Saltar al contenido principal
Español

Análisis profundo de PPSK: comparación de funciones y modelos de implementación

PPSK (Private Pre-Shared Key) es la arquitectura de autenticación que se sitúa entre una contraseña de WiFi compartida y el estándar corporativo completo 802.1X, asignando a cada usuario o dispositivo una contraseña única mientras se mantiene un único SSID. Esta guía compara PPSK frente a PSK y 802.1X en términos de seguridad, complejidad de la implementación, soporte para IoT y asignación de VLAN, y además ofrece modelos de implementación prácticos para operadores de Build-to-Rent (BTR), cadenas de retail y establecimientos de hostelería. Los promotores inmobiliarios, propietarios y operadores de BTR encontrarán un marco claro para elegir el modelo adecuado, integrarse con proveedores de identidad y automatizar la gestión del ciclo de vida de las claves a escala.

📖 9 min de lectura📝 2,113 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 10 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
INFORME TÉCNICO DE PURPLE Power Probe PPSK: comparación de funciones y modelos de implementación Duración aproximada: 11 minutos [INTRODUCCIÓN] Le damos la bienvenida al Informe Técnico de Purple. Hoy analizaremos Power Probe PPSK, una implementación específica de Identity Pre-Shared Keys, y compararemos sus funciones y modelos de implementación. Si es un responsable de TI, un arquitecto de redes o un director de operaciones de un establecimiento, seguro que se ha enfrentado a este dilema: sus residentes, personal o invitados necesitan un acceso a WiFi seguro y fiable, pero las opciones tradicionales -una contraseña compartida o una implementación empresarial completa de 802.1X- conllevan serios inconvenientes. Power Probe PPSK es la respuesta a ese dilema, y en los próximos diez minutos le ofreceré una visión clara y práctica de qué es, cómo funciona y cuándo debe implementarlo. Comencemos. [SECCIÓN UNO: EL DILEMA DE LA AUTENTICACIÓN] Para entender Power Probe PPSK, primero debe comprender el problema que resuelve. Piense por un momento en los dos modelos tradicionales de autenticación WiFi. El primero es WPA2-Personal, lo que la mayoría de la gente conoce como una PSK compartida o simplemente una contraseña de WiFi. Todos los usuarios de la red utilizan la misma frase de contraseña. Es sencillo, funciona en todos los dispositivos y no requiere más infraestructura que el propio punto de acceso. ¿El problema? Es un punto único de fallo. Si un invitado comparte la contraseña o un dispositivo se ve comprometido, toda la red queda expuesta. Y si necesita revocar el acceso a una sola persona, por ejemplo, un contratista cuya relación laboral ha finalizado, tendrá que cambiar la contraseña a todo el mundo. A gran escala, en un edificio multi-inquilino de trescientas viviendas o en una cadena minorista con cincuenta sucursales, esto es sencillamente inviable. El segundo modelo es WPA2 o WPA3 Enterprise, que utiliza el marco de autenticación IEEE 802.1X. En este caso, cada usuario se autentica con credenciales individuales -normalmente un nombre de usuario y una contraseña, o un certificado digital- que se validan contra un servidor RADIUS. Es un sistema muy seguro, ofrece un control de acceso granular por usuario y es el estándar de oro para los dispositivos gestionados corporativos. Sin embargo, tiene un punto débil crítico: la complejidad. Configurar una infraestructura de clave pública, gestionar certificados y configurar los suplicantes en cada dispositivo es una tarea de gran envergadura. Y lo que es más importante: muchos dispositivos sencillamente no pueden hacerlo. Las videoconsolas, las televisiones inteligentes, los sensores de IoT... estos dispositivos sin interfaz no disponen de ningún mecanismo para gestionar la autenticación basada en certificados. En un entorno hotelero o multi-inquilino, 802.1X es totalmente inviable para una proporción significativa de sus dispositivos.Power Probe PPSK se sitúa precisamente entre estos dos extremos. El concepto principal es elegante: cada usuario o dispositivo recibe su propia clave precompartida única, pero todos se conectan al mismo SSID. Desde la perspectiva del usuario, se siente exactamente como conectarse a una red WiFi doméstica: introducen una contraseña y ya están conectados. Desde la perspectiva de la red, cada conexión se identifica de forma individual, se cifra de forma individual y se puede controlar de forma individual. Obtiene la simplicidad de PSK con la granularidad del control de acceso de nivel empresarial. [SECTION TWO: THE TECHNICAL ARCHITECTURE] Permítame guiarle a través del flujo de autenticación, porque entender esto es fundamental para implementarlo correctamente. Cuando un dispositivo intenta conectarse a un SSID habilitado para PPSK, el Wireless LAN Controller intercepta el intento de conexión y reenvía la dirección MAC del dispositivo a un servidor RADIUS. Aquí es donde reside la inteligencia. El servidor RADIUS, que podría ser Cisco ISE, Microsoft NPS o un servicio de RADIUS basado en la nube como Purple, busca esa dirección MAC en su almacén de identidad y devuelve una respuesta Access-Accept. De manera crucial, integrado en esa respuesta hay un atributo específico del proveedor que contiene la contraseña única. El WLC recibe esta contraseña única y la utiliza para validar la clave que presentó el dispositivo. Si coinciden, el dispositivo se autentica y se ubica en el segmento de red correspondiente. Lo que hace que esto sea potente es lo que sucede junto con esa autenticación. La respuesta RADIUS también puede transportar la asignación de VLAN, la política de ancho de banda y los atributos de control de acceso. Así que el dispositivo no solo obtiene su propia clave de cifrado única, sino que también se puede ubicar automáticamente en el segmento de red correcto: los residentes en su VLAN privada, el personal en la VLAN del personal y los dispositivos IoT en una VLAN dedicada para IoT, todo desde un único SSID. Un comentario sobre las redes de área privada, ya que esta es una función especialmente relevante para implementaciones multiinquilino, hoteles, residencias de estudiantes y viviendas de alquiler gestionado. Power Probe PPSK permite el aislamiento de Capa 2 entre usuarios. Aunque cientos de dispositivos comparten la misma infraestructura física y el mismo SSID, el tráfico de cada usuario está aislado criptográficamente del tráfico de todos los demás usuarios. Y con la reflexión mDNS habilitada, un residente aún puede descubrir y usar sus propios dispositivos (transmitir contenido a su smart TV o imprimir en su impresora portátil) sin ningún riesgo de que su vecino vea o acceda a esos dispositivos. Ese es el concepto de red de área privada, y es un verdadero factor diferenciador para los operadores de recintos. [SECTION THREE: WHEN TO USE PPSK] Permítame ofrecerle un marco de decisión claro, porque aquí es donde veo que las organizaciones cometen errores. Power Probe PPSK es la opción ideal cuando se presentan tres condiciones simultáneamente. En primer lugar, una flota de dispositivos diversa que incluya dispositivos headless o IoT que no admiten 802.1X. En segundo lugar, la necesidad de un control de acceso individual y capacidad de auditoría, es decir, la posibilidad de revocar el acceso de un usuario específico sin afectar a nadie más. Y en tercer lugar, un entorno donde la experiencia del usuario sea fundamental, donde pedirle a alguien que configure un certificado en su dispositivo personal resulte sencillamente inaceptable. El sector residencial de alquiler build-to-rent es el caso de uso por excelencia. Un edificio de 300 viviendas cuenta con miles de dispositivos que se conectan a diario: smartphones, ordenadores portátiles, altavoces inteligentes, reproductores de streaming, consolas de videojuegos. El residente espera introducir una contraseña una sola vez y que todo funcione. Power Probe PPSK ofrece precisamente eso. El equipo de TI del operador puede revocar la clave de un residente en el momento en que se muda, de forma automática, a través de la integración con el sistema de gestión de la propiedad. Sin intervención manual y sin brechas de seguridad. El sector retail es otro escenario ideal. Una gran cadena de tiendas puede tener terminales de punto de venta (TPV), señalización digital, escáneres portátiles, tabletas del personal y WiFi para clientes y huéspedes funcionando en la misma infraestructura física. Power Probe PPSK le permite segmentar estos dispositivos por tipo y por rol de usuario, cada uno con su propia clave y su propia política de red, sin la sobrecarga de un despliegue completo de 802.1X. Y de cara al cumplimiento de PCI-DSS, la capacidad de demostrar que los dispositivos de procesamiento de pagos se encuentran en un segmento aislado criptográficamente, incluso en un SSID compartido, supone una ventaja de conformidad muy significativa. Dónde Power Probe PPSK no es la opción adecuada: si dispone de una flota corporativa totalmente gestionada, con ordenadores portátiles y teléfonos móviles integrados en un MDM y con certificados ya desplegados, entonces WPA3-Enterprise con 802.1X ofrece un nivel de seguridad superior. PPSK no sustituye a la autenticación empresarial en terminales gestionados; es la herramienta adecuada para entornos donde usted no tiene el control de los dispositivos que se conectan a su red. [SECTION FOUR: IMPLEMENTATION PITFALLS] Permítame compartir las lecciones prácticas extraídas de los despliegues, los errores comunes y las recomendaciones. El error más frecuente es tratar PPSK como un proyecto puramente técnico en lugar de operativo. La tecnología en sí es relativamente sencilla de configurar: filtrado MAC en el controlador de LAN inalámbrica (WLC), servidor RADIUS con los pares atributo-valor adecuados y políticas de VLAN. El problema más complejo es la gestión del ciclo de vida de las claves. ¿Cómo se aprovisionan las claves? ¿Cómo se distribuyen a los usuarios? Y lo que es más crítico, ¿cómo se revocan cuando finaliza la relación de un usuario con su organización? La respuesta a las tres preguntas debe ser la automatización. En un edificio multi-tenant, la integración con su sistema de gestión de propiedades significa que las claves se generan en el momento de la mudanza y se revocan al marcharse. En un entorno de retail, la integración con su sistema de RR. HH. o proveedor de identidad - Microsoft Entra ID, Okta o el que utilice - significa que las claves se aprovisionan cuando un empleado se incorpora y se revocan en el momento en que se marcha. La plataforma de Purple proporciona esta capa de orquestación, situándose entre su proveedor de identidad y su infraestructura RADIUS para automatizar todo el ciclo de vida de las claves. El segundo obstáculo es la gestión de las direcciones MAC. PPSK se basa en búsquedas de direcciones MAC en el almacén de identidades de RADIUS. Los sistemas operativos modernos utilizan la aleatorización de direcciones MAC por defecto por razones de privacidad. Si un dispositivo presenta una dirección MAC aleatoria, su servidor RADIUS no encontrará un registro coincidente y rechazará la conexión. La solución consiste en configurar su SSID para exigir a los clientes que utilicen la dirección MAC permanente de su dispositivo, o implementar un flujo de trabajo de registro previo en el que los usuarios registren su dispositivo antes de conectarse. Este es un problema que tiene solución, pero debe estar en su plan de despliegue desde el primer día. Tercero: la resiliencia del servidor RADIUS. Su despliegue de PPSK es tan fiable como su infraestructura RADIUS. Si el servidor RADIUS no está disponible, ningún dispositivo nuevo podrá autenticarse. Diseñe pensando en la redundancia, con servidores RADIUS primarios y secundarios, y con la configuración de conmutación por error adecuada en el controlador de LAN inalámbrica (WLC). [SECCIÓN CINCO: PREGUNTAS Y RESPUESTAS RÁPIDAS] Muy bien, hagamos una ronda rápida de las preguntas que me hacen con más frecuencia. ¿Funciona PPSK con WPA3? Sí, con salvedades. WPA3-SAE cambia el mecanismo de protocolo de enlace, lo que afecta a la validación de las claves. La mayoría de los controladores modernos son compatibles con PPSK en el modo de transición de WPA2 y WPA3, lo que proporciona compatibilidad con versiones anteriores. ¿Cuántas claves únicas admite un solo SSID? Esto depende del controlador. Cisco y Aruba admiten miles de entradas únicas. En la práctica, el factor limitante suele ser la capacidad de la base de datos de su servidor RADIUS y el rendimiento de las consultas, no el propio controlador inalámbrico. ¿Cumple PPSK con el GDPR? PPSK en sí mismo es un mecanismo de autenticación de red, no una herramienta de recopilación de datos. El cumplimiento del GDPR depende enteramente de cómo gestione los datos de identidad asociados a esas claves en su plataforma RADIUS o de gestión de identidades. Purple gestiona este cumplimiento de forma nativa, con certificación ISO 27001 y controles de residencia de datos preparados para el GDPR. [RESUMEN Y PRÓXIMOS PASOS] En resumen: Power Probe PPSK cierra la brecha entre la simplicidad de una contraseña compartida y la seguridad de 802.1X. Para entornos multi-tenant, de hostelería y retail, es la forma más eficaz de proteger una flota diversa de dispositivos manteniendo al mismo tiempo una experiencia de usuario de nivel de consumo. Las tres cosas que debe recordar de hoy: uno, automatice el ciclo de vida de sus claves desde el primer día. Dos, planifique la aleatorización de MAC antes de la puesta en marcha. Tres, diseñe su infraestructura RADIUS para que sea resiliente, no solo funcional. Gracias por participar en este Technical Briefing de Purple. Si tiene previsto realizar un despliegue, póngase en contacto con el equipo de Purple en purple.ai para analizar cómo nuestra capa de orquestación puede simplificar la gestión del ciclo de vida de sus claves.

header_image.png

Resumen ejecutivo

Proteger la red WiFi en un edificio con cientos de residentes y miles de dispositivos es más difícil de lo que parece. Una contraseña compartida deja de ser segura en el momento en que un residente se muda. Un sistema 802.1X Enterprise completo es demasiado complejo para los dispositivos IoT y el hardware de consumo que predominan en los hogares modernos. Power Probe PPSK - el término utilizado por HPE Aruba para lo que Cisco llama iPSK y Ruckus llama DPSK - cierra esta brecha. Cada residente recibe una contraseña única. Todos los residentes se conectan al mismo SSID. La red asigna automáticamente cada dispositivo a la VLAN correcta y lo aísla de todos los demás hogares en la Capa 2.

Purple opera en más de 80.000 establecimientos y ha procesado 440 millones de inicios de sesión en 2024 (datos internos de Purple). Nuestra plataforma de WiFi multiinquilino funciona como una solución en la nube independiente del hardware sobre puntos de acceso Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. Esta guía le proporciona la arquitectura técnica, los modelos de implementación y el manual operativo para desplegar PPSK a escala.

Análisis técnico detallado

El dilema de la autenticación

Tres modelos de autenticación WiFi dominan las implementaciones empresariales y multiinquilino. Cada uno resuelve un problema diferente e introduce una limitación distinta.

PSK estándar (WPA2-Personal) utiliza una única contraseña compartida para cada dispositivo de la red. La configuración se realiza en minutos y todos los dispositivos del planeta son compatibles. El problema es el control de acceso: una sola credencial comprometida expone a toda la red. Revocar a un usuario significa cambiar la contraseña para todos. En un edificio de alquiler residencial (BTR) de 200 viviendas, eso significa desconectar simultáneamente el altavoz inteligente, la videoconsola y el dispositivo de streaming de cada residente.

802.1X Enterprise (WPA2/WPA3-Enterprise) sustituye la contraseña compartida por credenciales individuales o certificados digitales validados frente a un servidor RADIUS, de conformidad con el estándar IEEE 802.1X. La seguridad es alta. La revocación por usuario es instantánea. Sin embargo, la sobrecarga de infraestructura es significativa: una infraestructura de clave pública (PKI), gestión de certificados y configuración del suplicante en cada dispositivo. Lo que es más crítico, los dispositivos sin interfaz de usuario (videoconsolas, televisiones inteligentes, sensores IoT, reproductores multimedia en streaming) no pueden participar en la autenticación basada en certificados. En un entorno residencial o de hostelería, 802.1X resulta inviable para una proporción significativa de los dispositivos.

Power Probe PPSK se sitúa entre estos dos extremos. Cada usuario o dispositivo recibe una clave precompartida única. Todos los dispositivos se conectan al mismo SSID. Desde la perspectiva del residente, se siente como la red WiFi de su casa. Desde la perspectiva de la red, cada conexión se identifica de forma individual, se cifra de forma individual y se controla de forma individual.

comparison_chart.png

Flujo de autenticación

El orden de la secuencia de autenticación PPSK es el siguiente:

  1. El dispositivo presenta su frase de contraseña al punto de acceso durante el saludo de cuatro vías de WPA2-PSK.
  2. El controlador de LAN inalámbrica (WLC) intercepta el intento de conexión y reenvía la dirección MAC del dispositivo al servidor RADIUS configurado.
  3. El servidor RADIUS busca la dirección MAC en su almacén de identidad y, si encuentra una coincidencia, devuelve una respuesta Access-Accept que contiene un atributo específico del proveedor (VSA) con la frase de contraseña única para ese dispositivo.
  4. El WLC utiliza la frase de contraseña devuelta para validar la clave que el dispositivo presentó. Si hay coincidencia, el dispositivo queda autenticado.
  5. La respuesta RADIUS también incluye los atributos de asignación de VLAN y de política de ancho de banda. El WLC ubica el dispositivo en el segmento de red correcto automáticamente.

Este flujo es constante entre los distintos proveedores, aunque los atributos RADIUS específicos difieren. HPE Aruba utiliza el VSA Aruba-MPSK-Passphrase. Cisco utiliza el atributo cisco-av-pair con los valores psk-mode y psk. Ruckus implementa DPSK de forma nativa dentro de su controlador SmartZone. Ubiquiti UniFi es compatible con PPSK con VLAN asignadas por RADIUS a partir del firmware 7.x en adelante.

Redes de área privada (PAN)

Una capacidad que define a PPSK en despliegues multiinquilino es la Red de área privada (PAN). PPSK permite el aislamiento de Capa 2 entre usuarios. Aunque cientos de dispositivos compartan los mismos puntos de acceso físicos y el mismo SSID, el tráfico de cada residente está aislado criptográficamente del de todos los demás. Con la reflexión mDNS activada en el controlador, el residente puede seguir descubriendo sus propios dispositivos e interactuando con ellos - como transmitir a una smart TV, emparejar un altavoz inteligente o imprimir en una impresora portátil - sin riesgo de que su vecino vea o acceda a dichos dispositivos.

Esta es la arquitectura que utiliza Purple para ofrecer WiFi multiinquilino en el sector de alquiler residencial (BTR), residencias de estudiantes (PBSA), viviendas de protección social y entornos de coworking. Cada residente opera dentro de su propia burbuja de WiFi. El operador del edificio gestiona una sola red.

architecture_overview.png

Guía de implementación

Paso 1: Evaluación de la infraestructura

Verifique que el hardware de sus puntos de acceso y el controlador admitan PPSK con VLAN asignadas por RADIUS. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet admiten esta función, aunque las rutas de configuración varían. Compruebe la versión de firmware de su controlador; la compatibilidad con PPSK se ha añadido o mejorado significativamente en las últimas versiones principales de la mayoría de los proveedores.

Evalúe su infraestructura RADIUS. La autenticación PPSK es síncrona: cada nueva conexión de dispositivo activa una consulta RADIUS. En un edificio de 200 viviendas con entre 15 y 25 dispositivos por hogar, se necesita un servidor RADIUS capaz de soportar cargas de consultas continuas durante los periodos de mudanza. La infraestructura de RADIUS en la nube de Purple está dimensionada de forma nativa para soportar esta carga.

Paso 2: Integración del proveedor de identidad

Conecte su proveedor de identidad - Microsoft Entra ID, Okta o Google Workspace - a su infraestructura RADIUS. Esta integración es lo que permite la gestión automatizada del ciclo de vida de las claves. Cuando se registra a un residente en su sistema de gestión de propiedades (PMS), se genera y aprovisiona automáticamente una PPSK única. Cuando se muda, la clave se revoca sin afectar a ningún otro residente.

Para despliegues de retail, conecte su sistema de RR. HH. o proveedor de identidad para que las claves del personal se aprovisionen en el momento de la contratación y se revoquen en el de la baja. La plataforma de Purple actúa como capa de orquestación entre su IdP y su infraestructura RADIUS, automatizando este flujo de trabajo en hardware de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet.

Paso 3: Gestión de la aleatorización de direcciones MAC

Los sistemas operativos modernos - iOS 14 y posteriores, Android 10 y posteriores, Windows 11 - utilizan la aleatorización de direcciones MAC por defecto. PPSK se basa en la búsqueda de direcciones MAC en el almacén de identidad RADIUS. Una MAC aleatoria no coincidirá con ningún registro y la autenticación fallará.

Existen dos enfoques para resolver esto. El primero consiste en configurar su SSID para exigir a los clientes que utilicen su dirección MAC permanente (de hardware). La mayoría de las controladoras lo admiten mediante un ajuste por SSID. El segundo es implementar un portal de registro previo donde los residentes registren la MAC permanente de su dispositivo antes de conectarse. El portal de incorporación de Purple gestiona este flujo, detectando las MAC aleatorias y guiando al residente a través del proceso.

Paso 4: Diseño de segmentación de VLAN

Planifique su estrategia de VLAN antes de configurar el servidor RADIUS. Un despliegue típico de BTR podría utilizar:

VLAN Segmento Política
10-209 VLAN privadas por residente Aislamiento completo, reflexión mDNS habilitada
210 IoT de gestión del edificio Restringido a la subred de gestión
220 Dispositivos del personal Acceso a sistemas de gestión
230 Guest WiFi (visitantes) Captive Portal, solo internet

Para retail, un modelo de cuatro segmentos funciona bien: terminales de punto de venta en una VLAN aislada conforme a PCI DSS, dispositivos del personal en una VLAN integrada con RR. HH., IoT y señalización digital en una VLAN con ancho de banda limitado, y Guest WiFi para compradores en una VLAN con Captive Portal. Consulte la página de retail para obtener más información sobre esta arquitectura.

Paso 5: Resiliencia y redundancia

Su despliegue de PPSK es tan fiable como lo sea su infraestructura RADIUS. Configure servidores RADIUS primarios y secundarios en cada WLC, con los valores de tiempo de espera y reintento adecuados. El cloud RADIUS de Purple opera con un tiempo de actividad del 99,999% (datos de SLA internos de Purple). Para despliegues de RADIUS locales, dimensione sus servidores para picos de carga e implemente redundancia geográfica siempre que sea posible.

Buenas prácticas

Centralice la gestión de identidades. Utilice un único proveedor de identidad como fuente de información para todo el acceso de usuarios. Evite mantener bases de datos de usuarios independientes en su servidor RADIUS, su PMS y su sistema de RR. HH. Sincronícelos mediante SCIM (System for Cross-domain Identity Management) cuando su IdP lo admita.

Automatice el ciclo de vida de las claves desde el primer día. La provisión y revocación manual de claves no es escalable. Un edificio de 200 viviendas con una rotación anual del 30 % supone 60 entradas y 60 salidas al año, y cada una de ellas requiere la generación y revocación de una clave. Automatice esto mediante la integración con el PMS antes de la puesta en marcha.

Pruebe su parque de dispositivos IoT antes del despliegue. La mayoría de los dispositivos IoT funcionan correctamente con PPSK, pero algunos equipos más antiguos presentan peculiaridades en relación con el saludo de cuatro vías (four-way handshake) de WPA2-PSK cuando interviene la asignación dinámica de VLAN. Realice una prueba de compatibilidad previa al despliegue, especialmente en el caso de dispositivos personalizados o heredados.

Diseñe para el modo de transición WPA3. WPA3-SAE (Simultaneous Authentication of Equals) modifica el mecanismo de saludo de forma que afecta a la validación de claves PPSK. La mayoría de las controladoras modernas admiten PPSK en modo de transición WPA2/WPA3, lo que proporciona compatibilidad con versiones anteriores. Evite desplegar un SSID exclusivo de WPA3 para PPSK hasta que su proveedor confirme explícitamente su compatibilidad.

Segmente los dispositivos IoT de forma estricta. Los dispositivos IoT son el vector más común para los ataques de movimiento lateral en redes compartidas. Aloje cada dispositivo IoT en una VLAN dedicada sin enrutamiento inter-VLAN hacia los segmentos de residentes o del personal. Restrinja el acceso de salida a los endpoints de la nube específicos que requiera cada dispositivo.

Para profundizar en el diseño de arquitecturas SSID en espacios de uso mixto, consulte el artículo Tres SSIDs para gobernarlos a todos: WiFi de invitados, Passpoint e IoT .

Resolución de problemas y mitigación de riesgos

Fallos de autenticación por aleatorización de direcciones MAC

Síntoma: Los dispositivos no se conectan. Los registros de RADIUS muestran respuestas Access-Reject sin ningún registro de identidad coincidente.

Causa principal: El dispositivo presenta una dirección MAC aleatoria. iOS, Android y Windows aleatorizan las direcciones MAC por SSID de forma predeterminada.

Solución: Active la obligatoriedad de MAC permanente en el SSID o despliegue un portal de registro previo que detecte las MAC aleatorias y guíe al usuario para desactivar esta función en su red. El portal de incorporación de Purple gestiona esto de forma automática.

Indisponibilidad del servidor RADIUS

Síntoma: Los nuevos dispositivos no se pueden autenticar. Los dispositivos ya conectados permanecen en línea (la controladora WLC almacena en caché el estado de su sesión), pero cualquier dispositivo que se desconecte y se vuelva a conectar falla.

Causa principal: El servidor RADIUS está fuera de línea o es inaccesible.

Solución: Configure servidores RADIUS redundantes (principal y secundario) en cada controladora WLC. Defina valores de tiempo de espera adecuados - por lo general, 5 segundos por servidor, con dos intentos - para garantizar una conmutación por error rápida. Supervise de forma continua el estado del servidor RADIUS.

mDNS no funciona dentro de la red privada de un residente

Síntoma: Un residente no puede hacer cast a su smart TV o emparejar su altavoz inteligente, a pesar de que ambos dispositivos están conectados con la misma PPSK.

Causa raíz: La reflexión mDNS no está habilitada en el controlador, o la configuración de la VLAN está impidiendo el tráfico multicast dentro del segmento privado del residente.

Solución: Habilite la reflexión mDNS (a veces llamada proxy mDNS o pasarela Bonjour) en el controlador para las VLAN de los residentes. Verifique que los dispositivos del residente estén en la misma VLAN y que se permita el tráfico intra-VLAN.

Incompatibilidad con dispositivos heredados

Síntoma: Un modelo de dispositivo específico no se conecta, incluso con una PPSK válida.

Causa raíz: Algunos dispositivos IoT más antiguos tienen implementaciones de protocolo de enlace WPA2-PSK no estandarizadas que no gestionan correctamente la asignación dinámica de VLAN.

Solución: Mantenga un SSID heredado dedicado con una PSK estática para los dispositivos que fallen en la autenticación PPSK. Ubique este SSID en una VLAN fuertemente restringida sin acceso a los segmentos de residentes o del personal.

-

ROI e impacto empresarial

Para los operadores de BTR, la calidad del WiFi es uno de los cinco factores de servicio principales en los estudios de reservas (datos del sector de la British Property Federation). Las propiedades con un WiFi gestionado y de alta calidad obtienen un recargo en el alquiler de 15 - 30 £ por unidad al mes y experimentan períodos de desocupación de cinco a diez días más cortos que la media del sector (datos internos de Purple procedentes de despliegues de BTR). En un edificio de 200 unidades, un recargo de 20 £ por unidad al mes genera 48.000 £ en ingresos anuales adicionales.

Para los operadores de retail, el beneficio del cumplimiento normativo es igualmente tangible. PPSK permite la segmentación de red que cumple con PCI-DSS - dispositivos de procesamiento de pagos en una VLAN aislada criptográficamente - sin la sobrecarga de infraestructura de un despliegue completo de 802.1X. Esto reduce el alcance de la evaluación de PCI-DSS y simplifica las pruebas de auditoría.

Para los establecimientos de hostelería , PPSK integrado con un sistema de gestión de propiedades elimina la sobrecarga manual de la gestión de credenciales WiFi de los huéspedes. Las claves se generan en el check-in y se revocan en el check-out de forma automática. La experiencia del huésped mejora; la carga de trabajo del equipo de TI disminuye.

La plataforma de Purple se ejecuta en más de 80.000 establecimientos y ha ofrecido un tiempo de actividad del 99,999% en esos despliegues (datos internos de Purple). La plataforma cuenta con la certificación ISO 27001, cumple con el GDPR y la CCPA, y tiene la certificación Cyber Essentials.

Para los operadores de transporte y sanidad que gestionan flotas mixtas de dispositivos en grandes instalaciones, PPSK con la capa de orquestación de Purple proporciona el mismo aislamiento por usuario y la misma gestión automatizada del ciclo de vida a escala.

-

-

Guías relacionadas: Sonda de potencia PPSK: comparación de funciones y modelos de implementación - Sondeo de energía PPSK: comparación de funciones y modelos de implementación

Referencias

[1] Extreme Networks. (2020). Private Pre-Shared Key (PPSK): Effortless WiFi security. https://www.extremenetworks.com/resources/webinar/private-pre-shared-key-ppsk-effortless-WiFi-security [2] SecureW2. (2026). What is PPSK? A Guide to Private Pre-Shared Key Security. https://securew2.com/blog/ppsk-not-alternative-802-1x [3] Purple. (n.d.). IPSK Explained: Identity Pre-Shared Keys for WiFi Access. https://www.purple.ai/en-us/guides/ipsk-explained-identity-pre-shared-keys-for-WiFi-access [4] Cisco. (n.d.). 8.5 Identity PSK Feature Deployment Guide. https://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-5/b_Identity_PSK_Feature_Deployment_Guide.html [5] Purple. (n.d.). Multi-tenant WiFi: a complete guide for residential operators. https://www.purple.ai/en-gb/multi-tenant-WiFi-guide [6] HPE Aruba Networking. (n.d.). Support for MPSK in WLAN SSID. https://arubanetworking.hpe.com/techdocs/central/2.5.8/content/nms/access-points/cfg/security/wpa2_mpsk.htm [7] British Property Federation. BTR sector amenity and rent premium research. https://www.bpf.org.uk

Definiciones clave

PPSK (Private Pre-Shared Key)

Una arquitectura de autenticación WiFi en la que se asigna a cada usuario o dispositivo una contraseña única, conectándose todos al mismo SSID. La red utiliza RADIUS para validar cada clave única y asignar el dispositivo a la VLAN y política de red correctas. También se conoce como iPSK (Cisco), MPSK (HPE Aruba), DPSK (Ruckus) y ePSK (Cambium, Juniper Mist).

Los equipos de TI se encuentran con esto al evaluar los métodos de autenticación para entornos multiinquilino, de hostelería o minoristas donde 802.1X resulta demasiado complejo pero una contraseña compartida es demasiado insegura.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que proporciona autenticación, autorización y contabilidad (AAA) centralizadas para el acceso a la red. En un despliegue PPSK, el servidor RADIUS contiene el almacén de identidades que asigna las direcciones MAC a contraseñas únicas y asignaciones de VLAN.

Los equipos de TI configuran RADIUS como backend para la autenticación PPSK. La disponibilidad de RADIUS es el único punto de fallo en un despliegue PPSK.

VLAN (Virtual Local Area Network)

Un segmento de red lógico creado dentro de una infraestructura de red física. En los despliegues PPSK, cada grupo de usuarios o residente se asigna a una VLAN dedicada, proporcionando aislamiento de Capa 2 entre segmentos.

Los arquitectos de red utilizan las VLAN para segmentar el tráfico entre residentes, personal, dispositivos IoT y usuarios invitados en una infraestructura física compartida.

Dirección MAC aleatoria

Una función de privacidad en los sistemas operativos modernos (iOS 14+, Android 10+, Windows 11) que genera una dirección MAC aleatoria para cada red WiFi a la que se conecta un dispositivo, en lugar de utilizar la dirección MAC de hardware permanente del dispositivo.

Los equipos de TI deben tener en cuenta la aleatorización de direcciones MAC al desplegar PPSK, ya que interrumpe la búsqueda de dirección MAC a PPSK en el almacén de identidades de RADIUS.

Red de Área Privada (PAN)

Una arquitectura de red en la que los dispositivos pertenecientes al mismo usuario u hogar pueden descubrirse y comunicarse entre sí, estando completamente aislados de los dispositivos de otros usuarios en la misma red física. Se habilita mediante PPSK con aislamiento de Capa 2 y mDNS reflection.

Los operadores de BTR utilizan las PAN para ofrecer a cada residente una experiencia de WiFi similar a la de su hogar - su smart TV, altavoz inteligente y teléfono se ven entre sí - sin exponerlos a los vecinos.

mDNS reflection (Multicast DNS reflection)

Una función de controlador que reenvía paquetes mDNS (Multicast DNS) entre dispositivos en la misma VLAN o dentro del mismo grupo PPSK, permitiendo que los protocolos de descubrimiento de dispositivos (utilizados por AirPlay, Chromecast, AirPrint y servicios similares) funcionen a través de los puntos de acceso.

Los equipos de TI habilitan mDNS reflection para garantizar que los residentes puedan transmitir a sus smart TVs y emparejar sus altavoces inteligentes, que dependen de mDNS para el descubrimiento de dispositivos.

WPA3-SAE (Simultaneous Authentication of Equals)

El mecanismo de protocolo de enlace de autenticación introducido en WPA3, que reemplaza el protocolo de enlace de cuatro vías de WPA2. SAE ofrece una protección más sólida contra ataques de diccionario fuera de línea. Su interacción con la validación de claves PPSK varía según la implementación del fabricante.

Los arquitectos de red que evalúan la migración a WPA3 deben verificar que su controlador admita PPSK en modo de transición WPA3 antes de deshabilitar la compatibilidad con WPA2.

Gestión del ciclo de vida de las claves

El proceso operativo de aprovisionamiento, distribución y revocación de credenciales PPSK únicas a medida que los usuarios se unen y abandonan una organización o propiedad. La gestión automatizada del ciclo de vida - mediante la integración con un sistema de gestión de propiedades o proveedor de identidad - es esencial para los despliegues de PPSK a gran escala.

Los equipos de TI y los operadores de propiedades se enfrentan a esto al planificar despliegues de PPSK. La gestión manual del ciclo de vida no es escalable más allá de pequeños despliegues.

802.1X

Un estándar IEEE para el control de acceso a redes basado en puertos, utilizado en despliegues WPA2/WPA3-Enterprise. Requiere que cada dispositivo se autentique con credenciales individuales o certificados digitales validados frente a un servidor RADIUS. Proporciona una sólida seguridad por usuario pero requiere una infraestructura PKI y es incompatible con muchos dispositivos de consumo e IoT.

Los equipos de TI comparan 802.1X con PPSK al diseñar la autenticación para flotas de dispositivos mixtas. 802.1X es la opción adecuada para flotas de dispositivos corporativos totalmente gestionadas; PPSK es la elección correcta para entornos con dispositivos no gestionados o IoT.

VSA (Vendor-Specific Attribute)

Una extensión del protocolo RADIUS estándar que permite a los fabricantes incluir datos propietarios en las respuestas RADIUS Access-Accept. En los despliegues de PPSK, las VSAs transmiten la frase de contraseña única y la asignación de VLAN de vuelta al WLC. Cada fabricante utiliza formatos VSA diferentes.

Los ingenieros de red que configuran PPSK en una infraestructura de múltiples fabricantes deben verificar que su servidor RADIUS admita el formato VSA correcto para el fabricante de cada punto de acceso.

Ejemplos prácticos

Una promoción de viviendas de Build-to-Rent de 300 unidades se lanzará en seis meses. El promotor quiere que cada residente disfrute de una experiencia de WiFi privada y similar a la de su hogar desde el día de su mudanza, con soporte para dispositivos domésticos inteligentes y sin contraseñas compartidas. El edificio utilizará puntos de acceso HPE Aruba. ¿Cómo debe diseñarse la red y cómo es el flujo de trabajo operativo?

Implemente un único SSID utilizando la tecnología MPSK (Multi-PSK) de HPE Aruba, que es la denominación de Aruba para PPSK. Configure el SSID en modo WPA2-Personal con la autenticación RADIUS MAC habilitada. Apunte el SSID al servidor RADIUS en la nube de Purple como endpoint de autenticación principal, con un servidor RADIUS secundario configurado para la tolerancia a fallos.

Integre la plataforma de Purple con el sistema de gestión de propiedades (PMS). Cuando se crea un residente en el PMS al mudarse, Purple genera automáticamente una contraseña única y la aprovisiona en el almacén de identidades RADIUS, mapeada a las direcciones MAC del residente y asignada a su VLAN privada (por ejemplo, VLAN 100 para la unidad 1, VLAN 101 para la unidad 2, y así sucesivamente hasta la VLAN 399 para la unidad 300).

Habilite la reflexión mDNS en el controlador de Aruba para todas las VLAN de los residentes. Esto permite que los dispositivos de cada residente se descubran entre sí (televisores inteligentes, altavoces inteligentes, videoconsolas) mientras permanecen invisibles para los dispositivos de otras VLAN.

Configure un portal de prerregistro que detecte la aleatorización de direcciones MAC y guíe a los residentes para que la desactiven para el SSID del edificio. Distribuya el nombre del SSID del edificio y la contraseña única de cada residente a través del paquete de bienvenida para residentes y la aplicación para residentes de la propiedad.

En el momento de la mudanza, el PMS activa un evento de revocación automatizado en la plataforma de Purple. La clave PPSK del residente se elimina del almacén de identidades RADIUS. Sus dispositivos ya no pueden autenticarse. Ningún otro residente se ve afectado.

Comentario del examinador: Este escenario ilustra la principal ventaja operativa de PPSK sobre el estándar PSK: la gestión del ciclo de vida de las claves por residente sin necesidad de rotación de credenciales compartidas. Las decisiones de diseño clave son: (1) MPSK sobre PSK estándar para permitir el aislamiento por residente; (2) integración con el PMS para automatizar el aprovisionamiento y la revocación; (3) reflexión mDNS para dar soporte a dispositivos domésticos inteligentes dentro de la red privada de cada residente; (4) gestión de la aleatorización MAC para evitar fallos de autenticación en dispositivos modernos. Un enfoque alternativo - 802.1X con EAP-TLS - proporcionaría una seguridad criptográfica más sólida, pero es incompatible con los dispositivos IoT de consumo que predominan en los entornos residenciales. PPSK es la elección correcta en este caso.

Una cadena de retail con 80 sucursales necesita consolidar su infraestructura de WiFi. Actualmente, cada sucursal tiene cuatro SSID independientes: uno para terminales de punto de venta (TPV), uno para los dispositivos del personal, uno para IoT y señalización digital, y otro para el WiFi de invitados de los clientes. El equipo de TI quiere reducir la interferencia de canales compartidos unificándolos en un único SSID, al tiempo que mantiene el aislamiento compatible con PCI-DSS para los dispositivos de procesamiento de pagos. La empresa utiliza puntos de acceso Cisco Meraki.

Despliegue un único SSID utilizando la implementación iPSK (Identity PSK) de Cisco Meraki con autenticación RADIUS. Configure cuatro grupos de dispositivos en la plataforma de Purple, cada uno de ellos asignado a una VLAN distinta:

  • Terminales TPV: VLAN 10, restringida únicamente a endpoints de procesadores de pago, sin acceso a internet, alcance PCI DSS documentado.
  • Dispositivos del personal: VLAN 20, acceso a sistemas internos y a internet, aprovisionados mediante la integración con Microsoft Entra ID.
  • IoT y señalización digital: VLAN 30, ancho de banda limitado a 10 Mbps por dispositivo, restringido a endpoints específicos de la nube.
  • WiFi para invitados compradores: VLAN 40, Captive Portal a través de la plataforma de WiFi para invitados de Purple, solo internet, captura de datos que cumple con el GDPR.

Para los terminales TPV, registre la dirección MAC de cada terminal en la plataforma de Purple durante el despliegue. El servidor RADIUS devuelve la VLAN 10 y la PPSK específica del TPV para cualquier dirección MAC de TPV autenticada. Para los dispositivos del personal, intégrelo con Microsoft Entra ID de modo que las PPSK del personal se aprovisionen al incorporarse y se revoquen al darse de baja. Para los dispositivos IoT, utilice una PPSK de grupo (una clave compartida entre todos los dispositivos del mismo tipo) asignada a la VLAN 30. Para el WiFi para invitados compradores, utilice el flujo de Captive Portal de Purple.

Documente el aislamiento de la VLAN 10 en las pruebas de evaluación de PCI DSS. El aislamiento criptográfico proporcionado por PPSK - cada terminal TPV tiene una clave única y se encuentra en una VLAN dedicada - cumple con el requisito de segmentación de red según la sección 1.3 de PCI DSS v4.0.

Comentario del examinador: Este escenario demuestra el valor de PPSK en un entorno minorista de uso mixto donde el cumplimiento normativo y la simplicidad operativa son requisitos indispensables. La idea clave es que PPSK permite la segmentación de red sin necesidad de múltiples SSID - lo que reduce la interferencia de canal compartido y simplifica la planificación de RF. El enfoque de PCI DSS es importante: PPSK con aislamiento de VLAN proporciona una arquitectura de segmentación sólida, pero debe documentarla correctamente en sus pruebas de evaluación. El uso de una PPSK de grupo para dispositivos IoT (en lugar de claves por dispositivo) es un compromiso pragmático para flotas de dispositivos grandes donde la gestión de claves individuales resulta inviable. La integración de los dispositivos del personal con Microsoft Entra ID garantiza que el acceso se revoque automáticamente cuando el personal se marcha, cerrando una brecha de seguridad habitual en los entornos minoristas.

Preguntas de práctica

Q1. Un bloque de alojamiento para estudiantes construido para tal fin (PBSA) de 150 unidades está actualizando su infraestructura de WiFi. El operador desea que cada estudiante disponga de una red privada para sus dispositivos (portátil, teléfono, videoconsola, altavoz inteligente), con revocación automática de claves al final de cada año académico. El edificio cuenta con puntos de acceso Ruckus. ¿Qué modelo de autenticación debería recomendar y cuáles son las tres decisiones operativas más importantes que debe tomar antes de la puesta en marcha?

Sugerencia: Tenga en cuenta los tipos de dispositivos que traen los estudiantes, la rotación anual de las promociones y la necesidad de soporte para dispositivos de hogar inteligente dentro de la red privada de cada estudiante.

Ver respuesta modelo

Recomiende PPSK utilizando Ruckus DPSK (Dynamic PSK). La flota de dispositivos (ordenadores portátiles, teléfonos, videoconsolas, altavoces inteligentes) incluye dispositivos sin pantalla ni interfaz de usuario que no admiten 802.1X. La revocación de claves por estudiante al final del año es un requisito fundamental. DPSK con VLAN asignadas por RADIUS ofrece ambas ventajas.

Las tres decisiones operativas más importantes antes de la puesta en marcha son:

  1. Integrar el sistema con el software de gestión de estudiantes para automatizar la provisión de claves al matricularse y su revocación al final del año académico. La gestión manual de 150 claves dos veces al año es viable pero propensa a errores; la automatización elimina las claves huérfanas.

  2. Planificar la aleatorización de direcciones MAC. Los estudiantes conectarán dispositivos iPhones y Android que aleatorizan las direcciones MAC de forma predeterminada. Despliegue un portal de prerregistro que detecte MAC aleatorias y guíe a los estudiantes para desactivar esta función en el SSID del edificio antes de la semana de mudanza.

  3. Habilitar la reflexión mDNS en el controlador Ruckus para todas las VLAN de los estudiantes. Sin ella, los altavoces inteligentes y las videoconsolas no detectarán otros dispositivos en la red del estudiante, lo que generará incidencias de soporte desde el primer día del año académico.

Q2. El equipo de seguridad de TI de una cadena de tiendas tiene una preocupación: su despliegue actual de PPSK utiliza una única clave PPSK de grupo para todos los terminales de punto de venta en 50 sucursales. Si esa clave se ve comprometida, las 50 sucursales se verán afectadas. ¿Cómo rediseñaría el despliegue para reducir este riesgo sin tener que instalar certificados 802.1X en los terminales de punto de venta?

Sugerencia: Piense en la granularidad de la asignación de claves y en cómo RADIUS puede aplicar diferentes políticas por dispositivo o por ubicación.

Ver respuesta modelo

Sustituya la clave PPSK de grupo única para los terminales de punto de venta por claves PPSK de grupo por sucursal: una clave única por ubicación de sucursal, mapeada a la VLAN de punto de venta de esa sucursal. Esto limita el radio de impacto de una clave comprometida a una sola sucursal en lugar de a toda la empresa.

Para una mayor seguridad, pase a claves PPSK por dispositivo: registre la dirección MAC de cada terminal de punto de venta individualmente en el almacén de identidades de RADIUS y asigne una clave única. De este modo, una clave comprometida solo afecta a un terminal. La carga operativa es mayor, pero se puede gestionar a través de la plataforma de Purple, que automatiza la generación y provisión de claves desde un panel de control central.

En ambos casos, configure el servidor RADIUS para que devuelva la VLAN 10 (aislada para cumplimiento de PCI-DSS) para cualquier dirección MAC de punto de venta autenticada, independientemente de la clave que se utilice. Esto garantiza que, incluso si una clave de punto de venta se ve comprometida y la utiliza un dispositivo no autorizado, dicho dispositivo se ubicará en la VLAN restringida de punto de venta sin acceso a otros segmentos de la red.

Documente la arquitectura de claves por sucursal o por dispositivo en las pruebas de evaluación de PCI-DSS como parte de sus controles de segmentación de red bajo la sección 1.3 de PCI-DSS v4.0.

Q3. Un grupo hotelero está evaluando si desplegar PPSK o 802.1X para el WiFi de sus huéspedes en 20 establecimientos. Cada establecimiento tiene entre 200 y 400 habitaciones. Los huéspedes conectan una media de 3,2 dispositivos por estancia (smartphones, ordenadores portátiles, tablets). Al equipo de TI le preocupa la complejidad operativa de la gestión de certificados 802.1X. ¿Qué recomendación haría y qué condiciones cambiarían su respuesta?

Sugerencia: Tenga en cuenta los tipos de dispositivos que traen los clientes, la duración de la sesión (de horas a días) y el modelo operativo para la provisión y revocación de claves.

Ver respuesta modelo

Recomiende PPSK integrado con el sistema de gestión hotelera (PMS). Los dispositivos de los huéspedes (smartphones personales, portátiles, tablets) no están gestionados. El hotel no puede desplegar certificados en ellos. Por lo tanto, 802.1X no es viable para el WiFi de huéspedes.

Con PPSK, el PMS genera una frase de contraseña única en el momento del registro de entrada (check-in) y la revoca en el de salida (check-out). Los huéspedes introducen la frase de contraseña una sola vez; todos sus dispositivos se conectan automáticamente. El equipo de TI del hotel tiene un gasto de gestión manual nulo.

Las condiciones que cambiarían esta respuesta:

  1. Si el hotel también necesita autenticar los dispositivos del personal en la misma infraestructura, despliegue un modelo híbrido: PPSK para el WiFi de huéspedes y 802.1X con EAP-TLS para los dispositivos del personal registrados en un MDM. Ejecute ambos en SSIDs independientes o utilice PPSK para el personal con integración de IdP como alternativa más sencilla.

  2. Si el grupo hotelero cuenta con un programa de viajes corporativos donde los huéspedes son empleados de una organización gestionada (por ejemplo, un centro de conferencias que presta servicio a un único cliente corporativo), 802.1X con certificados desplegados a través de un MDM pasa a ser viable para ese grupo de usuarios específico.

  3. Si la principal preocupación del hotel es el cumplimiento de una norma específica (por ejemplo, HIPAA para el hotel de un centro sanitario), evalúe si el nivel de seguridad de PPSK cumple con los requisitos de la norma antes de comprometerse con la arquitectura.

Continúe leyendo esta serie

Staff WiFi vs. Guest WiFi: mejores prácticas para la segmentación de redes corporativas

Una guía técnica completa para líderes de TI sobre cómo segmentar las redes de staff y guest WiFi. Cubre la arquitectura VLAN, la autenticación 802.1X, las políticas de firewall y el impacto empresarial de un diseño de red seguro.

Leer la guía →

Guía completa de iPSK para empresas

Esta guía explica la arquitectura Identity Pre-Shared Key (iPSK) para promotores inmobiliarios, operadores de BTR y propietarios que despliegan WiFi multiinquilino. Cubre la integración con RADIUS, la asignación dinámica de VLAN, el aislamiento de Capa 2 y la gestión automatizada del ciclo de vida de las credenciales para ofrecer una experiencia de conexión instantánea a gran escala para los residentes. También detalla el caso de negocio para eliminar los routers domésticos por vivienda y las ventajas operativas de integrar iPSK con proveedores de identidad como Microsoft Entra ID, Okta y Google Workspace.

Leer la guía →

Uu PPSK pdf: comparación de características y modelos de despliegue

Esta guía de referencia técnica compara la arquitectura WiFi PPSK (Private Pre-Shared Key) con los despliegues tradicionales de 802.1X y PSK estándar. Proporciona a los arquitectos de red y a los responsables de TI estrategias de implementación neutras respecto al proveedor para entornos multiinquilino residenciales, IoT y BTR.

Leer la guía →