¿Qué es Cloud RADIUS? Una guía completa de RADIUS como servicio

Esta guía completa analiza Cloud RADIUS (RADIUS como servicio), detallando su arquitectura, métodos EAP y estrategias de implementación. Proporciona a los líderes de TI información práctica sobre la migración de servidores locales a un modelo de autenticación basado en la nube, escalable, seguro y conforme a las normativas.

📖 5 min de lectura📝 1,077 palabras🔧 2 ejemplos prácticos❓ 3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast

¿Qué es Cloud RADIUS? Una guía completa de RADIUS como servicio.

Bienvenido al podcast de inteligencia de Purple WiFi. Soy su anfitrión, y hoy realizaremos una sesión informativa detallada sobre Cloud RADIUS: qué es, cómo funciona internamente y, fundamentalmente, cómo evaluar si es el paso adecuado para su organización este trimestre. Ya sea que dirija un grupo hotelero, una red minorista, un estadio o una red del sector público, esto es para usted.

Pongámonos en situación.

Introducción y contexto.

Si alguna vez ha tenido que explicar a un consejo de administración por qué se cayó el servidor de autenticación de su red a las 2 de la madrugada, y por qué se tardó tres horas en restablecerlo, ya comprende el problema principal que resuelve Cloud RADIUS. La infraestructura RADIUS local tradicional es potente, pero conlleva una carga operativa significativa. Hardware que adquirir, ciclos de parches que gestionar, redundancia que estructurar manualmente y un único punto de fallo situado en su sala de servidores.

Cloud RADIUS, o RADIUS como servicio, traslada esa capa de autenticación a un entorno de nube gestionado y de alta disponibilidad. El protocolo en sí (Remote Authentication Dial-In User Service) no ha cambiado. Sigue siendo la columna vertebral del control de acceso a la red IEEE 802.1X, el mecanismo que utilizan sus puntos de acceso para validar quién entra en su red. Pero la infraestructura que lo ejecuta ahora es problema de otro. Y en el sector de TI empresarial, eso representa un cambio significativo.

Así que entremos en los detalles técnicos.

Análisis técnico detallado.

RADIUS se definió originalmente en el RFC 2865, publicado en el año 2000, y ha demostrado ser extraordinariamente duradero. El protocolo funciona con un modelo cliente-servidor. Su dispositivo de acceso a la red (ya sea un punto de acceso WiFi, un concentrador VPN o un conmutador por cable) actúa como cliente RADIUS, también llamado Network Access Server o NAS. Cuando un usuario intenta conectarse, el NAS reenvía un paquete Access-Request al servidor RADIUS, que valida las credenciales frente a un directorio de usuarios (normalmente Active Directory, LDAP o un proveedor de identidad en la nube) y devuelve un Access-Accept o un Access-Reject.

Ese es el intercambio principal. Pero la verdadera complejidad radica en lo que sucede a su alrededor: métodos EAP, asignación de VLAN, aplicación de políticas, registros de contabilidad y gestión de certificados.

En una implementación local tradicional, se ejecuta FreeRADIUS o Microsoft NPS en hardware dedicado, gestionando sus propios certificados, configurando su propia conmutación por error y manteniendo su propia sincronización de base de datos de usuarios. Para una implementación en un solo sitio con un equipo de TI competente, esto es manejable. Para una red minorista de 50 sitios o un grupo hotelero con propiedades en varios países, se convierte en una carga operativa importante.

Cloud RADIUS abstrae todo eso. La lógica de autenticación, la infraestructura de certificados, la redundancia y el motor de políticas se entregan como un servicio gestionado. Sus puntos de acceso apuntan a extremos de RADIUS alojados en la nube (normalmente una dirección IP primaria y otra secundaria) y el servicio se encarga de todo lo demás.

Ahora, hablemos de los métodos de autenticación, porque aquí es donde las decisiones técnicas realmente importan.

El método EAP más común en la WiFi empresarial es PEAP (Protected EAP), que tuneliza MSCHAPv2 dentro de una sesión TLS. Es ampliamente compatible, funciona con Active Directory de forma nativa y es el predeterminado para la mayoría de los dispositivos Windows y Android. Sin embargo, PEAP presenta vulnerabilidades conocidas, especialmente en lo que respecta a la validación de certificados. Si sus dispositivos cliente no están configurados para verificar el certificado del servidor, queda expuesto a ataques de recopilación de credenciales a través de puntos de acceso no autorizados.

EAP-TLS es el estándar de oro. Utiliza la autenticación mutua de certificados (tanto el servidor como el cliente presentan certificados), lo que elimina por completo la superficie de ataque de contraseñas. La contrapartida es el despliegue de certificados de cliente, que requiere una infraestructura PKI y la integración con un MDM. Para flotas de dispositivos gestionados, esta es sin duda la opción correcta. Para entornos BYOD, es más complejo.

También vale la pena conocer EAP-TTLS y EAP-FAST. TTLS es especialmente común en entornos donde se necesita dar soporte a una amplia gama de dispositivos cliente, incluidos sistemas Linux. EAP-FAST fue desarrollado por Cisco como una alternativa a PEAP que evita la dependencia de la validación de certificados, utilizando en su lugar credenciales de acceso protegido (Protected Access Credentials).

Un servicio Cloud RADIUS bien estructurado admite todos estos métodos y le permite configurar políticas por SSID; de este modo, su SSID corporativo utiliza EAP-TLS con validación de certificados, el SSID de su personal utiliza PEAP con Active Directory y su red de invitados utiliza un flujo de Captive Portal o inicio de sesión social totalmente independiente de la pila de RADIUS.

Hablando de eso, a menudo se confunden RADIUS y la WiFi para invitados, pero sirven para propósitos diferentes. RADIUS es su capa de autenticación y autorización para usuarios y dispositivos conocidos. La WiFi para invitados suele utilizar un flujo de Captive Portal, que es un mecanismo totalmente diferente. La plataforma de Purple, por ejemplo, gestiona la autenticación de invitados a través de una capa de identidad independiente, capturando datos de primera mano y permitiendo la automatización del marketing, mientras que RADIUS gestiona el control de acceso a la red corporativa y del personal. Son sistemas complementarios, no competidores.

Ahora, hablemos de lo que significa realmente "alojado en la nube" en la práctica. Un servicio Cloud RADIUS correctamente estructurado se ejecuta en múltiples zonas de disponibilidad, con conmutación por error automática. Las solicitudes de autenticación se equilibran de forma equilibrada entre los nodos, y el servicio mantiene tiempos de respuesta inferiores a 100 milisegundos incluso bajo carga máxima. Para un estadio que gestiona 40.000 conexiones simultáneas durante un evento, ese perfil de latencia y rendimiento es fundamental. Un único servidor local sencillamente no puede igualar esa elasticidad.

Desde la perspectiva del cumplimiento normativo, los proveedores de Cloud RADIUS que operan en el Reino Unido y la UE deben cumplir con el GDPR en la forma en que gestionan los registros de autenticación y los datos de los usuarios. Para los entornos de comercio minorista y hostelería que también procesan datos de tarjetas de pago, los requisitos de PCI DSS sobre segmentación de red y control de acceso son directamente aplicables: RADIUS forma parte de su entorno de control, y su QSA querrá ver pruebas de una configuración y un registro de auditoría adecuados.

También vale la pena abordar WPA3. La transición de WPA2 a WPA3 introduce la autenticación simultánea de iguales (SAE) para redes personales, y WPA3-Enterprise para entornos corporativos. WPA3-Enterprise exige un modo de seguridad de 192 bits para la clasificación más alta, lo que requiere métodos EAP y conjuntos de cifrado específicos. Un servicio Cloud RADIUS debe admitir estas configuraciones para estar preparado para el futuro.

Recomendaciones de implementación y errores comunes.

Muy bien, pasemos a la práctica. Si está evaluando Cloud RADIUS para su implementación este trimestre, esto es en lo que me centraría.

En primer lugar, la integración con su proveedor de identidad. Su servicio Cloud RADIUS debe sincronizarse con el lugar donde residen realmente sus usuarios, ya sea Microsoft Entra ID (anteriormente Azure AD), Google Workspace, Okta o un Active Directory local a través de un proxy LDAP. La calidad de esta integración determina su carga operativa. El aprovisionamiento nativo mediante SAML o SCIM es muy preferible a las importaciones manuales de archivos CSV.

En segundo lugar, la gestión de certificados. Si va a implementar EAP-TLS, necesita una respuesta clara sobre cómo se emiten, renuevan y revocan los certificados de cliente. Los mejores servicios de Cloud RADIUS incluyen una PKI integrada o se integran limpiamente con su autoridad de certificación existente. La caducidad de los certificados es una de las causas más comunes de fallos de autenticación en la WiFi empresarial; esto se puede evitar por completo con una automatización adecuada.

En tercer lugar, la compatibilidad de los dispositivos de red. Sus puntos de acceso deben admitir la autenticación RADIUS (prácticamente todos los AP de calidad empresarial lo hacen), pero debe verificar los métodos EAP específicos y los atributos de RADIUS que admite el servicio elegido frente a la implementación del proveedor de sus AP. Cisco, Aruba, Juniper Mist y Ruckus tienen sus propios matices en la forma de gestionar los atributos de RADIUS y los mensajes CoA (Change of Authorization).

En cuarto lugar, la configuración de la redundancia. Configure siempre una IP de servidor RADIUS primaria y otra secundaria. El tiempo de espera de conmutación por error en sus dispositivos NAS es importante: si se configura demasiado alto, los usuarios experimentarán un retraso de autenticación de 30 segundos cuando el servidor principal no esté disponible. Un tiempo de espera de 3 a 5 segundos con conmutación por error inmediata es la configuración adecuada para la mayoría de los entornos.

En quinto lugar (y esto es lo que la gente suele pasar por alto), la contabilidad. Los registros de contabilidad de RADIUS son su pista de auditoría. Le indican quién se conectó, desde qué dispositivo, a qué hora y durante cuánto tiempo. Para fines de cumplimiento normativo, especialmente en entornos sanitarios y del sector público, estos registros deben conservarse y ser accesibles. Asegúrese de que su proveedor de Cloud RADIUS le ofrezca acceso a los datos de contabilidad, no solo a los registros de autenticación.

Errores comunes: la complejidad del secreto compartido. El secreto compartido de RADIUS (la clave precompartida entre su NAS y el servidor RADIUS) debe ser largo y aleatorio. Los secretos compartidos cortos o predecibles son un vector de ataque real. Utilice al menos 32 caracteres, generados aleatoriamente, y rótelos de forma programada.

Tenga cuidado también con la lista blanca de IP. Muchos servicios de Cloud RADIUS requieren que incluya en una lista blanca las IP de origen de sus dispositivos NAS. En un entorno de nube dinámico donde su plataforma de gestión de AP podría utilizar NAT, esto puede causar fallos de autenticación inesperados. Confirme el comportamiento de NAT de su red antes de la implementación.

Preguntas y respuestas rápidas.

Permítame repasar algunas preguntas que me hacen con frecuencia.

¿Puede Cloud RADIUS admitir entornos multiinquilino? Sí, la mayoría de los servicios de Cloud RADIUS para empresas admiten el aislamiento de inquilinos, por lo que un proveedor de servicios gestionados puede ejecutar políticas de RADIUS independientes para múltiples clientes desde una única plataforma.

¿Cuál es la latencia típica para una autenticación de Cloud RADIUS? Menos de 100 milisegundos para un servicio bien estructurado. El propio protocolo de enlace 802.1X añade algo de sobrecarga, pero para la mayoría de los métodos EAP, el tiempo total de autenticación debería ser inferior a 500 milisegundos de extremo a extremo.

¿Funciona Cloud RADIUS con OpenRoaming? Sí. OpenRoaming (el marco de itinerancia de la Wireless Broadband Alliance) utiliza la federación RADIUS en su núcleo. Un servicio Cloud RADIUS que admita Hotspot 2.0 y OpenRoaming permite a sus usuarios autenticarse automáticamente en las redes participantes de todo el mundo. Purple admite OpenRoaming bajo su licencia Connect, actuando como proveedor de identidad en la federación.

¿Es adecuado Cloud RADIUS para entornos de alta seguridad? Para la mayoría de los entornos empresariales, sí. Para entornos con datos clasificados o clasificaciones de seguridad gubernamentales específicas, es posible que deba evaluar si un servicio en la nube gestionado cumple con sus requisitos específicos de acreditación.

Resumen y próximos pasos.

Para resumir: Cloud RADIUS es un enfoque maduro y listo para producción para el control de acceso a la red que elimina la carga operativa de la infraestructura RADIUS local sin comprometer la seguridad ni la capacidad. Para las organizaciones con múltiples sedes, el caso de ROI es sencillo: se elimina el capex de hardware, se reducen los costes de TI, se obtiene redundancia integrada y se dispone de un servicio que se escala con su patrimonio.

Las decisiones clave son: qué método EAP es el adecuado para su flota de dispositivos, cómo se integra con su proveedor de identidad existente y si el servicio elegido le ofrece las capacidades de cumplimiento y auditoría que su organización requiere.

Si dirige un grupo hotelero, una cadena minorista o gestiona redes del sector público, le recomendaría comenzar con una prueba de concepto en un solo sitio: configure correctamente su RADIUS, valide la integración con su proveedor de identidad y mida la latencia de autenticación antes de implementarlo en todo su patrimonio.

Para obtener más información sobre análisis de WiFi, gestión de redes de invitados y cómo se integra la plataforma de Purple con la autenticación basada en RADIUS, visite purple.ai. Gracias por escucharnos.

Conclusiones clave

✓Cloud RADIUS elimina el capex y los costes de mantenimiento de los servidores de autenticación locales.
✓Proporciona escalabilidad elástica y redundancia global, esenciales para entornos distribuidos de comercio minorista, hostelería y empresas.
✓La migración a EAP-TLS a través de Cloud RADIUS es el estándar de oro para proteger las redes contra la recopilación de credenciales.
✓La integración fluida con IdP modernos (Entra ID, Google Workspace) a través de SCIM automatiza la incorporación y desvinculación de usuarios.
✓La configuración adecuada del NAS, incluidos los tiempos de espera de conmutación por error de 3 a 5 segundos y secretos compartidos complejos, es fundamental para la fiabilidad.
✓Los registros de contabilidad generados por Cloud RADIUS son obligatorios para demostrar el cumplimiento de PCI DSS y GDPR.
✓RADIUS gestiona el acceso de usuarios conocidos, mientras que las plataformas de WiFi para invitados se encargan de la interacción con los visitantes y la captura de datos.

Resumen Ejecutivo

Para las redes empresariales modernas, la arquitectura tradicional de RADIUS (Remote Authentication Dial-In User Service) local representa un cuello de botella operativo significativo. La gestión de servidores físicos, la aplicación de parches en los sistemas operativos, la administración de las autoridades de certificación y el diseño de la redundancia multisitio consumen valiosos recursos de TI. Cloud RADIUS (o RADIUS como servicio) aborda este problema migrando la capa de autenticación IEEE 802.1X a una infraestructura en la nube gestionada y de alta disponibilidad. Esta guía ofrece una descripción técnica detallada de Cloud RADIUS para directores de TI, arquitectos de red y CTO que evalúan estrategias de despliegue. Al pasar de sistemas con un elevado gasto de capital y mantenimiento manual a un modelo elástico y distribuido globalmente, las organizaciones de los sectores de Retail , Hostelería y Transporte pueden aplicar políticas de acceso sólidas, cumplir con las normativas (como PCI DSS y GDPR) e integrarse sin problemas con proveedores de identidad modernos como Microsoft Entra ID y Google Workspace.

Análisis Técnico Detallado

La Evolución de la Arquitectura RADIUS

RADIUS, definido inicialmente en la norma RFC 2865, funciona con un modelo cliente-servidor en el que los servidores de acceso a la red (NAS) —como los puntos de acceso WiFi o los concentradores VPN— reenvían las solicitudes de autenticación a un servidor central. Históricamente, esto implicaba desplegar FreeRADIUS o Microsoft Network Policy Server (NPS) en hardware dedicado. Aunque resulta funcional para despliegues en un solo sitio, escalar esta arquitectura en entornos distribuidos introduce importantes problemas de latencia y redundancia.

Cloud RADIUS abstrae la infraestructura subyacente. Las solicitudes de autenticación se enrutan a endpoints en la nube distribuidos globalmente, lo que garantiza tiempos de respuesta inferiores a 100 ms incluso en picos de carga. Esta elasticidad es crucial para entornos de alta densidad como estadios o centros de conferencias.

Métodos EAP y Postura de Seguridad

La elección del método de Protocolo de Autenticación Extensible (EAP) determina fundamentalmente su postura de seguridad:

PEAP (EAP protegido): Canaliza MSCHAPv2 dentro de una sesión TLS. Aunque es ampliamente compatible y fácil de integrar con Active Directory, PEAP es vulnerable a la obtención de credenciales a través de puntos de acceso no autorizados si los dispositivos cliente no están configurados estrictamente para validar el certificado del servidor.
EAP-TLS: El estándar de oro empresarial. Requiere autenticación mutua por certificado: tanto el servidor como el cliente deben presentar certificados válidos. Esto elimina por completo los ataques basados en contraseñas, pero requiere una infraestructura de clave pública (PKI) sólida y la integración con una gestión de dispositivos móviles (MDM) para el despliegue de certificados.
EAP-TTLS y EAP-FAST: Ofrecen alternativas cuando se requiere una amplia compatibilidad con clientes (incluidos sistemas heredados o Linux) o cuando es necesario omitir las dependencias de validación de certificados mediante credenciales de acceso protegido (PAC).

Integración con WPA3 y OpenRoaming

Los despliegues modernos deben tener en cuenta WPA3-Enterprise, que exige un modo de seguridad de 192 bits para las clasificaciones más altas, requiriendo suites de cifrado específicas. Además, Cloud RADIUS facilita la participación en marcos de federación como OpenRoaming. Purple, por ejemplo, actúa como proveedor de identidad gratuito para OpenRoaming bajo su licencia Connect, lo que permite una autenticación segura y fluida en las redes globales participantes.

Guía de Implementación

El despliegue de Cloud RADIUS requiere un enfoque sistemático para garantizar un tiempo de inactividad cero durante la transición.

Paso 1: Integración con el Proveedor de Identidad (IdP)

Su instancia de Cloud RADIUS debe sincronizarse con su directorio de usuarios autorizado. Se recomienda encarecidamente el aprovisionamiento nativo mediante SAML o SCIM con Microsoft Entra ID, Google Workspace o Okta en lugar de proxies LDAP manuales o importaciones de CSV. Esto garantiza que cuando un empleado sea dado de baja en el sistema de RR. HH., su acceso a la red se revoque de forma instantánea.

Paso 2: Estrategia de Gestión de Certificados

Si va a desplegar EAP-TLS, defina el ciclo de vida de sus certificados. Seleccione un proveedor de Cloud RADIUS que incluya una PKI integrada o que se integre perfectamente con su Autoridad de Certificación (CA) existente. Automatice la emisión y revocación de certificados a través de su plataforma MDM (por ejemplo, Intune o Jamf) para evitar fallos de autenticación debido a certificados caducados.

Paso 3: Configuración de Dispositivos de Red

Configure sus dispositivos NAS (puntos de acceso, switches) para que apunten a las direcciones IP primaria y secundaria de Cloud RADIUS. Asegúrese de que el secreto compartido sea criptográficamente complejo (mínimo 32 caracteres aleatorios). Ajuste la configuración del tiempo de espera de conmutación por error; un tiempo de espera de 3 a 5 segundos es óptimo para evitar retrasos prolongados en la autenticación si el nodo primario no está accesible.

Paso 4: Definición de Políticas

Establezca políticas por SSID. Por ejemplo, exija EAP-TLS para la red corporativa, PEAP para los dispositivos IoT heredados y aísle el acceso de invitados. Tenga en cuenta que RADIUS gestiona a los usuarios conocidos; para los visitantes, despliegue una solución dedicada de Guest WiFi con un Captive Portal para capturar datos de primera mano, integrándola con una plataforma de WiFi Analytics . Para obtener más información sobre la interacción con los invitados, consulte Cómo mejorar la satisfacción de los invitados: la guía definitiva .

Buenas Prácticas

Implementar una Certificación de Servidor Estrictacate Validation: Para despliegues PEAP, aplique directivas de grupo o perfiles MDM que obliguen a los clientes a validar el certificado del servidor RADIUS y restrinjan la confianza a CAs raíz específicas.
Segmente el tráfico de contabilidad y autenticación: Asegúrese de que los datos de contabilidad de RADIUS se supervisen y conserven activamente. Este registro de auditoría es fundamental para los informes de cumplimiento (por ejemplo, PCI DSS, HIPAA).
Supervise la latencia de autenticación: Una latencia alta suele indicar un enrutamiento subóptimo o problemas de sincronización del IdP. Utilice herramientas de supervisión para realizar un seguimiento del tiempo transcurrido desde el paquete Access-Request hasta el Access-Accept.
Optimice la planificación de canales y señales: Una autenticación fiable depende de una capa física estable. Revise guías como Understanding RSSI and Signal Strength for Optimal Channel Planning para asegurarse de que su entorno de RF admite un roaming 802.1X sin interrupciones.

Resolución de problemas y mitigación de riesgos

Incluso con servicios gestionados, las configuraciones incorrectas pueden provocar fallos de acceso. Los modos de fallo más comunes incluyen:

Caducidad del certificado: La causa número uno de los fallos de EAP-TLS. Mitigación: Implemente alertas automatizadas 30 días antes de la caducidad del certificado de la CA o del servidor.
Discrepancia en el secreto compartido: Ocurre a menudo al añadir nuevos puntos de acceso. Mitigación: Estandarice las plantillas de configuración en su sistema de gestión de red.
Problemas de NAT y listas blancas de IP: Los proveedores de Cloud RADIUS suelen requerir listas blancas de IP de NAS. Si sus sucursales utilizan IPs dinámicas o configuraciones NAT complejas, las solicitudes de autenticación pueden descartarse. Mitigación: Utilice IPs de salida estáticas o despliegue un proxy RADIUS local si es necesario.
Fallos de sincronización del IdP: Si el directorio en la nube no se sincroniza con el AD local, los nuevos usuarios no podrán autenticarse. Mitigación: Supervise activamente el estado del conector SCIM/LDAP.

ROI e impacto empresarial

La transición a Cloud RADIUS ofrece un valor empresarial medible:

Reducción del Capex de infraestructura: Elimina la necesidad de comprar, montar en rack y alimentar servidores RADIUS físicos en cada ubicación principal.
Menores costes operativos: Los equipos de TI ya no dedican horas a parchear vulnerabilidades del sistema operativo o a gestionar manualmente la conmutación por error del servidor. Las actualizaciones gestionadas por el proveedor garantizan un cumplimiento continuo.
Mejora de la seguridad: La transición a EAP-TLS a través de PKI en la nube mitiga el riesgo de robo de credenciales, reduciendo directamente el coste potencial de una brecha de datos.
Agilidad y escalabilidad: Al abrir una nueva sucursal minorista o un hotel, la autenticación de red se puede aprovisionar en minutos en lugar de semanas. Para conocer estrategias prácticas de despliegue, consulte Setting Up WiFi for Business: A 2026 Playbook .

Al centralizar el control de acceso, las organizaciones no solo protegen sus perímetros, sino que también liberan el talento de sus ingenieros sénior para que se centren en iniciativas estratégicas en lugar de mantener la infraestructura heredada.

Definiciones clave

Cloud RADIUS

Un servicio gestionado que aloja el protocolo Remote Authentication Dial-In User Service en un entorno de nube de alta disponibilidad, eliminando la necesidad de servidores de autenticación locales.

Evaluado por equipos de TI que buscan reducir el capex de hardware y los costes operativos, manteniendo al mismo tiempo un acceso seguro a la red 802.1X.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Un método de autenticación altamente seguro que requiere que tanto el cliente como el servidor presenten certificados digitales para demostrar su identidad.

El estándar recomendado para redes empresariales para prevenir ataques basados en contraseñas, que requiere PKI y MDM para su despliegue.

NAS (Network Access Server)

El dispositivo (como un punto de acceso WiFi, un conmutador o un concentrador VPN) que actúa como cliente RADIUS, reenviando las credenciales de usuario al servidor RADIUS.

Los ingenieros de redes deben configurar el NAS con las IP de servidor RADIUS y los secretos compartidos correctos para habilitar la autenticación 802.1X.

Shared Secret

Una cadena de texto criptográfica conocida únicamente por el NAS y el servidor RADIUS, utilizada para cifrar paquetes RADIUS y verificar la autenticidad del remitente.

Un secreto compartido débil es una vulnerabilidad de seguridad importante; las implementaciones empresariales deben utilizar cadenas largas generadas aleatoriamente.

SCIM (System for Cross-domain Identity Management)

Un estándar abierto que automatiza el intercambio de información de identidad de usuario entre sistemas de TI o aplicaciones en la nube.

Se utiliza para aprovisionar y desaprovisionar automáticamente a los usuarios en el directorio de Cloud RADIUS cuando se realizan cambios en el sistema de identidad principal de RR. HH. o TI.

OpenRoaming

Un marco de federación desarrollado por la Wireless Broadband Alliance que permite a los usuarios conectarse de forma automática y segura a las redes WiFi participantes a nivel mundial.

Los proveedores de Cloud RADIUS que admiten OpenRoaming (como Purple) permiten a los establecimientos ofrecer una conectividad fluida y segura a los visitantes sin necesidad de Captive Portals.

Accounting Logs

Registros generados por el servidor RADIUS que detallan los eventos de conexión de los usuarios, incluyendo la hora de inicio, la hora de finalización, los datos transferidos y la dirección IP asignada.

Fundamentales para las auditorías de seguridad, la resolución de problemas y la demostración del cumplimiento de marcos como PCI DSS y GDPR.

Change of Authorization (CoA)

Una función de RADIUS que permite al servidor modificar dinámicamente la sesión activa de un usuario, como cambiar su VLAN o desconectarlo, sin necesidad de volver a conectarse.

Utilizado por los administradores de red para poner en cuarentena instantáneamente un dispositivo comprometido o aplicar nuevas restricciones de políticas a mitad de la sesión.

Ejemplos prácticos

Un hotel de 200 habitaciones utiliza actualmente Microsoft NPS local para la autenticación de la WiFi del personal a través de PEAP. Están experimentando tiempos de espera de autenticación agotados durante las horas punta de registro de entrada y desean migrar a Cloud RADIUS con EAP-TLS para obtener una mejor seguridad y fiabilidad. ¿Cómo debería el director de TI estructurar esta migración?

Desplegar un inquilino de Cloud RADIUS e integrarlo con el Microsoft Entra ID del hotel a través de SCIM para la gestión automatizada del ciclo de vida del usuario. 2. Configurar la PKI integrada de Cloud RADIUS para emitir certificados de cliente. 3. Utilizar el MDM existente (por ejemplo, Intune) para distribuir la CA raíz, los certificados de cliente y un nuevo perfil de WiFi configurado para EAP-TLS a todos los dispositivos del personal. 4. Configurar los puntos de acceso del hotel para que apunten a las IP primarias y secundarias de Cloud RADIUS, utilizando un nuevo secreto compartido complejo de 32 caracteres. 5. Ejecutar tanto el NPS antiguo como el nuevo Cloud RADIUS en paralelo en diferentes SSID durante un período de transición de dos semanas antes de desmantelar los servidores locales.

Una cadena minorista nacional con 500 ubicaciones necesita garantizar el cumplimiento de PCI DSS para sus terminales de punto de venta (POS), que se conectan a través de WiFi. Se están trasladando a Cloud RADIUS. ¿Qué configuraciones específicas se requieren para cumplir con la normativa?

Implementar una segmentación de red estricta: los terminales POS deben autenticarse en un SSID dedicado y oculto asignado a una VLAN aislada. 2. Aplicar la autenticación EAP-TLS para todos los dispositivos POS para garantizar la autenticación mutua y evitar que dispositivos no autorizados se unan a la red POS. 3. Configurar el servicio Cloud RADIUS para retener todos los registros de contabilidad (Access-Accept, Access-Reject, duración de la conexión) durante un mínimo de un año, tal como lo exige PCI DSS. 4. Asegurar que los secretos compartidos de RADIUS entre los AP de las sucursales y el servicio Cloud RADIUS se roten cada 90 días mediante un script automatizado.

Preguntas de práctica

Q1. Su organización está migrando de un Active Directory local a Google Workspace. Actualmente utiliza PEAP-MSCHAPv2 para la autenticación WiFi. ¿Por qué es esto un problema y cuál es la solución recomendada?

Sugerencia: Considere cómo valida PEAP las credenciales frente al protocolo de directorio.

Ver respuesta modelo

PEAP-MSCHAPv2 depende del hash NT de la contraseña de un usuario, que Google Workspace no almacena ni expone de forma nativa. La solución recomendada es migrar a EAP-TLS utilizando un proveedor de Cloud RADIUS que cuente con una PKI integrada. El servicio Cloud RADIUS puede sincronizar las identidades de los usuarios desde Google Workspace a través de SAML/SCIM y autenticar los dispositivos mediante certificados de cliente en lugar de contraseñas.

Q2. Una sucursal informa de que los usuarios experimentan retrasos de 30 segundos al conectarse a la red WiFi, seguidos de una conexión correcta. La IP principal de Cloud RADIUS en esa región se encuentra actualmente en mantenimiento. ¿Qué error de configuración está causando este retraso?

Sugerencia: Observe la comunicación entre el NAS y los servidores RADIUS.

Ver respuesta modelo

El NAS (punto de acceso o conmutador) tiene configurado un tiempo de espera del servidor RADIUS demasiado alto (por ejemplo, 30 segundos). Está esperando a que responda el servidor principal antes de pasar al servidor secundario. El tiempo de espera debe reducirse a 3-5 segundos para garantizar una conmutación por error rápida sin afectar a la experiencia del usuario.

Q3. Está implementando Cloud RADIUS para un hospital. El equipo de seguridad exige que solo los dispositivos propiedad de la empresa puedan conectarse a la red interna, incluso si un empleado conoce un nombre de usuario y una contraseña válidos. ¿Cómo se aplica esto?

Sugerencia: ¿Qué método EAP verifica la identidad del dispositivo y no solo el conocimiento del usuario?

Ver respuesta modelo

Despliegue EAP-TLS. Configure la solución MDM del hospital para distribuir un certificado de cliente único únicamente a los dispositivos registrados propiedad de la empresa. Configure la política de Cloud RADIUS para rechazar cualquier solicitud de autenticación que no presente un certificado válido firmado por la PKI interna de confianza, bloqueando de forma efectiva los dispositivos BYOD o no autorizados, independientemente del conocimiento de la contraseña.

Continúe leyendo esta serie

Las ventajas de seguridad de RADIUS as a Service para plantillas híbridas

Esta guía técnica de referencia explica cómo RADIUS as a Service protege el acceso a la red para plantillas híbridas en centros distribuidos. Abarca la arquitectura, las ventajas de seguridad y los pasos de implementación para sustituir la infraestructura RADIUS local por un servicio de autenticación gestionado en la nube. Diseñada para responsables de TI y arquitectos de redes de hoteles, cadenas de tiendas, estadios y organismos del sector público, esta guía aporta los argumentos necesarios para evaluar y ejecutar la migración a un RADIUS en la nube este trimestre.

Integración de RADIUS as a Service con directorios en la nube (Azure AD y Google Workspace)

Esta guía de referencia técnica detalla cómo integrar RADIUS as a Service con directorios en la nube (Microsoft Entra ID y Google Workspace) para la autenticación WiFi empresarial. Cubre la transición arquitectónica de NPS local a RADIUS nativo de la nube, el despliegue de la autenticación EAP-TLS basada en certificados y las mejores prácticas operativas para proteger el acceso inalámbrico en entornos de hostelería, comercio minorista y sector público. Para los responsables de TI y arquitectos de redes que ya han invertido en identidad en la nube, esta guía cierra la brecha entre la gestión de directorios y la seguridad de la red física.

Cómo implementar la autenticación 802.1X con Cloud RADIUS

Esta guía de referencia técnica proporciona un marco integral para implementar la autenticación 802.1X con Cloud RADIUS en entornos empresariales distribuidos. Detalla la arquitectura, la selección del método EAP, la secuencia de despliegue y las estrategias de mitigación de riesgos necesarias para proteger el acceso a la red, eliminando al mismo tiempo los costes operativos de la infraestructura local.