PPSK: comparación de características y modelos de implementación

[0:00 - 1:00] Introducción y contexto Bienvenido a la sesión informativa técnica de Purple. Hoy trataremos el PPSK (Private Pre-Shared Key), específicamente en el contexto de despliegues residenciales de alquiler múltiple y de uso mixto. Si usted es promotor inmobiliario, operador de alquiler residencial (build-to-rent) o gestiona una cartera de alojamiento para estudiantes, esto es directamente relevante para las decisiones que tomará este año. Comencemos con lo básico, porque la terminología aquí resulta realmente confusa. El PPSK recibe varios nombres según el proveedor con el que se hable. Aruba lo llama PPSK. Cisco Meraki lo llama Personal Private Network. Extreme Networks utiliza el término Private PSK. Juniper Mist y Cambium utilizan ePSK. Ubiquiti UniFi lo llama Private Pre-Shared Keys. Todos describen el mismo concepto: en lugar de que todos los usuarios compartan una única contraseña, cada usuario o grupo obtiene su propia credencial única. [1:00 - 6:00] Análisis técnico detallado Ahora bien, ¿por qué es esto importante? Piense en la típica contraseña compartida en el WiFi de un edificio. Todos los residentes utilizan la misma clave. Cuando alguien se muda, tiene dos opciones: o bien deja su acceso activo, lo que supone un problema de seguridad, o bien cambia la contraseña para todos, lo que desconecta los dispositivos de todos los demás residentes hasta que vuelvan a conectarse. Ninguna de las dos opciones es aceptable a gran escala. PPSK elimina ese problema por completo. Se revoca una clave, un residente pierde el acceso y los demás no se ven afectados en absoluto. Existen tres modelos de despliegue bien diferenciados que conviene comprender, y elegir el equivocado para su contexto le resultará costoso desde el punto de vista operativo. El primero es el PSK compartido estándar: la contraseña única tradicional para todo el mundo. Es el más sencillo de configurar y resulta adecuado para una red doméstica. En un edificio residencial de alquiler múltiple, es prácticamente inutilizable a cualquier escala significativa. Una contraseña filtrada compromete a toda la red. Sin aislamiento de VLAN entre los residentes. Sin revocación individual. Evítelo. El segundo modelo es el PPSK a nivel de grupo. En este caso, se asigna una contraseña única a cada grupo: tal vez a cada planta, a cada departamento en un edificio de oficinas o a cada propiedad en una cartera. Esto le proporciona segmentación de VLAN y revocación a nivel de grupo. Funciona bien para eventos, conferencias y entornos de oficina en los que se desea una separación departamental sin la complejidad por usuario. Los costes operativos son bajos y no se necesita necesariamente un servidor RADIUS: muchos puntos de acceso gestionan el PPSK de grupo de forma nativa. El tercer modelo - y el que recomendamos para BTR, alojamiento de estudiantes y cualquier despliegue residencial - es el iPSK por usuario. Identity Pre-Shared Key. Cada residente recibe su propia credencial única. Todos sus dispositivos utilizan esa única credencial, lo que los sitúa en su propia VLAN privada, su propia burbuja de WiFi. Su teléfono ve su televisión inteligente, su portátil ve su Chromecast, su altavoz inteligente se vincula con sus luces. Pero no pueden ver los dispositivos de ningún otro residente, aunque todos estén en el mismo punto de acceso físico y bajo el mismo SSID. Esta es la arquitectura que hace que el WiFi gestionado funcione realmente como un servicio residencial. La experiencia del residente es idéntica a tener su propio router de banda ancha en casa. El operador mantiene el control total de la infraestructura. Permítame guiarle a través de la arquitectura técnica, ya que comprender esto le ayudará a hacer las preguntas correctas a proveedores e integradores. En un despliegue PPSK sin RADIUS, el propio punto de acceso contiene una base de datos local de claves y sus asignaciones de VLAN asociadas. Cuando un dispositivo se conecta, el punto de acceso busca la clave, identifica a qué VLAN está asociada y coloca el dispositivo allí. Esto funciona bien para despliegues más pequeños - hasta unos cientos de claves en la mayoría de los puntos de acceso empresariales. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet admiten alguna variante de esto. Para despliegues más grandes - un edificio BTR de doscientas unidades o un bloque de alojamiento para estudiantes de mil camas - querrá un PPSK respaldado por un servidor RADIUS. El punto de acceso reenvía la credencial al servidor RADIUS, que la valida contra un directorio, devuelve la asignación de VLAN correspondiente y el punto de acceso coloca el dispositivo en consecuencia. Esto escala a decenas de miles de claves, se integra con proveedores de identidad como Microsoft Entra ID, Okta o Google Workspace, y le ofrece un registro de auditoría centralizado - lo cual es importante para el cumplimiento del GDPR. Hablando de cumplimiento - esta es un área donde la elección del modelo de despliegue tiene implicaciones legales reales. Bajo el GDPR, usted tiene la obligación de proteger los datos de los residentes. Si el residente A puede ver el tráfico de red del residente B, eso es un problema de protección de datos. El aislamiento de VLAN por usuario, ofrecido a través de iPSK, es el mecanismo técnico que satisface esa obligación. No es solo algo deseable; es un requisito de cumplimiento en cualquier contexto residencial donde se procesen datos personales. PCI-DSS es relevante si tiene algún procesamiento de pagos en la misma infraestructura de red - por ejemplo, un elemento comercial en un desarrollo de uso mixto. La segmentación de VLAN aísla el tráfico de pagos del tráfico residencial, lo cual es un requisito principal de PCI-DSS. IEEE 802.1X es el estándar subyacente para el control de acceso a la red basado en puertos, y aunque un 802.1X completo con EAP-TLS y certificados es el estándar de oro para la seguridad empresarial, PPSK con RADIUS es un término medio pragmático que ofrece la mayoría de los beneficios de seguridad con una complejidad de despliegue significativamente menor. [6:00 - 8:00] Recomendaciones de implementación y errores comunes Ahora permítame presentarle dos escenarios concretos, ya que la teoría solo llega hasta cierto punto. Escenario uno: una torre de alquiler residencial (BTR) de doscientas cincuenta unidades en el centro de la ciudad. El promotor quiere incluir el WiFi en el alquiler mensual como un servicio premium. Los residentes esperan que sus dispositivos domésticos inteligentes funcionen - Sonos, Philips Hue, Amazon Echo, Smart TVs, videoconsolas. Esperan poder añadir nuevos dispositivos sin tener que llamar a un servicio de asistencia. Y esperan que su vecino no pueda ver el tráfico de su red. La arquitectura adecuada aquí es un único SSID en todo el edificio, respaldado por iPSK con RADIUS. Cada residente recibe una clave única al mudarse - entregada a través de una aplicación para residentes o un código QR en su paquete de bienvenida. Todos sus dispositivos utilizan esa clave. El servidor RADIUS asigna la clave a una VLAN dedicada por unidad. Cuando se mudan, la clave se revoca en la plataforma de gestión. El siguiente residente recibe una clave nueva. Sin cambios de contraseña, sin interrupciones para otros residentes. El hardware funciona en cualquier punto de acceso que ya esté especificado - Cisco Meraki, HPE Aruba, Ruckus o Ubiquiti UniFi son todos comunes en este sector. La plataforma de Purple se sitúa como una superposición en la nube, gestionando el ciclo de vida de las claves, las asignaciones de VLAN y la incorporación de residentes sin necesidad de una actualización radical de la infraestructura física. Segundo escenario: un desarrollo de uso mixto con tiendas en la planta baja, un espacio de coworking en las plantas dos y tres, y residencial de la planta cuatro hacia arriba. Tiene tres poblaciones de usuarios distintas con requisitos de red completamente diferentes. Las tiendas necesitan aislamiento de pagos que cumpla con PCI. Los miembros del coworking necesitan fiabilidad de nivel empresarial y compatibilidad con VPN. Los residentes necesitan la experiencia de red doméstica que acabamos de describir. Aquí, normalmente se utilizarían tres SSIDs - uno por población - o se usaría un único SSID con PPSK y asignación de VLAN basada en roles para separar los tres grupos. El enfoque de tres SSIDs es más limpio desde el punto de vista operativo y se adapta de forma más natural a los diferentes flujos de incorporación. El personal de las tiendas utiliza 802.1X con credenciales corporativas. Los miembros del coworking obtienen PPSK a nivel de grupo por empresa. Los residentes obtienen iPSK por unidad. Las tres poblaciones comparten la misma infraestructura de puntos de acceso físicos, pero su tráfico nunca se cruza. Permítame cubrir los errores de implementación más comunes, porque veo los mismos fallos repetidamente. El primero es subestimar la densidad de dispositivos. Un edificio de doscientas unidades no tiene doscientos dispositivos en la WiFi. Tiene de tres mil a cinco mil. De quince a veinticinco dispositivos por hogar es la media actual, y ese número crece cada año a medida que aumenta la adopción de hogares inteligentes. El alcance de su DHCP, el tamaño de su subred VLAN y la planificación de capacidad de sus puntos de acceso deben tener esto en cuenta. El segundo error es elegir PPSK sin RADIUS para un despliegue grande para ahorrar costes, y luego descubrir que la base de datos de claves local del punto de acceso tiene un límite estricto. Para cualquier proyecto de más de cien unidades, presupueste un servidor RADIUS desde el principio. Los servicios RADIUS alojados en la nube eliminan la carga de la infraestructura local. El tercer error es descuidar la banda de dos coma cuatro gigahercios. Conviene dirigir a los residentes a las bandas de cinco gigahercios y seis gigahercios para obtener un mejor rendimiento. Pero los dispositivos IoT - enchufes inteligentes, sensores más antiguos, algunos altavoces inteligentes - a menudo solo admiten dos coma cuatro gigahercios. Su configuración de PPSK debe gestionar ambas bandas. El cuarto error común es el flujo de trabajo de salida de los inquilinos. PPSK solo ofrece sus ventajas operativas si el proceso de revocación de claves se ejecuta realmente al abandonar el inmueble. Si su sistema de gestión inmobiliaria no se integra con su plataforma de gestión de red, las claves se acumulan. Automatice el flujo de trabajo de revocación mediante una integración entre su sistema de gestión de alquileres y su plataforma de gestión de WiFi. [8:00 - 9:00] Preguntas y respuestas rápidas Ahora, algunas preguntas rápidas que me hacen con regularidad. ¿Tengo que sustituir mis puntos de acceso existentes para implantar PPSK? En la mayoría de los casos, no. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet admiten variantes de PPSK o iPSK en sus firmwares actuales. ¿Es PPSK tan seguro como 802.1X con certificados? No. El sistema completo 802.1X con EAP-TLS y certificados digitales es más seguro. Pero para despliegues residenciales en los que se incorporan residentes no técnicos con dispositivos de consumo, PPSK con RADIUS es la opción más pragmática, ya que ofrece una seguridad adecuada con una complejidad operativa gestionable. ¿Qué pasa con WPA3? PPSK puede ejecutarse sobre WPA3-Personal, y debería habilitarlo allí donde el hardware de su punto de acceso lo admita. Ejecutar un modo de transición que admita clientes WPA2 y WPA3 en el mismo SSID es el enfoque estándar durante el periodo de transición. [9:00 - 10:00] Resumen y próximos pasos Para terminar: el marco de decisión es sencillo. Si va a desplegar WiFi en un entorno residencial polivalente - BTR, alojamiento para estudiantes, vivienda social - le conviene iPSK por usuario con RADIUS. Si lo va a desplegar para eventos, conferencias o segmentación de departamentos de oficinas, el PPSK a nivel de grupo sin RADIUS suele ser suficiente. Si todavía utiliza una única contraseña compartida para un edificio con varios inquilinos, eso tiene que cambiar este año. Las ventajas operativas son cuantificables. Un despliegue BTR gestionado con iPSK suele registrar una caída del volumen de incidencias de soporte superior al noventa por ciento en comparación con los despliegues no gestionados o con PSK compartido. La gestión de credenciales al dejar la vivienda pasa de ser un acontecimiento perturbador para todo el edificio a una simple entrada en la base de datos. Gracias por escuchar el Purple Technical Briefing. Si desea profundizar en la arquitectura, visite purple.ai. Si tiene alguna duda sobre su despliegue específico, hable con uno de nuestros arquitectos de red.