Saltar al contenido principal

Mitigación de vulnerabilidades de RADIUS: una guía de robustecimiento de seguridad

Esta guía proporciona una referencia exhaustiva y práctica para directores de TI, arquitectos de red y CTO responsables de la infraestructura de WiFi corporativa en sectores como hostelería, retail, eventos y entornos del sector público. Abarca toda la superficie de ataque de las implementaciones de servidores RADIUS - desde vulnerabilidades de colisión MD5 y secretos compartidos débiles hasta el transporte UDP no cifrado y métodos EAP mal configurados - y ofrece una hoja de ruta de robustecimiento priorizada y alineada con los requisitos de IEEE 802.1X, PCI-DSS y GDPR. Las organizaciones que implementen estas recomendaciones reducirán de forma significativa su exposición a ataques de red basados en credenciales, cumplirán con sus obligaciones de conformidad y desarrollarán una postura de seguridad sólida para su infraestructura de WiFi corporativa y de invitados.

📖 12 min de lectura📝 2,764 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 10 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
MITIGACIÓN DE VULNERABILIDADES EN RADIUS: GUÍA DE REFORZAMIENTO DE SEGURIDAD Un informe de inteligencia de Purple WiFi [INTRODUCCIÓN — aprox. 1 minuto] Le damos la bienvenida. Seré su anfitrión en el informe de hoy. Durante los próximos diez minutos, iremos directos al grano sobre un asunto que quita el sueño a muchos arquitectos de red y responsables de TI: la seguridad del servidor RADIUS. Si gestiona una red WiFi corporativa en un complejo hotelero, una cadena de tiendas, un estadio o un edificio del sector público, su infraestructura RADIUS es uno de los componentes más críticos - y que más se suele pasar por alto - de su postura de seguridad. Empecemos. [CONTEXTO — aprox. 1 minuto] RADIUS - Remote Authentication Dial-In User Service - ha sido la columna vertebral del control de acceso a redes desde mediados de los noventa. Es el protocolo que se sitúa entre sus puntos de acceso y su directorio de identidades, decidiendo quién accede a la red y quién no. El estándar 802.1X, en el que se basa prácticamente cualquier despliegue de autenticación por cable y WiFi corporativo, depende de RADIUS para funcionar. El problema es que RADIUS se diseñó en una época en la que el panorama de amenazas era muy diferente. El protocolo utiliza UDP, que no está orientado a la conexión y, por tanto, es más difícil de proteger. Históricamente, su mecanismo de autenticación principal ha dependido del hashing MD5 - un algoritmo criptográfico que se demostró vulnerable ya en 2004. Además, los secretos compartidos, las claves previamente compartidas que autentican sus puntos de acceso ante su servidor RADIUS, se suelen configurar una vez y no se vuelven a rotar. En 2024, unos investigadores publicaron un ataque práctico contra RADIUS llamado BlastRADIUS, un ataque de intermediario (man-in-the-middle) que explota la vulnerabilidad de MD5 para falsificar respuestas de autenticación. Esto no es teórico. Es un vector de ataque real y documentado que afecta a despliegues que ejecutan FreeRADIUS sin parchear, Cisco ISE y Microsoft NPS. Si no ha aplicado parches desde mediados de 2024, está expuesto. Las consecuencias para el negocio son importantes. Un servidor RADIUS comprometido no solo significa un acceso WiFi no autorizado. Permite que un atacante se autentique como cualquier usuario de su red, evada la segmentación de red y acceda potencialmente a sistemas de pago, historiales de pacientes o tecnología operativa. En entornos de retail que procesan pagos con tarjeta, esto supone una brecha directa de PCI-DSS. En el sector sanitario, es un problema de GDPR y gobernanza clínica. En el sector hotelero, se traduce en daños para la marca y posibles multas regulatorias. [ANÁLISIS TÉCNICO DETALLADO — aprox. 5 minutos] Analicemos la superficie de ataque de forma sistemática. La primera clase de vulnerabilidad es el riesgo de colisión MD5. RADIUS utiliza MD5 para proteger el atributo User-Password y generar el campo Response Authenticator. MD5 produce un hash de 128 bits, y los ataques de colisión - en los que dos entradas diferentes producen el mismo hash - son viables desde 2004. El ataque BlastRADIUS explota específicamente la falta de protección de integridad en los paquetes Access-Request. Un atacante posicionado entre su dispositivo NAS - es decir, su servidor de acceso a la red, normalmente su punto de acceso o switch - y su servidor RADIUS puede inyectar un atributo manipulado en el paquete y obligar al servidor a devolver un Access-Accept, incluso para una credencial no válida. La solución aquí es doble: parchee su servidor RADIUS a la última versión y aplique Message-Authenticator en todos los paquetes Access-Request. FreeRADIUS 3.2.5 y versiones posteriores lo requieren de forma predeterminada. La segunda clase de vulnerabilidad son los secretos compartidos débiles o estáticos. El secreto compartido es la clave precompartida entre su NAS y su servidor RADIUS. Si es corto, vulnerable a ataques de diccionario o no se ha rotado en años, es un peligro. RADIUS utiliza este secreto para cifrar el atributo User-Password y generar el Response Authenticator. Un secreto compartido débil significa que un atacante que capture el tráfico RADIUS - lo cual es trivial en una red que ya ha comprometido parcialmente - puede descifrar la contraseña por fuerza bruta de forma offline. La mejor práctica es un mínimo de 32 caracteres, generados aleatoriamente y rotados al menos una vez al año. Automatice esta rotación; hacerlo manualmente en una gran infraestructura es propenso a errores. La tercera clase de vulnerabilidad es el transporte no cifrado. El estándar RADIUS funciona sobre UDP en el puerto 1812 para la autenticación y en el 1813 para la contabilidad. UDP no proporciona cifrado en la capa de transporte, ni comprobación de integridad, ni protección contra repeticiones más allá de lo que el propio RADIUS implementa - lo cual, como hemos establecido, es insuficiente. RadSec, definido formalmente en la norma RFC 6614, envuelve RADIUS en TLS 1.2 o 1.3 sobre el puerto TCP 2083. Esto proporciona autenticación mutua mediante certificados, cifrado completo de la carga útil de RADIUS y protección contra repeticiones. Si ejecuta RADIUS a través de cualquier segmento de red no seguro - incluido un enlace WAN entre un centro remoto y un servidor RADIUS central - RadSec no es opcional. Es un requisito. La cuarta clase de vulnerabilidad es la selección del método EAP. No todos los métodos EAP son iguales. EAP-MD5 debe considerarse obsoleto - no proporciona autenticación mutua ni cifrado del intercambio de autenticación. PEAP y EAP-TTLS son aceptables para la mayoría de las implementaciones empresariales, ya que establecen un túnel TLS antes de transmitir las credenciales y admiten la autenticación mutua mediante certificados de servidor. EAP-TLS es el estándar de oro: requiere que tanto el servidor como el cliente presenten certificados, eliminando por completo la contraseña del intercambio de autenticación. Esto lo hace inmune al phishing de credenciales y a los ataques de fuerza bruta. El coste operativo de implementar una PKI para emitir certificados de cliente es real, pero para entornos de alta seguridad - redes sanitarias, zonas de procesamiento de pagos, sistemas internos de retail - es la decisión correcta. La quinta clase de vulnerabilidad es el registro y la monitorización insuficientes. Los datos de contabilidad de RADIUS son una mina de oro para la detección de amenazas, y la mayoría de las organizaciones no los están utilizando. Cada intento de autenticación, ya sea exitoso o fallido, genera un registro contable. Los patrones de autenticaciones fallidas, autenticaciones desde direcciones MAC inesperadas o autenticaciones a horas inusuales son todos indicadores de compromiso. Integre su flujo de contabilidad RADIUS en su SIEM. Establezca alertas para más de cinco autenticaciones fallidas desde una sola dirección MAC en sesenta segundos. Monitorice las tormentas de Access-Reject, que pueden indicar que hay un ataque de relleno de credenciales en curso. [RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES — aprox. 2 minutos] Permítame ofrecerle una secuencia práctica para un proyecto de securización. Comience con el parcheo. Esto es innegociable y debe realizarse dentro de su próxima ventana de cambios. FreeRADIUS, Cisco ISE y Microsoft NPS lanzaron parches para BlastRADIUS en julio de 2024. Compruebe su versión, aplique el parche y verifique que la aplicación de Message-Authenticator esté activa. A continuación, audite sus secretos compartidos. Extraiga la lista de todos los dispositivos NAS registrados en su servidor RADIUS. Para cada uno de ellos, compruebe la longitud y la antigüedad del secreto compartido. Cualquier secreto de menos de 20 caracteres o de más de dos años de antigüedad debe rotarse inmediatamente. Utilice un gestor de contraseñas o un almacén de secretos - HashiCorp Vault funciona bien en este caso - para almacenarlos y rotarlos de forma programada. Tercero, evalúe su método EAP. Si está ejecutando EAP-MD5 en algún lugar, migre fuera de él ahora. PEAP-MSCHAPv2 es una posición intermedia razonable para la mayoría de los entornos empresariales. Si dispone de la infraestructura PKI, EAP-TLS es el estado objetivo. Cuarto, implemente RadSec para cualquier tráfico RADIUS que atraviese segmentos de red no confiables. Esto es especialmente relevante para implementaciones multisitio donde un servidor RADIUS central da servicio a sedes remotas a través de Internet o de una WAN compartida. En quinto lugar, habilite la autenticación multifactor para el acceso privilegiado al propio servidor RADIUS. La interfaz de gestión del servidor es un objetivo de gran valor. Impulse el MFA para todos los inicios de sesión administrativos y restrinja el acceso de gestión a una red de gestión dedicada fuera de banda. Ahora, los errores comunes. El fallo más habitual que veo es que las organizaciones parchean el servidor RADIUS pero dejan los dispositivos NAS con firmware antiguo que no es compatible con Message-Authenticator. El parche solo es eficaz si ambos extremos lo aplican. Realice una auditoría del firmware de sus puntos de acceso y switches como parte del mismo proyecto. El segundo error común es el vencimiento de los certificados. Si utiliza EAP-TLS o RadSec, hay certificados en juego. Un certificado de servidor RADIUS que venza de forma silenciosa hará que todas las autenticaciones de su red fallen simultáneamente. Integre la monitorización del vencimiento de los certificados en su libro de ruta operativo. Configure alertas a los 90, 30 y 7 días antes del vencimiento. El tercer error es confiar demasiado en la segmentación de red como control de compensación. La segmentación es importante, pero no protege contra un atacante que ya se ha autenticado a través de un servidor RADIUS comprometido. La defensa en profundidad significa que necesita el endurecimiento de RADIUS además de la segmentación. [PREGUNTAS Y RESPUESTAS RÁPIDAS - aprox. 1 minuto] Pregunta: ¿Necesito RadSec si mi servidor RADIUS está en la misma LAN que mis puntos de acceso? Respuesta: Si están en la misma VLAN de gestión segmentada y de confianza, sin dispositivos no fiables, el estándar RADIUS sobre UDP es aceptable para el tramo de NAS a servidor. Pero si existe alguna posibilidad de movimiento lateral desde un dispositivo comprometido que llegue a esa VLAN, RadSec añade una protección significativa a bajo coste. Pregunta: Utilizamos Microsoft NPS. ¿Nos afecta BlastRADIUS? Respuesta: Sí. Microsoft lanzó un parche en julio de 2024. Aplíquelo. Además, configure la clave de registro RequireMessageAuthenticator en su servidor NPS. Pregunta: ¿Cómo gestiono el WiFi de invitados? Los invitados no tienen certificados. Respuesta: El WiFi de invitados suele utilizar un modelo de Captive Portal en lugar de 802.1X, por lo que RADIUS se utiliza de forma diferente - a menudo solo para la omisión de autenticación MAC o contabilidad. Se aplica el mismo parcheado e higiene de secretos compartidos, pero EAP-TLS no es relevante para el acceso de invitados no autenticados. Céntrese en aislar la instancia RADIUS de invitados de su infraestructura RADIUS corporativa. Pregunta: ¿Cuál es el caso de ROI para una migración completa a EAP-TLS? Respuesta: Cuantifíquelo frente a su riesgo de brecha de seguridad. Una sola brecha de PCI-DSS cuesta una media de cuatro millones de libras en multas, remediación y daños a la reputación. Un despliegue de PKI para un parque de 500 dispositivos cuesta aproximadamente entre 15.000 y 30.000 libras en herramientas y servicios profesionales. Las cuentas son claras. [RESUMEN Y SIGUIENTES PASOS - aprox. 1 minuto] Permítame dejarle con cinco tareas para realizar este trimestre. Uno: Parchee su servidor RADIUS y todos los dispositivos NAS para BlastRADIUS. Haga esto primero. Dos: Audite y rote todos los secretos compartidos. Automatice la rotación a partir de ahora. Tres: Exija Message-Authenticator en todos los paquetes Access-Request. Cuatro: Implemente RadSec para cualquier tráfico RADIUS que cruce límites de red no confiables. Cinco: Integre los registros de contabilidad de RADIUS en su SIEM y configure alertas de anomalías. La seguridad de RADIUS no es glamurosa, pero es fundamental. Haga bien estas cinco cosas y habrá cerrado los vectores de ataque más importantes contra su infraestructura de control de acceso a la red. Gracias por escucharnos. Para más información sobre arquitectura de seguridad WiFi para empresas, visite purple.ai. Este ha sido un informe de inteligencia de Purple WiFi.

header_image.png

Resumen Ejecutivo

RADIUS (Remote Authentication Dial-In User Service) sigue siendo el protocolo principal para el control de acceso a la red en despliegues de WiFi corporativos, sustentando la autenticación IEEE 802.1X en hoteles, tiendas, estadios, centros de conferencias y edificios del sector público. Sin embargo, la arquitectura de RADIUS se remonta a la década de 1990, y varias de sus decisiones de diseño fundacionales (la dependencia del hash MD5, el transporte UDP sin cifrado nativo y los secretos compartidos estáticos) se han convertido en riesgos significativos en el entorno de amenazas actual.

En julio de 2024, la vulnerabilidad BlastRADIUS (CVE-2024-3596) demostró que un atacante man-in-the-middle puede falsificar respuestas Access-Accept de RADIUS explotando las debilidades de integridad de MD5 en los paquetes Access-Request. La vulnerabilidad afecta a las principales implementaciones de RADIUS, incluyendo FreeRADIUS, Cisco ISE y Microsoft NPS. Los despliegues sin parchear siguen estando expuestos a riesgos.

Esta guía proporciona una hoja de ruta de securización priorizada que abarca la gestión de parches, la higiene de secretos compartidos, la selección del método EAP, el despliegue de RadSec, la autenticación multifactor para el acceso administrativo y la integración con SIEM para la detección de anomalías. Está escrita para profesionales de TI que necesitan tomar decisiones defendibles este trimestre, no el próximo año.

radius_architecture_overview.png

Análisis Técnico Detallado

Cómo funciona RADIUS y cuáles son sus puntos débiles

RADIUS opera como un protocolo cliente - servidor entre un servidor de acceso a la red (NAS) (normalmente un punto de acceso WiFi, un switch o un concentrador VPN) y un servidor RADIUS, que valida las credenciales contra un almacén de identidades backend como Active Directory o LDAP. El intercambio de autenticación sigue el modelo de solicitud - desafío - respuesta definido en RFC 2865, con la contabilidad gestionada por separado bajo RFC 2866.

El protocolo transmite paquetes de autenticación sobre UDP, utilizando el puerto 1812 para la autenticación y el 1813 para la contabilidad. El secreto compartido (la clave precompartida configurada tanto en el NAS como en el servidor RADIUS) se utiliza para generar el campo Response Authenticator y para cifrar el atributo User-Password a través de un cifrado XOR basado en MD5. Esto no es cifrado en ningún sentido moderno; es una ofuscación que depende enteramente del secreto y la robustez del secreto compartido.

Las cinco categorías principales de vulnerabilidad en un despliegue típico de RADIUS son las siguientes.

Vulnerabilidades de integridad y colisión MD5. El ataque BlastRADIUS (CVE-2024-3596) explota la falta de protección de integridad en los paquetes Access-Request. Dado que muchas configuraciones no incluyen por defecto el atributo Message-Authenticator desde el NAS, un atacante en una posición intermedia (man-in-the-middle) puede inyectar atributos manipulados antes de que el paquete llegue al servidor RADIUS. Utilizando una técnica de colisión de prefijo elegido de MD5, el atacante puede manipular el paquete para que el servidor RADIUS calcule un Response Authenticator válido para el paquete modificado, devolviendo un Access-Accept para una solicitud que debería haber sido rechazada. La solución consiste en exigir el atributo Message-Authenticator en todos los paquetes Access-Request, lo que proporciona protección de integridad HMAC-MD5 en todo el paquete. Esto requiere cambios de configuración tanto en el NAS como en el servidor RADIUS, no solo un parche del servidor.

Secretos compartidos débiles o estáticos. El secreto compartido es el anclaje criptográfico del intercambio RADIUS. Si el secreto es corto, predecible o nunca se rota, un atacante que capture el tráfico RADIUS (posible mediante ARP spoofing o un dispositivo de red comprometido) puede descifrar por fuerza bruta el atributo User-Password de forma offline. Las directrices de la norma NIST SP 800-63B sobre secretos memorizados se aplican aquí: los secretos deben tener al menos 20 caracteres, generarse de forma aleatoria y almacenarse en un sistema de gestión de secretos. Para redes grandes con decenas o cientos de dispositivos NAS, la rotación manual es inviable a nivel operativo; la automatización mediante HashiCorp Vault o un gestor de secretos similar es el enfoque correcto.

Transporte UDP no cifrado. El estándar RADIUS sobre UDP no proporciona confidencialidad en la capa de transporte. El atributo User-Password se ofusca pero no se cifra. Todos los demás atributos - incluidos los nombres de usuario, las direcciones IP de NAS y los metadatos de sesión - viajan en texto plano. RadSec (RADIUS sobre TLS), definido en RFC 6614 y actualizado en RFC 7360, soluciona esto envolviendo el protocolo RADIUS en un túnel TLS sobre el puerto TCP 2083, estableciendo una sesión TLS 1.2 o TLS 1.3. RadSec proporciona autenticación mutua de certificados entre el NAS y el servidor RADIUS, cifrado completo de la carga útil y protección contra la repetición de paquetes. Es el transporte correcto para cualquier tráfico RADIUS que cruce un límite de red no seguro.

Selección del método EAP. El Protocolo de Autenticación Extensible (EAP) define los métodos de autenticación internos utilizados dentro del marco 802.1X. EAP-MD5 está obsoleto y debe eliminarse de todas las implementaciones de inmediato; no proporciona autenticación mutua ni resistencia a los ataques de recopilación de credenciales. PEAP (EAP protegido) y EAP-TTLS establecen un túnel TLS utilizando un certificado de servidor antes de transmitir las credenciales, proporcionando autenticación mutua y protegiendo el método interno de la interceptación. EAP-TLS elimina por completo las contraseñas, requiriendo certificados X.509 tanto en el servidor como en el cliente. Es inmune al phishing y a los ataques de fuerza bruta y es el método recomendado para entornos de alta seguridad. Registro y supervisión insuficientes. El registro de RADIUS registra cada evento de autenticación: éxito, fallo, inicio de sesión, parada de sesión. Estos datos son operativamente valiosos para la planificación de la capacidad y comercialmente valiosos para WiFi Analytics , pero también son una fuente crítica de telemetría de seguridad. Las tormentas de fallos de autenticación, las autenticaciones desde direcciones MAC desconocidas y los patrones de acceso fuera de las horas de trabajo son detectables a partir de los registros de RADIUS. La mayoría de las organizaciones no ingieren estos datos en un SIEM, y las que lo hacen rara vez configuran umbrales de alerta.

eap_comparison_chart.png

El ataque BlastRADIUS al detalle

BlastRADIUS se dio a conocer en julio de 2024 por investigadores de la Universidad de Boston y la UC San Diego. El ataque requiere una posición de intermediario (man-in-the-middle) entre el NAS y el servidor RADIUS, lo cual se puede lograr mediante envenenamiento ARP en un segmento de red compartido, un router comprometido o un usuario interno malicioso con acceso a la red.

El ataque se desarrolla de la siguiente manera: el atacante intercepta un paquete Access-Request del NAS. Dado que el paquete carece del atributo Message-Authenticator (el valor predeterminado en muchas configuraciones), el atacante es libre de modificar la lista de atributos del paquete. Utilizando una colisión de prefijo elegido de MD5, el atacante construye un paquete modificado para el cual el servidor RADIUS calculará el mismo Response Authenticator que el original. Por lo tanto, el servidor devuelve un Access-Accept para una solicitud que contiene atributos controlados por el atacante, incluido un Service-Type de Administrative que autoriza el acceso total a la red.

El ataque es eficaz contra implementaciones PEAP y EAP-TTLS que utilizan MSCHAPv2 como método interno. No afecta a las implementaciones EAP-TLS, donde la autenticación mutua basada en certificados proporciona una protección de integridad que MD5 no puede subvertir.

Para las organizaciones que ejecutan tanto Guest WiFi como 802.1X corporativo, la instancia RADIUS de la red de invitados también debe ser parcheada, incluso si utiliza la omisión de autenticación de MAC (MAC Authentication Bypass) en lugar de EAP. La higiene de secretos compartidos y el requisito de Message-Authenticator se aplican por igual.

Guía de implementación

Fase 1: Corrección inmediata (semanas 1-2)

El parcheo es lo primero. FreeRADIUS 3.2.5 y 3.0.27 contienen las correcciones de BlastRADIUS y aplican Message-Authenticator por defecto. Cisco ISE 3.1 Parche 8, 3.2 Parche 4 y 3.3 Parche 1 solucionan la vulnerabilidad. Microsoft publicó el KB5040434 para Windows Server 2022 NPS en julio de 2024. Verifique sus versiones actuales y aplique los parches en su próximo período de cambios programado.

At the same time, audit your NAS device firmware. Message-Authenticator enforcement is only effective if the NAS also sends the attribute. Check your access point and switch vendor advisories - Aruba, Ruckus, Cisco and Juniper have all released firmware updates for BlastRADIUS. If you are running Ruckus hardware, the wireless access point Ruckus guide provides relevant firmware management context.

For troubleshooting Windows 11 802.1X authentication issues that can appear after patching, the most common cause is the NPS server rejecting connections from clients that do not include Message-Authenticator - correct security behaviour that may require supplicant reconfiguration on older Windows clients.

Phase 2: Shared secret hygiene (weeks 2-4)

Export the full list of NAS clients registered on your RADIUS servers. For each entry, record the shared secret length and the date it was last changed. Any secret below 20 characters, or unchanged for more than 24 months, should be rotated immediately.

For new secrets, use a cryptographically random generator - openssl rand -base64 32 produces a 44-character base64 string well suited to use as a RADIUS shared secret. Store all secrets in a secrets management system. Implement a rotation schedule: annually for low-risk NAS devices, every six months for NAS devices in PCI-DSS scope.

Phase 3: EAP method rationalisation (months 1-2)

Audit the EAP methods your RADIUS servers permit. Disable EAP-MD5. If you are running PEAP-MSCHAPv2, verify that all supplicants enforce server certificate validation - a misconfigured supplicant that accepts any server certificate is vulnerable to rogue RADIUS server attacks. For environments in PCI-DSS scope, EAP-TLS is recommended. If you have no existing certificate infrastructure, begin PKI planning.

For securing guest WiFi networks , note that guest networks typically use Captive Portal authentication rather than 802.1X, so EAP method hardening applies primarily to corporate and staff SSIDs.

Phase 4: RadSec deployment (months 2-3)

Identify every RADIUS traffic path that crosses an untrusted network boundary. Common scenarios include a central RADIUS server serving remote hotels over the internet; on-premises NAS devices reaching a cloud RADIUS service; and RADIUS proxy chains where traffic traverses multiple network domains.

For each identified path, configure RadSec. On FreeRADIUS this means enabling the tls listener on port 2083 and configuring mutual TLS with certificates from your PKI. On Cisco ISE, RadSec is configured under Administration > Network Devices. Ensure TLS 1.2 as a minimum; explicitly disable TLS 1.0 and 1.1.

Phase 5: Multi-factor authentication for administrative access (months 2-3)

La interfaz de gestión de un servidor RADIUS es un objetivo de gran valor. Un atacante que comprometa el servidor RADIUS puede modificar las políticas de autenticación, extraer secretos compartidos y redirigir los flujos de autenticación. Obligue el uso de MFA en los inicios de sesión administrativos para todos los servidores RADIUS y sus sistemas operativos subyacentes. Restrinja el acceso de gestión a una VLAN de gestión dedicada fuera de banda. Implemente el control de acceso basado en roles: los ingenieros de red no deben tener los mismos privilegios que los administradores de seguridad.

Fase 6: Integración con SIEM y alertas (meses 3-4)

Configure sus servidores RADIUS para reenviar los registros de contabilidad a su SIEM en tiempo real. Defina los siguientes umbrales de alerta básicos:

Alerta Umbral Gravedad
Múltiples fallos de autenticación desde una única dirección MAC >5 en 60 segundos Alta
Pico en la tasa de Access-Reject 200% por encima de la línea base de 7 días Media
Autenticación desde una nueva dirección MAC en un SSID corporativo Primera aparición Media
Certificado del servidor RADIUS próximo a expirar 90 / 30 / 7 días Alta / Crítica / Crítica
Errores de discrepancia en el secreto compartido Cualquier aparición Alta

Buenas prácticas

Las siguientes recomendaciones sintetizan el consenso entre IEEE 802.1X, NIST SP 800-63B, PCI-DSS v4.0 y las advertencias de seguridad de los proveedores.

Gestión de certificados. Cualquier despliegue que utilice EAP-TLS o RadSec cuenta con certificados X.509 en su ruta de autenticación. La expiración de los certificados es la causa más común de fallos de autenticación repentinos y totales en los despliegues de WiFi corporativos. Implemente la gestión automatizada del ciclo de vida de los certificados. Configure alertas de monitorización a los 90, 30 y 7 días antes de la expiración. Para los certificados de servidor RADIUS, utilice claves RSA de mínimo 2048 bits o ECDSA de 256 bits, y algoritmos de firma SHA-256 o superiores. No utilice SHA-1.

Segmentación de red. Los servidores RADIUS deben ubicarse en un segmento de gestión dedicado, aislado de las redes de invitados y corporativas generales. El acceso a los puertos RADIUS (UDP 1812, 1813 y TCP 2083 para RadSec) debe restringirse mediante ACL de cortafuegos a las direcciones IP específicas de los dispositivos NAS registrados. No permita el acceso directo a internet a los puertos RADIUS.

Redundancia y alta disponibilidad. Un único servidor RADIUS es un punto único de fallo para toda su infraestructura de control de acceso a la red. Despliegue al menos dos servidores RADIUS en una configuración activo - pasivo o activo - activo. Para despliegues en el sector de la hostelería con requisitos de conectividad para invitados las 24 horas del día, los 7 días de la semana, el tiempo de inactividad del servidor RADIUS se traduce directamente en un tiempo de inactividad de la red WiFi de invitados, lo que supone un riesgo comercial y reputacional.WPA3 and 802.1X. WPA3-Enterprise en modo de seguridad de 192 bits, necesario para implementaciones gubernamentales y de alta seguridad, exige AES-256-GCMP para el cifrado de datos y HMAC-SHA-384 para la autenticación. Para la mayoría de las implementaciones empresariales, WPA3-Enterprise con seguridad estándar de 128 bits ya es una mejora significativa con respecto a WPA2-Enterprise, en particular cuando se combina con EAP-TLS. Los entornos de comercio minorista que procesan pagos con tarjeta deben considerar la adopción de WPA3-Enterprise como una medida de reducción de riesgos PCI-DSS.

Cadencia de parches del proveedor. Suscríbase a los avisos de seguridad del proveedor de su servidor RADIUS y de los proveedores de sus dispositivos NAS. FreeRADIUS, Cisco, Microsoft, Aruba y Ruckus publican notificaciones de CVE. Incorpore estas notificaciones a su programa de gestión de vulnerabilidades con SLA definidos: vulnerabilidades críticas (CVSS ≥ 9.0) parcheadas en un plazo de 72 horas; vulnerabilidades de gravedad alta (CVSS 7.0 - 8.9) en un plazo de 14 días.

Solución de problemas y mitigación de riesgos

Modos de fallo comunes

Fallos de autenticación tras el parcheo. Tras aplicar los parches de BlastRADIUS, algunos dispositivos NAS pueden fallar al autenticarse si su firmware no es compatible con Message-Authenticator. Síntoma: un aumento repentino de respuestas Access-Reject sin cambios en las credenciales de los usuarios. Diagnóstico: habilite el registro de depuración de RADIUS y busque errores del tipo "Message-Authenticator required but not present". Resolución: actualice el firmware del NAS o, como medida temporal, configure el servidor RADIUS para que acepte solicitudes sin Message-Authenticator de IP de NAS específicas mientras se programan las actualizaciones de firmware.

Fallos de validación de certificados en EAP-TLS. Síntoma: los clientes reciben el mensaje "error de autenticación" sin el correspondiente Access-Reject en el registro de RADIUS. Diagnóstico: compruebe la cadena de certificados del servidor RADIUS - ¿confía el suplicante del cliente en la CA emisora? ¿Está el certificado del servidor dentro de su periodo de validez? Resolución: asegúrese de que la cadena de certificados completa (hoja + intermedio + raíz) esté configurada en el servidor RADIUS. Distribuya los certificados de la CA raíz a los dispositivos de los clientes a través de MDM o políticas de grupo.

Fallos en el protocolo de enlace TLS de RadSec. Síntoma: los dispositivos NAS no pueden establecer conexiones RadSec después de un cambio de configuración. Diagnóstico: compruebe la compatibilidad de la versión de TLS - es posible que el firmware de los NAS más antiguos no admita TLS 1.2. Compruebe la autenticación mutua de certificados - ambas partes deben confiar en la CA de la otra. Resolución: verifique la compatibilidad de la versión de TLS en las notas de la versión del firmware del NAS; asegúrese de que los certificados del dispositivo NAS estén emitidos por la misma CA en la que confía el servidor RADIUS.

Discrepancia en la clave secreta compartida. Síntoma: todas las autenticaciones de un NAS concreto fallan con errores de "autenticador no válido". Diagnóstico: una discrepancia de la clave secreta compartida entre la configuración del NAS y la entrada del cliente del servidor RADIUS. Resolución: vuelva a introducir la clave secreta compartida en ambos extremos, comprobando si hay espacios en blanco al final o problemas de codificación de caracteres. Copie y pegue desde su gestor de secretos para evitar errores de transcripción.

Registro de riesgos

Riesgo Probabilidad Impacto Controles de mitigación
Explotación de BlastRADIUS Alta (si no está parcheado) Crítica Parcheo + aplicación de Message-Authenticator
Fuerza bruta de secreto compartido Media Alta Secretos aleatorios de 32 caracteres, rotación anual
Servidor RADIUS no autorizado Media Alta Autenticación mutua EAP-TLS, vinculación de certificados (certificate pinning)
Caducidad del certificado del servidor RADIUS Alta Crítica Monitorización automatizada, alertas anticipadas de 90 días
Relleno de credenciales (credential stuffing) a través de 802.1X Media Alta Política de bloqueo de cuentas, alertas SIEM
Compromiso del servidor RADIUS Baja Crítica MFA en acceso de administración, segmentación de red

ROI e impacto empresarial

Cuantificación del riesgo

El argumento financiero para el endurecimiento de RADIUS es más evidente cuando se compara con los costes de una brecha de seguridad. El coste medio de una brecha de datos en el Reino Unido en 2024 fue de 3,58 millones de libras, lo que incluye multas reglamentarias, remediación, costes legales y daños a la reputación. Para las organizaciones dentro del alcance de PCI-DSS (básicamente todos los operadores de Retail y Hospitality que aceptan pagos con tarjeta a través de WiFi), una brecha en el control de acceso a la red que exponga datos de titulares de tarjetas desencadena una investigación forense obligatoria, posibles multas de los esquemas de tarjetas y la posible suspensión de los derechos de procesamiento de tarjetas.

Para las organizaciones de Healthcare , una brecha de GDPR que afecte a datos de pacientes a los que se haya accedido a través de un servidor RADIUS comprometido conlleva multas de hasta el 4% de la facturación anual global en virtud del artículo 83, apartado 5. El historial de control de la ICO demuestra que los fallos de seguridad de la red se tratan como negligencia, no como una desgracia técnica.

Puntos de referencia de costes de implementación

Las siguientes estimaciones de costes asumen una red corporativa de 500 dispositivos:

Actividad de endurecimiento Coste estimado Plazo
Parcheo (FreeRADIUS / NPS / ISE) Solo mano de obra interna 1-2 semanas
Auditoría y rotación de secretos compartidos Mano de obra interna + licencia de gestor de secretos (~2.000 £/año) 2-4 semanas
Despliegue de PKI EAP-TLS 15.000-30.000 £ (herramientas + servicios profesionales) 2-3 meses
Implementación de RadSec Mano de obra interna + costes de certificados (~1.500 £) 4-6 semanas
Integración con SIEM y alertas Depende del SIEM existente; 0-10.000 £ 4-8 semanas

La inversión total en endurecimiento para una mediana empresa es de aproximadamente 20.000-45.000 £. Frente a la base de referencia del coste de una brecha de seguridad de 3,58 millones de libras, el ROI ajustado al riesgo es convincente incluso bajo supuestos conservadores de probabilidad de brecha.

Beneficios operativos más allá de la seguridad

Una infraestructura RADIUS endurecida también ofrece dividendos operativos. Una autenticación fiable y bien monitorizada reduce los tickets de soporte técnico relacionados con la conectividad WiFi. Los datos de contabilidad de RADIUS, cuando se integran con WiFi Analytics , proporcionan visibilidad a nivel de sesión sobre los patrones de uso de la red, los tiempos de permanencia y los tipos de dispositivos; datos con un valor comercial directo para los operadores de recintos en entornos de Hospitality y Transport . Para las organizaciones del sector público y el sector sanitario , un programa documentado de securización de RADIUS proporciona pruebas de los controles técnicos para las evaluaciones de Cyber Essentials Plus, ISO 27001 y NHS DSPT - lo que reduce el esfuerzo de auditoría y demuestra la debida diligencia ante los organismos reguladores.

Definiciones clave

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo cliente - servidor definido en RFC 2865 que proporciona autenticación, autorización y contabilidad (AAA) centralizadas para el acceso a la red. Los servidores RADIUS validan las credenciales presentadas por los dispositivos de red (NAS) frente a un almacén de identidades interno como Active Directory o LDAP.

Los equipos de TI se encuentran con RADIUS como el motor de autenticación para WiFi 802.1X, autenticación de puertos cableados, acceso VPN y gestión de dispositivos de red. Es el protocolo que decide quién entra en la red.

IEEE 802.1X

Un estándar IEEE para el control de acceso a la red basado en puertos que define la encapsulación de EAP sobre LAN (EAPOL). Proporciona un marco de autenticación tanto para redes cableadas como inalámbricas, requiriendo que los dispositivos se autentiquen antes de que se les conceda acceso a la red.

802.1X es el estándar que hace funcionar la autenticación WiFi empresarial. Cuando un miembro del personal se conecta a un SSID corporativo y se le solicitan credenciales, 802.1X es el marco que orquesta ese intercambio, con RADIUS como motor secundario.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Un método EAP que utiliza certificados X.509 para la autenticación mutua entre el cliente y el servidor RADIUS. Ambas partes deben presentar certificados válidos, eliminando por completo las contraseñas del intercambio de autenticación.

EAP-TLS es el estándar de oro para la autenticación WiFi empresarial. Es inmune al phishing de credenciales y a los ataques de fuerza bruta. El requisito operativo es una infraestructura PKI para emitir y gestionar certificados de cliente.

RadSec (RADIUS over TLS)

Un protocolo definido en el RFC 6614 que encapsula paquetes RADIUS dentro de una sesión TLS a través del puerto TCP 2083. Proporciona cifrado de capa de transporte, autenticación mutua por certificado y protección contra reproducción para el tráfico RADIUS.

RadSec es necesario para cualquier tráfico RADIUS que cruce un límite de red no seguro: enlaces WAN, conexiones a Internet o infraestructura de red compartida. Es el sustituto correcto para el estándar RADIUS sobre UDP en despliegues multisitio.

BlastRADIUS (CVE-2024-3596)

Un ataque de intermediario (man-in-the-middle) revelado en julio de 2024 que explota la ausencia de protección de integridad en los paquetes RADIUS Access-Request. Mediante técnicas de colisión de prefijo elegido MD5, un atacante puede falsificar una respuesta Access-Accept, concediendo acceso a la red a un usuario no autenticado.

BlastRADIUS afecta a todas las implementaciones principales de RADIUS, incluidas FreeRADIUS, Cisco ISE y Microsoft NPS. Las organizaciones que no hayan aplicado los parches publicados en julio de 2024 siguen estando expuestas a este ataque.

Message-Authenticator

Un atributo RADIUS (Atributo 80) que proporciona protección de integridad HMAC-MD5 sobre todo el paquete RADIUS. Cuando está presente en un Access-Request, evita el ataque de modificación de paquetes utilizado en BlastRADIUS.

Forzar Message-Authenticator en todos los paquetes Access-Request es la principal solución para BlastRADIUS. Debe configurarse tanto en el servidor RADIUS (para requerir el atributo) como en el dispositivo NAS (para incluir el atributo en las solicitudes).

NAS (Network Access Server)

En la terminología de RADIUS, el NAS es el dispositivo de red - típicamente un punto de acceso WiFi, conmutador o concentrador VPN - que actúa como cliente RADIUS. Intercepta las solicitudes de conexión de los dispositivos finales y reenvía las solicitudes de autenticación al servidor RADIUS.

Los dispositivos NAS son los clientes RADIUS en un despliegue. Los secretos compartidos se configuran por NAS. La solución de BlastRADIUS requiere actualizaciones de firmware en los dispositivos NAS, así como parches en el servidor RADIUS.

PEAP (Protected Extensible Authentication Protocol)

Un método EAP que establece un túnel TLS utilizando un certificado del lado del servidor antes de transmitir el método de autenticación interno (normalmente MSCHAPv2). Proporciona autenticación mutua y protege las credenciales contra la interceptación.

PEAP-MSCHAPv2 es el método de autenticación WiFi empresarial más extendido. Cumple con la normativa PCI DSS y es operativamente más sencillo que EAP-TLS porque no requiere certificados de cliente. Sin embargo, es vulnerable a ataques de servidores RADIUS falsos si no se obliga a la validación de certificados en el lado del cliente.

Secreto compartido

Una clave precompartida configurada tanto en el servidor RADIUS como en cada dispositivo NAS. Se utiliza para generar el campo Response Authenticator y para ofuscar el atributo User-Password. No es una contraseña para los usuarios finales - es una credencial de autenticación de servidor a servidor.

Los secretos compartidos débiles o estáticos son una de las vulnerabilidades más comunes de RADIUS. Un atacante que capture el tráfico RADIUS puede realizar un ataque de fuerza bruta sin conexión contra un secreto compartido débil. La longitud mínima recomendada es de 32 caracteres, generados aleatoriamente.

PCI DSS (Payment Card Industry Data Security Standard)

Un conjunto de estándares de seguridad exigidos por las principales marcas de tarjetas (Visa, Mastercard, Amex) para las organizaciones que procesan, almacenan o transmiten datos de titulares de tarjetas. La versión 4.0, en vigor a partir de marzo de 2024, incluye requisitos específicos para el control de acceso a la red y la autenticación sólida.

Las empresas de comercio minorista y hostelería con terminales de punto de venta conectados por WiFi entran en el ámbito de aplicación de PCI DSS. Las vulnerabilidades del servidor RADIUS que podrían permitir el acceso no autorizado de red a los entornos de datos de titulares de tarjetas representan un riesgo directo para el cumplimiento normativo.

Ejemplos prácticos

Un grupo hotelero de 12 establecimientos y 350 habitaciones utiliza un servidor RADIUS centralizado alojado en el centro de datos de su oficina central. Cada establecimiento se conecta a través de una WAN MPLS compartida. Una auditoría de seguridad ha señalado que el tráfico RADIUS no está cifrado a través de la WAN, los secretos compartidos son cadenas de 8 caracteres configuradas durante la implementación inicial hace cinco años y el servidor RADIUS ejecuta FreeRADIUS 3.0.21. El grupo procesa pagos con tarjeta a través de terminales de punto de venta (TPV) conectados por WiFi en sus instalaciones de restaurante y spa. ¿Cuál es la prioridad de subsanación y la secuencia de implementación?

La secuencia de subsanación debe ordenarse por gravedad del riesgo y velocidad de implementación. Paso 1 (inmediato, en un plazo de 72 horas): Instalar parches en FreeRADIUS para actualizar a 3.2.5 o 3.0.27. Esto soluciona BlastRADIUS y obliga a usar Message-Authenticator de forma predeterminada. Simultáneamente, compruebe las versiones de firmware de los puntos de acceso en los 12 establecimientos y programe actualizaciones de firmware para cualquier dispositivo NAS que no sea compatible con Message-Authenticator. Paso 2 (semanas 1-2): Rotar todos los secretos compartidos. Genere secretos aleatorios de 32 caracteres utilizando openssl rand -base64 32 para cada uno de los 12 registros NAS de los establecimientos. Almacénelos en HashiCorp Vault o equivalente. Documente la fecha de rotación. Paso 3 (meses 1-2): Implementar RadSec en la ruta WAN. Configure el servidor RADIUS para aceptar conexiones RadSec en el puerto TCP 2083. Emita certificados TLS desde una CA interna para los dispositivos NAS de cada establecimiento. Actualice las reglas del cortafuegos para permitir el puerto TCP 2083 desde los rangos de IP de los NAS de los establecimientos hacia el servidor RADIUS. Desactive el puerto UDP 1812/1813 de las interfaces orientadas a la WAN una vez que se confirme que RadSec está operativo. Paso 4 (meses 2-3): Para el SSID de WiFi de los TPV dentro del alcance de PCI-DSS, migrar de PEAP-MSCHAPv2 a EAP-TLS. Implemente una PKI interna (Microsoft ADCS o el motor PKI de HashiCorp Vault). Emita certificados de cliente para los terminales TPV a través de MDM. Actualice la política de RADIUS para exigir EAP-TLS para el SSID de los TPV. Paso 5 (mes 3): Integrar los registros de contabilidad de RADIUS en el SIEM. Configure alertas para picos de autenticación fallidos y vencimiento de certificados.

Comentario del examinador: Este escenario es representativo de la mayoría de las implementaciones hoteleras en múltiples ubicaciones. La idea clave es que la WAN MPLS, aunque no sea el internet público, es una red compartida que no puede tratarse como de total confianza - especialmente en un grupo hotelero donde la WAN puede estar gestionada por un proveedor externo. Por lo tanto, RadSec no es opcional. El enfoque de PCI-DSS es fundamental: los terminales TPV con conexión WiFi entran en el alcance del requisito 8.3 de PCI-DSS (autenticación sólida) y del requisito 4.2.1 (criptografía sólida para datos en tránsito). EAP-TLS cumple con ambos. La secuencia prioriza la instalación de parches en primer lugar porque BlastRADIUS es una vulnerabilidad activa y explotable; los otros pasos de robustecimiento son importantes, pero no conllevan el mismo riesgo inmediato. Se consideró un enfoque alternativo - migrar a un servicio RADIUS-as-a-Service alojado en la nube -, pero se rechazó para este escenario debido a la inversión existente del grupo en MPLS y a la complejidad de migrar 12 establecimientos de forma simultánea.

Una cadena de tiendas minoristas regional con 45 establecimientos utiliza WPA2-Personal (clave previamente compartida) para el WiFi del personal y una red abierta para el WiFi de los clientes. El director de TI quiere migrar el WiFi del personal a la autenticación 802.1X utilizando Microsoft NPS como servidor RADIUS, integrado con Active Directory. Las tiendas tienen una mezcla de puntos de acceso Aruba y Cisco. La cadena está dentro del alcance de PCI DSS. ¿Qué arquitectura deberían implementar y cuáles son las decisiones de configuración clave?

La arquitectura recomendada es 802.1X con PEAP-MSCHAPv2 como método EAP inicial, con una hoja de ruta documentada hacia EAP-TLS. El servidor NPS debe desplegarse en un par redundante (primario + secundario) en el centro de datos central, con configuración de proxy RADIUS en los puntos de acceso para conmutar por error de forma automática. Decisiones de configuración: (1) Directiva de red de NPS: cree una directiva que coincida con el SSID del personal con PEAP-MSCHAPv2, requiriendo pertenencia a un grupo de seguridad de AD (por ejemplo, "WiFi-Staff-Access"). Establezca el tiempo de espera de la sesión en 8 horas para forzar la reautenticación. (2) Certificado: implemente un certificado de servidor NPS desde una CA interna de Microsoft ADCS. Distribuya el certificado de la CA raíz a todos los dispositivos del personal a través de directivas de grupo (Windows) y MDM (iOS/Android). (3) Configuración del suplicante: configure los dispositivos Windows mediante directivas de grupo (Configuración del equipo > Configuración de Windows > Configuración de seguridad > Directivas de red inalámbrica). Para dispositivos iOS y Android, utilice un perfil de MDM. Aplique la validación del certificado del servidor - no permita que los usuarios acepten certificados arbitrarios. (4) Configuración del punto de acceso: en Aruba, configure el servidor RADIUS en Autenticación > Servidores. Establezca la clave compartida en una cadena aleatoria de 32 caracteres. Habilite RadSec si el firmware de Aruba lo admite (AOS 8.9+). En Cisco, configure en Seguridad > AAA > RADIUS. (5) Registro de NPS: habilite el registro de contabilidad de NPS en una base de datos SQL Server. Configure un período de retención de registros de 90 días como mínimo para el cumplimiento de PCI DSS. (6) Posmigración: deshabilite WPA2-Personal en el SSID del personal. Consérvelo únicamente como un SSID de emergencia con una PSK compleja almacenada en el gestor de secretos, para su uso exclusivo cuando NPS no esté disponible.

Comentario del examinador: La migración de WPA2-Personal a 802.1X es uno de los proyectos de mejora de seguridad más comunes en el sector de TI minorista. El riesgo clave en este escenario es la infraestructura mixta de puntos de acceso - Aruba y Cisco tienen diferentes interfaces de configuración de clientes RADIUS, y el proceso de rotación de claves compartidas debe gestionarse por separado para cada uno. La decisión de comenzar con PEAP-MSCHAPv2 en lugar de EAP-TLS es pragmática: evita la complejidad del despliegue de PKI al tiempo que ofrece una mejora de seguridad significativa con respecto a PSK. La hoja de ruta de EAP-TLS debe estar vinculada al cronograma de implementación de MDM - el despliegue de certificados de cliente solo es viable desde el punto de vista operativo una vez que todos los dispositivos están registrados en el MDM. El enfoque de PCI DSS refuerza el requisito de registro de NPS: el requisito 10.2.1 de PCI DSS exige el registro de todos los accesos de usuarios individuales a los datos de los titulares de tarjetas, lo que incluye los eventos de acceso a la red.

Preguntas de práctica

Q1. Su organización dispone de un servidor FreeRADIUS 3.0.21 que admite autenticación 802.1X para 800 dispositivos del personal en un único campus de las instalaciones. El servidor RADIUS se encuentra en la misma VLAN de gestión que todos los puntos de acceso. Una prueba de penetración ha detectado que los puntos de acceso envían paquetes Access-Request sin el atributo Message-Authenticator. El equipo de seguridad desea aplicar Message-Authenticator de inmediato, pero el equipo de operaciones de red teme que se interrumpa la autenticación para los 800 usuarios. ¿Cómo secuenciaría la subsanación para minimizar la interrupción del servicio?

Sugerencia: Considere la diferencia entre que el servidor RADIUS requiera Message-Authenticator frente a que los dispositivos NAS lo envíen. Se trata de dos cambios de configuración distintos con diferentes perfiles de riesgo.

Ver respuesta modelo

La secuencia correcta es: (1) En primer lugar, aplique el parche de FreeRADIUS a la versión 3.2.5. Esta versión obliga a usar Message-Authenticator por defecto, pero incluye un modo de compatibilidad que registra una advertencia en lugar de rechazar los paquetes que carecen de dicho atributo. Esto le permite aplicar el parche sin interrumpir la autenticación de inmediato. (2) Audite las versiones de firmware de los puntos de acceso. Identifique qué modelos y versiones de firmware admiten Message-Authenticator en los paquetes Access-Request. (3) Actualice el firmware de los puntos de acceso por lotes, empezando por un grupo piloto de 50 dispositivos. Verifique que la autenticación siga funcionando después de cada lote. (4) Una vez confirmado que todos los puntos de acceso envían Message-Authenticator, active la aplicación estricta en el servidor FreeRADIUS (require_message_authenticator = yes en clients.conf). (5) Supervise los registros de RADIUS para detectar cualquier advertencia restante de 'Message-Authenticator missing', lo que indicaría que algún dispositivo NAS no ha recibido la actualización de firmware. El principio clave es que puede parchear primero el servidor sin romper nada, ya que el modo de compatibilidad permite un periodo de transición. Forzar el rechazo estricto en el servidor debe ser el último paso, después de actualizar todos los dispositivos NAS.

Q2. El operador de un centro de conferencias dispone de un único servidor RADIUS que da soporte tanto al SSID del personal corporativo (802.1X con PEAP-MSCHAPv2) como al WiFi de invitados para eventos (Captive Portal con MAC Authentication Bypass). El responsable de TI pregunta si la instancia RADIUS del WiFi de invitados debe securizarse con el mismo estándar que la instancia RADIUS corporativa, dado que los invitados no se autentican con credenciales corporativas. ¿Cuál es su recomendación?

Sugerencia: Considere los vectores de ataque que se aplican a MAC Authentication Bypass en comparación con la autenticación basada en EAP, así como el riesgo de movimiento lateral entre las instancias de RADIUS de invitados y corporativas.

Ver respuesta modelo

La instancia RADIUS para la red WiFi de invitados requiere un endurecimiento, pero los controles específicos difieren de la instancia corporativa. El parche para BlastRADIUS se aplica por igual: la vulnerabilidad afecta al servidor RADIUS independientemente del método de autenticación utilizado por los clientes. La higiene del secreto compartido se aplica por igual: un secreto compartido débil entre el controlador de Captive Portal de invitados y el servidor RADIUS es explotable independientemente de si se utiliza EAP. El riesgo adicional clave es el servidor RADIUS compartido: si las solicitudes de autenticación de SSID de invitados y corporativas son gestionadas por el mismo proceso de servidor RADIUS, una vulnerabilidad en la ruta RADIUS de invitados podría utilizarse para pivotar hacia la política de autenticación corporativa. La arquitectura recomendada es ejecutar instancias RADIUS independientes (o al menos servidores virtuales separados dentro de FreeRADIUS) para la autenticación de invitados y corporativa, con secretos compartidos independientes y conjuntos de políticas independientes. Esto proporciona un aislamiento tal que un compromiso de la ruta RADIUS de invitados no expone las credenciales corporativas. Para la instancia de invitados específicamente: aplicar el parche para BlastRADIUS, rotar los secretos compartidos y asegurar que la instancia RADIUS de invitados no tenga acceso al Active Directory corporativo. Los requisitos de EAP-TLS y RadSec son menos relevantes para un despliegue de Captive Portal, pero aun así se debería considerar RadSec si el controlador del Captive Portal se encuentra en un segmento de red diferente al del servidor RADIUS.

Q3. Un consorcio sanitario está planificando migrar su WiFi clínica de WPA2-Personal a la autenticación 802.1X. El consorcio cuenta con 1.200 dispositivos clínicos que incluyen portátiles Windows, tabletas iOS y dispositivos de mano Android. El CISO quiere EAP-TLS como estado objetivo. El director de TI está preocupado por la complejidad del despliegue de la PKI y propone PEAP-MSCHAPv2 como solución permanente. ¿Qué aconseja al CISO y al director de TI, y cuál es la ruta de implementación recomendada?

Sugerencia: Considere el modelo de amenazas específico para un entorno sanitario: ¿cuáles son las consecuencias de un compromiso de credenciales y cómo aborda EAP-TLS los riesgos que PEAP-MSCHAPv2 no cubre?

Ver respuesta modelo

El instinto del CISO es correcto, pero la preocupación del director de TI es válida. El consejo recomendado es: implementar PEAP-MSCHAPv2 ahora como una posición intermedia, con una hoja de ruta comprometida de 12 meses hacia EAP-TLS. El motivo para no aceptar PEAP-MSCHAPv2 como solución permanente en el sector sanitario es: (1) PEAP-MSCHAPv2 es vulnerable a ataques de servidores RADIUS falsos si no se aplica la validación de certificados en el lado del cliente. En un entorno sanitario donde el personal clínico puede conectar dispositivos personales, aplicar la configuración del suplicante de manera consistente en 1.200 dispositivos es un desafío operativo. (2) Las credenciales MSCHAPv2, si se capturan mediante un ataque de RADIUS falso, se pueden descifrar fuera de línea utilizando herramientas como hashcat. En un contexto sanitario, es probable que esas credenciales también proporcionen acceso a los sistemas clínicos. (3) Las evaluaciones de NHS DSPT y CQC exigen cada vez más controles de autenticación sólidos para el acceso a la red clínica. EAP-TLS proporciona una posición de evidencia de auditoría más sólida. La ruta de implementación: Meses 1 y 2: Desplegar PEAP-MSCHAPv2 aplicando la validación de certificados de servidor mediante perfiles MDM en los 1.200 dispositivos. Meses 3 a 6: Desplegar Microsoft ADCS como infraestructura PKI. Inscribir los dispositivos Windows mediante la autoinscripción de directivas de grupo. Meses 6 a 9: Inscribir los dispositivos iOS y Android a través de perfiles de certificado MDM. Meses 9 a 12: Migrar la política de SSID clínica de PEAP a EAP-TLS. Mantener PEAP como alternativa para cualquier dispositivo que falle en la inscripción del certificado, con una monitorización mejorada. Para obtener más información sobre la arquitectura de seguridad de redes clínicas, la guía de WiFi en Hospitales proporciona un contexto de despliegue relevante.