Server RADIUS: una guía completa para empresas

Esta guía proporciona a directores de TI, arquitectos de redes y directores de tecnología (CTO) una referencia técnica definitiva sobre la autenticación mediante server RADIUS para WiFi empresarial. Cubre el marco AAA, la arquitectura 802.1X, la selección del método EAP, las ventajas y desventajas del despliegue en la nube frente a local y la asignación dinámica de VLAN. Los operadores de recintos del sector de la hostelería, retail, eventos y el sector público encontrarán pautas de implementación prácticas, casos de estudio reales y los marcos de decisión necesarios para migrar de claves precompartidas no seguras a una arquitectura de control de acceso a la red segura y basada en la identidad.

📖 9 min de lectura📝 2,075 palabras🔧 2 ejemplos prácticos❓ 4 preguntas de práctica📚 10 definiciones clave

Escuchar esta guía

Ver transcripción del podcast

Le damos la bienvenida al informe técnico de Purple. Soy su anfitrión y, en los próximos diez minutos, vamos a analizar una de las decisiones de infraestructura más importantes para cualquier equipo de TI empresarial: la autenticación de servidor RADIUS. Si usted es responsable de TI, arquitecto de redes o director de tecnología a cargo del WiFi en un hotel, una cadena de tiendas, un estadio o un centro de conferencias, este informe es para usted. Evitaremos los tecnicismos, explicaremos la arquitectura con claridad y le ofreceremos la información práctica que necesita para tomar decisiones fundamentadas este trimestre.

Comencemos con una perspectiva general. ¿Por qué es tan importante?

Si todavía gestiona el WiFi para invitados o empleados con una única contraseña compartida, una clave previamente compartida (PSK), se está exponiendo a un riesgo de seguridad considerable y creciente. Esa contraseña se comparte, se escribe en recibos, se fotografía en pizarras y se reenvía a través de aplicaciones de mensajería. Una vez que se difunde, pierde la visibilidad de quién está en su red, la capacidad de revocar el acceso a un solo usuario sin interrumpir a los demás y el registro de auditoría en caso de que algo salga mal. Para las organizaciones sujetas a PCI DSS, GDPR o HIPAA, esto no es solo un problema técnico. Es un problema de cumplimiento normativo.

El servidor RADIUS es la solución que el sector ha adoptado para abordar este problema. Veamos exactamente qué es y cómo funciona.

RADIUS son las siglas de Remote Authentication Dial-In User Service (Servicio de autenticación remota telefónica de usuario). El nombre es un vestigio histórico de los inicios de la conexión a Internet por marcación, pero el protocolo ha evolucionado significativamente y sigue siendo la columna vertebral del control de acceso a redes empresariales en la actualidad. En esencia, un servidor RADIUS es un sistema centralizado que gestiona el acceso a la red mediante un marco denominado AAA: autenticación, autorización y contabilidad (Authentication, Authorisation, and Accounting). Estos tres pilares son la base de todo lo que analizaremos hoy.

La autenticación es el primer pilar: verificar la identidad de alguien. La autorización es el segundo: determinar qué se le permite hacer. Y la contabilidad es el tercero: registrar lo que realmente hizo.

Analicemos cada uno de ellos.

Autenticación. Cuando un usuario intenta conectarse a una red WiFi protegida con WPA2-Enterprise o WPA3-Enterprise, su dispositivo, al que llamamos suplicante (Supplicant), envía una solicitud de conexión al punto de acceso inalámbrico. El punto de acceso, que llamamos autenticador (Authenticator), no toma la decisión de autenticación por sí mismo. Actúa como un intermediario, reenviando la solicitud al servidor RADIUS. A continuación, el servidor valida la identidad del usuario con una fuente de identidad configurada. Podría ser Microsoft Entra ID, Okta, Google Workspace o una base de datos de usuarios local. La fuente de identidad es la única fuente de información fiable para determinar quién tiene acceso a la red.

Autorización. Una vez que el usuario está autenticado, el servidor RADIUS no se limita a decir que sí y a apartarse. También le dice exactamente al punto de acceso qué hacer con este usuario. Envía de vuelta un conjunto de atributos, que son esencialmente instrucciones, que definen la experiencia de red del usuario. El más importante de ellos suele ser la asignación de VLAN. El servidor RADIUS podría decir: este usuario es miembro del grupo de personal corporativo, asígnalo a la VLAN diez, que tiene acceso a los servidores de archivos internos y a las impresoras. O bien: este usuario es un invitado, asígnalo a la VLAN veinte, que solo tiene acceso a internet y está completamente aislada de la red corporativa. Esta asignación dinámica de VLAN es una de las funciones más potentes de un servidor RADIUS y es el mecanismo que permite una segmentación de red adecuada.

Registro (Accounting). El tercer pilar suele pasarse por alto, pero es fundamental para el cumplimiento y las operaciones. A medida que avanza la sesión de un usuario, el servidor RADIUS registra información clave: la hora a la que se conectó, la hora a la que se desconectó, la duración total de la sesión, la cantidad de datos transferidos y la dirección MAC de su dispositivo. Esto crea un registro de auditoría detallado para cada conexión en su red. Bajo la versión cuatro de PCI DSS, este tipo de registro no es opcional. Es un requisito estricto. Y en caso de un incidente de seguridad, estos registros son invaluables para la investigación forense.

Ahora, hablemos del estándar técnico que hace que todo esto funcione: IEEE 802.1X.

802.1X es el estándar que define el control de acceso a la red basado en puertos. Es el protocolo que permite a un punto de acceso bloquear todo el tráfico de red de un dispositivo hasta que el servidor RADIUS haya confirmado que el dispositivo está autorizado. La comunicación entre el dispositivo del usuario y el punto de acceso utiliza un protocolo llamado EAP (Extensible Authentication Protocol). EAP es esencialmente un marco que admite múltiples métodos de autenticación.

Los tres métodos EAP más comunes en redes WiFi empresariales son: PEAP (Protected Extensible Authentication Protocol), EAP-TTLS y EAP-TLS.

PEAP y EAP-TTLS son métodos basados en credenciales. Crean un túnel cifrado entre el dispositivo y el servidor RADIUS, y luego el nombre de usuario y la contraseña del usuario se verifican dentro de ese túnel. Son relativamente fáciles de implementar y funcionan bien en entornos en los que aún no se está listo para una infraestructura de certificados completa.

EAP-TLS es el estándar de oro. Se basa en certificados, lo que significa que tanto el servidor como el dispositivo cliente presentan certificados digitales para autenticarse mutuamente. No hay ninguna contraseña de por medio. Esto elimina por completo el riesgo de robo de credenciales, ataques de phishing y ataques de intermediario (man-in-the-middle). Para los dispositivos corporativos, EAP-TLS es el método de autenticación hacia el que debería orientarse.

Ahora hablemos de los modelos de implementación. Cuando se trata del servidor RADIUS, tiene dos opciones principales: local (on-premises) o alojado en la nube (cloud-hosted).

RADIUS local (on-premises), utilizando plataformas como FreeRADIUS o Microsoft Network Policy Server, le ofrece un control total sobre la infraestructura. Para un único recinto de gran tamaño, como un estadio o un hospital, esta puede ser la decisión correcta. Las solicitudes de autenticación viajan a través de la red local, lo que proporciona tiempos de respuesta de menos de un milisegundo. Y si su directorio de identidades es un Active Directory local que no se puede exponer a Internet por motivos de cumplimiento, un servidor RADIUS local suele ser su única opción viable.

Sin embargo, para organizaciones multi-sede, RADIUS local introduce una sobrecarga operativa significativa. Tendrá que gestionar instancias de servidor independientes en cada ubicación, gestionar las renovaciones de certificados de forma manual y lidiar con las consecuencias cuando algo sale mal a las dos de la mañana.

Cloud RADIUS cambia esto por completo. La infraestructura está alojada globalmente en múltiples zonas de disponibilidad. Cuando un usuario se conecta en una sucursal, la solicitud se enruta al nodo perimetral de la nube más cercano. La alta disponibilidad está integrada por defecto. Y la rotación de certificados está automatizada, lo que elimina la causa más común de caídas de autenticación en despliegues locales.

Para organizaciones multi-sede con proveedores de identidad nativos de la nube como Microsoft Entra ID, Okta o Google Workspace, Cloud RADIUS es casi siempre la opción operativamente superior. El Cloud RADIUS de Purple se integra directamente con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. Esto significa que puede realizar el despliegue en todo su parque de hardware sin necesidad de sustituir ni un solo punto de acceso.

Permítame compartir dos escenarios reales para concretar esto.

El primero es un grupo hotelero europeo con 45 propiedades en seis países. El equipo de TI ejecutaba FreeRADIUS en máquinas virtuales en cada propiedad, lo que suponía 45 instancias independientes que parchear, monitorizar y mantener. Cuando caducó un certificado en una de las propiedades, provocó una caída total del WiFi para invitados durante una importante conferencia. Migraron a un servicio Cloud RADIUS, centralizando la gestión de políticas y eliminando el mantenimiento por sede. El equipo de tres ingenieros recuperó aproximadamente el 40 por ciento del tiempo que antes dedicaba al mantenimiento de RADIUS.

El segundo escenario es un estadio deportivo nacional con 68 000 asientos. El equipo de TI tenía requisitos estrictos en torno a la soberanía de los datos. Todos los registros de autenticación debían permanecer en suelo del Reino Unido. Desplegaron un clúster RADIUS local dual en configuración activo-activo, con un clúster secundario en una instalación de coubicación a 20 millas de distancia. Esto les proporcionó control local, autenticación en menos de un milisegundo y la capacidad de gestionar picos de tráfico sin depender de la conectividad a Internet.

Estos dos escenarios ilustran claramente el marco de toma de decisiones. Elija Cloud RADIUS cuando tenga una infraestructura distribuida en múltiples ubicaciones, proveedores de identidad nativos de la nube y un equipo de TI centralizado reducido. Elija la opción local (on-premises) cuando disponga de una única sede de gran tamaño con requisitos estrictos de soberanía de datos o un entorno de seguridad aislado (air-gapped).

Pasemos ahora a algunas de las preguntas más frecuentes que solemos recibir.

Primera: ¿cuál es la diferencia entre un servidor RADIUS y un Captive Portal? Un Captive Portal es la página de inicio de sesión que ven los invitados al conectarse. Funciona conjuntamente con RADIUS. El portal es la interfaz de usuario; el servidor RADIUS es el motor de back-end.

Segunda: ¿puedo utilizar RADIUS para redes cableadas? Absolutamente. El estándar 802.1X se aplica por igual a las redes Ethernet cableadas y a las redes inalámbricas.

Tercera: ¿qué ocurre si mi proveedor de Cloud RADIUS sufre una interrupción del servicio? Los proveedores de confianza publican acuerdos de nivel de servicio con un 99,99 % de tiempo de actividad, respaldados por redundancia multirregión. Configure siempre sus puntos de acceso con una política de respaldo (fallback), ya sea un acceso abierto a una VLAN restringida o credenciales almacenadas localmente en caché, para gestionar esta situación de forma óptima.

Cuarta: ¿cómo interactúa RADIUS con el WiFi de invitados? Para los establecimientos que ofrecen WiFi a los visitantes, la integración de la infraestructura de su servidor RADIUS con una solución de Captive Portal crea un modelo de acceso jerarquizado. El personal y los dispositivos corporativos se autentican de forma silenciosa a través de 802.1X, mientras que los invitados son dirigidos a un portal personalizado para su registro. La plataforma de Purple recopila entonces datos de origen (first-party data) y proporciona análisis sobre el comportamiento de los visitantes, transformando su red de un centro de costes en un activo de inteligencia empresarial.

En resumen. El servidor RADIUS es el protocolo centralizado que impulsa la seguridad del WiFi empresarial. Implementa el marco AAA para ofrecerle un control granular sobre quién puede acceder a su red, qué puede hacer y un registro de auditoría completo de su actividad. Para operadores de establecimientos, hoteleros, comercios minoristas y organizaciones del sector público, el despliegue de un servidor RADIUS es el paso fundamental para crear una infraestructura de WiFi segura, conforme a las normativas y gestionada de forma profesional.

Su siguiente paso está claro. Si todavía utiliza claves precompartidas (PSK), empiece a planificar su migración hoy mismo. Revise su hardware actual para comprobar la compatibilidad con WPA3-Enterprise, evalúe las opciones de integración de su directorio de identidades y explore una plataforma Cloud RADIUS que pueda escalar al ritmo de su organización.

Para obtener más guías técnicas y recursos de implementación, visítenos en purple dot ai. Hasta la próxima, manténgase seguro.

Conclusiones clave

✓El servidor RADIUS es el estándar de la industria para el control de acceso a redes empresariales, reemplazando las claves precompartidas inseguras con autenticación basada en la identidad a través del marco AAA.
✓La asignación dinámica de VLAN es el mecanismo que impone la segmentación de la red, un control obligatorio para el cumplimiento de PCI DSS en entornos de retail y hostelería.
✓EAP-TLS es el método de autenticación de referencia, que elimina por completo las contraseñas mediante la validación mutua de certificados entre el cliente y el servidor.
✓Cloud RADIUS es operativamente superior para ubicaciones múltiples con equipos de TI centrales pequeños, ya que ofrece rotación automatizada de certificados, alta disponibilidad integrada y gestión centralizada de políticas.
✓El servidor RADIUS on-premises sigue siendo la opción correcta para ubicaciones grandes únicas con requisitos de soberanía de datos, entornos aislados físicamente (air-gapped) o directorios locales heredados.
✓La expiración de los certificados es la causa principal de las caídas de RADIUS on-premises: configure alertas de monitorización a los 60, 30 y 7 días antes de la expiración.
✓El Cloud RADIUS de Purple se integra con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet en más de 80.000 ubicaciones activas con un tiempo de actividad del 99,999%.

Resumen ejecutivo

Para los responsables de TI, arquitectos de red y directores de tecnología (CTO) que operan en los sectores de hostelería , comercio minorista , transporte y grandes espacios públicos, proteger el acceso inalámbrico es un requisito operativo fundamental, no una mejora opcional. Confiar en una clave precompartida (PSK) para el acceso WiFi es un riesgo de seguridad importante. Una sola credencial comprometida expone toda la red, y revocar el acceso requiere cambiar la contraseña de todos los dispositivos de la instalación. La implementación de la autenticación 802.1X a través de una arquitectura de servidor RADIUS (Remote Authentication Dial-In User Service) elimina este problema. Cada usuario se autentica individualmente, el acceso se puede revocar al instante y la segmentación de la red se aplica de forma dinámica.

El servidor RADIUS implementa el marco AAA: Autenticación, Autorización y Contabilidad (Accounting). Valida las identidades frente a directorios como Microsoft Entra ID, Okta o Google Workspace, asigna a los usuarios al segmento de red correcto mediante la asignación dinámica de VLAN y mantiene un registro de auditoría detallado para cada sesión. Para las organizaciones sujetas a PCI DSS, GDPR o Cyber Essentials, este registro de auditoría no es opcional. Es un requisito estricto de cumplimiento. El servidor Cloud RADIUS de Purple protege al personal y a los dispositivos corporativos mediante la autenticación 802.1X basada en certificados, integrándose con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet en más de 80.000 sedes activas.

Análisis técnico detallado: arquitectura de servidor RADIUS

El estándar IEEE 802.1X define el control de acceso a la red basado en puertos (PNAC). En un contexto inalámbrico, implica tres roles principales que funcionan en conjunto para proteger el extremo de la red.

Rol	Componente	Responsabilidad
Suplicante (Supplicant)	Dispositivo cliente (portátil, smartphone)	Presenta las credenciales para solicitar acceso a la red
Autenticador (Authenticator)	Punto de acceso o controlador WiFi	Aplica el control de acceso; retransmite mensajes EAP
Servidor de autenticación	Servidor RADIUS	Valida las credenciales; devuelve la aceptación o el rechazo y los atributos de la política

Cuando un suplicante se asocia con un punto de acceso, el AP bloquea todo el tráfico de datos excepto los mensajes del Protocolo de Autenticación Extensible (EAP). El AP encapsula estos mensajes EAP en paquetes RADIUS y los reenvía al servidor RADIUS a través del puerto UDP 1812. El servidor verifica las credenciales con un directorio backend y devuelve un mensaje Access-Accept o Access-Reject. Si se acepta, el AP desbloquea el puerto y el tráfico del cliente fluye libremente.

El framework AAA en la práctica

La Autenticación es el primer pilar: verificar la identidad de alguien. Cuando un dispositivo se conecta a un SSID WPA3-Enterprise, el servidor RADIUS comprueba las credenciales o el certificado presentados con la fuente de identidad configurada. Microsoft Entra ID, Okta y Google Workspace son los proveedores de identidad en la nube canónicos que se integran directamente con las plataformas modernas de Cloud RADIUS.

La Autorización es el segundo pilar: determinar qué puede hacer el usuario autenticado. El servidor RADIUS devuelve los atributos RADIUS al punto de acceso, siendo el más crítico el ID de VLAN. Un miembro del equipo de finanzas aterriza en la VLAN 10 con acceso a los sistemas internos. Un contratista aterriza en la VLAN 20 con acceso exclusivo a internet. Un invitado aterriza en la VLAN 30, aislado de todos los recursos corporativos. Esta asignación dinámica de VLAN es el mecanismo que permite una segmentación de red adecuada, un control obligatorio para el cumplimiento de PCI DSS en entornos de retail .

La Contabilidad (Accounting) es el tercer pilar: registrar lo que realmente sucedió. El servidor RADIUS registra las horas de inicio y finalización de la sesión, la duración de la misma, los datos transferidos y la dirección MAC de cada dispositivo. Según PCI DSS v4.0, este registro es un requisito estricto. En caso de un incidente de seguridad, estos registros son la base de cualquier investigación forense.

Selección del método EAP

La seguridad de la implementación de su servidor RADIUS depende en gran medida del método EAP seleccionado. Los tres métodos más comunes en WiFi empresarial son PEAP, EAP-TTLS y EAP-TLS.

PEAP-MSCHAPv2 es el método más implementado. Crea un túnel TLS cifrado utilizando un certificado del lado del servidor, dentro del cual el usuario se autentica con un nombre de usuario y contraseña. Es relativamente sencillo de implementar porque solo necesita gestionar un certificado: el del servidor. Sin embargo, si los dispositivos cliente no están configurados explícitamente para validar el certificado del servidor, son vulnerables a ataques de puntos de acceso no autorizados. Un atacante puede presentar un certificado fraudulento y capturar las credenciales. Esta es una amenaza real documentada, no teórica. Aplique una validación estricta de certificados mediante Objetos de Directiva de Grupo o perfiles MDM sin excepción.

EAP-TLS es el estándar de oro. Requiere certificados digitales tanto en el servidor RADIUS como en cada dispositivo cliente, eliminando las contraseñas por completo. Incluso si un atacante captura todo el intercambio de autenticación, no hay credenciales que extraer. La contrapartida es la sobrecarga administrativa: la implementación y gestión de certificados de cliente requiere una Infraestructura de Clave Pública (PKI) y una plataforma MDM como Microsoft Intune o Jamf. Para los dispositivos corporativos, EAP-TLS es el método de autenticación hacia el que debería avanzar. El Cloud RADIUS de Purple es compatible con EAP-TLS de forma nativa, con una gestión automatizada del ciclo de vida de los certificados.

Guía de implementación: nube frente a local (on-premises)

Al desplegar una arquitectura de servidor RADIUS, los equipos de TI deben elegir entre un despliegue alojado en la nube o local. Esta es la decisión arquitectónica de mayor repercusión en el proyecto.

RADIUS local (on-premises), utilizando plataformas como FreeRADIUS o Microsoft Network Policy Server (NPS), le ofrece un control total sobre la infraestructura. Para un único centro de gran tamaño (un estadio, un hospital o una instalación gubernamental), esta puede ser la opción adecuada. Las solicitudes de autenticación viajan a través de la LAN local, ofreciendo tiempos de respuesta de menos de un milisegundo. Si su directorio de identidad es un Active Directory local que no se puede exponer a Internet por razones de soberanía de datos, un servidor RADIUS local suele ser su única opción viable.

Sin embargo, para organizaciones con múltiples sedes, el RADIUS local introduce una sobrecarga operativa significativa. Deberá gestionar instancias de servidor independientes en cada ubicación, gestionar las renovaciones de certificados manualmente y responder a las caídas del servicio a las dos de la mañana cuando caduque un certificado. Para una cadena de tiendas con 50 ubicaciones, esto significa 50 instancias RADIUS independientes que parchear, monitorizar y mantener.

Cloud RADIUS cambia esto por completo. La infraestructura se aloja de forma global en múltiples zonas de disponibilidad. Cuando un usuario se conecta en una sucursal, la solicitud se enruta al nodo perimetral de la nube más cercano. La alta disponibilidad está integrada por defecto. La rotación de certificados está automatizada, lo que elimina la causa más común de caídas de autenticación en despliegues locales. Para organizaciones con múltiples sedes que disponen de proveedores de identidad nativos de la nube como Microsoft Entra ID, Okta o Google Workspace, Cloud RADIUS es casi siempre la mejor opción a nivel operativo.

Cloud RADIUS de Purple se integra directamente con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. Realice el despliegue en toda su infraestructura de hardware sin tener que sustituir ni un solo punto de acceso.

Despliegue paso a paso

Paso 1: Elija su modelo de despliegue. Audite tres factores: su proveedor de identidad actual y si es nativo de la nube; la resiliencia de su WAN en cada sede; y la capacidad de su equipo para gestionar el mantenimiento continuo. Estos tres factores determinan si la opción en la nube o local es la adecuada.

Paso 2: Integre su origen de identidad. Conecte su servidor RADIUS al directorio de identidad de su organización. La mayoría de las plataformas Cloud RADIUS admiten la integración directa con Microsoft Entra ID, Okta y Google Workspace a través de LDAP o SAML. Para Active Directory local, utilice LDAP a través de un conector seguro.

Paso 3: Configure el hardware de su red. Cree un nuevo SSID configurado para WPA2-Enterprise o WPA3-Enterprise y apúntelo a su servidor RADIUS. Configure el secreto compartido (la contraseña que cifra la comunicación entre el punto de acceso y el servidor RADIUS). Este secreto compartido debe coincidir exactamente en ambos lados. Una discrepancia es una de las causas más comunes de fallos de autenticación durante el despliegue inicial.

Paso 4: Defina las políticas de autorización. Asocie los grupos de usuarios de su directorio de identidad con las políticas de red. El personal obtiene acceso total en la VLAN 10. Los invitados obtienen acceso exclusivo a internet en la VLAN 20. Los dispositivos IoT obtienen una VLAN restringida con reglas de firewall que bloquean el movimiento lateral.

Paso 5: Incorpore a sus usuarios. Para el personal corporativo, despliegue perfiles de WiFi a través de su plataforma MDM. Para los invitados, utilice un Captive Portal. La plataforma Guest WiFi de Purple automatiza el flujo de incorporación de invitados, admitiendo el inicio de sesión a través de redes sociales, formularios de registro y códigos de cupón. El personal y los dispositivos corporativos se autentican de forma silenciosa a través de 802.1X, mientras que los invitados son dirigidos a un portal personalizado, un modelo de acceso por niveles que ofrece tanto seguridad como WiFi Analytics .

Para profundizar en la arquitectura de SSID en redes de invitados, personal e IoT, consulte Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi .

Buenas prácticas

Fuerce la validación estricta de certificados en cada dispositivo cliente. Utilice objetos de política de grupo para dispositivos Windows y perfiles MDM para macOS y dispositivos móviles. El perfil debe especificar exactamente en qué autoridad de certificación confiar y cuál es el nombre de servidor esperado. No deje esto a la elección del usuario para que lo configure manualmente. No aplicar esta medida es el principal vector de ataque para el robo de credenciales en despliegues PEAP.

Despliegue al menos dos instancias de servidor RADIUS. Configure todos los puntos de acceso para que realicen una conmutación por error al secundario si el principal deja de estar accesible. En el caso de Cloud RADIUS, esta redundancia está integrada y la gestiona el proveedor. Para instalaciones locales (on-premises), despliegue un clúster activo-activo en dos ubicaciones separadas geográficamente.

Utilice la omisión de autenticación MAC (MAB) para dispositivos IoT sin interfaz. Las impresoras, los sensores y la señalización digital no pueden presentar credenciales 802.1X. MAB permite la autenticación basada en la dirección MAC. Dado que las direcciones MAC se pueden suplantar fácilmente, asocie siempre los dispositivos autenticados por MAB con una VLAN restrictiva y reglas de firewall que bloqueen el acceso a los recursos corporativos.

Rote los secretos compartidos con regularidad. El secreto compartido entre sus puntos de acceso y su servidor RADIUS debe ser largo, aleatorio y rotarse periódicamente. Un secreto compartido débil o predeterminado debilita toda la cadena de autenticación.

Valide la segmentación con pruebas de penetración. La configuración por sí sola no constituye una prueba. Encargue una prueba de penetración que incluya explícitamente el entorno inalámbrico y la validación de la segmentación VLAN. Un evaluador debe intentar activamente acceder a los recursos corporativos desde la VLAN de invitados y documentar que todos los intentos son bloqueados. Esta es la prueba que su Qualified Security Assessor de PCI DSS necesita.

Resolución de problemas y mitigación de riesgos

Los fallos más comunes en los despliegues de servidores RADIUS se dividen en cuatro categorías.

Discrepancia en el secreto compartido. Si el secreto compartido configurado en el punto de acceso no coincide con el secreto del servidor RADIUS, todos los intentos de autenticación fallarán silenciosamente. Copie y pegue siempre los secretos compartidos en lugar de escribirlos manualmente. Verifique la configuración en ambos lados antes de realizar las pruebas.

Caducidad del certificado. En los despliegues locales, si el certificado del servidor caduca, todos los dispositivos cliente rechazarán la conexión. Esto provoca una interrupción total de la autenticación sin una degradación gradual. Los proveedores de Cloud RADIUS automatizan la rotación de certificados, eliminando este riesgo. Para despliegues locales, configure alertas de monitorización a los 60, 30 y siete días antes de la caducidad.

No se exige la validación del certificado del cliente. Si los clientes PEAP no están configurados para validar el certificado del servidor, se conectarán a cualquier servidor RADIUS que responda, incluidos los puntos de acceso no autorizados. Exija la validación de certificados mediante perfiles GPO o MDM en cada dispositivo gestionado.

Dependencia de la red WAN para Cloud RADIUS. Cloud RADIUS depende por completo del enlace WAN de cada establecimiento. Si la conexión a Internet se cae, la autenticación falla. Implemente una estrategia de supervivencia local: configure los puntos de acceso para almacenar en caché las credenciales del personal crítico o utilice SD-WAN para garantizar la alta disponibilidad del enlace de Internet. Configure siempre una política de respaldo, ya sea el acceso abierto a una VLAN restringida o credenciales almacenadas localmente en caché.

ROI e impacto empresarial

El despliegue de una arquitectura de servidor RADIUS transforma la red inalámbrica de una vulnerabilidad a un activo gestionado y seguro con beneficios operativos medibles.

Para un grupo hotelero europeo con 45 propiedades, la migración de 45 instancias locales de FreeRADIUS a Cloud RADIUS recuperó aproximadamente el 40 % del tiempo de mantenimiento del equipo de TI central (datos internos de Purple). Se trata de capacidad de ingeniería redirigida del mantenimiento básico a iniciativas estratégicas.

Para una cadena minorista que se prepara para una auditoría de PCI DSS, la segmentación de red adecuada mediante la asignación dinámica de VLAN elimina por completo la red WiFi de invitados del alcance del Entorno de Datos de Tarjetas de Pago. Las plataformas como Guest WiFi de Purple funcionan en la VLAN orientada a los invitados, completamente aisladas del tráfico de pago. La plataforma de análisis queda fuera del alcance de PCI y la empresa conserva la libertad de desplegar herramientas que generen ingresos (análisis de invitados, programas de fidelización, captación de clientes) de forma segura y fiable.

Para organizaciones con más de 10 sedes y menos de cinco ingenieros de red, el gasto operativo predecible de Cloud RADIUS suele ofrecer un retorno de la inversión positivo en un plazo de 18 meses en comparación con el mantenimiento de la infraestructura local (datos internos de Purple). La adquisición de hardware, la energía, la refrigeración y el tiempo de ingeniería para implementaciones locales a escala superan sistemáticamente el coste de suscripción de un servicio gestionado de Cloud RADIUS.

Purple opera en más de 80.000 recintos activos con un tiempo de actividad del 99,999 %, certificación ISO 27001, conformidad con GDPR y CCPA, y certificación Cyber Essentials. Para los equipos de TI que necesitan demostrar la diligencia debida a su junta directiva o auditores, estas certificaciones proporcionan la validación de terceros que una implementación local autogestionada no puede ofrecer.

Para obtener una comparación detallada de Cloud RADIUS de Purple frente a otras plataformas alternativas, consulte la comparación de funciones y coimplementación de Aruba ClearPass frente a Purple WiFi .

Definiciones clave

Server RADIUS

Remote Authentication Dial-In User Service. Un servidor de protocolo de red que proporciona una gestión centralizada de Autenticación, Autorización y Contabilidad (AAA) para el acceso a la red. Definido en RFC 2865 y ampliado por RFC posteriores.

El motor central que valida las credenciales de los usuarios contra un directorio y dicta las políticas de acceso a la red. Todo despliegue de WiFi empresarial que utilice 802.1X requiere un server RADIUS.

802.1X

Un estándar de la IEEE para el control de acceso a la red basado en puertos que proporciona un mecanismo de autenticación para los dispositivos que desean conectarse a una LAN o WLAN. Define los roles de Suplicante, Autenticador y Servidor de Autenticación.

El estándar que los puntos de acceso utilizan para comunicarse con el servidor RADIUS. Sin 802.1X, no existe ningún mecanismo para bloquear dispositivos no autenticados en el extremo de la red.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Un método de autenticación que requiere certificados digitales tanto en el dispositivo cliente como en el servidor RADIUS. Proporciona autenticación mutua sin necesidad de contraseña.

El estándar de oro para autenticar dispositivos corporativos. Elimina el robo de credenciales y los ataques de phishing. Requiere una infraestructura PKI y una plataforma MDM para implementar certificados de cliente a escala.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol con Microsoft Challenge Handshake Authentication Protocol versión 2. Utiliza un certificado TLS del lado del servidor para crear un túnel cifrado, dentro del cual el usuario se autentica con un nombre de usuario y contraseña.

El método de autenticación de WiFi empresarial más común. Solo es seguro cuando los clientes están configurados explícitamente para validar el certificado del servidor mediante directivas GPO o perfiles MDM.

Asignación dinámica de VLAN

El proceso mediante el cual un servidor RADIUS indica a un punto de acceso que sitúe a un usuario autenticado en una Red de Área Local Virtual (VLAN) específica, en función de su identidad y pertenencia a grupos en el directorio.

El mecanismo que aplica la segmentación de red. Esencial para el cumplimiento de PCI DSS en los sectores de retail y hostelería. Permite que un único SSID preste servicio a empleados, contratistas, invitados y dispositivos IoT en segmentos de red independientes.

Marco AAA

Autenticación, Autorización y Contabilidad. El marco de tres pilares implementado por el servidor RADIUS para gestionar el acceso a la red. La Autenticación verifica la identidad, la Autorización determina el nivel de acceso y la Contabilidad registra la actividad de la sesión.

La base conceptual de todas las implementaciones de servidor RADIUS. PCI DSS v4.0 requiere la implementación de los tres pilares para las redes que gestionan datos de pago.

Suplicante

El dispositivo cliente (ordenador portátil, smartphone, sensor IoT) que solicita acceso a la red presentando credenciales o un certificado al Autenticador.

El endpoint que debe responder al desafío de autenticación del servidor RADIUS. Comprender qué componente está fallando es la base para una resolución de problemas eficaz.

Captive Portal

Una página web con la que los usuarios deben interactuar antes de que se les conceda acceso a una red WiFi pública. Gestiona la experiencia de registro orientada al usuario, mientras que el servidor RADIUS se encarga de la autenticación de back-end y la aplicación de políticas de sesión.

Utilizado para el registro de invitados en entornos de hostelería, retail y recintos. Funciona junto con el servidor RADIUS: el portal es la interfaz de usuario, el servidor RADIUS es el motor de back-end.

Bypass de autenticación MAC (MAB)

Un mecanismo que permite autenticar dispositivos sin capacidad 802.1X (impresoras, sensores IoT, señalización digital) en función de su dirección MAC en lugar de credenciales o certificados.

Necesario para dispositivos sin pantalla o interfaz de usuario que no pueden ejecutar un suplicante 802.1X. Dado que las direcciones MAC son fáciles de suplantar, los dispositivos autenticados mediante MAB deben ubicarse siempre en una VLAN muy restringida.

Secreto compartido

Una contraseña que cifra la comunicación entre un punto de acceso (cliente RADIUS) y el servidor RADIUS. Debe configurarse de manera idéntica en ambos lados y renovarse periódicamente.

Una discrepancia en el secreto compartido es una de las causas más comunes de fallos de autenticación durante la implementación inicial. Copie y pegue siempre en lugar de escribir de forma manual.

Ejemplos prácticos

Un hotel de 200 habitaciones necesita proteger los dispositivos de su personal mediante 802.1X, al tiempo que ofrece un acceso aislado a la red WiFi para huéspedes. El sistema de gestión del establecimiento se ejecuta en los dispositivos del personal y no debe ser accesible desde la red de huéspedes. El hotel forma parte de un grupo de 45 establecimientos gestionado por un equipo de TI central de tres personas.

Desplegar Cloud RADIUS de Purple integrado con Microsoft Entra ID. Configurar un SSID para el personal que utilice WPA3-Enterprise con EAP-TLS, distribuyendo certificados de cliente a todos los dispositivos del personal a través de Microsoft Intune. Configurar el server RADIUS para asignar dinámicamente los dispositivos del personal a la VLAN 10, que tiene acceso al sistema de gestión del establecimiento y a las impresoras internas. Desplegar un SSID independiente para huéspedes que utilice WPA2-Personal con un Captive Portal para el registro, asignado a la VLAN 20 con acceso exclusivo a Internet y reglas de cortafuegos estrictas que bloqueen todo el tráfico hacia la VLAN 10. El Cloud RADIUS gestiona los 45 establecimientos desde un único panel de control, y la rotación automática de certificados elimina los costes de mantenimiento por sede que antes consumían el 40 % del tiempo del equipo.

Comentario del examinador: Este escenario ilustra el valor fundamental de Cloud RADIUS para la hostelería multisede. El server RADIUS gestiona la autenticación del personal mediante EAP-TLS, proporcionando la seguridad más sólida disponible para los dispositivos que acceden a sistemas operativos confidenciales. El Captive Portal gestiona el registro de huéspedes por separado, y el aislamiento de VLAN garantiza que la red de huéspedes quede fuera del alcance de PCI DSS. El modelo de despliegue en la nube es el factor decisivo para un equipo de tres personas que gestiona 45 propiedades; un despliegue local requeriría mantener 45 instancias independientes.

Una cadena de tiendas de retail con 50 establecimientos sufre frecuentes interrupciones de autenticación causadas por certificados caducados en sus servidores FreeRADIUS locales. Las tablets de punto de venta (TPV) se autentican mediante 802.1X y cada interrupción impide al personal procesar pagos hasta que el certificado se renueva manualmente. El director de TI quiere eliminar este punto de fallo antes del próximo periodo de máxima actividad comercial.

Migrar de las 50 instancias locales de FreeRADIUS a una plataforma Cloud RADIUS centralizada. Integrar el Cloud RADIUS con el directorio corporativo de Okta. Actualizar las configuraciones de los puntos de acceso en las 50 ubicaciones para que apunten a los nuevos endpoints de Cloud RADIUS. Configurar la asignación dinámica de VLAN para ubicar las tablets TPV en la VLAN 10 (red de pagos) y los dispositivos del personal en la VLAN 20 (red corporativa). El proveedor en la nube gestiona automáticamente toda la rotación de certificados del servidor. Validar la segmentación de VLAN entre la red de pagos y la red WiFi de huéspedes con una prueba de penetración antes del próximo ciclo de auditoría.

Comentario del examinador: La causa principal de las interrupciones es la gestión manual de certificados en 50 instancias locales independientes, un riesgo operativo clásico para las infraestructuras de TI distribuidas del sector retail. Cloud RADIUS elimina esto al automatizar la gestión del ciclo de vida de los certificados. La migración también centraliza la gestión de políticas, lo que significa que un cambio de política se despliega en las 50 ubicaciones simultáneamente en lugar de requerir actualizaciones manuales en cada sede. La recomendación de la prueba de penetración aborda el requisito de PCI DSS de validar la segmentación, no solo de configurarla.

Preguntas de práctica

Q1. Un local comercial se está preparando para una auditoría PCI DSS v4.0. Actualmente gestionan un único SSID con una clave precompartida tanto para las tablets de TPV del personal como para el acceso de invitados. El Asesor de Seguridad Cualificado ha señalado esto como un hallazgo crítico. ¿Cuál es el cambio arquitectónico inmediato requerido y qué función de servidor RADIUS es central para la remediación?

Sugerencia: Concéntrese en la segmentación de red y en la función específica de RADIUS que la aplica de forma dinámica.

Ver respuesta modelo

El local debe desplegar un servidor RADIUS para implementar la autenticación 802.1X y reemplazar la PSK compartida. La función central es la asignación dinámica de VLAN: el servidor RADIUS debe configurarse para colocar las tablets TPV en una VLAN de pago y a los invitados en una VLAN aislada solo para internet, con reglas de firewall estrictas que impidan que el tráfico se cruce entre ellas. El SSID de invitados debe utilizar un Captive Portal para la incorporación. La segmentación debe validarse con una prueba de penetración, no solo con una revisión de la configuración, para cumplir con el Requisito 11 de PCI DSS.

Q2. Una empresa con 30 sucursales está decidiendo entre Cloud RADIUS y un servidor RADIUS local. Tienen un pequeño equipo de TI central de cuatro ingenieros, utilizan Okta para la gestión de identidades y no tienen requisitos de soberanía de datos. ¿Qué modelo de despliegue se recomienda y cuál es la principal justificación operativa?

Sugerencia: Evalúe los costes de mantenimiento de gestionar 30 instancias independientes frente a un servicio en la nube centralizado.

Ver respuesta modelo

Se recomienda encarecidamente Cloud RADIUS. Con 30 centros y cuatro ingenieros, desplegar y mantener 30 instancias de servidor RADIUS locales consumiría una parte desproporcionada de la capacidad del equipo. Cloud RADIUS se integra de forma nativa con Okta, automatiza la rotación de certificados y proporciona alta disponibilidad integrada sin necesidad de que el equipo gestione la infraestructura subyacente. La ausencia de requisitos de soberanía de datos elimina la principal justificación para el despliegue local. El equipo debe configurar los puntos de acceso con una política de respaldo (fallback) para gestionar la dependencia de la WAN con elegancia.

Q3. Durante un despliegue de PEAP-MSCHAPv2, los usuarios informan de advertencias de certificados de seguridad en sus dispositivos al conectarse al SSID corporativo de la WiFi. Algunos usuarios ignoran las advertencias y se conectan de todos modos. ¿Cuál es el riesgo de seguridad y qué paso de configuración se omitió?

Sugerencia: Considere qué ocurre cuando un cliente no valida el certificado del servidor y cómo podría explotar esto un atacante.

Ver respuesta modelo

El riesgo de seguridad es un ataque de punto de acceso no autorizado (rogue access point). Sin una validación de certificado obligatoria, el dispositivo de un cliente se conectará a cualquier servidor RADIUS que responda, incluido uno operado por un atacante. El atacante presenta un certificado fraudulento, el usuario acepta la advertencia y el atacante captura el nombre de usuario y la contraseña dentro del túnel PEAP. El paso de configuración omitido es el despliegue de perfiles MDM (para macOS y móviles) y Objetos de Directiva de Grupo (para Windows) que especifiquen explícitamente la Entidad de Certificación de confianza y el nombre de servidor esperado. Nunca se debe dejar que los usuarios tomen decisiones de confianza de certificados de forma manual.

Q4. Un estadio con 68.000 asientos necesita autenticar los dispositivos del personal durante un evento importante en el que 40.000 dispositivos pueden intentar conectarse en un intervalo de 30 minutos. El equipo de TI tiene requisitos estrictos de soberanía de datos: todos los registros de autenticación deben permanecer en suelo del Reino Unido. ¿Qué modelo de despliegue se recomienda y qué arquitectura específica responde al requisito de tráfico en ráfaga?

Sugerencia: Considere las ventajas de latencia y rendimiento de la autenticación local frente a las solicitudes enrutadas por la nube en condiciones de ráfaga de tráfico.

Ver respuesta modelo

Se recomienda un servidor RADIUS on-premises debido al requisito de soberanía de datos y a la extrema carga de autenticación por ráfagas. La arquitectura recomendada es un clúster RADIUS on-premises dual en configuración activo-activo, con un clúster secundario en una instalación de coubicación dentro del Reino Unido. La autenticación local ofrece tiempos de respuesta inferiores al milisegundo y elimina la dependencia de la WAN que crearía un cuello de botella durante los picos de actividad. El clúster activo-activo proporciona redundancia sin depender de la conectividad a Internet. Los registros de autenticación permanecen en suelo británico, cumpliendo con el requisito de soberanía de datos.

Continúe leyendo esta serie

Aruba ClearPass vs. Purple WiFi: comparativa de funciones y codespliegue

Una guía técnica exhaustiva que detalla la arquitectura de codespliegue de Aruba ClearPass y Purple WiFi. Cubre la configuración de proxy RADIUS, la asignación dinámica de VLAN y las mejores prácticas para ofrecer redes de invitados seguras y basadas en analítica junto con el NAC empresarial.

Cisco ISE vs. Purple WiFi: How They Compare and Work Together

Esta guía explica cómo Cisco ISE y Purple WiFi desempeñan funciones distintas pero complementarias en las redes empresariales. Detalla cómo utilizar Cisco ISE para un acceso corporativo 802.1X seguro, al tiempo que se aprovecha Purple para ofrecer un WiFi de invitados que cumpla con el GDPR, análisis de marketing e integración con CRM.

EAP-TLS vs EAP-TTLS: ¿Qué protocolo de WiFi basado en certificados debería elegir?

Esta guía proporciona una comparación definitiva y directa entre EAP-TLS y EAP-TTLS para la autenticación WiFi empresarial bajo IEEE 802.1X. Explica la diferencia arquitectónica entre la autenticación de certificados mutua y el túnel de certificados solo de servidor, y ofrece a los responsables de TI, arquitectos de red y CISOs un marco de decisión claro basado en las capacidades de gestión de dispositivos y los requisitos de cumplimiento. Purple admite las rutas de autenticación EAP-TLS y EAP-TTLS para el WiFi del personal (Staff WiFi), y esta guía ayuda a las organizaciones a comprender las compensaciones de infraestructura antes de comprometerse con cualquiera de los dos enfoques.