Saltar al contenido principal

Captive Portal de WiFi para el personal: Incorporación y autenticación de empleados

Una referencia técnica completa para líderes de TI sobre el diseño e implementación de portales cautivos de WiFi para el personal. Esta guía cubre la autenticación EAP-TLS, la incorporación de BYOD, la segmentación de VLAN y la gestión del ancho de banda para mejorar la eficiencia operativa y mitigar los riesgos de seguridad.

📖 6 min de lectura📝 1,263 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast
Staff WiFi Captive Portal: Onboarding and Authenticating Employees Una sesión informativa de Purple Enterprise WiFi Intelligence [INTRODUCCIÓN - aproximadamente 1 minuto] Bienvenido a la serie Purple Enterprise WiFi Intelligence. Hoy abordaremos un tema que se encuentra en la intersección de la seguridad, las operaciones de recursos humanos y la arquitectura de red: el Captive Portal para el personal. Ahora, sé lo que algunos de ustedes podrían estar pensando. ¿Un Captive Portal para el personal? ¿No es eso lo que se usa para los invitados? Y ese es exactamente el error que debemos abordar desde el principio. Un Captive Portal para el personal de WiFi no es una página de bienvenida para invitados con un logotipo diferente. Es una puerta de enlace de incorporación estructurada que autentica a los empleados de forma individual, aplica la aceptación de políticas y registra los dispositivos antes de otorgar acceso a su red operativa. Si lo hace bien, eliminará la mayor vulnerabilidad en la mayoría de las implementaciones de WiFi empresariales: la clave precompartida compartida. Si lo hace mal, tendrá a ex-empleados, contratistas y dispositivos personales en su red de personal indefinidamente. Comencemos con la arquitectura. [PROFUNDIZACIÓN TÉCNICA - aproximadamente 5 minutos] El problema fundamental con la mayoría de las implementaciones de WiFi para el personal es la contraseña compartida. Una única clave precompartida WPA2, escrita en una nota adhesiva en la oficina trasera, compartida en un grupo de WhatsApp y que nunca se cambia cuando alguien se va. En un hotel de 200 habitaciones con 80 miembros del personal, esa contraseña se ha compartido con aproximadamente 80 personas, sus parejas que tomaron prestado su teléfono y al menos tres ex-empleados. Eso no es una red. Eso es una puerta abierta. El Captive Portal para el personal de WiFi resuelve esto al reemplazar la credencial compartida con un flujo de incorporación con identidad verificada. Así es como funciona en la práctica. Cuando un nuevo empleado conecta su dispositivo a la red del personal por primera vez, ingresa a un SSID de aprovisionamiento. Esta es una red abierta, pero es un entorno restringido: solo dirige al portal de incorporación y a su proveedor de identidad. Nada más. El empleado es redirigido al Captive Portal, donde se autentica utilizando su identidad corporativa. En la mayoría de los entornos empresariales actuales, eso significa Single Sign-On a través de Microsoft Entra ID, Okta o Google Workspace. Una vez que el proveedor de identidad confirma que el empleado está activo y en el grupo correcto, el portal hace una de dos cosas según su arquitectura de autenticación. En una implementación basada en credenciales que utiliza PEAP y MSCHAPv2, el portal valida las credenciales y emite un token de acceso a la red. En una implementación basada en certificados que utiliza EAP-TLS, el portal activa la generación de certificados. Su autoridad de certificación emite un certificado X.509 específico para el dispositivo, que se empaqueta en un perfil de configuración (un archivo .mobileconfig en iOS o un perfil Passpoint en Android) y se envía al dispositivo. El dispositivo instala el perfil, se desconecta del SSID de aprovisionamiento y se conecta automáticamente al SSID seguro del personal utilizando el certificado para la autenticación EAP-TLS. A partir de ese momento, cada vez que el dispositivo se conecta a la red del personal, el servidor RADIUS valida el certificado. Sin solicitudes de contraseña. Sin inicio de sesión manual. El dispositivo simplemente se conecta, de forma silenciosa y segura. Ahora hablemos de por qué EAP-TLS es el estado ideal para la mayoría de las implementaciones empresariales. El estándar IEEE 802.1X define el marco de trabajo, pero EAP-TLS es el método que elimina por completo el robo de credenciales del proceso de autenticación. No hay contraseña que pescar con phishing. No hay hash que descifrar por fuerza bruta. El certificado está vinculado al dispositivo. Si el dispositivo se pierde o es robado, se revoca el certificado en su Autoridad de Certificación y el servidor RADIUS deniega el acceso en el siguiente intento de conexión. Si el empleado deja la empresa, se deshabilita su cuenta en el proveedor de identidad, y como el certificado se emitió contra esa identidad, la integración SCIM propaga la desvinculación automáticamente. El acceso termina cuando la persona lo hace. Esta es la arquitectura que las organizaciones como Premier Inn y Whitbread necesitan al administrar cientos de propiedades con miles de dispositivos del personal en un patrimonio distribuido. No se puede administrar eso a escala con contraseñas compartidas y revocación manual. Abordemos también la dimensión de BYOD, porque aquí es donde el Captive Portal se vuelve particularmente valioso. En la mayoría de los entornos de hospitalidad, retail y eventos, una proporción significativa de personal utiliza dispositivos personales para tareas operativas. El personal de limpieza revisa las asignaciones de habitaciones en sus propios teléfonos inteligentes. El personal de ventas de retail utiliza tablets personales para consultar el inventario. Los equipos de operaciones de estadios utilizan teléfonos personales para comunicarse. Estos son dispositivos no administrados. No se controla la versión de su sistema operativo, su estado de antivirus o qué otras aplicaciones tienen instaladas. Deben tratarse como semi-confiables en el mejor de los casos. El Captive Portal de la WiFi del personal maneja el BYOD colocando estos dispositivos en una VLAN dedicada después de la autenticación. La VLAN les da acceso a las aplicaciones internas específicas que necesitan - el sistema de gestión de propiedades, la interfaz de punto de venta, la aplicación de programación - y nada más. No pueden acceder a sus servidores corporativos, sus sistemas financieros o su red de dispositivos administrados. Esta es la segmentación de VLAN aplicada a nivel RADIUS, y es la implementación práctica del principio de zero-trust: verificar la identidad y luego otorgar el acceso mínimo requerido. Un elemento arquitectónico más que vale la pena cubrir: la Política de Uso Aceptable, o AUP. El captive portal es el punto de aplicación natural para la aceptación de la AUP. Antes de que un empleado obtenga acceso a la red del personal, el portal presenta la política (que cubre el uso aceptable, el monitoreo, el manejo de datos y las consecuencias del mal uso) y requiere un reconocimiento explícito. Esto crea un registro auditable y con marca de tiempo de la aceptación de la política. Bajo el GDPR, esto importa. Bajo PCI-DSS, para cualquier red que toque datos de titulares de tarjetas, esto importa. Y en caso de una investigación disciplinaria que involucre el mal uso de la red, esto importa considerablemente. Ahora, el ancho de banda. Aquí es donde Purple Shield se vuelve directamente relevante. En entornos de personal de alta densidad (un hotel durante un fin de semana lleno, una tienda minorista en Black Friday, un estadio en día de partido), la saturación del ancho de banda en la red del personal es un problema operativo real. Purple Shield funciona a nivel de DNS, bloqueando cargas de anuncios, scripts de seguimiento y dominios de malware antes de que lleguen al dispositivo. El efecto práctico es una reducción de hasta el 40% en el total de datos descargados en toda la red, según los propios datos de Purple. Para los dispositivos del personal, eso significa cargas de página más rápidas, menor consumo de batería del dispositivo y más ancho de banda disponible para el tráfico operativo. Las páginas se cargan hasta 3.5 veces más rápido cuando las más de 120 consultas de DNS típicas de una página cargada de anuncios se eliminan antes de que lleguen a la red. Obtiene esa mejora sin tocar el hardware, sin reconfigurar los puntos de acceso y sin ninguna configuración por dispositivo. [RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES - aproximadamente 2 minutos] Permítame darle la secuencia de implementación y los modos de falla que debe vigilar. Comience con su arquitectura de VLAN antes de configurar un solo punto de acceso. Defina tres VLANs como mínimo: personal, invitados e IoT. Trace sus políticas de firewall. Obtenga la aprobación de su equipo de seguridad. Los errores más costosos en las implementaciones de WiFi ocurren cuando primero se construye la red y luego se añade la arquitectura de seguridad. Segundo, implemente su infraestructura RADIUS con redundancia. Una sola falla en el servidor RADIUS bloquea a todos los miembros del personal fuera de la red simultáneamente. En un hotel, eso significa que la recepción no puede procesar los registros de entrada. En una tienda minorista, eso significa que los sistemas de punto de venta no pueden autenticarse. Implemente al menos dos servidores RADIUS en una configuración activa - pasiva y pruebe la tolerancia a fallas antes de entrar en producción. Tercero, integre su servidor RADIUS con su proveedor de identidad a través de LDAP o SAML. Esto es lo que permite la desvinculación automática. Cuando se deshabilita a un empleado en Microsoft Entra ID u Okta, el servidor RADIUS deja de aceptar sus credenciales o su certificado en el siguiente intento de conexión. Sin pasos manuales, sin filas de tickets, sin brechas entre la salida y la revocación del acceso. En cuarto lugar, diseñe el flujo de incorporación de su captive portal para el usuario menos técnico de su equipo. No para el gerente de TI. Piense en el operativo de almacén temporal que nunca ha instalado un perfil de configuración. Instrucciones claras, interfaz personalizada con su marca y un número de contacto de soporte técnico visible en cada pantalla. Ahora, los errores comunes. El fallo más habitual es que el walled garden sea demasiado permisivo. Si su SSID de aprovisionamiento permite el acceso general a Internet, el personal simplemente se quedará ahí en lugar de completar el flujo de incorporación. Bloquéelo únicamente para el portal, los endpoints del proveedor de identidad y el servidor de descarga de certificados. Nada más. El segundo error común es la fragmentación de Android. iOS gestiona los perfiles dot-mobileconfig de forma consistente. Android no. Los diferentes fabricantes y versiones del sistema operativo manejan la instalación de certificados de manera distinta. Pruebe su flujo de incorporación en los dispositivos Android específicos que su personal realmente utiliza antes de implementarlo. Passpoint, también conocido como Hotspot 2.0, mejora significativamente la experiencia en Android al permitir la detección automática de redes y la autenticación después de la configuración inicial. El tercer error común es la expiración del certificado. Emita certificados de corta duración - 90 días es un valor predeterminado razonable para dispositivos BYOD. Cuando el certificado expira, el dispositivo debe volver a realizar la incorporación a través del portal. Esto elimina de forma natural los dispositivos inactivos de la red y fuerza la autenticación frente al estado actual del proveedor de identidad. Un dispositivo que pertenezca a un antiguo empleado cuya cuenta fue desactivada hace seis meses fallará automáticamente en la reincorporación. [PREGUNTAS Y RESPUESTAS RÁPIDAS - aproximadamente 1 minuto] Algunas preguntas que escuchamos con frecuencia. "¿Podemos usar iPSK en lugar de 802.1X completo?" Sí, para entornos donde la implementación de certificados no es viable. iPSK, o Identity Pre-Shared Key, asigna una contraseña de WiFi única a cada usuario o dispositivo. Es más seguro que una PSK compartida porque cada credencial es individual y revocable. Es menos seguro que EAP-TLS porque sigue basándose en contraseñas. Úselo como un paso intermedio, no como el destino final. "¿Necesitamos WPA3 si ya contamos con WPA2-Enterprise?" Si su hardware lo soporta, sí. WPA3-Enterprise introduce Simultaneous Authentication of Equals, lo que elimina los ataques de diccionario fuera de línea contra el handshake. El costo de migración en el hardware compatible es solo un cambio de configuración. La mejora en seguridad es sustancial. "¿Cómo manejamos a los contratistas que no tienen una identidad corporativa?" Utilice iPSK o una credencial de invitado con límite de tiempo emitida a través del portal. Establezca una fecha de expiración que coincida con la fecha de finalización del contrato. La plataforma de Purple admite credenciales de acceso con límite de tiempo de forma nativa. [RESUMEN Y PRÓXIMOS PASOS - aproximadamente 1 minuto] Permítame resumir esto. Un Captive Portal de WiFi para el personal no es una función de conveniencia. Es el punto de aplicación de la verificación de identidad, la aceptación de políticas, el registro de dispositivos y el control de acceso en su red operativa. La clave precompartida compartida es un riesgo de cumplimiento y una vulnerabilidad de seguridad. Reemplácela con un flujo de incorporación con verificación de identidad, segmentación de VLAN y autenticación basada en RADIUS. Sus siguientes pasos inmediatos: audite su método de autenticación actual de la red de personal. Si está utilizando una PSK compartida, esa es su mitigación de mayor prioridad. Si utiliza 802.1X basado en credenciales, evalúe la transición a EAP-TLS basado en certificados. Y si no tiene Purple Shield implementado en su red de personal, la reducción del ancho de banda por sí sola justifica la conversación. Para obtener guías de implementación, plantillas de arquitectura y casos de estudio de las implementaciones de Purple en 80,000 establecimientos en vivo, visite purple.ai. Gracias por su atención.

header_image.png

Resumen Ejecutivo

Para los administradores de TI y arquitectos de red en los sectores de hotelería, retail y grandes recintos públicos, gestionar el acceso a la red para los dispositivos de los empleados presenta desafíos operativos y de seguridad significativos. Depender de claves compartidas (PSKs) es fundamentalmente inseguro y genera una carga operativa, permitiendo que excolaboradores y dispositivos no gestionados mantengan el acceso a la red de forma indefinida. Esta guía describe un enfoque práctico y seguro para incorporar el WiFi del personal mediante un flujo de Captive Portal integrado con su proveedor de identidad. Al aprovechar esta arquitectura, puede guiar de forma segura a los dispositivos BYOD no gestionados hacia una red 802.1X, aplicar políticas de uso aceptable y mantener el cumplimiento, todo sin la fricción que supone un registro completo en un sistema de gestión de dispositivos móviles (MDM). Para los recintos que ya utilizan Guest WiFi y WiFi Analytics , extender la incorporación segura a los dispositivos de los empleados proporciona una estrategia de gestión de red unificada y sólida.

Escuche esta Guía

Análisis Técnico Detallado

La base de una incorporación segura de empleados es la transición de los métodos de autenticación heredados a EAP-TLS (Extensible Authentication Protocol-Transport Layer Security). EAP-TLS es el estándar de la industria para la autenticación segura de WiFi, el cual se basa en certificados digitales en lugar de contraseñas. El desafío con las redes de empleados, particularmente en entornos BYOD, es distribuir estos certificados a los dispositivos no gestionados.

Flujo de Incorporación de Autoservicio

Para lograr esto, los recintos implementan un portal de incorporación de autoservicio. Este proceso sigue una ruta estructurada para garantizar la entrega segura de credenciales:

  1. Conexión Inicial: El usuario conecta su dispositivo personal a un SSID de aprovisionamiento abierto y dedicado. Esta red actúa como un entorno cerrado (walled garden), restringiendo el acceso a todo excepto al portal de incorporación y al proveedor de identidad (IdP).
  2. Autenticación: El usuario es redirigido al Captive Portal, donde se autentica con sus credenciales corporativas. Esto implica la integración de SAML o SCIM con IdPs como Microsoft Entra ID, Okta o Google Workspace.
  3. Generación de Certificados: Una vez que la autenticación es exitosa, el sistema genera un certificado de cliente único y específico para el dispositivo.
  4. Instalación del Perfil: Se envía un perfil de configuración al dispositivo. Este perfil contiene el certificado de cliente, el certificado de la CA raíz y los ajustes de configuración de red para el SSID seguro de 802.1X.
  5. Conexión segura: El dispositivo se desconecta automáticamente del SSID de aprovisionamiento y se conecta al SSID corporativo seguro utilizando el certificado recién instalado para la autenticación EAP-TLS.

byod_onboarding_flow.png

Por qué las PSK compartidas fallan en las redes de empleados

Históricamente, los establecimientos han dependido de Pre-Shared Keys (PSK) para el acceso de los empleados. Este enfoque tiene fallas fundamentales en un entorno empresarial moderno. Las PSK, una vez compartidas, representan un riesgo de seguridad. No ofrecen responsabilidad individual y, si un dispositivo se pierde o un empleado se va, se requiere cambiar la contraseña en toda la red. En un hotel de 200 habitaciones con 80 empleados, es probable que una contraseña compartida se haya compartido con aproximadamente 80 personas, sus parejas y al menos tres exempleados. Eso no es una red segura; es una puerta abierta.

authentication_methods_comparison.png

Guía de implementación

Implementar un Captive Portal de WiFi seguro para empleados requiere una planificación y ejecución cuidadosas. Siga estos pasos para una implementación exitosa en entornos de hospitalidad, retail o estadios.

Paso 1: Definir políticas de acceso y segmentación

Antes de configurar la infraestructura técnica, defina claramente a qué deben tener permitido acceder los dispositivos de los empleados. Los dispositivos BYOD no están gestionados; usted no tiene control sobre las actualizaciones de su sistema operativo, el estado del antivirus o las aplicaciones instaladas. Por lo tanto, deben tratarse como dispositivos no confiables.

Coloque los dispositivos de los empleados en una VLAN dedicada. Esta VLAN debe proporcionar acceso a internet y restringir el acceso únicamente a las aplicaciones internas específicas requeridas para el rol del empleado, como una interfaz web de punto de venta minorista o una aplicación de limpieza de hospitalidad. Nunca coloque dispositivos BYOD en la misma VLAN que los servidores corporativos o los dispositivos gestionados. Para obtener más información sobre cómo proteger las redes de back-of-house, consulte nuestra guía sobre Políticas de WiFi para el personal de retail: protección de la red back-of-house o la versión en portugués Políticas de WiFi para Colaboradores no Retalho: Proteger as Redes Back-of-House .

Paso 2: Configurar el servidor RADIUS y la integración del IdP

Su servidor RADIUS es el corazón del proceso de autenticación 802.1X. Debe configurarse para admitir EAP-TLS e integrarse con su proveedor de identidad.

Conecte su servidor RADIUS a su IdP a través de SAML o LDAP. Esto garantiza que solo los empleados activos puedan autenticarse y recibir certificados. Cuando se cancela la cuenta de un empleado en Microsoft Entra ID u Okta, el servidor RADIUS dejará de aceptar sus credenciales o certificados en el siguiente intento de conexión. Establezca una CA interna o aproveche una PKI alojada en la nube para emitir certificados de cliente. El servidor RADIUS debe confiar en esta CA.

Paso 3: Diseñar el portal de incorporación y hacer cumplir la AUP

El portal de incorporación es el primer punto de interacción del usuario con el sistema. Debe ser intuitivo y tener una marca clara. Proporcione instrucciones paso a paso en la pantalla del portal. Los usuarios deben saber exactamente en qué hacer clic y qué esperar a continuación.

El Captive Portal es un punto de aplicación natural para la aceptación de la Política de Uso Aceptable (AUP) obligatoria. Antes de que los empleados accedan a la red del personal, el portal presenta la política y requiere una aceptación explícita. Esto crea un registro de aceptación de la política con marca de tiempo y auditable, lo cual es fundamental para el cumplimiento de GDPR y PCI-DSS.

Mejores prácticas

Para garantizar un despliegue seguro y gestionable, siga estas mejores prácticas de la industria.

Implementar certificados de corta duración

Debido a que los dispositivos BYOD no están gestionados, existe un mayor riesgo de que permanezcan dispositivos comprometidos en la red. Mitigue este riesgo emitiendo certificados de corta duración. En lugar de emitir certificados válidos por tres años, emita certificados válidos por 90 días. Cuando el certificado expire, el usuario debe volver a autenticarse a través del portal de incorporación. Esto depura de forma natural los dispositivos inactivos de la red y garantiza que solo los empleados activos mantengan el acceso.

Aprovechar Passpoint (Hotspot 2.0)

Para una experiencia de incorporación sin fricciones, especialmente en dispositivos Android, aproveche Passpoint. Passpoint permite que los dispositivos detecten y se autentiquen automáticamente en redes seguras sin necesidad de que el usuario seleccione manualmente el SSID o interactúe con un captive portal después de la configuración inicial. Esto reduce significativamente la fricción y mejora la experiencia del usuario.

Utilizar Purple Shield para la gestión del ancho de banda

En entornos de empleados de alta densidad, la saturación del ancho de banda en la red de personal es un problema operativo real. Purple Shield opera a nivel de DNS, bloqueando cargas de anuncios, scripts de seguimiento y dominios de malware antes de que lleguen al dispositivo. El efecto práctico es una reducción de hasta el 40% en el total de datos descargados en toda la red. Para los dispositivos de los empleados, esto se traduce en velocidades de carga de páginas más rápidas, menor consumo de batería del dispositivo y más ancho de banda disponible para el tráfico operativo.

Resolución de problemas y mitigación

Incluso con sistemas bien diseñados, pueden surgir problemas. Comprender los fallos comunes es fundamental para una resolución rápida.

Configuración de Walled Garden

The provisioning SSID must be tightly controlled. If the Walled Garden is too open, users may simply remain connected to the provisioning network for internet access, bypassing the secure onboarding process entirely. Ensure the provisioning SSID only permits access to the onboarding portal, IdP authentication endpoints, and necessary certificate download servers. All other traffic must be blocked.

Fragmentación de Android

Los dispositivos Apple iOS gestionan los perfiles de configuración de forma muy consistente. Android, sin embargo, está muy fragmentado. Diferentes fabricantes y versiones de sistemas operativos manejan los perfiles de WiFi y la instalación de certificados de manera distinta. Para mitigar esto, asegúrese de que su solución de incorporación proporcione instrucciones claras y específicas para cada sistema operativo, y aproveche Passpoint siempre que sea posible.

ROI e impacto empresarial

Implementar un Captive Portal de WiFi seguro para el personal ofrece un claro retorno de inversión a través de una seguridad mejorada, una menor carga de trabajo para TI y una mayor productividad de los empleados.

Al capacitar a los usuarios para que se incorporen ellos mismos, los centros de soporte de TI ven una reducción drástica en los tickets de soporte relacionados con contraseñas de WiFi y problemas de conectividad. Pasar de PSK a EAP-TLS reduce significativamente el riesgo de acceso no autorizado a la red y de filtraciones de datos. Esto es fundamental para mantener el cumplimiento de estándares como PCI DSS y GDPR. Los empleados pueden conectar sus dispositivos personales de manera rápida y segura para acceder a las herramientas que necesitan, lo que mejora la eficiencia general y la satisfacción en los sectores de comercio minorista , atención médica , hotelería y transporte .

Definiciones clave

Captive Portal

Una página web que un usuario de una red de acceso público o corporativa está obligado a ver e interactuar con ella antes de que se le conceda el acceso.

Utilizado en las redes del personal como puerta de enlace para la verificación de identidad, la aceptación de la AUP y el aprovisionamiento de certificados.

EAP-TLS

Protocolo de Autenticación Extensible - Seguridad de la Capa de Transporte (Extensible Authentication Protocol-Transport Layer Security). Un método de autenticación 802.1X que utiliza certificados digitales tanto en el cliente como en el servidor.

El método de autenticación WiFi más seguro, que elimina la necesidad de contraseñas y evita el robo de credenciales.

RADIUS

Servicio de Usuario de Acceso Telefónico de Autenticación Remota (Remote Authentication Dial-In User Service). Un protocolo de red que proporciona gestión centralizada de autenticación, autorización y contabilidad.

El servidor central que valida los certificados de los dispositivos frente al proveedor de identidad antes de conceder el acceso a la red.

VLAN Segmentation

La práctica de dividir una red física en múltiples redes lógicas para aislar el tráfico.

Esencial para mantener los dispositivos BYOD no confiables del personal separados de los servidores corporativos sensibles y los sistemas POS.

Passpoint (Hotspot 2.0)

Un estándar de la industria que permite una incorporación y un roaming WiFi fluidos y seguros sin requerir la selección manual de SSID ni la interacción con el Captive Portal después de la configuración inicial.

Mejora la experiencia del usuario para la incorporación del personal, particularmente en dispositivos Android.

Walled Garden

Un entorno de red restringido que controla el acceso de los usuarios a contenidos y servicios web específicos.

Se utiliza en el SSID de aprovisionamiento para garantizar que el personal sólo pueda acceder al portal de incorporación y al IdP, evitando que eludan la configuración de seguridad.

SCIM

System for Cross-domain Identity Management. Un estándar abierto para automatizar el intercambio de información de identidad de usuario entre dominios de identidad.

Permite el desaprovisionamiento automático del acceso a la red cuando un empleado deja la empresa y se deshabilita en el IdP.

iPSK

Identity Pre-Shared Key. Una función de seguridad que asigna una contraseña de WiFi única a cada usuario o dispositivo individual.

Se utiliza como alternativa a 802.1X para dispositivos sin pantalla o contratistas que no pueden instalar un certificado.

Ejemplos resueltos

Un hotel de 200 habitaciones necesita proporcionar acceso WiFi a 80 miembros del personal de limpieza y mantenimiento que utilizan sus teléfonos inteligentes personales para acceder al sistema de gestión de propiedades (PMS) basado en la nube. El hotel utiliza actualmente una única contraseña WPA2 que no se ha cambiado en tres años. ¿Cómo debería el gerente de TI proteger esta red sin comprar un software MDM para dispositivos personales?

  1. Cree un nuevo SSID de aprovisionamiento abierto (por ejemplo, "Hotel-Staff-Onboard") con un walled garden estricto que permita el acceso únicamente al Captive Portal y a Microsoft Entra ID.
  2. Configure un Captive Portal que requiera el inicio de sesión con SSO a través de Entra ID y muestre la Política de Uso Aceptable (AUP) para el personal.
  3. Tras un inicio de sesión exitoso y la aceptación de la AUP, genere un certificado EAP-TLS de 90 días específico para el dispositivo.
  4. Envíe el perfil de configuración al teléfono del miembro del personal para que se conecte automáticamente al SSID seguro 802.1X (por ejemplo, "Hotel-Staff-Secure").
  5. Configure el servidor RADIUS para asignar los dispositivos conectados a una VLAN de BYOD dedicada que solo dirija el tráfico a Internet y al PMS en la nube, bloqueando el acceso a la VLAN del servidor corporativo.
Comentario del examinador: Este enfoque elimina la vulnerabilidad de la contraseña compartida al tiempo que evita las preocupaciones de privacidad del registro completo en un MDM. El certificado de 90 días garantiza que los dispositivos inactivos se eliminen automáticamente, y la segmentación de VLAN protege la red corporativa de dispositivos personales potencialmente comprometidos.

Una gran cadena de tiendas de retail experimenta graves problemas de conectividad en los puntos de venta (POS) durante las ofertas del Black Friday debido a que los miembros del personal transmiten video en sus teléfonos personales conectados a la red del personal durante los descansos. ¿Cómo puede el arquitecto de red resolver esto sin prohibir los dispositivos personales?

  1. Implemente Purple Shield en la red del personal para bloquear cargas de anuncios y scripts de seguimiento a nivel de DNS, recuperando instantáneamente hasta un 40% del ancho de banda desperdiciado.
  2. Implemente políticas de Calidad de Servicio (QoS) en el controlador inalámbrico para priorizar el tráfico de las aplicaciones de POS e inventario sobre la navegación web general y la transmisión de video.
  3. Aplique limitación de velocidad a la VLAN de BYOD para restringir el ancho de banda máximo disponible para cualquier dispositivo personal individual.
Comentario del examinador: Esta solución aborda la saturación del ancho de banda de manera técnica en lugar de hacerlo a través de políticas de recursos humanos que no se pueden hacer cumplir. Purple Shield reduce la carga de datos base, mientras que QoS y la limitación de velocidad garantizan que el tráfico operativo crítico siempre tenga prioridad durante los periodos de mayor actividad.

Preguntas de práctica

Q1. El director de operaciones de un estadio desea emitir una única contraseña de WiFi a los 500 miembros del personal de eventos de los días de partido para que les resulte 'más fácil conectarse rápidamente'. ¿Cuál es el principal riesgo de seguridad de este enfoque y cuál es la alternativa recomendada?

Sugerencia: Considera qué sucede cuando un miembro del personal de un día de partido no regresa para el siguiente evento.

Ver respuesta modelo

El principal riesgo es la imposibilidad de revocar el acceso a nivel individual. Cuando un miembro del personal se va, conserva la contraseña, lo que le otorga acceso indefinido a la red operativa. La alternativa recomendada es un flujo de incorporación mediante un captive portal que emita certificados EAP-TLS específicos para cada dispositivo vinculados a su identidad, lo que permite al departamento de TI revocar el acceso por dispositivo o automáticamente tras la rescisión del contrato.

Q2. Los registros de tu servidor RADIUS muestran que varios dispositivos Android no logran completar el proceso de instalación del certificado tras autenticarse en el captive portal. ¿Cuál es la causa más probable y cómo se puede mitigar?

Sugerencia: Considera las diferencias en la forma en que los sistemas operativos móviles manejan los perfiles de configuración.

Ver respuesta modelo

La causa más probable es la fragmentación del SO Android, ya que los diferentes fabricantes manejan la instalación de certificados de manera distinta. Esto se puede mitigar proporcionando instrucciones claras y específicas para cada SO en el captive portal, utilizando una aplicación de incorporación dedicada o aprovechando Passpoint (Hotspot 2.0) para una experiencia de incorporación más fluida y estandarizada.

Q3. El equipo de TI de un hospital está diseñando una red BYOD para el personal. Planean colocar los dispositivos BYOD en la misma VLAN que los servidores de expedientes clínicos electrónicos (EHR) del hospital para garantizar que el personal pueda acceder a los datos de los pacientes rápidamente. ¿Es este un diseño seguro? ¿Por qué sí o por qué no?

Sugerencia: Considera el nivel de confianza de los dispositivos BYOD no administrados.

Ver respuesta modelo

No, este no es un diseño seguro. Los dispositivos BYOD no están administrados, lo que significa que el equipo de TI no controla su estado de seguridad, actualizaciones de SO ni aplicaciones instaladas. Deben tratarse como no confiables. Colocarlos en la misma VLAN que los servidores confidenciales de EHR genera un riesgo significativo de movimiento lateral. Los dispositivos BYOD deben colocarse en una VLAN dedicada y segmentada con reglas de firewall estrictas que limiten el acceso únicamente a las interfaces web necesarias, nunca con acceso directo al servidor.