a un puerto de pared de un aula que emite un SSID oculto. ¿Cómo evita una solución NAC correctamente configurada que esta tecnología no autorizada comprometa la red?

Sugerencia: Piensa en lo que ocurre a nivel de puerto de switch cuando se conecta un dispositivo no gestionado.

Ver respuesta modelo

Con la seguridad 802.1X aplicada en los puertos cableados del switch, el router de consumo fallará en la autenticación al carecer de credenciales válidas o de un certificado. El puerto del switch permanecerá en estado no autorizado (bloqueando todo el tráfico) o asignará dinámicamente el puerto a una VLAN de remediación aislada. Además, las soluciones NAC empresariales pueden detectar la presencia de NAT o de múltiples direcciones MAC detrás de un único puerto, activando un apagado automático del puerto para aislar el dispositivo no autorizado.

Q3. El director de operaciones de un gran campus educativo quiere ofrecer un acceso WiFi sin interrupciones a los padres que lo visiten durante un torneo deportivo, pero el equipo de TI está preocupado por el cumplimiento del GDPR y la seguridad de la red. ¿Cuál es el enfoque recomendado?

Sugerencia: Considera el equilibrio entre la facilidad de acceso y los requisitos legales para la recopilación de datos de los usuarios.

Ver respuesta modelo

El equipo de TI debería aprovisionar una VLAN de invitados dedicada que esté estrictamente aislada de todos los recursos internos y que solo tenga acceso a internet. Deberían implementar una solución de Captive Portal, como la plataforma de Guest WiFi de Purple, para gestionar el registro. Esto garantiza que los visitantes deban aceptar los términos y condiciones y proporcionar su consentimiento explícito para el procesamiento de datos antes de obtener acceso, cumpliendo con los requisitos del GDPR y manteniendo segura la red principal.