iPSK para empresas: una guía completa

Esta guía explica la arquitectura de clave compartida previamente de identidad (iPSK) para promotores inmobiliarios, operadores de Build-to-Rent (BTR) y propietarios que despliegan WiFi multiinquilino. Cubre la integración con RADIUS, la asignación dinámica de VLAN, el aislamiento de Capa 2 y la gestión automatizada del ciclo de vida de las credenciales. También detalla el caso de negocio para eliminar los routers de consumo por vivienda y ofrecer una experiencia de conexión instantánea para los residentes a gran escala.

📖 8 min de lectura📝 1,954 palabras🔧 2 ejemplos prácticos❓ 4 preguntas de práctica📚 10 definiciones clave

Escuchar esta guía

Ver transcripción del podcast

INTRODUCCIÓN Y CONTEXTO (aproximadamente 1 minuto)

Le damos la bienvenida a la serie de sesiones informativas técnicas de Purple. Hoy hablaremos de la clave precompartida de identidad, o iPSK. Si tiene una empresa de desarrollo inmobiliario, es operador de BTR (Build-to-Rent) o ejerce la propiedad de la gestión de edificios de varios inquilinos, esto le interesa directamente para su próxima decisión de red.

Permítame que le ponga en situación. Imagine una promoción BTR de 300 viviendas. Quiere ofrecer WiFi gestionado como un servicio premium. No quiere poner un router de consumo en cada vivienda. Y, por supuesto, no quiere que los residentes de la vivienda 101 puedan ver los dispositivos de la vivienda 202. La pregunta es: ¿cómo se consigue todo esto en una única red gestionable? La respuesta es iPSK.

ANÁLISIS TÉCNICO DETALLADO (aproximadamente 5 minutos)

La seguridad WiFi tradicional ofrece dos opciones. Opción uno: una red personal estándar WPA2. Todo el mundo comparte la misma contraseña. Es sencillo, pero en el momento en que una sola persona filtra esa contraseña, toda la red se ve comprometida. Y si quiere revocar el acceso a una persona, tiene que cambiar la contraseña de todos. Esto es completamente inviable a gran escala.

Opción dos: WPA2 o WPA3 Enterprise, utilizando el estándar 802.1X. Se trata de una seguridad de nivel corporativo real. Cada usuario tiene un nombre de usuario y una contraseña únicos, o un certificado digital. El departamento de TI puede revocar el acceso individual de forma instantánea. El problema es que muchos dispositivos simplemente no pueden conectarse a ella. Consolas de videojuegos, smart TV, impresoras inalámbricas, dispositivos Amazon Echo, Chromecast. Ninguno de ellos puede procesar las pantallas de inicio de sesión complejas o los certificados digitales que requiere el estándar 802.1X.

iPSK se sitúa precisamente entre estas dos opciones. Ofrece a cada usuario o dispositivo individual su propia contraseña única, pero la experiencia del dispositivo es idéntica a la de conectarse a un router doméstico. Solo hay que introducir una contraseña. Sin certificados, sin pantallas de inicio de sesión complejas, sin Captive Portals. La complejidad se gestiona por completo en el backend.

Así es como funciona la arquitectura técnica. Cuando un dispositivo cliente se conecta a la red WiFi utilizando su clave precompartida única, el punto de acceso no se limita a conceder el acceso. En su lugar, envía una solicitud de autenticación RADIUS a un servidor central. RADIUS es el acrónimo de Remote Authentication Dial-In User Service. Es la columna vertebral de la autenticación de redes empresariales. El servidor RADIUS comprueba las credenciales en su base de datos de claves configuradas. Si hay una coincidencia, devuelve un mensaje de acceso aceptado. Un aspecto fundamental es que ese mensaje también contiene una asignación de VLAN (Virtual Local Area Network).
Esa asignación de VLAN es la clave de todo. Cuando el residente de la unidad 101 se conecta, la red coloca todos sus dispositivos en la VLAN 101. Cuando el residente de la unidad 202 se conecta, sus dispositivos van a la VLAN 202. La infraestructura de red impone lo que se llama aislamiento de capa 2 entre estas VLAN. Esto significa que, aunque ambos residentes estén en la misma red física de WiFi, sus dispositivos son completamente invisibles entre sí. Esto crea lo que llamamos una red de área privada, o PAN, para cada residente.

Dado que cada residente tiene su propia VLAN aislada, se puede habilitar la reflexión mDNS dentro de esa VLAN específica. mDNS es el protocolo que permite que los dispositivos se descubran entre sí en una red local - es lo que hace que AirPlay, Chromecast y la impresión inalámbrica funcionen. Al habilitar la reflexión mDNS dentro de la VLAN privada de cada residente, se permite que sus propios dispositivos se comuniquen entre sí, mientras permanecen completamente aislados de los dispositivos de todos los demás.

Los principales fabricantes de hardware WiFi para empresas admiten esta tecnología pero utilizan nombres diferentes para ella. Cisco Meraki lo llama iPSK. HPE Aruba lo llama MPSK. Ruckus utiliza el término DPSK. Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet admiten variaciones de autenticación de clave precompartida por dispositivo. Purple es agnóstico con respecto al hardware y se integra con todas estas plataformas.

La gestión manual de cientos o miles de claves únicas no es viable para ningún equipo de TI. Purple se integra con su proveedor de identidad: Microsoft Entra ID, Okta o Google Workspace. Cuando un nuevo residente firma un contrato de arrendamiento, Purple genera automáticamente un iPSK único, asigna una VLAN y entrega las credenciales al residente. Cuando su contrato de arrendamiento finaliza, la clave se revoca automáticamente.

RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES (aproximadamente 2 minutos)

Hay un matiz técnico importante aquí. Revocar una clave en la base de datos RADIUS no desconecta inmediatamente un dispositivo que ya está asociado a la red. La autenticación RADIUS solo se produce durante el saludo de conexión inicial. Para forzar la desconexión inmediata, su sistema de gestión debe enviar un mensaje de cambio de autorización (un CoA) directamente al controlador inalámbrico. Asegúrese de que su plataforma de gestión admita CoA.

Ahora, los principales errores que se deben evitar. Primero: la aleatorización de direcciones MAC. Los smartphones modernos aleatorizan su dirección MAC para proteger la privacidad del usuario. Si su implementación de iPSK depende del bypass de direcciones MAC, la aleatorización romperá la autenticación. Asegúrese de que su infraestructura utilice una verificación iPSK moderna basada en EAPOL. Segundo: el rendimiento de RADIUS. iPSK impone una carga computacional más pesada en el servidor RADIUS debido a las comprobaciones de diccionario requeridas durante el saludo EAPOL. Utilice un servicio RADIUS de alto rendimiento alojado en la nube. Tercero: la compatibilidad con WPA3. Actualmente, iPSK funciona sobre WPA2. Si está desplegando puntos de acceso WiFi 6E o WiFi 7 en la banda de 6 GHz, necesitará una estrategia de WPA3-Enterprise independiente para esos clientes.

PREGUNTAS Y RESPUESTAS RÁPIDAS (aproximadamente 1 minuto)

¿Puede iPSK admitir dispositivos IoT? Sí. Las consolas de videojuegos, los termostatos inteligentes y las impresoras inalámbricas se conectan mediante una contraseña sencilla, exactamente igual que lo harían en una red doméstica.

¿Funciona iPSK con todo el hardware? Sí. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet admiten PSK por dispositivo. Purple proporciona una capa de gestión independiente del hardware para todos ellos.

¿Cumple iPSK con el GDPR? Sí, cuando se implementa correctamente. La red asigna credenciales a personas identificables y estas credenciales se revocan cuando la persona se marcha. Esto crea un registro de auditoría claro del acceso a la red.

RESUMEN Y PRÓXIMOS PASOS (aproximadamente 1 minuto)

En resumen, iPSK es el estándar definitivo para la conectividad WiFi multiinquilino. Ofrece a los equipos de IT el control de la autenticación empresarial, con la sencillez de un router doméstico para los residentes. Admite todo tipo de dispositivos, permite el aislamiento de red por residente mediante la asignación dinámica de VLAN y se escala a través de una gestión automatizada del ciclo de vida integrada con su proveedor de identidad.

Si está planificando una promoción de BTR, un proyecto de alojamiento para estudiantes o cualquier propiedad multiinquilino, iPSK debería ser la base del diseño de su red. Purple ha implementado esta arquitectura en 80 000 ubicaciones en todo el mundo y podemos ayudarle a diseñarla, implementarla y gestionarla desde el primer día. Para obtener más información, visite purple dot ai o hable con uno de nuestros arquitectos de red. Gracias por su atención.

Conclusiones clave

✓iPSK asigna una contraseña única a cada usuario o dispositivo en un único SSID, cerrando la brecha entre la simplicidad de WPA2-Personal y el control de WPA2-Enterprise.
✓La asignación dinámica de VLAN a través de RADIUS crea una Red de Área Privada para cada residente, proporcionando un aislamiento de Capa 2 equivalente al de un router doméstico privado.
✓iPSK es compatible con el 100 % de los dispositivos, incluidos consolas de videojuegos, smart TVs y hardware IoT que no pueden procesar certificados 802.1X.
✓La gestión automatizada del ciclo de vida a través de una integración con el proveedor de identidad es esencial a gran escala - la gestión manual de claves falla cuando se supera un número reducido de unidades.
✓Se requiere la configuración de Change of Authorization (CoA) para forzar la desconexión inmediata cuando se revoca una clave - la revocación solo en RADIUS no interrumpe las sesiones activas.
✓iPSK funciona con WPA2; planifique una estrategia WPA3-Enterprise independiente para los puntos de acceso de la banda de 6 GHz si despliega WiFi 6E o WiFi 7.
✓Eliminar los routers de consumo por unidad reduce los costes de hardware, elimina las interferencias de RF y ofrece una experiencia residencial de conexión instantánea desde el primer día.

Resumen ejecutivo

La seguridad de WiFi tradicional obliga a elegir entre dos opciones insuficientes. El estándar WPA2-Personal es sencillo pero no ofrece responsabilidad individual: una sola contraseña filtrada compromete a toda la red. WPA2/3-Enterprise (IEEE 802.1X) ofrece control por usuario pero interrumpe la conectividad de consolas de videojuegos, smart TVs y dispositivos IoT que no pueden procesar certificados digitales.

Identity Pre-Shared Key (iPSK) resuelve este conflicto. Asigna una contraseña única a cada usuario o dispositivo individual en un único SSID, lo que permite la asignación dinámica de VLAN y el aislamiento de Capa 2 a través de un servidor RADIUS central. Para los operadores de Build-to-Rent (BTR), promotores inmobiliarios y propietarios, iPSK es el estándar definitivo para la conectividad multi-inquilino. Soporta el 100% de los dispositivos de los residentes, crea una Red de Área Privada (PAN) para cada vivienda y se escala mediante una gestión automatizada del ciclo de vida integrada con proveedores de identidad como Microsoft Entra ID, Okta o Google Workspace. Purple automatiza todo este flujo de trabajo en más de 80.000 espacios en directo, integrándose con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet.

Análisis técnico detallado

El funcionamiento de Identity PSK

iPSK modifica el saludo de cuatro vías EAPOL estándar de WPA2. Cuando un dispositivo cliente se asocia con un punto de acceso utilizando una clave precompartida específica, el punto de acceso no concede el acceso de inmediato. En su lugar, envía un mensaje RADIUS-REQUEST al servidor de autenticación central. Esta solicitud contiene atributos específicos del fabricante - en el caso de Cisco Meraki, se trata de los atributos Meraki-IPSK, incluidos Meraki-IPSK-Anonce y Meraki-IPSK-EAPOL. El servidor RADIUS realiza una comprobación de diccionario en su base de datos de iPSK configuradas. Si encuentra una coincidencia, responde con un mensaje ACCESS-ACCEPT que contiene el atributo Tunnel-Password y, fundamentalmente, una asignación dinámica de VLAN a través de Tunnel-Private-Group-Id.

Esta arquitectura no requiere infraestructura de certificados. El dispositivo cliente detecta una red WPA2-Personal estándar y se conecta con una contraseña. La complejidad se gestiona por completo entre el punto de acceso y el servidor RADIUS.

Aislamiento de Capa 2 y Redes de Área Privada

En un entorno multi-inquilino, un único SSID para cientos de apartamentos resulta eficiente para la planificación de radiofrecuencia (RF), pero plantea graves riesgos de seguridad sin una segmentación adecuada. iPSK permite crear una Red de Área Privada (PAN) para cada residente.

Cuando un residente se autentica con su iPSK único, el servidor RADIUS asigna sus dispositivos a una VLAN específica. La infraestructura de red impone el aislamiento de Capa 2 entre estas VLAN. El iPhone del Residente A puede ver su propia impresora o Chromecast, pero el Residente B en el apartamento de al lado no puede descubrir ni interactuar con esos dispositivos. Esta microsegmentación es fundamental para el cumplimiento de GDPR y para mantener la confianza de los residentes.

Dado que cada residente tiene su propia VLAN aislada, se puede habilitar la reflexión mDNS dentro de esa VLAN específica. mDNS es el protocolo que permite AirPlay, la transmisión de Chromecast y la impresión inalámbrica. Habilitar la reflexión mDNS dentro de la VLAN privada de cada residente permite que sus propios dispositivos se comuniquen entre sí, al tiempo que permanecen completamente aislados de todos los demás residentes. El resultado es una experiencia similar a la de un hogar en una infraestructura compartida.

Implementaciones de proveedores de hardware

Los proveedores de hardware empresarial utilizan diferentes terminologías para PSK por dispositivo, pero la mecánica subyacente de RADIUS es consistente. La siguiente tabla mapea los nombres de los proveedores con la implementación canónica:

Proveedor	Nombre de la función	Notas
Cisco Meraki	iPSK (Identity PSK)	Soporta Easy PSK a través de parámetros EAPOL desde MR 32.1.3+
HPE Aruba	MPSK (Multi-PSK)	Soporta hasta 256 PSK por SSID de forma nativa
Ruckus	DPSK (Dynamic PSK)	La generación DPSK3 soporta despliegues MDU de alta densidad
Juniper Mist	Per-user PSK	Gestionado en la nube a través de Mist AI
Ubiquiti UniFi	PPSK (Private PSK)	VLAN asignada por RADIUS compatible desde firmware reciente
Cambium	Per-client PSK	Soportado en la plataforma en la nube cnMaestro
Extreme Networks	iPSK	Soportado a través de ExtremeCloud IQ
Fortinet	MPSK	Soportado en FortiAP con FortiGate RADIUS

Purple es agnóstico al hardware y se integra con todas estas plataformas como una capa superpuesta en la nube, proporcionando una capa de gestión unificada independientemente del hardware que tenga desplegado.

Consideraciones sobre WPA3 y los 6 GHz

iPSK funciona actualmente en WPA2. WPA3 utiliza Autenticación Simultánea de Iguales (SAE), que no es compatible con el enfoque estándar de verificación de diccionario iPSK. Si está desplegando puntos de acceso WiFi 6E o WiFi 7 que funcionan en la banda de 6 GHz (que exige WPA3), necesita una estrategia independiente para esos clientes. El enfoque práctico consiste en mantener WPA2 iPSK en las bandas de 2.4 GHz y 5 GHz para una amplia compatibilidad de dispositivos, mientras se utiliza WPA3-Enterprise para los dispositivos compatibles con 6 GHz. Consulte nuestra guía relacionada Uu PPSK: comparativa de funciones y modelos de despliegue para obtener una comparación más detallada de las implementaciones de PSK por dispositivo y la planificación de la transición a WPA3.

Guía de implementación

Paso 1: Configuración del servidor RADIUS

La base de una implementación de iPSK es una infraestructura RADIUS robusta. El servidor debe admitir los atributos específicos del proveedor que requieren sus puntos de acceso. Para Cisco Meraki, configure el diccionario de atributos Meraki-IPSK. Para HPE Aruba, configure el atributo Aruba-MPSK-Passphrase. El servidor RADIUS debe ser de alta disponibilidad - una caída de RADIUS impedirá las nuevas autenticaciones de clientes. Utilice un servicio RADIUS alojado en la nube con instancias redundantes en lugar de un único servidor local.

Paso 2: Aprovisionamiento de SSID y VLAN

Configure un único SSID en toda la propiedad. Habilite iPSK con autenticación RADIUS en el controlador inalámbrico o en el panel de gestión en la nube. Defina el grupo de VLAN para la asignación dinámica - por ejemplo, de la VLAN 100 a la VLAN 600 para una promoción de 500 viviendas. Asegúrese de que los switches de la red troncal estén configurados para realizar el trunking de todas estas VLAN a los puntos de acceso, y de que el enrutamiento inter-VLAN esté estrictamente controlado por la política del firewall para mantener el aislamiento.

Para el patrón de diseño de tres SSID - Resident WiFi, Staff WiFi e IoT WiFi - consulte nuestro artículo relacionado Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi .

Paso 3: Integración con proveedores de identidad

La gestión manual de claves no es escalable más allá de un puñado de viviendas. Integre su plataforma de gestión de red con un Proveedor de Identidad (IdP). Purple se integra con Microsoft Entra ID, Okta y Google Workspace. Cuando un nuevo residente firma un contrato de alquiler y se le añade a su sistema de gestión inmobiliaria, la integración genera automáticamente un iPSK único, asigna una VLAN y envía por correo electrónico las credenciales al residente antes de su fecha de mudanza. Cuando su contrato finaliza y se le elimina del sistema, Purple revoca la clave automáticamente.

Paso 4: Configuración de Cambio de Autorización (CoA)

La revocación de claves en la base de datos de RADIUS no desconecta inmediatamente un dispositivo que ya está asociado. La autenticación RADIUS solo se produce durante el saludo de conexión inicial. Para forzar la desconexión inmediata al finalizar el contrato de alquiler, configure su plataforma de gestión para enviar un mensaje de Cambio de Autorización (CoA) directamente al controlador inalámbrico. Esto indica al controlador que interrumpa la sesión del cliente de inmediato. Verifique que el CoA funciona de extremo a extremo en su entorno de prueba antes de la puesta en marcha definitiva.

Paso 5: Incorporación de dispositivos y experiencia del residente

Los residentes conectan sus smartphones, portátiles y smart TV utilizando su iPSK único. La red los ubica automáticamente en su Red de Área Privada. Para dispositivos sin pantalla - consolas de videojuegos, termostatos inteligentes, impresoras inalámbricas - el residente introduce el iPSK durante el proceso de configuración estándar de WiFi en el dispositivo. Sin Captive Portal, sin certificados, sin llamadas al servicio de asistencia.

Para implementaciones en el sector de hostelería , iPSK elimina la queja más común de los huéspedes: el inicio de sesión recurrente en el Captive Portal. Para entornos de retail , permite una segmentación segura de los dispositivos del personal en la misma infraestructura física que el Guest WiFi . Para entornos de sanidad , aísla los dispositivos IoT médicos sensibles en una VLAN dedicada, al tiempo que proporciona una conectividad sencilla para pacientes y visitantes.

Mejores prácticas

Automatice la gestión del ciclo de vida. Nunca gestione las claves manualmente. Utilice una capa de orquestación como Purple para automatizar la creación y revocación de claves en función de las fechas de alquiler o del estado laboral. La gestión manual falla a gran escala y crea brechas de seguridad cuando los residentes se marchan.

Aplique un aislamiento estricto de Capa 2. Proporcionar claves únicas es solo la mitad de la solución. Verifique que el aislamiento de Capa 2 funcione correctamente mediante el uso de herramientas de escaneo de red para confirmar que los dispositivos en diferentes VLAN no puedan descubrirse entre sí a través de mDNS o tráfico de difusión. Este es el paso que más se suele omitir en las implementaciones iniciales.

Planifique para la aleatorización de direcciones MAC. Los smartphones modernos aleatorizan su dirección MAC para proteger la privacidad del usuario. Si su implementación de iPSK depende estrictamente de MAC Address Bypass (MAB), la aleatorización romperá la autenticación. Asegúrese de que su infraestructura utilice la verificación iPSK basada en EAPOL, que no requiere el registro previo de las direcciones MAC.

Supervise el rendimiento de RADIUS. iPSK genera una carga mayor en el servidor RADIUS que el estándar 802.1X debido a las comprobaciones de diccionario requeridas durante el saludo EAPOL. Supervise la latencia de autenticación y dimensione la infraestructura de RADIUS en consecuencia. En implementaciones con decenas de miles de claves, asegúrese de que la base de datos RADIUS esté correctamente indexada.

Referencia a IEEE 802.1X y PCI-DSS. Para propiedades que incluyen espacios de retail o de cotrabajo, la segmentación de red que proporciona iPSK respalda el cumplimiento de PCI-DSS al aislar los entornos de tarjetas de pago del tráfico general de los residentes. Documente su segmentación de VLAN y los controles de acceso RADIUS como parte de su pista de auditoría de PCI-DSS.

Resolución de problemas y mitigación de riesgos

Tiempos de espera de autenticación agotados

Si el servidor RADIUS tarda demasiado en procesar los parámetros EAPOL y encontrar una iPSK coincidente, el dispositivo cliente agotará el tiempo de espera y no se conectará. Esto es común en implementaciones con decenas de miles de claves. Mitigue esto asegurándose de que la base de datos RADIUS esté indexada en el campo PSK y utilizando un servicio RADIUS-as-a-Service en la nube de alto rendimiento. La documentación de Cisco Meraki señala que el agotamiento del tiempo de espera del saludo EAPOL después del segundo mensaje es el comportamiento esperado durante la búsqueda inicial - el punto de acceso reinicia el saludo una vez que el servidor RADIUS devuelve la PMK.

Fallos en la asignación de VLAN

Si un cliente se conecta pero no recibe una dirección IP, es posible que el servidor RADIUS no esté transmitiendo los atributos de VLAN correctos o que el conmutador de red no tenga configurada la VLAN asignada. Verifique el atributo Tunnel-Private-Group-Id en el mensaje RADIUS ACCESS-ACCEPT mediante una captura de paquetes y compruebe que el puerto del conmutador esté en modo trunk transmitiendo la VLAN asignada al punto de acceso.

La aleatorización de direcciones MAC interrumpe el iPSK basado en MAB

Si los residentes informan de fallos de conexión intermitentes, especialmente después de actualizaciones de iOS o Android, la aleatorización de MAC es la causa más probable. Migre a la verificación de iPSK basada en EAPOL (Cisco Easy PSK a partir de MR 32.1.3+) que no requiere direcciones MAC preregistradas.

Dispositivos que se conectan pero no acceden a la VLAN correcta

En despliegues de Cisco Meraki, la omisión de VLAN a través de RADIUS requiere que el SSID esté configurado en modo Bridge con el etiquetado de VLAN habilitado y la omisión de RADIUS configurada en "Override VLAN tag". Verifique esta configuración si los clientes acceden a la VLAN predeterminada del SSID en lugar de a su VLAN asignada.

ROI e impacto empresarial

iPSK ofrece un valor empresarial medible para promotores inmobiliarios y propietarios en tres dimensiones.

Reducción de costes de hardware. La eliminación de los routers individuales de calidad de consumo de cada apartamento suprime un gasto operativo y de capital significativo. Una promoción de 250 viviendas que despliegue un router de consumo por vivienda a 80 £ cada uno representa 20.000 £ solo en hardware, además de los costes continuos de sustitución y soporte. Una infraestructura compartida con iPSK elimina esto por completo.

Mejora del entorno de RF. Cada router de consumo emite su propio SSID, creando redes WiFi competidoras que degradan la calidad de la señal para todos los residentes. Eliminar los routers individuales y sustituirlos por un despliegue de puntos de acceso planificado profesionalmente reduce las interferencias y mejora el rendimiento para todos los residentes.

Satisfacción y retención de los residentes. Los residentes reciben su iPSK único antes de mudarse, lo que les proporciona un servicio de WiFi instantáneo desde el primer día. Esto elimina la queja de conectividad más común en las promociones de alquiler residencial (BTR). El WiFi gestionado con un nivel de servicio claro es cada vez más un elemento diferenciador en el mercado de alquiler residencial, donde los residentes comparan los servicios directamente.

Eficiencia operativa. El aprovisionamiento y la revocación automatizados de credenciales eliminan los tickets de soporte relacionados con el restablecimiento de contraseñas, la configuración al mudarse y los procedimientos de salida. La plataforma de analítica de WiFi de Purple proporciona datos de uso y supervisión del estado de la red, lo que ofrece a los administradores de fincas visibilidad sobre su infraestructura sin necesidad de personal de TI dedicado in situ.

Para operadores de transporte y del sector público que gestionan entornos multi-inquilino, se aplica la misma arquitectura. El SLA de tiempo de actividad del 99,999 % de Purple, la certificación ISO 27001 y el cumplimiento de GDPR lo convierten en una opción fiable para entornos regulados donde la disponibilidad de la red y la protección de datos son innegociables.

Definiciones clave

Identity Pre-Shared Key (iPSK)

Un protocolo de seguridad que asigna una contraseña WiFi única a usuarios o dispositivos individuales en un único SSID, lo que permite un control de acceso granular, asignación dinámica de VLAN y revocación de credenciales individuales sin necesidad de certificados digitales.

Se utiliza para proteger redes multiinquilino y de IoT donde WPA2-Enterprise es demasiado complejo o incompatible con dispositivos sin pantalla.

RADIUS

Remote Authentication Dial-In User Service. Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA) para el acceso a la red.

El servidor backend que procesa las solicitudes de autenticación iPSK, ejecuta la comprobación del diccionario PSK y devuelve asignaciones de VLAN dinámicas.

Private Area Network (PAN)

Un entorno de red microsegmentado que aísla los dispositivos de un residente específico del resto de la red, simulando la experiencia de un router doméstico privado sobre una infraestructura compartida.

Crítico para la privacidad de los residentes en despliegues de BTR y alojamiento de estudiantes. Se habilita combinando iPSK con asignación de VLAN dinámica y reflexión mDNS.

Aislamiento de Capa 2

Una medida de seguridad de red que evita que los dispositivos del mismo segmento de red local se comuniquen directamente entre sí en la capa de enlace de datos.

Se utiliza junto con iPSK para garantizar que un dispositivo comprometido en un apartamento no pueda descubrir ni atacar dispositivos en otro, incluso dentro del mismo punto de acceso físico.

Asignación dinámica de VLAN

El proceso de colocar a un usuario o dispositivo en una VLAN específica en función de su identidad o credenciales durante el proceso de autenticación RADIUS.

El mecanismo que utiliza iPSK para separar el tráfico de diferentes residentes en el mismo punto de acceso físico. Se transporta en el atributo de RADIUS Tunnel-Private-Group-Id.

EAPOL

Extensible Authentication Protocol over LAN. El protocolo utilizado en el saludo de cuatro vías de WPA2 para establecer una comunicación segura entre un dispositivo cliente y un punto de acceso.

Las implementaciones modernas de iPSK pasan parámetros EAPOL al servidor RADIUS para verificar la clave precompartida sin requerir el prerregistro de la dirección MAC, resolviendo el problema de la aleatorización de MAC.

Change of Authorization (CoA)

Una extensión de RADIUS (RFC 5176) que permite a un servidor RADIUS o plataforma de gestión enviar un mensaje a un controlador inalámbrico indicándole que desconecte una sesión de cliente activa.

Esencial para la revocación inmediata de credenciales. Sin CoA, una iPSK revocada solo tiene efecto cuando el dispositivo se desconecta e intenta volver a conectarse.

Dispositivo sin interfaz (headless)

Un dispositivo conectado a la red que carece de pantalla o navegador web, como una videoconsola, un termostato inteligente, una impresora inalámbrica o un altavoz inteligente.

Estos dispositivos no pueden navegar por Captive Portals ni procesar certificados 802.1X, lo que convierte a iPSK en el único método de autenticación segura viable para ellos en una red corporativa.

Build-to-Rent (BTR)

Promociones residenciales construidas específicamente para el mercado de alquiler, gestionadas habitualmente por un único operador que proporciona servicios que incluyen WiFi gestionado.

Un mercado principal para los despliegues de iPSK. Los operadores de BTR utilizan iPSK para ofrecer WiFi aislado por residente de conexión instantánea como un servicio premium sin tener que desplegar routers individuales en cada vivienda.

Reflexión mDNS

Una configuración de red que reenvía el tráfico DNS multicast dentro de una VLAN específica, lo que permite que los protocolos de descubrimiento de dispositivos como AirPlay, Chromecast y Bonjour funcionen dentro de un segmento de red aislado.

Necesaria para permitir a los residentes transmitir vídeo a su televisión inteligente o imprimir en su impresora inalámbrica dentro de su Private Area Network, manteniendo al mismo tiempo el aislamiento respecto a otros residentes.

Ejemplos prácticos

Un desarrollo Build-to-Rent de 250 viviendas necesita proporcionar WiFi seguro a los residentes. El operador quiere evitar la instalación de routers individuales en cada apartamento para reducir la interferencia de RF y los costes de hardware. Los residentes necesitan conectar televisores inteligentes, consolas de videojuegos y dispositivos domésticos inteligentes. Los residentes no deben poder ver los dispositivos de otros apartamentos.

Desplegar un único SSID para toda la propiedad utilizando puntos de acceso Cisco Meraki configurados para iPSK con autenticación RADIUS. Integrar el sistema de gestión de la propiedad con Purple para generar automáticamente un iPSK único para cada contrato de alquiler. Cuando un residente se conecta, el servidor RADIUS lo asigna a una VLAN dedicada - por ejemplo, la VLAN 101 para la Unidad 101. Configurar los switches principales para aislar estas VLAN en la Capa 2. Habilitar la reflexión mDNS dentro de cada VLAN de residente para admitir AirPlay, Chromecast e impresión inalámbrica dentro de la vivienda. Configurar el Cambio de Autorización (CoA) para interrumpir las sesiones de los clientes inmediatamente tras la finalización del contrato de alquiler. Integrar Purple con el sistema de gestión de la propiedad para que las credenciales se aprovisionen antes de la mudanza y se revoquen automáticamente al mudarse.

Comentario del examinador: Este enfoque cumple con todos los requisitos. El SSID único reduce la sobrecarga de RF en comparación con los routers de apartamentos individuales. El protocolo iPSK es compatible con consolas de videojuegos y televisores inteligentes que fallarían en una red 802.1X. La asignación dinámica de VLAN garantiza un aislamiento completo entre apartamentos. La gestión automatizada del ciclo de vida a través de Purple elimina la gestión manual de claves y las brechas de seguridad que esta genera. La configuración de CoA garantiza que las claves revocadas tengan efecto de inmediato en lugar de esperar a que el dispositivo se desconecte y se vuelva a conectar.

Una residencia de estudiantes universitarios alberga a 800 estudiantes, cada uno de los cuales trae una media de siete dispositivos, incluidos ordenadores portátiles, teléfonos, consolas de videojuegos y altavoces inteligentes. El departamento de TI está recibiendo un gran volumen de solicitudes de soporte de estudiantes que no pueden conectar sus impresoras inalámbricas y altavoces inteligentes a la red WPA2-Enterprise del campus.

Mantener la red 802.1X existente para ordenadores portátiles y teléfonos. Crear un SSID secundario configurado para iPSK específicamente para dispositivos IoT sin pantalla. Los estudiantes utilizan un portal de autoservicio para generar un iPSK único para sus dispositivos. El servidor RADIUS asigna estos dispositivos a una VLAN de IoT específica para cada estudiante, aislándolos de los dispositivos de otros estudiantes y permitiéndoles al mismo tiempo comunicarse con los propios dispositivos del estudiante mediante la reflexión mDNS. Integrar el portal con el proveedor de identidad de la universidad - Microsoft Entra ID o Google Workspace - para que las credenciales estén vinculadas a la cuenta universitaria del estudiante y se revoquen automáticamente al finalizar su matrícula.

Comentario del examinador: Este enfoque híbrido mantiene una alta seguridad para los dispositivos informáticos principales al tiempo que proporciona una solución práctica para el hardware de IoT. Elimina la carga de trabajo del servicio de soporte al capacitar a los estudiantes para registrar sus propios dispositivos sin pantalla de forma segura. El aislamiento de VLAN garantiza que un dispositivo IoT comprometido en una habitación no pueda atacar a los dispositivos de otra. La integración con el proveedor de identidad garantiza que las credenciales se revoquen automáticamente al final de cada año académico.

Preguntas de práctica

Q1. Está diseñando la red para un bloque de alojamiento de estudiantes de 500 habitaciones. Los estudiantes necesitan conectar portátiles, teléfonos y videoconsolas. El equipo de TI requiere la revocación de credenciales individuales y no puede asumir una cola de soporte técnico para problemas con certificados. ¿Cómo estructuraría la autenticación?

Sugerencia: Tenga en cuenta las capacidades de las videoconsolas frente a los requisitos de seguridad de los portátiles. Piense si es más adecuado un SSID o dos.

Ver respuesta modelo

Despliegue un único SSID utilizando iPSK con autenticación RADIUS. Esto permite que los ordenadores portátiles y los teléfonos se conecten de forma segura, al tiempo que admite dispositivos sin pantalla como las consolas de videojuegos que no pueden procesar certificados 802.1X. Utilice la asignación dinámica de VLAN para aislar los dispositivos de cada estudiante. Intégrelo con el proveedor de identidad de la universidad para que las credenciales se aprovisionen en la matrícula y se revoquen automáticamente al final de cada año académico. Esto elimina la sobrecarga de gestión de certificados al tiempo que proporciona la capacidad de revocación individual.

Q2. Un residente informa que no puede transmitir vídeo desde su smartphone a su smart TV. Ambos dispositivos aparecen como conectados a la red WiFi. El residente se encuentra en la unidad 204 de una promoción BTR de 200 viviendas. ¿Cuál es la causa más probable y cómo la resolvería?

Sugerencia: Piense en cómo afecta el aislamiento de Capa 2 a los protocolos de descubrimiento de dispositivos como mDNS. Considere si el problema es entre VLANs o dentro de la misma VLAN.

Ver respuesta modelo

La causa más probable es que el smartphone y la smart TV estén asignados a VLANs diferentes, o que la reflexión mDNS no esté habilitada dentro de la VLAN del residente. Primero, verifique que ambos dispositivos se autenticaron con el mismo iPSK y fueron asignados a la misma VLAN revisando los registros de acceso de RADIUS. Si están en VLANs diferentes, es posible que el residente haya utilizado credenciales distintas para cada dispositivo; corríjalo asegurándose de que ambos utilicen el mismo iPSK. Si están en la misma VLAN pero la transmisión sigue fallando, habilite la reflexión mDNS dentro de esa VLAN en el controlador inalámbrico para permitir el tráfico de descubrimiento de AirPlay y Chromecast.

Q3. Su sistema de gestión de propiedades revoca el iPSK de un residente cuando finaliza su contrato de alquiler a medianoche. A la mañana siguiente, el administrador de la propiedad informa que los dispositivos del antiguo residente siguen conectados a la red. ¿Por qué ocurre esto y qué debe hacer?

Sugerencia: Considere con qué frecuencia se autentica realmente un dispositivo con el servidor RADIUS después de la conexión inicial. Piense en qué mecanismo fuerza la desconexión inmediata.

Ver respuesta modelo

La autenticación RADIUS solo se produce durante el saludo de conexión inicial. Una vez que un dispositivo se asocia a la red, no se vuelve a autenticar continuamente. Revocar el iPSK en la base de datos RADIUS evita futuras conexiones pero no desconecta las sesiones activas. Para forzar la desconexión inmediata, el sistema de gestión debe enviar un mensaje de Cambio de Autorización (CoA) - definido en el RFC 5176 - directamente al controlador inalámbrico. Esto indica al controlador que interrumpa las sesiones de cliente activas para esa VLAN o dirección MAC de inmediato. Verifique que su plataforma de gestión sea compatible con CoA y que esté configurada para enviar mensajes de desconexión al revocar las credenciales, no solo en el siguiente intento de autenticación.

Q4. Está planificando un despliegue de WiFi 6E para una nueva promoción BTR. Los puntos de acceso admiten la banda de 6 GHz, que requiere WPA3. Quiere utilizar iPSK para el aislamiento de los residentes. ¿Cómo gestiona la restricción de compatibilidad con WPA3?

Sugerencia: iPSK funciona sobre WPA2. WPA3 utiliza SAE. Considere una estrategia de doble banda.

Ver respuesta modelo

iPSK no es compatible con WPA3-SAE, que es obligatorio en la banda de 6 GHz. Despliegue una estrategia de doble SSID: un SSID en las bandas de 2.4 GHz y 5 GHz utilizando WPA2 con iPSK para una amplia compatibilidad de dispositivos, incluidos todos los dispositivos IoT y heredados. Un segundo SSID en la banda de 6 GHz utilizando WPA3-Enterprise (802.1X) para portátiles y teléfonos modernos que lo admitan. Utilice la misma infraestructura RADIUS para ambos, con el SSID 802.1X utilizando EAP-TLS o PEAP para la autenticación basada en certificados o credenciales. Esto garantiza que los dispositivos heredados y sin pantalla sigan funcionando en el SSID con iPSK mientras que los dispositivos compatibles con 6 GHz se benefician de la seguridad WPA3.

Continúe leyendo esta serie

PPSK: comparación de características y modelos de despliegue

Esta guía de referencia técnica exhaustiva analiza en detalle la arquitectura PPSK (Private Pre-Shared Key), comparándola con iPSK y 802.1X para ayudar a los operadores de recintos y equipos de TI a seleccionar el modelo de autenticación adecuado. Ofrece estrategias de despliegue prácticas para entornos multiinquilino, garantizando redes WiFi seguras, aisladas y gestionables.

iPSK para el sector residencial multifamiliar: una guía completa para empresas

Esta guía explica cómo iPSK (Identity Pre-Shared Key) resuelve el principal reto de conectividad en los edificios residenciales multi-inquilino: ofrecer una WiFi privada, con la calidad de una red doméstica, para cada residente sobre una infraestructura compartida. Cubre la arquitectura de autenticación, los pasos de despliegue y el caso comercial para tratar la WiFi gestionada como un servicio que genera ingresos en entornos BTR y MDU.

Nama ff keren iPSK: una guía completa para empresas

Esta guía explica cómo implementar iPSK (Identity Pre-Shared Key) en entornos multi-inquilino, tales como promociones de alquiler residencial (Build to Rent), residencias de estudiantes y propiedades multi-familiares (MDU). Abarca la arquitectura basada en RADIUS que proporciona a cada residente una burbuja de WiFi privada y aislada en un único SSID compartido, y detalla los pasos de implementación, las integraciones de hardware y el argumento comercial para tratar el WiFi como un servicio gestionado.