Mitigación de vulnerabilidades de RADIUS: una guía de robustecimiento de seguridad
Esta guía proporciona una referencia exhaustiva y práctica para directores de TI, arquitectos de red y CTO responsables de la infraestructura de WiFi corporativa en sectores como hostelería, retail, eventos y entornos del sector público. Abarca toda la superficie de ataque de las implementaciones de servidores RADIUS - desde vulnerabilidades de colisión MD5 y secretos compartidos débiles hasta el transporte UDP no cifrado y métodos EAP mal configurados - y ofrece una hoja de ruta de robustecimiento priorizada y alineada con los requisitos de IEEE 802.1X, PCI-DSS y GDPR. Las organizaciones que implementen estas recomendaciones reducirán de forma significativa su exposición a ataques de red basados en credenciales, cumplirán con sus obligaciones de conformidad y desarrollarán una postura de seguridad sólida para su infraestructura de WiFi corporativa y de invitados.
Escuchar esta guía
Ver transcripción del podcast
- Resumen Ejecutivo
- Análisis Técnico Detallado
- Cómo funciona RADIUS y cuáles son sus puntos débiles
- El ataque BlastRADIUS al detalle
- Guía de implementación
- Fase 1: Corrección inmediata (semanas 1-2)
- Phase 2: Shared secret hygiene (weeks 2-4)
- Phase 3: EAP method rationalisation (months 1-2)
- Phase 4: RadSec deployment (months 2-3)
- Phase 5: Multi-factor authentication for administrative access (months 2-3)
- Fase 6: Integración con SIEM y alertas (meses 3-4)
- Buenas prácticas
- Solución de problemas y mitigación de riesgos
- Modos de fallo comunes
- Registro de riesgos
- ROI e impacto empresarial
- Cuantificación del riesgo
- Puntos de referencia de costes de implementación
- Beneficios operativos más allá de la seguridad

Resumen Ejecutivo
RADIUS (Remote Authentication Dial-In User Service) sigue siendo el protocolo principal para el control de acceso a la red en despliegues de WiFi corporativos, sustentando la autenticación IEEE 802.1X en hoteles, tiendas, estadios, centros de conferencias y edificios del sector público. Sin embargo, la arquitectura de RADIUS se remonta a la década de 1990, y varias de sus decisiones de diseño fundacionales (la dependencia del hash MD5, el transporte UDP sin cifrado nativo y los secretos compartidos estáticos) se han convertido en riesgos significativos en el entorno de amenazas actual.
En julio de 2024, la vulnerabilidad BlastRADIUS (CVE-2024-3596) demostró que un atacante man-in-the-middle puede falsificar respuestas Access-Accept de RADIUS explotando las debilidades de integridad de MD5 en los paquetes Access-Request. La vulnerabilidad afecta a las principales implementaciones de RADIUS, incluyendo FreeRADIUS, Cisco ISE y Microsoft NPS. Los despliegues sin parchear siguen estando expuestos a riesgos.
Esta guía proporciona una hoja de ruta de securización priorizada que abarca la gestión de parches, la higiene de secretos compartidos, la selección del método EAP, el despliegue de RadSec, la autenticación multifactor para el acceso administrativo y la integración con SIEM para la detección de anomalías. Está escrita para profesionales de TI que necesitan tomar decisiones defendibles este trimestre, no el próximo año.

Análisis Técnico Detallado
Cómo funciona RADIUS y cuáles son sus puntos débiles
RADIUS opera como un protocolo cliente - servidor entre un servidor de acceso a la red (NAS) (normalmente un punto de acceso WiFi, un switch o un concentrador VPN) y un servidor RADIUS, que valida las credenciales contra un almacén de identidades backend como Active Directory o LDAP. El intercambio de autenticación sigue el modelo de solicitud - desafío - respuesta definido en RFC 2865, con la contabilidad gestionada por separado bajo RFC 2866.
El protocolo transmite paquetes de autenticación sobre UDP, utilizando el puerto 1812 para la autenticación y el 1813 para la contabilidad. El secreto compartido (la clave precompartida configurada tanto en el NAS como en el servidor RADIUS) se utiliza para generar el campo Response Authenticator y para cifrar el atributo User-Password a través de un cifrado XOR basado en MD5. Esto no es cifrado en ningún sentido moderno; es una ofuscación que depende enteramente del secreto y la robustez del secreto compartido.
Las cinco categorías principales de vulnerabilidad en un despliegue típico de RADIUS son las siguientes.
Vulnerabilidades de integridad y colisión MD5. El ataque BlastRADIUS (CVE-2024-3596) explota la falta de protección de integridad en los paquetes Access-Request. Dado que muchas configuraciones no incluyen por defecto el atributo Message-Authenticator desde el NAS, un atacante en una posición intermedia (man-in-the-middle) puede inyectar atributos manipulados antes de que el paquete llegue al servidor RADIUS. Utilizando una técnica de colisión de prefijo elegido de MD5, el atacante puede manipular el paquete para que el servidor RADIUS calcule un Response Authenticator válido para el paquete modificado, devolviendo un Access-Accept para una solicitud que debería haber sido rechazada. La solución consiste en exigir el atributo Message-Authenticator en todos los paquetes Access-Request, lo que proporciona protección de integridad HMAC-MD5 en todo el paquete. Esto requiere cambios de configuración tanto en el NAS como en el servidor RADIUS, no solo un parche del servidor.
Secretos compartidos débiles o estáticos. El secreto compartido es el anclaje criptográfico del intercambio RADIUS. Si el secreto es corto, predecible o nunca se rota, un atacante que capture el tráfico RADIUS (posible mediante ARP spoofing o un dispositivo de red comprometido) puede descifrar por fuerza bruta el atributo User-Password de forma offline. Las directrices de la norma NIST SP 800-63B sobre secretos memorizados se aplican aquí: los secretos deben tener al menos 20 caracteres, generarse de forma aleatoria y almacenarse en un sistema de gestión de secretos. Para redes grandes con decenas o cientos de dispositivos NAS, la rotación manual es inviable a nivel operativo; la automatización mediante HashiCorp Vault o un gestor de secretos similar es el enfoque correcto.
Transporte UDP no cifrado. El estándar RADIUS sobre UDP no proporciona confidencialidad en la capa de transporte. El atributo User-Password se ofusca pero no se cifra. Todos los demás atributos - incluidos los nombres de usuario, las direcciones IP de NAS y los metadatos de sesión - viajan en texto plano. RadSec (RADIUS sobre TLS), definido en RFC 6614 y actualizado en RFC 7360, soluciona esto envolviendo el protocolo RADIUS en un túnel TLS sobre el puerto TCP 2083, estableciendo una sesión TLS 1.2 o TLS 1.3. RadSec proporciona autenticación mutua de certificados entre el NAS y el servidor RADIUS, cifrado completo de la carga útil y protección contra la repetición de paquetes. Es el transporte correcto para cualquier tráfico RADIUS que cruce un límite de red no seguro.
Selección del método EAP. El Protocolo de Autenticación Extensible (EAP) define los métodos de autenticación internos utilizados dentro del marco 802.1X. EAP-MD5 está obsoleto y debe eliminarse de todas las implementaciones de inmediato; no proporciona autenticación mutua ni resistencia a los ataques de recopilación de credenciales. PEAP (EAP protegido) y EAP-TTLS establecen un túnel TLS utilizando un certificado de servidor antes de transmitir las credenciales, proporcionando autenticación mutua y protegiendo el método interno de la interceptación. EAP-TLS elimina por completo las contraseñas, requiriendo certificados X.509 tanto en el servidor como en el cliente. Es inmune al phishing y a los ataques de fuerza bruta y es el método recomendado para entornos de alta seguridad. Registro y supervisión insuficientes. El registro de RADIUS registra cada evento de autenticación: éxito, fallo, inicio de sesión, parada de sesión. Estos datos son operativamente valiosos para la planificación de la capacidad y comercialmente valiosos para WiFi Analytics , pero también son una fuente crítica de telemetría de seguridad. Las tormentas de fallos de autenticación, las autenticaciones desde direcciones MAC desconocidas y los patrones de acceso fuera de las horas de trabajo son detectables a partir de los registros de RADIUS. La mayoría de las organizaciones no ingieren estos datos en un SIEM, y las que lo hacen rara vez configuran umbrales de alerta.

El ataque BlastRADIUS al detalle
BlastRADIUS se dio a conocer en julio de 2024 por investigadores de la Universidad de Boston y la UC San Diego. El ataque requiere una posición de intermediario (man-in-the-middle) entre el NAS y el servidor RADIUS, lo cual se puede lograr mediante envenenamiento ARP en un segmento de red compartido, un router comprometido o un usuario interno malicioso con acceso a la red.
El ataque se desarrolla de la siguiente manera: el atacante intercepta un paquete Access-Request del NAS. Dado que el paquete carece del atributo Message-Authenticator (el valor predeterminado en muchas configuraciones), el atacante es libre de modificar la lista de atributos del paquete. Utilizando una colisión de prefijo elegido de MD5, el atacante construye un paquete modificado para el cual el servidor RADIUS calculará el mismo Response Authenticator que el original. Por lo tanto, el servidor devuelve un Access-Accept para una solicitud que contiene atributos controlados por el atacante, incluido un Service-Type de Administrative que autoriza el acceso total a la red.
El ataque es eficaz contra implementaciones PEAP y EAP-TTLS que utilizan MSCHAPv2 como método interno. No afecta a las implementaciones EAP-TLS, donde la autenticación mutua basada en certificados proporciona una protección de integridad que MD5 no puede subvertir.
Para las organizaciones que ejecutan tanto Guest WiFi como 802.1X corporativo, la instancia RADIUS de la red de invitados también debe ser parcheada, incluso si utiliza la omisión de autenticación de MAC (MAC Authentication Bypass) en lugar de EAP. La higiene de secretos compartidos y el requisito de Message-Authenticator se aplican por igual.
Guía de implementación
Fase 1: Corrección inmediata (semanas 1-2)
El parcheo es lo primero. FreeRADIUS 3.2.5 y 3.0.27 contienen las correcciones de BlastRADIUS y aplican Message-Authenticator por defecto. Cisco ISE 3.1 Parche 8, 3.2 Parche 4 y 3.3 Parche 1 solucionan la vulnerabilidad. Microsoft publicó el KB5040434 para Windows Server 2022 NPS en julio de 2024. Verifique sus versiones actuales y aplique los parches en su próximo período de cambios programado.
At the same time, audit your NAS device firmware. Message-Authenticator enforcement is only effective if the NAS also sends the attribute. Check your access point and switch vendor advisories - Aruba, Ruckus, Cisco and Juniper have all released firmware updates for BlastRADIUS. If you are running Ruckus hardware, the wireless access point Ruckus guide provides relevant firmware management context.
For troubleshooting Windows 11 802.1X authentication issues that can appear after patching, the most common cause is the NPS server rejecting connections from clients that do not include Message-Authenticator - correct security behaviour that may require supplicant reconfiguration on older Windows clients.
Phase 2: Shared secret hygiene (weeks 2-4)
Export the full list of NAS clients registered on your RADIUS servers. For each entry, record the shared secret length and the date it was last changed. Any secret below 20 characters, or unchanged for more than 24 months, should be rotated immediately.
For new secrets, use a cryptographically random generator - openssl rand -base64 32 produces a 44-character base64 string well suited to use as a RADIUS shared secret. Store all secrets in a secrets management system. Implement a rotation schedule: annually for low-risk NAS devices, every six months for NAS devices in PCI-DSS scope.
Phase 3: EAP method rationalisation (months 1-2)
Audit the EAP methods your RADIUS servers permit. Disable EAP-MD5. If you are running PEAP-MSCHAPv2, verify that all supplicants enforce server certificate validation - a misconfigured supplicant that accepts any server certificate is vulnerable to rogue RADIUS server attacks. For environments in PCI-DSS scope, EAP-TLS is recommended. If you have no existing certificate infrastructure, begin PKI planning.
For securing guest WiFi networks , note that guest networks typically use Captive Portal authentication rather than 802.1X, so EAP method hardening applies primarily to corporate and staff SSIDs.
Phase 4: RadSec deployment (months 2-3)
Identify every RADIUS traffic path that crosses an untrusted network boundary. Common scenarios include a central RADIUS server serving remote hotels over the internet; on-premises NAS devices reaching a cloud RADIUS service; and RADIUS proxy chains where traffic traverses multiple network domains.
For each identified path, configure RadSec. On FreeRADIUS this means enabling the tls listener on port 2083 and configuring mutual TLS with certificates from your PKI. On Cisco ISE, RadSec is configured under Administration > Network Devices. Ensure TLS 1.2 as a minimum; explicitly disable TLS 1.0 and 1.1.
Phase 5: Multi-factor authentication for administrative access (months 2-3)
La interfaz de gestión de un servidor RADIUS es un objetivo de gran valor. Un atacante que comprometa el servidor RADIUS puede modificar las políticas de autenticación, extraer secretos compartidos y redirigir los flujos de autenticación. Obligue el uso de MFA en los inicios de sesión administrativos para todos los servidores RADIUS y sus sistemas operativos subyacentes. Restrinja el acceso de gestión a una VLAN de gestión dedicada fuera de banda. Implemente el control de acceso basado en roles: los ingenieros de red no deben tener los mismos privilegios que los administradores de seguridad.
Fase 6: Integración con SIEM y alertas (meses 3-4)
Configure sus servidores RADIUS para reenviar los registros de contabilidad a su SIEM en tiempo real. Defina los siguientes umbrales de alerta básicos:
| Alerta | Umbral | Gravedad |
|---|---|---|
| Múltiples fallos de autenticación desde una única dirección MAC | >5 en 60 segundos | Alta |
| Pico en la tasa de Access-Reject | 200% por encima de la línea base de 7 días | Media |
| Autenticación desde una nueva dirección MAC en un SSID corporativo | Primera aparición | Media |
| Certificado del servidor RADIUS próximo a expirar | 90 / 30 / 7 días | Alta / Crítica / Crítica |
| Errores de discrepancia en el secreto compartido | Cualquier aparición | Alta |
Buenas prácticas
Las siguientes recomendaciones sintetizan el consenso entre IEEE 802.1X, NIST SP 800-63B, PCI-DSS v4.0 y las advertencias de seguridad de los proveedores.
Gestión de certificados. Cualquier despliegue que utilice EAP-TLS o RadSec cuenta con certificados X.509 en su ruta de autenticación. La expiración de los certificados es la causa más común de fallos de autenticación repentinos y totales en los despliegues de WiFi corporativos. Implemente la gestión automatizada del ciclo de vida de los certificados. Configure alertas de monitorización a los 90, 30 y 7 días antes de la expiración. Para los certificados de servidor RADIUS, utilice claves RSA de mínimo 2048 bits o ECDSA de 256 bits, y algoritmos de firma SHA-256 o superiores. No utilice SHA-1.
Segmentación de red. Los servidores RADIUS deben ubicarse en un segmento de gestión dedicado, aislado de las redes de invitados y corporativas generales. El acceso a los puertos RADIUS (UDP 1812, 1813 y TCP 2083 para RadSec) debe restringirse mediante ACL de cortafuegos a las direcciones IP específicas de los dispositivos NAS registrados. No permita el acceso directo a internet a los puertos RADIUS.
Redundancia y alta disponibilidad. Un único servidor RADIUS es un punto único de fallo para toda su infraestructura de control de acceso a la red. Despliegue al menos dos servidores RADIUS en una configuración activo - pasivo o activo - activo. Para despliegues en el sector de la hostelería con requisitos de conectividad para invitados las 24 horas del día, los 7 días de la semana, el tiempo de inactividad del servidor RADIUS se traduce directamente en un tiempo de inactividad de la red WiFi de invitados, lo que supone un riesgo comercial y reputacional.WPA3 and 802.1X. WPA3-Enterprise en modo de seguridad de 192 bits, necesario para implementaciones gubernamentales y de alta seguridad, exige AES-256-GCMP para el cifrado de datos y HMAC-SHA-384 para la autenticación. Para la mayoría de las implementaciones empresariales, WPA3-Enterprise con seguridad estándar de 128 bits ya es una mejora significativa con respecto a WPA2-Enterprise, en particular cuando se combina con EAP-TLS. Los entornos de comercio minorista que procesan pagos con tarjeta deben considerar la adopción de WPA3-Enterprise como una medida de reducción de riesgos PCI-DSS.
Cadencia de parches del proveedor. Suscríbase a los avisos de seguridad del proveedor de su servidor RADIUS y de los proveedores de sus dispositivos NAS. FreeRADIUS, Cisco, Microsoft, Aruba y Ruckus publican notificaciones de CVE. Incorpore estas notificaciones a su programa de gestión de vulnerabilidades con SLA definidos: vulnerabilidades críticas (CVSS ≥ 9.0) parcheadas en un plazo de 72 horas; vulnerabilidades de gravedad alta (CVSS 7.0 - 8.9) en un plazo de 14 días.
Solución de problemas y mitigación de riesgos
Modos de fallo comunes
Fallos de autenticación tras el parcheo. Tras aplicar los parches de BlastRADIUS, algunos dispositivos NAS pueden fallar al autenticarse si su firmware no es compatible con Message-Authenticator. Síntoma: un aumento repentino de respuestas Access-Reject sin cambios en las credenciales de los usuarios. Diagnóstico: habilite el registro de depuración de RADIUS y busque errores del tipo "Message-Authenticator required but not present". Resolución: actualice el firmware del NAS o, como medida temporal, configure el servidor RADIUS para que acepte solicitudes sin Message-Authenticator de IP de NAS específicas mientras se programan las actualizaciones de firmware.
Fallos de validación de certificados en EAP-TLS. Síntoma: los clientes reciben el mensaje "error de autenticación" sin el correspondiente Access-Reject en el registro de RADIUS. Diagnóstico: compruebe la cadena de certificados del servidor RADIUS - ¿confía el suplicante del cliente en la CA emisora? ¿Está el certificado del servidor dentro de su periodo de validez? Resolución: asegúrese de que la cadena de certificados completa (hoja + intermedio + raíz) esté configurada en el servidor RADIUS. Distribuya los certificados de la CA raíz a los dispositivos de los clientes a través de MDM o políticas de grupo.
Fallos en el protocolo de enlace TLS de RadSec. Síntoma: los dispositivos NAS no pueden establecer conexiones RadSec después de un cambio de configuración. Diagnóstico: compruebe la compatibilidad de la versión de TLS - es posible que el firmware de los NAS más antiguos no admita TLS 1.2. Compruebe la autenticación mutua de certificados - ambas partes deben confiar en la CA de la otra. Resolución: verifique la compatibilidad de la versión de TLS en las notas de la versión del firmware del NAS; asegúrese de que los certificados del dispositivo NAS estén emitidos por la misma CA en la que confía el servidor RADIUS.
Discrepancia en la clave secreta compartida. Síntoma: todas las autenticaciones de un NAS concreto fallan con errores de "autenticador no válido". Diagnóstico: una discrepancia de la clave secreta compartida entre la configuración del NAS y la entrada del cliente del servidor RADIUS. Resolución: vuelva a introducir la clave secreta compartida en ambos extremos, comprobando si hay espacios en blanco al final o problemas de codificación de caracteres. Copie y pegue desde su gestor de secretos para evitar errores de transcripción.
Registro de riesgos
| Riesgo | Probabilidad | Impacto | Controles de mitigación |
|---|---|---|---|
| Explotación de BlastRADIUS | Alta (si no está parcheado) | Crítica | Parcheo + aplicación de Message-Authenticator |
| Fuerza bruta de secreto compartido | Media | Alta | Secretos aleatorios de 32 caracteres, rotación anual |
| Servidor RADIUS no autorizado | Media | Alta | Autenticación mutua EAP-TLS, vinculación de certificados (certificate pinning) |
| Caducidad del certificado del servidor RADIUS | Alta | Crítica | Monitorización automatizada, alertas anticipadas de 90 días |
| Relleno de credenciales (credential stuffing) a través de 802.1X | Media | Alta | Política de bloqueo de cuentas, alertas SIEM |
| Compromiso del servidor RADIUS | Baja | Crítica | MFA en acceso de administración, segmentación de red |
ROI e impacto empresarial
Cuantificación del riesgo
El argumento financiero para el endurecimiento de RADIUS es más evidente cuando se compara con los costes de una brecha de seguridad. El coste medio de una brecha de datos en el Reino Unido en 2024 fue de 3,58 millones de libras, lo que incluye multas reglamentarias, remediación, costes legales y daños a la reputación. Para las organizaciones dentro del alcance de PCI-DSS (básicamente todos los operadores de Retail y Hospitality que aceptan pagos con tarjeta a través de WiFi), una brecha en el control de acceso a la red que exponga datos de titulares de tarjetas desencadena una investigación forense obligatoria, posibles multas de los esquemas de tarjetas y la posible suspensión de los derechos de procesamiento de tarjetas.
Para las organizaciones de Healthcare , una brecha de GDPR que afecte a datos de pacientes a los que se haya accedido a través de un servidor RADIUS comprometido conlleva multas de hasta el 4% de la facturación anual global en virtud del artículo 83, apartado 5. El historial de control de la ICO demuestra que los fallos de seguridad de la red se tratan como negligencia, no como una desgracia técnica.
Puntos de referencia de costes de implementación
Las siguientes estimaciones de costes asumen una red corporativa de 500 dispositivos:
| Actividad de endurecimiento | Coste estimado | Plazo |
|---|---|---|
| Parcheo (FreeRADIUS / NPS / ISE) | Solo mano de obra interna | 1-2 semanas |
| Auditoría y rotación de secretos compartidos | Mano de obra interna + licencia de gestor de secretos (~2.000 £/año) | 2-4 semanas |
| Despliegue de PKI EAP-TLS | 15.000-30.000 £ (herramientas + servicios profesionales) | 2-3 meses |
| Implementación de RadSec | Mano de obra interna + costes de certificados (~1.500 £) | 4-6 semanas |
| Integración con SIEM y alertas | Depende del SIEM existente; 0-10.000 £ | 4-8 semanas |
La inversión total en endurecimiento para una mediana empresa es de aproximadamente 20.000-45.000 £. Frente a la base de referencia del coste de una brecha de seguridad de 3,58 millones de libras, el ROI ajustado al riesgo es convincente incluso bajo supuestos conservadores de probabilidad de brecha.
Beneficios operativos más allá de la seguridad
Una infraestructura RADIUS endurecida también ofrece dividendos operativos. Una autenticación fiable y bien monitorizada reduce los tickets de soporte técnico relacionados con la conectividad WiFi. Los datos de contabilidad de RADIUS, cuando se integran con WiFi Analytics , proporcionan visibilidad a nivel de sesión sobre los patrones de uso de la red, los tiempos de permanencia y los tipos de dispositivos; datos con un valor comercial directo para los operadores de recintos en entornos de Hospitality y Transport . Para las organizaciones del sector público y el sector sanitario , un programa documentado de securización de RADIUS proporciona pruebas de los controles técnicos para las evaluaciones de Cyber Essentials Plus, ISO 27001 y NHS DSPT - lo que reduce el esfuerzo de auditoría y demuestra la debida diligencia ante los organismos reguladores.
Definiciones clave
RADIUS (Remote Authentication Dial-In User Service)
Un protocolo cliente - servidor definido en RFC 2865 que proporciona autenticación, autorización y contabilidad (AAA) centralizadas para el acceso a la red. Los servidores RADIUS validan las credenciales presentadas por los dispositivos de red (NAS) frente a un almacén de identidades interno como Active Directory o LDAP.
Los equipos de TI se encuentran con RADIUS como el motor de autenticación para WiFi 802.1X, autenticación de puertos cableados, acceso VPN y gestión de dispositivos de red. Es el protocolo que decide quién entra en la red.
IEEE 802.1X
Un estándar IEEE para el control de acceso a la red basado en puertos que define la encapsulación de EAP sobre LAN (EAPOL). Proporciona un marco de autenticación tanto para redes cableadas como inalámbricas, requiriendo que los dispositivos se autentiquen antes de que se les conceda acceso a la red.
802.1X es el estándar que hace funcionar la autenticación WiFi empresarial. Cuando un miembro del personal se conecta a un SSID corporativo y se le solicitan credenciales, 802.1X es el marco que orquesta ese intercambio, con RADIUS como motor secundario.
EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)
Un método EAP que utiliza certificados X.509 para la autenticación mutua entre el cliente y el servidor RADIUS. Ambas partes deben presentar certificados válidos, eliminando por completo las contraseñas del intercambio de autenticación.
EAP-TLS es el estándar de oro para la autenticación WiFi empresarial. Es inmune al phishing de credenciales y a los ataques de fuerza bruta. El requisito operativo es una infraestructura PKI para emitir y gestionar certificados de cliente.
RadSec (RADIUS over TLS)
Un protocolo definido en el RFC 6614 que encapsula paquetes RADIUS dentro de una sesión TLS a través del puerto TCP 2083. Proporciona cifrado de capa de transporte, autenticación mutua por certificado y protección contra reproducción para el tráfico RADIUS.
RadSec es necesario para cualquier tráfico RADIUS que cruce un límite de red no seguro: enlaces WAN, conexiones a Internet o infraestructura de red compartida. Es el sustituto correcto para el estándar RADIUS sobre UDP en despliegues multisitio.
BlastRADIUS (CVE-2024-3596)
Un ataque de intermediario (man-in-the-middle) revelado en julio de 2024 que explota la ausencia de protección de integridad en los paquetes RADIUS Access-Request. Mediante técnicas de colisión de prefijo elegido MD5, un atacante puede falsificar una respuesta Access-Accept, concediendo acceso a la red a un usuario no autenticado.
BlastRADIUS afecta a todas las implementaciones principales de RADIUS, incluidas FreeRADIUS, Cisco ISE y Microsoft NPS. Las organizaciones que no hayan aplicado los parches publicados en julio de 2024 siguen estando expuestas a este ataque.
Message-Authenticator
Un atributo RADIUS (Atributo 80) que proporciona protección de integridad HMAC-MD5 sobre todo el paquete RADIUS. Cuando está presente en un Access-Request, evita el ataque de modificación de paquetes utilizado en BlastRADIUS.
Forzar Message-Authenticator en todos los paquetes Access-Request es la principal solución para BlastRADIUS. Debe configurarse tanto en el servidor RADIUS (para requerir el atributo) como en el dispositivo NAS (para incluir el atributo en las solicitudes).
NAS (Network Access Server)
En la terminología de RADIUS, el NAS es el dispositivo de red - típicamente un punto de acceso WiFi, conmutador o concentrador VPN - que actúa como cliente RADIUS. Intercepta las solicitudes de conexión de los dispositivos finales y reenvía las solicitudes de autenticación al servidor RADIUS.
Los dispositivos NAS son los clientes RADIUS en un despliegue. Los secretos compartidos se configuran por NAS. La solución de BlastRADIUS requiere actualizaciones de firmware en los dispositivos NAS, así como parches en el servidor RADIUS.
PEAP (Protected Extensible Authentication Protocol)
Un método EAP que establece un túnel TLS utilizando un certificado del lado del servidor antes de transmitir el método de autenticación interno (normalmente MSCHAPv2). Proporciona autenticación mutua y protege las credenciales contra la interceptación.
PEAP-MSCHAPv2 es el método de autenticación WiFi empresarial más extendido. Cumple con la normativa PCI DSS y es operativamente más sencillo que EAP-TLS porque no requiere certificados de cliente. Sin embargo, es vulnerable a ataques de servidores RADIUS falsos si no se obliga a la validación de certificados en el lado del cliente.
Secreto compartido
Una clave precompartida configurada tanto en el servidor RADIUS como en cada dispositivo NAS. Se utiliza para generar el campo Response Authenticator y para ofuscar el atributo User-Password. No es una contraseña para los usuarios finales - es una credencial de autenticación de servidor a servidor.
Los secretos compartidos débiles o estáticos son una de las vulnerabilidades más comunes de RADIUS. Un atacante que capture el tráfico RADIUS puede realizar un ataque de fuerza bruta sin conexión contra un secreto compartido débil. La longitud mínima recomendada es de 32 caracteres, generados aleatoriamente.
PCI DSS (Payment Card Industry Data Security Standard)
Un conjunto de estándares de seguridad exigidos por las principales marcas de tarjetas (Visa, Mastercard, Amex) para las organizaciones que procesan, almacenan o transmiten datos de titulares de tarjetas. La versión 4.0, en vigor a partir de marzo de 2024, incluye requisitos específicos para el control de acceso a la red y la autenticación sólida.
Las empresas de comercio minorista y hostelería con terminales de punto de venta conectados por WiFi entran en el ámbito de aplicación de PCI DSS. Las vulnerabilidades del servidor RADIUS que podrían permitir el acceso no autorizado de red a los entornos de datos de titulares de tarjetas representan un riesgo directo para el cumplimiento normativo.
Ejemplos prácticos
Un grupo hotelero de 12 establecimientos y 350 habitaciones utiliza un servidor RADIUS centralizado alojado en el centro de datos de su oficina central. Cada establecimiento se conecta a través de una WAN MPLS compartida. Una auditoría de seguridad ha señalado que el tráfico RADIUS no está cifrado a través de la WAN, los secretos compartidos son cadenas de 8 caracteres configuradas durante la implementación inicial hace cinco años y el servidor RADIUS ejecuta FreeRADIUS 3.0.21. El grupo procesa pagos con tarjeta a través de terminales de punto de venta (TPV) conectados por WiFi en sus instalaciones de restaurante y spa. ¿Cuál es la prioridad de subsanación y la secuencia de implementación?
La secuencia de subsanación debe ordenarse por gravedad del riesgo y velocidad de implementación. Paso 1 (inmediato, en un plazo de 72 horas): Instalar parches en FreeRADIUS para actualizar a 3.2.5 o 3.0.27. Esto soluciona BlastRADIUS y obliga a usar Message-Authenticator de forma predeterminada. Simultáneamente, compruebe las versiones de firmware de los puntos de acceso en los 12 establecimientos y programe actualizaciones de firmware para cualquier dispositivo NAS que no sea compatible con Message-Authenticator. Paso 2 (semanas 1-2): Rotar todos los secretos compartidos. Genere secretos aleatorios de 32 caracteres utilizando openssl rand -base64 32 para cada uno de los 12 registros NAS de los establecimientos. Almacénelos en HashiCorp Vault o equivalente. Documente la fecha de rotación. Paso 3 (meses 1-2): Implementar RadSec en la ruta WAN. Configure el servidor RADIUS para aceptar conexiones RadSec en el puerto TCP 2083. Emita certificados TLS desde una CA interna para los dispositivos NAS de cada establecimiento. Actualice las reglas del cortafuegos para permitir el puerto TCP 2083 desde los rangos de IP de los NAS de los establecimientos hacia el servidor RADIUS. Desactive el puerto UDP 1812/1813 de las interfaces orientadas a la WAN una vez que se confirme que RadSec está operativo. Paso 4 (meses 2-3): Para el SSID de WiFi de los TPV dentro del alcance de PCI-DSS, migrar de PEAP-MSCHAPv2 a EAP-TLS. Implemente una PKI interna (Microsoft ADCS o el motor PKI de HashiCorp Vault). Emita certificados de cliente para los terminales TPV a través de MDM. Actualice la política de RADIUS para exigir EAP-TLS para el SSID de los TPV. Paso 5 (mes 3): Integrar los registros de contabilidad de RADIUS en el SIEM. Configure alertas para picos de autenticación fallidos y vencimiento de certificados.
Una cadena de tiendas minoristas regional con 45 establecimientos utiliza WPA2-Personal (clave previamente compartida) para el WiFi del personal y una red abierta para el WiFi de los clientes. El director de TI quiere migrar el WiFi del personal a la autenticación 802.1X utilizando Microsoft NPS como servidor RADIUS, integrado con Active Directory. Las tiendas tienen una mezcla de puntos de acceso Aruba y Cisco. La cadena está dentro del alcance de PCI DSS. ¿Qué arquitectura deberían implementar y cuáles son las decisiones de configuración clave?
La arquitectura recomendada es 802.1X con PEAP-MSCHAPv2 como método EAP inicial, con una hoja de ruta documentada hacia EAP-TLS. El servidor NPS debe desplegarse en un par redundante (primario + secundario) en el centro de datos central, con configuración de proxy RADIUS en los puntos de acceso para conmutar por error de forma automática. Decisiones de configuración: (1) Directiva de red de NPS: cree una directiva que coincida con el SSID del personal con PEAP-MSCHAPv2, requiriendo pertenencia a un grupo de seguridad de AD (por ejemplo, "WiFi-Staff-Access"). Establezca el tiempo de espera de la sesión en 8 horas para forzar la reautenticación. (2) Certificado: implemente un certificado de servidor NPS desde una CA interna de Microsoft ADCS. Distribuya el certificado de la CA raíz a todos los dispositivos del personal a través de directivas de grupo (Windows) y MDM (iOS/Android). (3) Configuración del suplicante: configure los dispositivos Windows mediante directivas de grupo (Configuración del equipo > Configuración de Windows > Configuración de seguridad > Directivas de red inalámbrica). Para dispositivos iOS y Android, utilice un perfil de MDM. Aplique la validación del certificado del servidor - no permita que los usuarios acepten certificados arbitrarios. (4) Configuración del punto de acceso: en Aruba, configure el servidor RADIUS en Autenticación > Servidores. Establezca la clave compartida en una cadena aleatoria de 32 caracteres. Habilite RadSec si el firmware de Aruba lo admite (AOS 8.9+). En Cisco, configure en Seguridad > AAA > RADIUS. (5) Registro de NPS: habilite el registro de contabilidad de NPS en una base de datos SQL Server. Configure un período de retención de registros de 90 días como mínimo para el cumplimiento de PCI DSS. (6) Posmigración: deshabilite WPA2-Personal en el SSID del personal. Consérvelo únicamente como un SSID de emergencia con una PSK compleja almacenada en el gestor de secretos, para su uso exclusivo cuando NPS no esté disponible.
Preguntas de práctica
Q1. Su organización dispone de un servidor FreeRADIUS 3.0.21 que admite autenticación 802.1X para 800 dispositivos del personal en un único campus de las instalaciones. El servidor RADIUS se encuentra en la misma VLAN de gestión que todos los puntos de acceso. Una prueba de penetración ha detectado que los puntos de acceso envían paquetes Access-Request sin el atributo Message-Authenticator. El equipo de seguridad desea aplicar Message-Authenticator de inmediato, pero el equipo de operaciones de red teme que se interrumpa la autenticación para los 800 usuarios. ¿Cómo secuenciaría la subsanación para minimizar la interrupción del servicio?
Sugerencia: Considere la diferencia entre que el servidor RADIUS requiera Message-Authenticator frente a que los dispositivos NAS lo envíen. Se trata de dos cambios de configuración distintos con diferentes perfiles de riesgo.
Ver respuesta modelo
La secuencia correcta es: (1) En primer lugar, aplique el parche de FreeRADIUS a la versión 3.2.5. Esta versión obliga a usar Message-Authenticator por defecto, pero incluye un modo de compatibilidad que registra una advertencia en lugar de rechazar los paquetes que carecen de dicho atributo. Esto le permite aplicar el parche sin interrumpir la autenticación de inmediato. (2) Audite las versiones de firmware de los puntos de acceso. Identifique qué modelos y versiones de firmware admiten Message-Authenticator en los paquetes Access-Request. (3) Actualice el firmware de los puntos de acceso por lotes, empezando por un grupo piloto de 50 dispositivos. Verifique que la autenticación siga funcionando después de cada lote. (4) Una vez confirmado que todos los puntos de acceso envían Message-Authenticator, active la aplicación estricta en el servidor FreeRADIUS (require_message_authenticator = yes en clients.conf). (5) Supervise los registros de RADIUS para detectar cualquier advertencia restante de 'Message-Authenticator missing', lo que indicaría que algún dispositivo NAS no ha recibido la actualización de firmware. El principio clave es que puede parchear primero el servidor sin romper nada, ya que el modo de compatibilidad permite un periodo de transición. Forzar el rechazo estricto en el servidor debe ser el último paso, después de actualizar todos los dispositivos NAS.
Q2. El operador de un centro de conferencias dispone de un único servidor RADIUS que da soporte tanto al SSID del personal corporativo (802.1X con PEAP-MSCHAPv2) como al WiFi de invitados para eventos (Captive Portal con MAC Authentication Bypass). El responsable de TI pregunta si la instancia RADIUS del WiFi de invitados debe securizarse con el mismo estándar que la instancia RADIUS corporativa, dado que los invitados no se autentican con credenciales corporativas. ¿Cuál es su recomendación?
Sugerencia: Considere los vectores de ataque que se aplican a MAC Authentication Bypass en comparación con la autenticación basada en EAP, así como el riesgo de movimiento lateral entre las instancias de RADIUS de invitados y corporativas.
Ver respuesta modelo
La instancia RADIUS para la red WiFi de invitados requiere un endurecimiento, pero los controles específicos difieren de la instancia corporativa. El parche para BlastRADIUS se aplica por igual: la vulnerabilidad afecta al servidor RADIUS independientemente del método de autenticación utilizado por los clientes. La higiene del secreto compartido se aplica por igual: un secreto compartido débil entre el controlador de Captive Portal de invitados y el servidor RADIUS es explotable independientemente de si se utiliza EAP. El riesgo adicional clave es el servidor RADIUS compartido: si las solicitudes de autenticación de SSID de invitados y corporativas son gestionadas por el mismo proceso de servidor RADIUS, una vulnerabilidad en la ruta RADIUS de invitados podría utilizarse para pivotar hacia la política de autenticación corporativa. La arquitectura recomendada es ejecutar instancias RADIUS independientes (o al menos servidores virtuales separados dentro de FreeRADIUS) para la autenticación de invitados y corporativa, con secretos compartidos independientes y conjuntos de políticas independientes. Esto proporciona un aislamiento tal que un compromiso de la ruta RADIUS de invitados no expone las credenciales corporativas. Para la instancia de invitados específicamente: aplicar el parche para BlastRADIUS, rotar los secretos compartidos y asegurar que la instancia RADIUS de invitados no tenga acceso al Active Directory corporativo. Los requisitos de EAP-TLS y RadSec son menos relevantes para un despliegue de Captive Portal, pero aun así se debería considerar RadSec si el controlador del Captive Portal se encuentra en un segmento de red diferente al del servidor RADIUS.
Q3. Un consorcio sanitario está planificando migrar su WiFi clínica de WPA2-Personal a la autenticación 802.1X. El consorcio cuenta con 1.200 dispositivos clínicos que incluyen portátiles Windows, tabletas iOS y dispositivos de mano Android. El CISO quiere EAP-TLS como estado objetivo. El director de TI está preocupado por la complejidad del despliegue de la PKI y propone PEAP-MSCHAPv2 como solución permanente. ¿Qué aconseja al CISO y al director de TI, y cuál es la ruta de implementación recomendada?
Sugerencia: Considere el modelo de amenazas específico para un entorno sanitario: ¿cuáles son las consecuencias de un compromiso de credenciales y cómo aborda EAP-TLS los riesgos que PEAP-MSCHAPv2 no cubre?
Ver respuesta modelo
El instinto del CISO es correcto, pero la preocupación del director de TI es válida. El consejo recomendado es: implementar PEAP-MSCHAPv2 ahora como una posición intermedia, con una hoja de ruta comprometida de 12 meses hacia EAP-TLS. El motivo para no aceptar PEAP-MSCHAPv2 como solución permanente en el sector sanitario es: (1) PEAP-MSCHAPv2 es vulnerable a ataques de servidores RADIUS falsos si no se aplica la validación de certificados en el lado del cliente. En un entorno sanitario donde el personal clínico puede conectar dispositivos personales, aplicar la configuración del suplicante de manera consistente en 1.200 dispositivos es un desafío operativo. (2) Las credenciales MSCHAPv2, si se capturan mediante un ataque de RADIUS falso, se pueden descifrar fuera de línea utilizando herramientas como hashcat. En un contexto sanitario, es probable que esas credenciales también proporcionen acceso a los sistemas clínicos. (3) Las evaluaciones de NHS DSPT y CQC exigen cada vez más controles de autenticación sólidos para el acceso a la red clínica. EAP-TLS proporciona una posición de evidencia de auditoría más sólida. La ruta de implementación: Meses 1 y 2: Desplegar PEAP-MSCHAPv2 aplicando la validación de certificados de servidor mediante perfiles MDM en los 1.200 dispositivos. Meses 3 a 6: Desplegar Microsoft ADCS como infraestructura PKI. Inscribir los dispositivos Windows mediante la autoinscripción de directivas de grupo. Meses 6 a 9: Inscribir los dispositivos iOS y Android a través de perfiles de certificado MDM. Meses 9 a 12: Migrar la política de SSID clínica de PEAP a EAP-TLS. Mantener PEAP como alternativa para cualquier dispositivo que falle en la inscripción del certificado, con una monitorización mejorada. Para obtener más información sobre la arquitectura de seguridad de redes clínicas, la guía de WiFi en Hospitales proporciona un contexto de despliegue relevante.
Continúe leyendo esta serie
Grandstream GWN and guest WiFi: captive portal setup with Purple
Cómo funcionan los puntos de acceso Grandstream GWN con Purple guest WiFi: una página de bienvenida externa, RADIUS y un walled garden, con un enlace a la guía de configuración paso a paso de Purple para obtener la configuración exacta.
Huawei iMaster NCE (CloudCampus) y WiFi de invitados: configuración de captive portal con Purple
Cómo el WiFi de invitados en la nube de Purple se integra sobre los puntos de acceso Huawei AirEngine gestionados en iMaster NCE, utilizando autenticación de portal y RADIUS relay, y dónde encontrar los pasos exactos de configuración.
Mikrotik RouterOS y WiFi de invitados: configuración de Captive Portal con Purple
Cómo la WiFi de invitados en la nube de Purple se integra en los dispositivos MikroTik con RouterOS, utilizando el Hotspot integrado y RADIUS, y dónde encontrar los pasos exactos de configuración.