Políticas de BYOD seguras para redes WiFi de personal

GUION DE PODCAST: Políticas BYOD seguras para redes WiFi de personal Duración objetivo: ~10 minutos | Voz: inglés británico, tono de consultor sénior Plataforma de inteligencia Purple WiFi — Serie WiFi para el personal --- [INTRODUCCIÓN Y CONTEXTO — ~1 minuto] Bienvenido a la serie de Purple sobre WiFi para el personal. Soy su anfitrión, y hoy vamos a abordar una de las áreas que se gestionan de forma incorrecta con más frecuencia en la administración de redes empresariales: el BYOD (Trae tu propio dispositivo), específicamente para el WiFi del personal. Si es usted director de TI, arquitecto de redes o CTO en un grupo hotelero, una cadena de tiendas, un estadio o una organización del sector público, este episodio está diseñado para usted. No vamos a cubrir los aspectos básicos de qué es el WiFi. Vamos a hablar de las decisiones de arquitectura, los estándares que debe tomar como referencia y los errores de despliegue que cuestan a las organizaciones dinero real y una exposición real en materia de cumplimiento. El problema de fondo es sencillo: su personal quiere utilizar sus teléfonos y tabletas personales para trabajar. Eso es razonable. Pero conectar dispositivos personales no gestionados en el mismo segmento de red que sus sistemas POS, sus bases de datos de RR. HH. o su infraestructura de pagos es un riesgo inaceptable. La cuestión no es si se debe permitir el BYOD, sino cómo permitirlo sin comprometer su red principal. Vamos a entrar en materia. --- [INMERSIÓN TÉCNICA PROFUNDA — ~5 minutos] Empecemos por el principio fundamental: la segmentación de la red. Todo despliegue seguro de BYOD comienza con la misma decisión arquitectónica: no se colocan los dispositivos personales en la misma VLAN que la infraestructura corporativa. Punto final. El enfoque estándar es una VLAN dedicada para BYOD, situada entre su núcleo corporativo y su red WiFi de invitados. Piense en ello como un nivel intermedio. Los dispositivos del personal obtienen acceso a internet y acceso a un conjunto definido de recursos internos aprobados (tal vez su intranet, su suite de productividad en la nube, su plataforma de comunicaciones internas), pero están protegidos por un cortafuegos frente a sus sistemas de pago, sus servidores de back-office y su infraestructura de conmutación principal. Ahora bien, ¿cómo se autentican los dispositivos en esa VLAN de BYOD? La respuesta es IEEE 802.1X. Este es el estándar de control de acceso a la red basado en puertos, y ha sido la columna vertebral de la autenticación inalámbrica empresarial durante más de dos décadas. Cuando un dispositivo intenta conectarse, 802.1X activa un intercambio EAP (Protocolo de autenticación extensible) entre el dispositivo, el punto de acceso inalámbrico que actúa como autenticador y su servidor RADIUS como backend de autenticación. Específicamente para BYOD, EAP-TLS es el estándar de oro. Se trata de una autenticación mutua basada en certificados. El dispositivo presenta un certificado, el servidor RADIUS lo valida y solo entonces se concede el acceso a la red. El certificado se aprovisiona en el dispositivo a través de su plataforma MDM (Microsoft Intune, Jamf, VMware Workspace ONE o la que esté utilizando) mediante SCEP, el Protocolo simple de inscripción de certificados. ¿Por qué certificados en lugar de contraseñas? Porque las contraseñas se comparten, se pescan mediante phishing y se olvidan. Un certificado vinculado a un dispositivo específico y a una identidad de usuario concreta es significativamente más difícil de comprometer. Y lo que es más importante, cuando un empleado se marcha, se revoca el certificado en la PKI y ese dispositivo pierde el acceso de inmediato, sin necesidad de restablecer contraseñas ni de que queden credenciales residuales. Ahora, en cuanto al cifrado: si va a desplegar una nueva infraestructura en 2024 y en adelante, su objetivo es WPA3-Enterprise. WPA3 elimina la vulnerabilidad KRACK que afectaba a WPA2, exige el modo de seguridad de 192 bits para despliegues empresariales y proporciona secreto perfecto hacia adelante (forward secrecy) a través de SAE (Simultaneous Authentication of Equals). Esto significa que incluso si una clave de sesión se ve comprometida, el tráfico histórico no se puede descifrar. Para entornos que manejan datos de tarjetas de pago o registros de pacientes, esto no es opcional: es un requisito de cumplimiento bajo PCI DSS 4.0 y se menciona cada vez más en los marcos de seguridad de NHS Digital. Hablemos de la integración con MDM, porque aquí es donde fallan muchos despliegues. Su MDM no es solo un mecanismo de entrega de certificados: es su motor de cumplimiento de normativas. Antes de que se conceda acceso a un dispositivo a la VLAN de BYOD, su solución NAC debería consultar al MDM sobre el estado del dispositivo: ¿Está el sistema operativo parcheado a una versión mínima? ¿Está habilitado el cifrado del dispositivo? ¿Está el dispositivo liberado (jailbroken) o tiene acceso root? ¿Está configurado un bloqueo de pantalla que cumpla con las normas? Esto se denomina evaluación de estado (posture assessment), y es la diferencia entre una política de BYOD y un programa de seguridad de BYOD. Un dispositivo que no supere la evaluación de estado debe ponerse en cuarentena: ubicarse en una VLAN de remediación con acceso únicamente a los recursos necesarios para que vuelva a cumplir las normas, y a nada más. En cuanto al registro y la auditoría: cada dispositivo que se conecte a su VLAN de BYOD debe generar un registro de sesión: identidad del dispositivo, identidad del usuario, marca de tiempo, duración, bytes transferidos y la VLAN asignada. Esto no es solo una buena práctica; según el Artículo 32 del GDPR, tiene la obligación de implementar las medidas técnicas adecuadas para garantizar la seguridad de la red. Un registro de auditoría de las conexiones de los dispositivos del personal es un componente fundamental para demostrar el cumplimiento de esa obligación. Si desea profundizar en los requisitos de los registros de auditoría, Purple dispone de una guía dedicada a lo que significa un registro de auditoría para la seguridad de TI en 2026; dejaré el enlace en las notas del programa. Un punto arquitectónico más que vale la pena señalar: la aleatorización de direcciones MAC. Los dispositivos modernos con iOS y Android aleatorizan sus direcciones MAC de forma predeterminada al buscar redes. Esto rompe la autenticación basada en MAC y puede causar problemas con su contabilidad RADIUS. La solución es alejarse por completo de la autenticación basada en MAC —algo que debería hacer de todos modos— y confiar en la identidad basada en certificados o credenciales. Su servidor RADIUS debería asociar los registros de sesión a la identidad del usuario, no a la dirección de hardware del dispositivo. --- [RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES — ~2 minutos] Bien, hablemos de la implementación. Esta es la secuencia que recomiendo para cualquier organización que implemente un programa BYOD desde cero. Paso uno: defina su política antes de tocar la infraestructura. ¿Quién tiene permiso para registrar un dispositivo personal? ¿Qué tipos de dispositivos son compatibles? ¿A qué datos se puede acceder desde un dispositivo personal? Consiga la aprobación de RR. HH., el departamento legal y el CISO antes de configurar una sola VLAN. Paso dos: implemente su MDM si aún no lo ha hecho y configure las plantillas de certificados SCEP para los dispositivos BYOD. Pruebe la inscripción de certificados en iOS, Android y Windows; todos se comportan de forma ligeramente diferente. Paso tres: configure su servidor RADIUS con políticas independientes para BYOD frente a dispositivos gestionados por la empresa. Los dispositivos BYOD deben recibir un atributo de asignación de VLAN (Tunnel-Private-Group-ID en términos de RADIUS) que los sitúe en la VLAN de BYOD. Paso cuatro: configure su infraestructura inalámbrica. Cree un SSID dedicado para BYOD o utilice la asignación dinámica de VLAN en su SSID corporativo existente; esto último es más limpio desde la perspectiva de la experiencia del usuario. El personal ve un único SSID, pero el servidor RADIUS determina en qué VLAN aterrizan en función de su certificado. Paso cinco: implemente ACL de cortafuegos entre la VLAN de BYOD y el núcleo corporativo. Denegación por defecto, con permisos explícitos solo para servicios aprobados. Documente cada regla de permiso y revísela trimestralmente. Paso seis: habilite el registro de sesiones e intégrelo con su SIEM. Cada evento de conexión BYOD debe ser un registro apto para alertas. Ahora, los errores comunes. El fallo más habitual que veo es la pérdida de control del alcance en las reglas del cortafuegos de la VLAN de BYOD. Alguien necesita acceso temporal a un recurso, se añade una regla y, seis meses después, la VLAN de BYOD tiene prácticamente el mismo acceso que la red corporativa. Implemente un proceso de gestión de cambios para las reglas del cortafuegos de BYOD y trátelas con el mismo rigor que los cambios en la infraestructura de producción. El segundo error es la gestión del ciclo de vida de los certificados. Los certificados caducan. Si no tiene configurada la renovación automática en su MDM, recibirá una oleada de personal que no podrá conectarse el día en que caduquen sus certificados. Configure la renovación para que se active como mínimo 30 días antes de la expiración. El tercer error es olvidarse de la red de invitados. Su VLAN de BYOD y su red WiFi de invitados deben estar completamente aisladas entre sí. Un visitante en su red de invitados no debe tener ninguna vía de acceso a su segmento BYOD. Si utiliza la plataforma de WiFi de invitados de Purple, ese aislamiento se gestiona a nivel de infraestructura, pero verifíquelo de todos modos en su política de cortafuegos. --- [PREGUNTAS Y RESPUESTAS RÁPIDAS — ~1 minuto] Permítame repasar algunas preguntas que escucho con regularidad. "¿Podemos usar WPA2-Personal con una contraseña compartida para BYOD?" No. Una contraseña compartida ofrece cero responsabilidad por dispositivo, no se puede revocar por usuario y se ve comprometida fácilmente. Utilice 802.1X. "¿Necesitamos un SSID independiente para BYOD?" No necesariamente. La asignación dinámica de VLAN a través de RADIUS es más limpia. Un único SSID, con ubicación en VLAN basada en políticas según la identidad del certificado. "¿Qué pasa con los contratistas y el personal temporal?" Trátelos como una clase de identidad independiente en su política de RADIUS. Emita certificados de corta duración (30 o 90 días) vinculados a la duración de su contrato. Cuando el contrato finaliza, el certificado expira. "¿Es WPA3 compatible con versiones anteriores?" Sí, en modo de transición. Sus puntos de acceso pueden admitir clientes WPA2 y WPA3 simultáneamente. Exija WPA3 exclusivamente para los registros de nuevos dispositivos y elimine progresivamente WPA2 en un plazo definido. --- [RESUMEN Y PRÓXIMOS PASOS — ~1 minuto] Para resumir: un programa BYOD seguro para el WiFi del personal no es una tarea de configuración única; es una decisión de arquitectura, un marco de políticas y una disciplina operativa continua. Los aspectos no negociables son: una VLAN BYOD dedicada, IEEE 802.1X con autenticación de certificado EAP-TLS, estado del dispositivo impuesto por MDM, cifrado WPA3-Enterprise y un registro de auditoría exhaustivo. Las disciplinas operativas son: la gestión del ciclo de vida de los certificados, las revisiones trimestrales de las reglas del firewall y un proceso de salida definido que revoque los certificados del dispositivo el mismo día en que el empleado se marche. Si empieza desde cero, la plataforma Purple le ofrece la capa de análisis y gestión de accesos sobre su infraestructura inalámbrica existente, ya sea que gestione un único hotel o una red de tiendas de 200 establecimientos. Los enlaces a la guía de arquitectura, la referencia de la pista de auditoría y la lista de verificación de incorporación de BYOD están en las notas del programa. Gracias por escucharnos; nos vemos en el próximo episodio. --- FIN DEL GUION