PPSK WPA3: comparación de características y modelos de implementación

Bienvenido al Purple Technical Briefing. Soy su anfitrión y hoy abordaremos una pregunta que llega al escritorio de casi todos los arquitectos de red que trabajan en propiedades multiinquilino, hostelería o comercio minorista en este momento: ¿cómo se comparan realmente PPSK y WPA3, y qué modelo de despliegue se adapta a su entorno? Empecemos con el contexto. Si es un promotor inmobiliario, un operador de alquiler residencial (build-to-rent) o un propietario que gestiona un bloque residencial con infraestructura de WiFi compartida, probablemente haya oído hablar de ambos términos. PPSK, que significa Private Pre-Shared Key, y WPA3, la última generación de seguridad WiFi de la Wi-Fi Alliance. A menudo se habla de ellos como si fueran tecnologías competidoras. No lo son. Resuelven problemas diferentes. Y en muchos despliegues, se necesitan ambos. Así que definamos nuestros términos claramente antes de seguir adelante. WPA3 es un estándar de certificación de seguridad, ratificado por la Wi-Fi Alliance en 2018. Se presenta en dos variantes principales. WPA3-Personal, que sustituye al antiguo mecanismo de clave precompartida por algo llamado SAE - Simultaneous Authentication of Equals. Y WPA3-Enterprise, que se basa en el marco 802.1X e introduce una suite criptográfica opcional de 192 bits para entornos de alta seguridad. La mejora crítica en WPA3-Personal es que SAE elimina los ataques de diccionario sin conexión. En WPA2, si un atacante capturaba el saludo de cuatro vías (four-way handshake) cuando un dispositivo se conectaba a su red, podía llevarse esos datos y ejecutar herramientas de craqueo por fuerza bruta indefinidamente, sin volver a tocar su red. SAE detiene eso por completo. Cada intento de contraseña requiere una interacción activa con el punto de acceso. Hace que el craqueo sin conexión sea prácticamente inviable. WPA3 también exige Protected Management Frames, o PMF, definido en IEEE 802.11w. Esto protege el tráfico de gestión entre los dispositivos y los puntos de acceso contra ataques de suplantación y de repetición. En WPA2, PMF era opcional. En WPA3, no es negociable. Ahora, PPSK. Private Pre-Shared Key es una tecnología propietaria - y esa palabra "propietaria" importa, por lo que volveremos a ella. El concepto principal es sencillo: en lugar de que todos los dispositivos de un SSID compartan una única contraseña, cada dispositivo o cada usuario obtiene una frase de paso única. Los distintos fabricantes la denominan de forma diferente. Cisco la llama iPSK. Extreme Networks la llama PPSK. Ruckus la llama DPSK. Juniper Mist la llama Multi-PSK. HPE Aruba la llama MPSK. Cambium la llama ePSK. El mecanismo subyacente es el mismo en todos ellos. Así es como funciona técnicamente. En WPA2-Personal estándar, la clave precompartida se deriva de su frase de paso mediante una fórmula definida en el estándar 802.11i. Cada dispositivo que utiliza la misma contraseña deriva la misma PSK. En un despliegue PPSK, cada frase de paso única deriva una PSK diferente. Cuando un dispositivo se conecta, el punto de acceso o un servidor RADIUS prueba cada PSK almacenada contra el Message Integrity Check en el saludo de cuatro vías hasta que encuentra una coincidencia. Así es como se identifica el dispositivo. El resultado práctico es que puede asignar a cada residente de un edificio BTR, a cada miembro del personal de un hotel o a cada categoría de dispositivo IoT su propia contraseña única, y asociar esa contraseña a una VLAN específica. El residente del apartamento uno recibe la contraseña A, que se asocia a la VLAN 10. El residente del apartamento dos recibe la contraseña B, que se asocia a la VLAN 20. Su tráfico queda aislado en la Capa 2. Comparten una única SSID, un único conjunto de puntos de acceso, una única infraestructura - pero no pueden ver los dispositivos de los demás. Aquí es donde la tensión entre PPSK y WPA3 adquiere importancia desde el punto de vista de la arquitectura. Y este es el detalle que la mayoría de las guías pasan por alto. PPSK, en su forma tradicional, funciona sobre WPA2. El mecanismo multi-PSK se basa en el acuerdo de cuatro vías (four-way handshake) definido en 802.1X, el estándar que sustenta a WPA2. WPA3-Personal sustituye ese acuerdo por SAE. Ambos mecanismos son fundamentalmente incompatibles a nivel de protocolo. Esto significa que si configura una SSID pura WPA3-Personal en la mayoría de los puntos de acceso actuales, no podrá ejecutar simultáneamente PPSK en esa misma SSID. El acuerdo SAE no admite el flujo de trabajo de prueba y coincidencia de multi-PSK. Sin embargo - y esto es importante - el sector está resolviendo esto de forma activa. La plataforma Access Assurance de Juniper Mist ya es compatible con WPA3 Multi-PSK, utilizando un enfoque basado en RADIUS en el que el punto de acceso funciona en modo WPA3-SAE y el servidor RADIUS gestiona la búsqueda de claves por dispositivo. La solución iPSK de Cisco admite de forma similar WPA3-SAE con un servidor RADIUS externo que almacena las asignaciones de direcciones MAC a PSK. La banda de 6 GHz, introducida con WiFi 6E bajo el estándar 802.11ax, exige WPA3. Por lo tanto, cualquier despliegue que tenga como objetivo los 6 GHz debe encontrar una solución PPSK compatible con WPA3. El resultado práctico para su decisión de despliegue es el siguiente: si utiliza hardware de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks o Fortinet, compruebe el firmware actual de su proveedor para ver si es compatible con WPA3 y multi-PSK antes de definir su arquitectura de seguridad. El panorama evoluciona rápidamente. Hablemos de modelos de despliegue. Hay tres patrones principales que vemos en el terreno. El primero es PPSK sin RADIUS, a veces llamado PPSK local o PPSK basado en controlador. El conjunto de PSK se almacena directamente en el punto de acceso o en el controlador inalámbrico. Este es el despliegue más sencillo. No requiere un servidor de autenticación externo. Funciona bien para centros más pequeños: una sola sucursal de retail, un espacio de coworking con menos de 500 miembros o un bloque residencial pequeño. La limitación es la escala. La mayoría de las implementaciones basadas en controlador limitan el número de PSK a unos pocos cientos o miles. La gestión de claves pasa a ser manual. Y como las claves se almacenan localmente, revocar una clave comprometida requiere intervenir directamente en el controlador. El segundo modelo es PPSK con RADIUS. En este caso, el grupo de PSK reside en un servidor RADIUS externo. Cuando un dispositivo se conecta, el punto de acceso reenvía la solicitud de autenticación a RADIUS, que busca la PSK correcta para ese dispositivo y la devuelve al AP. Este modelo se escala a decenas de miles de dispositivos. Se integra con proveedores de identidad - Microsoft Entra ID, Okta, Google Workspace - para que pueda automatizar el aprovisionamiento y desaprovisionamiento. Cuando un residente se muda de un edificio de BTR, usted revoca su entrada en el proveedor de identidad y su acceso WiFi desaparece en cuestión de segundos. Sin rotación manual de claves. Esta es la arquitectura sobre la que se construye la plataforma Multi-Tenant WiFi de Purple. El tercer modelo es WPA3-Enterprise con 802.1X. Sin PSK en absoluto. Cada dispositivo se autentica mediante un certificado o credencial a través de EAP-TLS o PEAP. Este es el estándar de oro para entornos corporativos, de salud y en cualquier lugar con requisitos de cumplimiento estrictos como PCI-DSS o ISO 27001. Los gastos generales son mayores - se necesita una infraestructura de clave pública para la gestión de certificados, y cada dispositivo debe estar registrado. Para un edificio de BTR donde los residentes traen sus propios dispositivos, esto rara vez es práctico. Para la red de personal de un hotel o la flota de dispositivos clínicos de un hospital, es la respuesta correcta. Ahora veamos dos escenarios del mundo real para concretar esto. Escenario uno. Una promoción residencial de alquiler (BTR) de 200 viviendas. El operador quiere que cada residente tenga su propio segmento de red privado, sin visibilidad de los pisos vecinos. También necesitan dar soporte a dispositivos domésticos inteligentes - termostatos, videoporteros, altavoces inteligentes - que suelen ser únicamente compatibles con WPA2. Y quieren que los costes de gestión de la red sean lo más bajos posible. La arquitectura adecuada en este caso es PPSK con RADIUS en un SSID de modo de transición WPA2 o WPA2/WPA3. Cada residente recibe una frase de contraseña única al mudarse, aprovisionada automáticamente a través del sistema de gestión de la propiedad integrado con el servidor RADIUS. Sus dispositivos - teléfonos, portátiles, smart TV - se conectan utilizando esa frase de contraseña y acceden a su VLAN dedicada. Sus dispositivos IoT se conectan mediante una frase de contraseña de IoT independiente que se asigna a una VLAN de IoT restringida sin acceso al segmento residencial principal. Cuando se mudan, el sistema de gestión de la propiedad activa el desaprovisionamiento. Su frase de contraseña se revoca. El acceso finaliza. La plataforma Multi-Tenant WiFi de Purple gestiona exactamente este flujo de trabajo, integrándose con el hardware de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti, UniFi, Cambium, Extreme Networks y Fortinet. La superposición en la nube significa que usted gestiona todo el patrimonio desde un único panel, independientemente del hardware que se encuentre en las instalaciones. Escenario dos. Un hotel de 150 habitaciones. El hotel necesita tres segmentos de red diferenciados: WiFi para huéspedes, WiFi para el personal de operaciones y una red de gestión del edificio para CCTV, control de accesos y climatización. La red de huéspedes debe ser fluida y sin fricciones. La red del personal debe ser segura y auditable. La red de gestión del edificio debe estar completamente aislada. En este caso, la arquitectura se diseña con tres SSID. El SSID de invitados utiliza WPA3-Personal con SAE, o Enhanced Open con Opportunistic Wireless Encryption para una experiencia verdaderamente sin contraseñas, combinada con el Captive Portal de Purple para un acceso basado en el consentimiento. El SSID del personal utiliza WPA3-Enterprise con 802.1X, autenticado contra Microsoft Entra ID. El SSID de gestión del edificio utiliza PPSK con una VLAN dedicada, aislada de todo el resto del tráfico en el firewall. Permítame ahora hablar de los errores de implementación más comunes, porque aquí es donde fallan los despliegues. El primero es la compatibilidad con PMF. WPA3 exige tramas de gestión protegidas (PMF). Si tiene dispositivos heredados - escáneres de códigos de barras antiguos, terminales de punto de venta, algunos equipos médicos - que no son compatibles con PMF, no podrán conectarse a un SSID puro de WPA3. El síntoma es que el dispositivo detecta la red pero no puede asociarse. La solución es el modo de transición de WPA3, que permite clientes WPA2 y WPA3 en el mismo SSID, o un SSID WPA2 dedicado en una VLAN aislada para esos dispositivos heredados. El modo de transición es una estrategia de migración válida, pero es vulnerable a ataques de degradación de seguridad, por lo que debe considerarse como algo temporal. El segundo error es la proliferación descontrolada de claves. En un despliegue de PPSK sin una gestión de ciclo de vida adecuada, se acumulan claves obsoletas. Antiguos residentes, exempleados, dispositivos fuera de servicio... todos dejan claves PSK huérfanas en su base de datos RADIUS. Cada una de ellas es un vector de ataque potencial. Automatice el aprovisionamiento y desaprovisionamiento desde el primer día, y audite su base de datos PSK trimestralmente. El tercer error es la planificación de la banda de 6GHz. Si va a desplegar puntos de acceso WiFi 6E o WiFi 7 y desea utilizar la banda de 6GHz, WPA3 es obligatorio. No puede ejecutar WPA2 en 6GHz. Por lo tanto, si su estrategia de PPSK depende de WPA2, sus radios de 6GHz no se utilizarán o tendrán que ejecutar un SSID independiente. Planifique su arquitectura de seguridad antes de finalizar la adquisición de hardware. Pasemos ahora a una sesión rápida de preguntas y respuestas. Pregunta: ¿Puedo ejecutar PPSK y WPA3 en el mismo SSID? Respuesta: En la mayoría del hardware actual, no de forma nativa. Pero Juniper Mist y Cisco admiten WPA3-SAE con multi-PSK basado en RADIUS. Compruebe el firmware actual de su proveedor. Se espera una compatibilidad más amplia en todos los proveedores dentro de los próximos 12 a 18 meses. Pregunta: ¿Cumple PPSK con PCI-DSS? Respuesta: PPSK puede cumplir con los requisitos de segmentación de red de PCI-DSS si cada dispositivo del entorno de datos de titulares de tarjetas se encuentra en su propia VLAN aislada, y el acceso está controlado y es auditable. Para los entornos de datos de titulares de tarjetas, WPA3-Enterprise con 802.1X y EAP-TLS es la opción más segura a largo plazo. Pregunta: ¿Qué ocurre si un residente comparte su PPSK con un vecino? Respuesta: Su vecino acabará en la misma VLAN que el residente. El vecino no podrá acceder al tráfico de otros residentes. Sin embargo, esto significa que el operador de la propiedad está prestando servicio a un usuario no autorizado. Esto se puede mitigar vinculando las PSK a las direcciones MAC cuando el hardware lo admita, o implementando una monitorización del uso y alertas de anomalías. En resumen, PPSK y WPA3 son complementarios, no competidores. PPSK resuelve el problema de aislamiento multiinquilino - un SSID, credenciales únicas por residente o dispositivo y asignación automática de VLAN. WPA3 resuelve el problema de seguridad de la autenticación - SAE elimina los ataques de diccionario sin conexión, PMF protege las tramas de gestión y la suite de 192 bits cumple con los requisitos de conformidad de alta seguridad. Para los operadores de BTR y propietarios que despliegan infraestructuras de WiFi compartidas hoy en día, la arquitectura recomendada es PPSK con RADIUS para el aislamiento de residentes, ejecutándose en WPA2 o WPA3 Transition Mode para una amplia compatibilidad de dispositivos, con una ruta de migración clara hacia PPSK nativo de WPA3 a medida que madure el soporte de los proveedores. Combine esto con un SSID WPA3-Enterprise dedicado para el personal y los dispositivos operativos, y una VLAN de IoT aislada para los sistemas de edificios inteligentes. La plataforma Multi-Tenant WiFi de Purple supervisa todo esto como una capa en la nube independiente del hardware. Gestionamos la integración de RADIUS, los flujos de trabajo de aprovisionamiento, las analíticas y los informes de conformidad - en más de 80.000 centros activos y 350 millones de usuarios únicos. Certificación ISO 27001, conformidad con GDPR y CCPA, 99,999% de tiempo de actividad. Hasta la próxima.