PSK por dispositivo según el fabricante: comparación de iPSK, DPSK, MPSK y PPSK (y compatibilidad con WPA3)

PSK por dispositivo según el fabricante: comparación de iPSK, DPSK, MPSK y PPSK, y compatibilidad con WPA3. Un informe técnico de Purple. Introducción y contexto. Le damos la bienvenida a la serie de informes técnicos de Purple. Voy a guiarle a través de uno de los temas de mayor importancia práctica (y que con más frecuencia se malinterpreta) en el ámbito del WiFi empresarial actual: las claves precompartidas por dispositivo. En concreto, compararemos cómo implementa esta capacidad cada uno de los principales fabricantes, cómo la denominan, cómo funciona realmente a nivel interno y, lo que es fundamental, qué ocurre cuando se intenta migrar a WPA3. Si es responsable de TI, arquitecto de redes o director de operaciones de instalaciones y gestiona el WiFi en un complejo hotelero, una cadena de tiendas, un estadio o un campus del sector público, este informe es para usted. Probablemente ya se haya topado con esta sopa de letras: iPSK, DPSK, MPSK, PPSK. Todas hacen referencia al mismo concepto (proporcionar a cada dispositivo o usuario su propia contraseña única en un único SSID), pero las implementaciones difieren significativamente, y esas diferencias importan a la hora de planificar la próxima renovación de la infraestructura. Comencemos con los aspectos fundamentales, luego analizaremos cada fabricante y terminaremos con la cuestión de WPA3 con la que todo el mundo está lidiando en este momento. Análisis técnico detallado. Entonces, ¿qué es la PSK por dispositivo y por qué existe? WPA2-Personal tradicional utiliza una única frase de contraseña compartida para todo un SSID. Todos los usuarios de su red de invitados utilizan la misma contraseña. Esto plantea dos problemas. En primer lugar, no se puede revocar el acceso de un dispositivo sin cambiar la contraseña de todos los demás. En segundo lugar, no se tiene visibilidad por dispositivo ni aplicación de políticas. La PSK por dispositivo soluciona ambos problemas. Cada dispositivo o usuario obtiene una credencial única. Se puede revocar una sin afectar a las demás. Se pueden asignar diferentes VLAN, políticas de ancho de banda o programaciones de acceso por clave. Es el término medio entre la sencillez de WPA2-Personal y la complejidad de la autenticación empresarial 802.1X completa. Veamos ahora cómo implementa esto cada fabricante. Cisco Meraki lo denomina iPSK (Identity Pre-Shared Key). Meraki admite dos modos. Sin RADIUS, se configuran hasta cinco PSK únicas directamente en el panel de control de Meraki, cada una asociada a una VLAN. Es rápido de configurar y no requiere infraestructura externa. Con RADIUS (normalmente Cisco ISE), se puede escalar a miles de claves. El cliente se asocia, el punto de acceso (AP) envía la dirección MAC y un indicio de PSK al servidor RADIUS, el servidor devuelve la clave por dispositivo correcta y el saludo de cuatro vías estándar de WPA2 se completa utilizando esa clave como clave maestra por pares (Pairwise Master Key). La idea clave aquí es que el servidor RADIUS realiza la búsqueda, no el AP. El AP simplemente facilita el intercambio. HPE Aruba lo denomina MPSK (Multiple Pre-Shared Key). Aruba Central y Aruba Instant admiten MPSK en dos modos: MPSK Local, donde las claves se almacenan en el controlador o en el clúster de AP, y MPSK con ClearPass, el motor de políticas y RADIUS de Aruba. ClearPass puede albergar decenas de miles de claves, asignar VLAN dinámicas y aplicar políticas basadas en roles por clave. El flujo de autenticación es esencialmente el mismo que el modo RADIUS de Meraki: la búsqueda basada en MAC devuelve la clave por dispositivo antes del saludo de cuatro vías. Ruckus (ahora parte de CommScope) lo denomina DPSK (Dynamic Pre-Shared Key). Se trata, posiblemente, de la implementación más madura del mercado. Ruckus DPSK está disponible desde los inicios de SmartZone. En el modo local, el servicio DPSK se ejecuta en el controlador y alberga la base de datos de claves. En el modo RADIUS, se integra con Cloudpath, la propia plataforma de control de acceso a la red de Ruckus. Lo que hace destacar a Ruckus es DPSK3, su extensión de DPSK para WPA3, sobre la que volveremos en breve. DPSK3 está disponible en puntos de acceso Wi-Fi 6, 6E y 7 con la versión de firmware 7.0 o posterior, y funciona en modo mixto WPA2/WPA3. Juniper Mist lo denomina PPSK (Private Pre-Shared Key) o, a veces, Multi-PSK. Mist almacena las claves en la nube, en la base de datos de claves del sitio o de la organización de Mist, con un límite de 5000 claves por sitio. Las claves se pueden asignar por usuario, por dispositivo o por grupo. Mist también se integra con su servicio Access Assurance (el NAC nativo de la nube), que añade la búsqueda de PSK basada en RADIUS. Fundamentalmente, Juniper ha anunciado la compatibilidad con WPA3 RADIUS PSK a través de Access Assurance, lo que permite que un único SSID WPA3-Personal sirva múltiples frases de contraseña. Esta es una de las implementaciones con mayor proyección de futuro del mercado. Extreme Networks (que adquirió Aerohive) lo denomina PPSK (Private Pre-Shared Key) a través de ExtremeCloud IQ. La implementación de Extreme admite el almacenamiento local de claves en el propio AP, lo que resulta útil para sucursales o sitios remotos con conectividad limitada. También admite la búsqueda basada en RADIUS a través del servicio RADIUS en la nube de ExtremeCloud IQ. Está disponible la vinculación de MAC, que asocia una PPSK a la dirección MAC de un dispositivo específico para mayor seguridad. Fortinet lo denomina MPSK (Multiple Pre-Shared Key), gestionado a través de FortiAP y el controlador inalámbrico FortiGate. La implementación de Fortinet destaca porque admite explícitamente los modos de seguridad WPA3-SAE y de transición WPA3-SAE en sus perfiles MPSK (a partir de la versión de firmware 8.0 de FortiAP). Puede crear un perfil MPSK con claves WPA3-SAE, asignarlas a un VAP y habilitar la asignación dinámica de VLAN por clave. Esta es una de las implementaciones de MPSK para WPA3 más limpias disponibles en la actualidad. Ubiquiti UniFi lo denomina claves precompartidas privadas (Private Pre-Shared Keys) o PSK privada (Private PSK). La implementación de UniFi es únicamente local: las claves se almacenan en el controlador UniFi Network, no en un servidor RADIUS externo. Se pueden asignar diferentes VLAN por clave y establecer límites de clientes por clave. La limitación importante: a mediados de 2026, la PSK privada de UniFi solo funciona en redes WPA2 en las bandas de 2,4 GHz y 5 GHz. No se admiten WPA3 ni 6 GHz. Para implementaciones más pequeñas esto es correcto, pero es una limitación que conviene conocer antes de comprometerse con una infraestructura UniFi a gran escala. Ahora, la cuestión de WPA3. Aquí es donde la cosa se pone técnicamente interesante. WPA2-Personal utiliza un saludo de cuatro vías. El cliente y el AP derivan una clave transitoria por pares (Pairwise Transient Key) a partir de una clave maestra por pares (Pairwise Master Key) compartida, que a su vez se deriva de la frase de contraseña. Dado que la derivación de la PMK se produce después de la búsqueda de RADIUS, el AP puede sustituir una clave por dispositivo en ese momento. Al estándar no le importa: simplemente ve una PMK válida. WPA3-Personal sustituye el saludo de cuatro vías por SAE (Simultaneous Authentication of Equals). SAE es un protocolo basado en Diffie-Hellman. Ambas partes se comprometen a un elemento de contraseña compartido derivado de la frase de contraseña antes de que se complete la asociación. La diferencia fundamental: ambas partes deben conocer la contraseña antes de que comience el intercambio SAE. No hay ningún punto en el protocolo en el que un servidor RADIUS pueda inyectar una clave diferente por dispositivo. El AP y el cliente ya están realizando un intercambio criptográfico con un único valor compartido. Por este motivo, WPA3 actualmente solo permite una clave por SSID en su forma estándar. No se trata de una limitación de firmware, sino de una restricción del protocolo. Las soluciones alternativas se dividen en tres categorías. En primer lugar, el modo de transición de WPA3, también llamado modo mixto WPA2/WPA3. El SSID anuncia tanto WPA2-PSK como WPA3-SAE. Los clientes WPA2 utilizan el saludo de cuatro vías y pueden recibir claves por dispositivo a través de RADIUS. Los clientes WPA3 utilizan SAE con una única contraseña compartida. Este es el enfoque más implementado en la actualidad y es compatible con Cisco Meraki, HPE Aruba, Ruckus y otros. En segundo lugar, las extensiones patentadas. Ruckus DPSK3 es el ejemplo más claro. Al ejecutarse en modo mixto WPA2/WPA3 con Cloudpath como backend RADIUS, DPSK3 permite que los dispositivos compatibles con WPA3 utilicen SAE mientras el sistema gestiona la vinculación de claves por dispositivo a través de la integración con Cloudpath. El enfoque de Juniper con Access Assurance WPA3 RADIUS PSK es similar. El modo de transición MPSK con WPA3-SAE de Fortinet le permite mezclar claves WPA2-Personal y WPA3-SAE en el mismo perfil MPSK. En tercer lugar, la migración a 802.1X. Para los puntos de conexión gestionados (portátiles corporativos, dispositivos del personal, cualquier dispositivo al que se le pueda enviar un certificado), WPA3-Enterprise con EAP-TLS es la respuesta idónea. Es totalmente compatible con WPA3 y 6 GHz, proporciona identidad por dispositivo y se integra con Microsoft Entra ID, Okta y Google Workspace. La contrapartida es la complejidad de la implementación y la necesidad de una infraestructura de certificados. Recomendaciones de implementación y errores comunes. Entonces, ¿qué debería hacer realmente? Si gestiona un complejo hotelero con una combinación de dispositivos de invitados, sensores IoT y dispositivos del personal, la respuesta pragmática en 2026 es un diseño de SSID híbrido. Mantenga un SSID WPA2-Personal con PSK por dispositivo para los dispositivos IoT y de invitados heredados. Ejecute un SSID WPA3-Enterprise para los dispositivos del personal que usted controle. Utilice el modo de transición en su SSID de invitados principal para admitir clientes WPA2 y WPA3 sin fragmentar el número de SSID. Si utiliza Ruckus y dispone de hardware Wi-Fi 6 o más reciente, vale la pena evaluar DPSK3 en modo mixto WPA2/WPA3 con Cloudpath. Le ofrece lo más parecido a una solución PSK por dispositivo nativa para WPA3 disponible en la actualidad. Si utiliza Fortinet, el perfil MPSK con transición WPA3-SAE es sencillo de configurar y le ofrece una ruta de migración clara. Si utiliza UniFi, deje claro a las partes interesadas que la PSK privada es solo para WPA2. Para las instalaciones que implementen Wi-Fi 6E o Wi-Fi 7 con radios de 6 GHz, necesitará una estrategia de autenticación diferente para esa banda. El mayor error que vemos es que los equipos asumen que activar WPA3 en un SSID con PSK por dispositivo existente funcionará sin más. No es así. Realice pruebas primero en un sitio piloto. Compruebe las versiones de firmware de sus AP: DPSK3 requiere la versión de firmware 7.0 o posterior en Ruckus, por ejemplo. Y compruebe la compatibilidad de su servidor RADIUS: Ruckus DPSK3 en modo mixto requiere específicamente Cloudpath, no un servidor RADIUS genérico. Un segundo error es la proliferación descontrolada de claves. La PSK por dispositivo es excelente para la trazabilidad, pero solo si se dispone de un proceso para revocar las claves cuando los dispositivos se retiran del servicio. Sin una gestión del ciclo de vida, acabará con miles de claves huérfanas y sin pista de auditoría. Integre el aprovisionamiento de claves con su flujo de trabajo de gestión de dispositivos desde el primer día. Preguntas y respuestas rápidas. ¿Puedo utilizar PSK por dispositivo en un SSID de 6 GHz? No. La banda de 6 GHz exige únicamente WPA3, y WPA3 no admite de forma nativa PSK por dispositivo. Utilice 802.1X o un SSID independiente de 2,4/5 GHz para los dispositivos que necesiten PSK por dispositivo. ¿Cumple la PSK por dispositivo con los requisitos de PCI DSS? La PSK por dispositivo en WPA2 puede cumplir con los requisitos de segmentación de red de PCI DSS 4.0 si cada clave se asocia a una VLAN aislada. No obstante, PCI DSS recomienda encarecidamente 802.1X para los entornos de datos de titulares de tarjetas. Consulte con su QSA. ¿Cuál es el número máximo de claves por SSID? Varía significativamente. Cisco Meraki con ISE admite implementaciones muy grandes. Ruckus DPSK admite decenas de miles de claves. Juniper Mist tiene un límite de 5000 por sitio. UniFi está limitado en la práctica por la memoria del controlador. Consulte siempre la documentación del fabricante para su versión específica de firmware. ¿Cómo encaja Purple en esto? Purple se sitúa como una capa en la nube sobre su hardware existente. Nos integramos con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. Para implementaciones de WiFi para invitados y WiFi para el personal, Purple gestiona la capa de identidad (autenticación, captura de datos, gestión de consentimientos) y devuelve la asignación de VLAN o política correspondiente a su hardware a través de RADIUS o API. Usted conserva su infraestructura de PSK por dispositivo existente; Purple añade la capa de identidad y analítica por encima. Resumen y siguientes pasos. Recapitulemos. La PSK por dispositivo (ya se denomine iPSK, DPSK, MPSK o PPSK) es una capacidad madura y bien respaldada por todos los principales fabricantes de WiFi empresarial. Las implementaciones difieren en el lugar donde se almacenan las claves, cómo escalan y cómo se integran con RADIUS. El protocolo SAE de WPA3 crea una restricción técnica real para la PSK por dispositivo. El estándar no la admite de forma nativa. Las respuestas prácticas hoy en día son el modo de transición, las extensiones de fabricante como DPSK3 o la migración a 802.1X para los dispositivos que lo admitan. El resumen por fabricante: Cisco Meraki iPSK funciona bien con ISE en modo RADIUS; la compatibilidad con WPA3 se realiza mediante el modo de transición. HPE Aruba MPSK con ClearPass es altamente escalable; WPA3 MPSK está en desarrollo activo. Ruckus DPSK3 es la solución de PSK por dispositivo para WPA3 más madura disponible. Juniper Mist Access Assurance añade WPA3 RADIUS PSK. Fortinet MPSK admite explícitamente WPA3-SAE en sus perfiles MPSK. Extreme PPSK es sólido para los modos local y RADIUS. La PSK privada de UniFi es solo para WPA2 y solo local. Para sus siguientes pasos: audite su implementación actual de PSK por dispositivo, identifique qué dispositivos son compatibles con WPA3 y diseñe una estrategia de SSID híbrido que sirva para ambos. Si está planificando una renovación de hardware, priorice los AP Wi-Fi 6 o Wi-Fi 7 con compatibilidad confirmada con DPSK3 o WPA3 MPSK. Si desea comprender cómo se integra Purple con su fabricante de hardware específico para añadir gestión de identidad y analítica sobre su implementación de PSK por dispositivo, visite purple.ai o hable con su equipo de cuenta. Esto es todo por este informe. Gracias por su atención.