Cómo configurar un servidor RADIUS para autenticación WiFi

Esta guía autoritativa proporciona a los líderes de TI y arquitectos de red un modelo integral para desplegar un servidor RADIUS para la autenticación WiFi empresarial. Cubre los pros y contras arquitectónicos entre los despliegues locales (on-premise) y en la nube, la selección del método EAP, la integración con Active Directory y la asignación dinámica de VLAN. Los operadores de recintos y los equipos de TI encontrarán pasos de implementación prácticos, casos de estudio del mundo real y estrategias de mitigación de riesgos para migrar de un entorno PSK inseguro a una infraestructura robusta 802.1X este trimestre.

📖 8 min de lectura📝 1,860 palabras🔧 2 ejemplos resueltos❓ 3 preguntas de práctica📚 9 definiciones clave

Escucha esta guía

Ver transcripción del podcast

Bienvenido al Technical Briefing de Purple. Hoy abordaremos una decisión de infraestructura crítica para cualquier líder de TI empresarial: cómo configurar un servidor RADIUS para la autenticación de WiFi. Si está gestionando un despliegue a gran escala —ya sea una cadena de hoteles, una red de retail o un campus universitario en expansión— confiar en una clave precompartida simple es un riesgo de seguridad significativo. Necesitamos 802.1X, y eso significa que necesitamos RADIUS.

Comencemos con el contexto. RADIUS, o Remote Authentication Dial-In User Service, actúa como el guardián de su red. Cuando un dispositivo intenta conectarse a un punto de acceso WiFi, el punto de acceso actúa como autenticador y reenvía las credenciales al servidor RADIUS. El servidor verifica esas credenciales con un directorio —como Active Directory o una base de datos LDAP— y luego devuelve un mensaje de aceptación o rechazo. Es la base de la seguridad WiFi empresarial y es el mecanismo que le permite aplicar políticas de acceso granulares a escala.

Ahora pasemos al análisis técnico profundo. La primera gran decisión arquitectónica a la que se enfrentará es elegir entre un servidor RADIUS on-premise y una solución alojada en la nube. Históricamente, las soluciones on-premise como el Network Policy Server de Microsoft, o NPS, o la opción de código abierto FreeRADIUS eran el estándar. Ofrecen un control completo sobre la infraestructura y no dependen de una conexión a internet externa para la autenticación. Sin embargo, requieren hardware dedicado, mantenimiento continuo y configuración manual de redundancia. Si cuenta con un solo centro de datos y un equipo de TI con suficiente personal, este es un enfoque perfectamente válido.

Por otro lado, las soluciones RADIUS en la nube se han vuelto cada vez más populares, especialmente para entornos distribuidos como cadenas de retail o complejos hoteleros. El RADIUS en la nube abstrae por completo la gestión del hardware, ofrece alta disponibilidad integrada y se integra perfectamente con proveedores de identidad en la nube como Azure Active Directory u Okta. La contraparte es que la autenticación requiere una conexión a internet confiable y existe un costo de suscripción continuo. Para el operador de un establecimiento que gestiona cincuenta o cien ubicaciones, los ahorros operativos de no implementar y mantener servidores on-premise en cada sitio casi con certeza superarán ese costo.

Al implementar RADIUS, el Extensible Authentication Protocol —EAP— es la pieza crítica. Define cómo el cliente y el servidor negocian y realizan la autenticación. EAP-TLS es el estándar de oro para la seguridad porque utiliza certificados digitales tanto en el cliente como en el servidor, eliminando por completo la necesidad de contraseñas. Esto significa que incluso si un atacante captura el intercambio de autenticación, no hay credenciales que robar. Sin embargo, implementar certificados de cliente puede ser administrativamente pesado. Necesita una infraestructura de clave pública (PKI) y una solución MDM para enviar certificados a cada dispositivo.

PEAP-MSCHAPv2 es la alternativa más común. Utiliza un certificado del lado del servidor para establecer un túnel TLS cifrado, dentro del cual el usuario se autentica con un nombre de usuario y contraseña. Esto es significativamente más fácil de implementar que EAP-TLS porque solo necesita administrar un certificado: el del servidor. Sin embargo, y esto es fundamental: si los clientes no están configurados estrictamente para validar el certificado del servidor, son vulnerables a puntos de acceso no autorizados. Un atacante puede levantar un punto de acceso falso, presentar un certificado fraudulento y capturar credenciales. Este no es un ataque teórico. Es una amenaza del mundo real bien documentada.

Hablemos de recomendaciones de implementación y errores comunes. La primera recomendación es aplicar una validación estricta de certificados en cada dispositivo cliente. Utilice Objetos de Directiva de Grupo (GPO) para dispositivos Windows y perfiles de MDM (ya sea Intune, Jamf u otra solución) para dispositivos macOS y móviles. El perfil debe especificar exactamente en qué Autoridad de Certificación confiar y cuál es el nombre de servidor esperado. No deje que el usuario final lo configure manualmente.

La segunda recomendación es implementar la asignación dinámica de VLAN. En lugar de colocar a todos los usuarios autenticados en la misma red plana, configure el servidor RADIUS para indicar al punto de acceso que coloque al usuario en una VLAN específica según su pertenencia a un grupo en el directorio. Esto es esencial para segmentar los dispositivos corporativos de los dispositivos BYOD o de invitados. Un miembro del equipo de finanzas debe estar en un segmento de red diferente al de un contratista que está de visita por el día.

La tercera recomendación se refiere al acceso de invitados. Para los establecimientos que necesitan ofrecer WiFi a los visitantes (hoteles, tiendas minoristas, centros de conferencias), integrar su infraestructura RADIUS con una solución de Captive Portal como la plataforma Guest WiFi de Purple es una combinación muy potente. Los dispositivos del personal y corporativos se autentican de forma silenciosa a través de 802.1X, mientras que los invitados son dirigidos a un portal personalizado para su autenticación. La plataforma de Purple luego captura datos de primera mano y proporciona análisis sobre el comportamiento de los visitantes, transformando su red de un centro de costos en un activo de inteligencia empresarial.

Ahora pasemos a una sesión de preguntas y respuestas rápidas. Primera pregunta: ¿Necesito un servidor dedicado para RADIUS? Para implementaciones locales, sí, se recomienda ampliamente ejecutarlo en una máquina virtual dedicada en lugar de compartir recursos con un controlador de dominio. La autenticación es una operación sensible a la latencia, y la contención de recursos puede causar fallas intermitentes que son muy difíciles de diagnosticar. Segunda pregunta: ¿Puede RADIUS manejar la autenticación para dispositivos sin interfaz de usuario (headless) como impresoras o sensores IoT? Sí, a través de MAC Authentication Bypass o MAB. Esto permite que los dispositivos sin capacidades 802.1X se autentiquen según su dirección MAC. Sin embargo, debido a que las direcciones MAC se pueden suplantar fácilmente, los dispositivos autenticados por MAB siempre deben colocarse en una VLAN altamente restringida. Tercera pregunta: ¿Cómo manejo la redundancia del servidor RADIUS? Siempre implemente al menos dos servidores RADIUS: uno primario y uno secundario. Configure todos los puntos de acceso para que se desvíen al secundario si el primario no está disponible. Para RADIUS en la nube, esta redundancia generalmente está integrada y es gestionada por el proveedor.

Para resumir los puntos clave de la sesión de hoy. Las claves precompartidas no son aceptables para el WiFi empresarial. Implemente 802.1X. Elija su modelo de implementación (local o en la nube) según sus recursos de TI, la cantidad de ubicaciones que administra y su infraestructura de identidad existente. Si su empresa está distribuida y prioriza la nube, el RADIUS en la nube es casi seguro la respuesta correcta. Exija una validación estricta de certificados en los clientes. Esto no es negociable. Use la asignación dinámica de VLAN para segmentar su red. Y finalmente, considere cómo su infraestructura de autenticación puede integrarse con plataformas más amplias para ofrecer valor comercial más allá del simple control de acceso.

Para profundizar en el tema, recomendamos explorar las guías de Purple sobre cómo configurar la autenticación WiFi 802.1X y cómo proteger su red con políticas de DNS sólidas. Gracias por su atención.

Puntos clave

✓Las claves precompartidas (PSK) no son aceptables para el WiFi empresarial: una sola credencial comprometida expone toda la red. El estándar de la industria es 802.1X con RADIUS.
✓La arquitectura 802.1X tiene tres roles: Suplicante (cliente), Autenticador (punto de acceso) y Servidor de autenticación (RADIUS). Comprender qué componente está fallando es la base para una resolución de problemas eficaz.
✓Elija Cloud RADIUS para entornos distribuidos con personal de TI limitado en las sucursales; elija RADIUS On-Premise cuando necesite el máximo control, disponga de recursos de TI dedicados y tenga requisitos estrictos de soberanía de datos.
✓PEAP-MSCHAPv2 es el método de implementación más común, pero solo es seguro si los clientes están configurados explícitamente para validar el certificado del servidor RADIUS; aplique esto a través de GPO o MDM sin excepción.
✓La asignación dinámica de VLAN es esencial para la segmentación de red: permite que un único SSID sirva a empleados, contratistas, invitados y dispositivos IoT en segmentos de red separados, lo cual se aplica automáticamente según la pertenencia a grupos de directorio.
✓El bypass de autenticación MAC (MAB) proporciona identificación de dispositivos para equipos IoT sin interfaz de usuario, pero no es un control de seguridad: acompáñelo siempre con una asignación de VLAN restrictiva y reglas de firewall.
✓Para los operadores de recintos, combinar 802.1X para el personal con una solución de Captive Portal como Purple para invitados crea un modelo de acceso multinivel que ofrece tanto seguridad como inteligencia de negocio desde la misma infraestructura inalámbrica.

Resumen Ejecutivo

Para entornos empresariales — ya sea un campus universitario en expansión, un estadio de alta densidad o una cadena de retail distribuida —, depender de una Clave Precompartida (PSK) para el acceso a WiFi representa una vulnerabilidad de seguridad significativa. Una sola credencial comprometida expone toda la red, y revocar el acceso requiere cambiar la contraseña de todos los dispositivos de la empresa. Implementar la autenticación 802.1X a través de un servidor RADIUS (Remote Authentication Dial-In User Service) elimina este problema por completo: cada usuario se autentica de forma individual, el acceso se puede revocar de manera instantánea y la segmentación de red se aplica dinámicamente.

Esta guía proporciona una hoja de ruta definitiva para que los gerentes de TI y los arquitectos de redes implementen la autenticación RADIUS. Cubrimos los pros y contras arquitectónicos entre implementaciones locales y en la nube, la configuración de los métodos del Protocolo de Autenticación Extensible (EAP) y la integración con servicios de directorio como Active Directory. También demostramos cómo una capa de autenticación robusta se integra con soluciones de Guest WiFi para brindar un acceso sin fricciones a los visitantes, al mismo tiempo que se capturan las métricas de WiFi Analytics que transforman su red en un activo de inteligencia empresarial.

Análisis Técnico Detallado

La Arquitectura 802.1X

El estándar IEEE 802.1X define el Control de Acceso a Red Basado en Puertos (PNAC). En un contexto inalámbrico, involucra tres roles principales que trabajan en conjunto:

Rol	Componente	Responsabilidad
Suplicante (Supplicant)	Dispositivo cliente (laptop, smartphone)	Presenta credenciales para solicitar acceso a la red
Autenticador	Punto de acceso o controlador de WiFi	Aplica el control de acceso; retransmite mensajes EAP
Servidor de Autenticación	Servidor RADIUS	Valida credenciales; devuelve atributos de aceptación/rechazo y políticas

Cuando un suplicante se asocia con un punto de acceso, el AP bloquea todo el tráfico de datos excepto los mensajes EAP (Protocolo de Autenticación Extensible). El AP encapsula estos mensajes EAP en paquetes RADIUS y los reenvía al servidor RADIUS. El servidor verifica las credenciales con una base de datos backend — típicamente LDAP o Active Directory — y devuelve un mensaje Access-Accept o Access-Reject. Si se acepta, el AP desbloquea el puerto y el tráfico del cliente fluye libremente.

Elección de un Método EAP

La seguridad de su implementación RADIUS depende en gran medida del método EAP seleccionado. Los dos más comunes en entornos empresariales son:

EAP-TLS (Transport Layer Security) es el estándar de oro. Requiere certificados digitales tanto en el servidor RADIUS como en cada dispositivo cliente, eliminando las contraseñas por completo. Incluso si un atacante captura el intercambio de autenticación completo, no hay credenciales que extraer. La contrapartida es la carga administrativa: la implementación y gestión de certificados de cliente requiere una Infraestructura de Clave Pública (PKI) en funcionamiento y una solución MDM (por ejemplo, Microsoft Intune, Jamf) para distribuir los certificados a los endpoints.

PEAP-MSCHAPv2 (EAP protegido) es el método más implementado en la práctica. Utiliza un certificado del lado del servidor para establecer un túnel TLS cifrado, dentro del cual el cliente se autentica con un nombre de usuario y contraseña. Esto es significativamente más fácil de implementar que EAP-TLS porque solo se debe administrar un certificado: el del servidor. Sin embargo, conlleva una advertencia crítica: si los dispositivos cliente no están configurados explícitamente para validar el certificado del servidor RADIUS, son vulnerables a ataques de Man-in-the-Middle (MitM) a través de puntos de acceso no autorizados.

> Nota de seguridad crítica: No aplicar una validación estricta de certificados en los dispositivos cliente anula efectivamente los beneficios de seguridad de PEAP-MSCHAPv2. Un atacante puede implementar un punto de acceso no autorizado, presentar un certificado fraudulento y capturar las credenciales de usuario en texto plano. Este no es un riesgo teórico: es un vector de ataque bien documentado que ha sido explotado en entornos del mundo real.

Guía de implementación

Paso 1: Decisión arquitectónica — RADIUS local vs. Cloud RADIUS

La primera decisión es dónde alojar la infraestructura RADIUS. Esta es principalmente una cuestión operativa y de costos, no de seguridad; ambos modelos se pueden implementar de manera segura.

RADIUS local (por ejemplo, Microsoft NPS, FreeRADIUS, Cisco ISE) es adecuado para organizaciones con personal de TI dedicado, infraestructura de directorio local existente y requisitos estrictos de cumplimiento o soberanía de datos. No depende de la conectividad a internet para la autenticación, lo que representa una ventaja significativa para entornos donde no se puede garantizar el tiempo de actividad de internet.

Cloud RADIUS es cada vez más el modelo preferido para entornos distribuidos: cadenas de Retail , grupos de Hospitality y centros de Transport donde implementar servidores en cada ubicación es operativamente poco práctico. Cloud RADIUS se integra de forma nativa con proveedores de identidad en la nube (Azure AD, Google Workspace, Okta) y proporciona alta disponibilidad integrada y escalabilidad global.

Paso 2: Instalar y configurar el servidor RADIUS

Para una implementación local utilizando Microsoft NPS (la opción más común en entornos centrados en Windows):

Instale el rol Network Policy Server a través de Server Manager.
Registre el servidor NPS en Active Directory para permitirle leer las propiedades de marcado de los usuarios.
Cree una entrada de Cliente RADIUS para cada punto de acceso o controlador inalámbrico, especificando la dirección IP del AP y un Shared Secret seguro y único.
Configure una Política de Red que defina las condiciones (por ejemplo, pertenencia a grupos de usuarios) y restricciones (por ejemplo, método EAP, tiempo de espera de la sesión) para el acceso.
Configure la Política de Solicitud de Conexión para procesar las solicitudes de manera local.

Para FreeRADIUS en Linux:

Instale a través del gestor de paquetes: sudo apt-get install freeradius freeradius-ldap.
Configure /etc/freeradius/3.0/clients.conf para definir los clientes RADIUS (APs) y sus shared secrets.
Configure el módulo LDAP en /etc/freeradius/3.0/mods-available/ldap para apuntar a su Active Directory o servidor LDAP.
Habilite el módulo LDAP: sudo ln -s /etc/freeradius/3.0/mods-available/ldap /etc/freeradius/3.0/mods-enabled/.
Defina los métodos EAP en /etc/freeradius/3.0/mods-available/eap.

Paso 3: Configurar Puntos de Acceso

En su controlador inalámbrico o puntos de acceso individuales:

Defina la(s) dirección(es) IP del servidor RADIUS y el puerto de autenticación (por defecto: UDP 1812).
Configure el Shared Secret — use un mínimo de 22 caracteres, mezclando caracteres alfanuméricos y especiales. Use un secreto único por ubicación o grupo de AP.
Configure el SSID para usar el modo de seguridad WPA2-Enterprise o WPA3-Enterprise con gestión de claves 802.1X.
Configure un servidor RADIUS secundario para la tolerancia a fallos.

Paso 4: Integración de Directorio

Para la integración con AD local, el servidor RADIUS debe estar unido al dominio o tener acceso de lectura LDAP. Asegúrese de que las cuentas de servicio utilizadas para el enlace LDAP tengan los permisos mínimos requeridos. Para RADIUS en la nube, configure la sincronización basada en API o la integración SAML/OIDC con su IdP.

Defina grupos de usuarios claros en su directorio, ya que estos impulsarán las políticas de autorización. Estructura de grupos recomendada:

Grupo	VLAN	Nivel de Acceso
`Corp_Staff`	VLAN 10	Red interna completa
`Corp_Contractors`	VLAN 20	Internet + recursos internos específicos
`Corp_IoT`	VLAN 30	Aislado, solo puertos específicos de dispositivos
`Corp_Guests`	VLAN 100	Solo Internet a través de Captive Portal

Paso 5: Configuración del Cliente y Validación de Certificados

Este es el paso más crítico a nivel operativo. Utilice Directivas de Grupo (GPO) para Windows y perfiles MDM para macOS/iOS/Android para distribuir de forma silenciosa las configuraciones de WiFi a los dispositivos gestionados. El perfil debe especificar:

La CA Raíz que emitió el certificado del servidor RADIUS.
El nombre de servidor esperado (CN o SAN del certificado del servidor).
El método EAP y el protocolo de autenticación interno.

Para dispositivos BYOD no gestionados, proporcione instrucciones claras de autogestión para el registro, idealmente a través de un portal de Control de Acceso a la Red (NAC).

Paso 6: Implementar la Asignación Dinámica de VLAN

Configure el servidor RADIUS para devolver los atributos de asignación de VLAN en la respuesta Access-Accept:

Tunnel-Type = VLAN (13)
Tunnel-Medium-Type = IEEE-802 (6)
Tunnel-Private-Group-Id = ``

El punto de acceso lee estos atributos y coloca al cliente autenticado en la VLAN especificada; no se requiere reconfiguración manual a medida que los usuarios cambian de rol o de ubicación.

Mejores prácticas

La redundancia no es negociable. Implemente un mínimo de dos servidores RADIUS (principal y secundario) y configure todos los puntos de acceso para que realicen la conmutación por error automáticamente. Para implementaciones locales, considere colocar el servidor secundario en una ubicación física o zona de disponibilidad diferente. Una interrupción de RADIUS significa que nadie puede autenticarse, lo que se traduce en una caída total de la red para los SSIDs protegidos por 802.1X.

Monitoree de forma proactiva la expiración de certificados. La expiración del certificado del servidor RADIUS es una de las causas más comunes de fallas de autenticación repentinas y masivas. Implemente alertas de monitoreo para los administradores al menos 30 días antes del vencimiento. Esto aplica tanto al certificado del servidor como a cualquier certificado de CA intermedia en la cadena.

Trate el Secreto Compartido como una credencial crítica. El secreto compartido entre el AP y el servidor RADIUS cifra los paquetes RADIUS. Utilice secretos únicos por ubicación o grupo de AP, almacénelos en un administrador de secretos y rótelos periódicamente. Consulte nuestra guía sobre cómo Proteger su red con DNS robusto y seguridad para conocer recomendaciones más amplias sobre higiene de seguridad de red.

Alinee con los marcos de cumplimiento. Para entornos sujetos a PCI DSS (por ejemplo, redes de pago de retail), la autenticación 802.1X respalda directamente los requisitos de control de acceso a la red y registro de auditoría. Para el cumplimiento de GDPR, los registros de contabilidad de RADIUS (puerto 1813) proporcionan un rastro de auditoría detallado de quién accedió a la red, desde dónde y cuándo, lo cual es muy valioso para la respuesta a incidentes. Para entornos de Healthcare , la segmentación de red a través de la asignación dinámica de VLAN respalda los requisitos de HIPAA para proteger la información de salud electrónica protegida (ePHI).

Resolución de problemas y mitigación de riesgos

Modo de falla	Síntoma	Resolución
Expiración de certificado	Fallas de autenticación masivas y repentinas	Monitorear expiración; renovar e implementar certificado nuevamente
Desincronización de NTP	Fallas intermitentes de EAP-TLS	Asegurar que el servidor RADIUS y los DC se sincronicen con la misma fuente NTP
Pérdida de conectividad LDAP	La autenticación falla cuando no se puede establecer conexión con AD	Implementar DC redundantes; configurar RADIUS para almacenar en caché autenticaciones recientes
Secreto compartido incorrecto	Los registros del AP muestran `RADIUS timeout` o `Bad authenticator`	Verificar que el secreto coincida tanto en el AP como en el servidor RADIUS
Incompatibilidad de certificado de cliente	Fallas de EAP-TLS para dispositivos específicos	Verificar que el certificado de cliente sea emitido por una CA de confianza; revisar periodo de validez del certificado
VLAN no asignada	Usuario autenticado pero en el segmento de red incorrecto	Verificar que los atributos de RADIUS se devuelvan correctamente; revisar la configuración de VLAN del AP

For a deeper dive into the 802.1X configuration process itself, the How to Configure 802.1X WiFi Authentication: A Step-by-Step Guide provides granular, vendor-specific configuration walkthroughs.

ROI & Impacto de Negocio

Transitioning from PSK to RADIUS-backed 802.1X requires an initial investment in configuration, and potentially licensing for cloud solutions or hardware for on-premise deployments. The ROI case is straightforward:

Mitigación de riesgos: El costo promedio de una filtración de datos en el Reino Unido supera los £3 millones (según el Reporte del Costo de una Filtración de Datos de IBM). Una PSK comprometida puede exponer toda la red. El protocolo 802.1X limita el radio de impacto a una sola cuenta de usuario comprometida, la cual puede deshabilitarse en segundos a través del directorio.

Eficiencia operativa: La asignación dinámica de VLAN elimina la reconfiguración manual de la red cuando el personal cambia de rol. Incorporar a un nuevo empleado solo requiere agregarlo al grupo de AD correcto; el acceso a la red se realiza de forma automática.

Postura de cumplimiento: Para las organizaciones sujetas a PCI DSS, ISO 27001 o Cyber Essentials Plus, 802.1X es un control directo que los auditores esperan ver. Implementarlo fortalece su postura de cumplimiento y reduce los costos de remediación de auditorías.

Experiencia de invitados y analíticos: Para los operadores de recintos, integrar RADIUS para la autenticación del personal con la plataforma de Guest WiFi de Purple para el acceso de visitantes crea un modelo de acceso unificado y por niveles. El personal se autentica de forma silenciosa a través de 802.1X; los invitados se conectan mediante un Captive Portal personalizado con su marca. La plataforma de WiFi Analytics de Purple ofrece visibilidad en tiempo real de los tiempos de permanencia de los visitantes, las tasas de visitas recurrentes y las métricas de interacción, datos que informan directamente las decisiones de gasto en marketing y operaciones del recinto.

For further reading, see the Como Configurar a Autenticação 802.1X WiFi: Um Guia Passo a Passo for Portuguese-language implementation guidance, and What Is a Leased Line? Dedicated Business Internet for guidance on ensuring the underlying connectivity meets enterprise requirements.

Definiciones clave

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que proporciona una gestión centralizada de Autenticación, Autorización y Contabilidad (AAA) para los usuarios que se conectan a un servicio de red. Definido en RFC 2865.

El componente de servidor principal que valida las credenciales del usuario contra un directorio antes de otorgar acceso WiFi. Cada implementación de WiFi empresarial que utiliza 802.1X requiere un servidor RADIUS.

802.1X

Un estándar IEEE para el Control de Acceso a la Red Basado en Puertos (PNAC). Proporciona un mecanismo de autenticación para los dispositivos que desean conectarse a una LAN o WLAN, bloqueando todo el tráfico que no sea EAP hasta que la autenticación sea exitosa.

El estándar de marco de trabajo general que define cómo se comunican el Supplicant, el Authenticator y el Servidor de Autenticación. Cuando los equipos de TI se refieren a la "seguridad WiFi empresarial", generalmente se refieren a WPA2/WPA3-Enterprise con 802.1X.

Supplicant

El dispositivo cliente — o más precisamente, la pila de software 802.1X en ese dispositivo — que inicia el proceso de autenticación al presentar credenciales a la red.

En Windows, el supplicant integrado es el servicio Wireless AutoConfig. En macOS e iOS, es nativo del SO. Asegurar que el supplicant esté correctamente configurado (especialmente para la validación de certificados) es la fuente más común de problemas de implementación.

Authenticator

El dispositivo de red — típicamente un punto de acceso WiFi o controlador inalámbrico — que actúa como intermediario entre el Supplicant y el servidor RADIUS, aplicando el control de acceso según el resultado de la autenticación.

El AP bloquea todo el tráfico de datos en el puerto hasta que recibe un Access-Accept del servidor RADIUS. También lee los atributos RADIUS (por ejemplo, la asignación de VLAN) de la respuesta Access-Accept y los aplica a la sesión.

EAP (Extensible Authentication Protocol)

Un marco de autenticación definido en RFC 3748 que proporciona un mecanismo de transporte estandarizado para varios métodos de autenticación (TLS, PEAP, TTLS, etc.) entre el Supplicant y el Servidor de Autenticación.

EAP es el "idioma" que se habla entre el cliente y el servidor RADIUS. La elección del método EAP (EAP-TLS frente a PEAP) determina la solidez de la seguridad y la complejidad de la implementación del sistema de autenticación.

PEAP (Protected EAP)

Un método EAP que primero establece un túnel TLS utilizando el certificado del servidor, y luego realiza una autenticación secundaria (típicamente MSCHAPv2 con nombre de usuario y contraseña) dentro de ese túnel cifrado.

El método de autenticación WiFi empresarial más común debido a su equilibrio entre seguridad y simplicidad de implementación. Requiere solo un certificado del lado del servidor, lo que hace que sea mucho más fácil de implementar que EAP-TLS.

Dynamic VLAN Assignment

Una función de RADIUS donde el servidor incluye atributos específicos de VLAN (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-Id) en la respuesta Access-Accept, indicando al AP que coloque al cliente autenticado en una VLAN específica.

Permite que un solo SSID atienda a múltiples poblaciones de usuarios con diferentes requisitos de seguridad. Elimina la necesidad de transmitir múltiples SSIDs para diferentes grupos de usuarios, reduciendo la sobrecarga de RF y simplificando la experiencia del usuario.

Shared Secret

Una cadena de texto preconfigurada que solo conocen el Authenticator (AP) y el servidor RADIUS, utilizada para firmar y cifrar paquetes RADIUS, garantizando la integridad y autenticidad de la comunicación.

Un elemento crítico de configuración de seguridad. Si el secreto compartido es débil o está comprometido, un atacante podría falsificar respuestas Access-Accept de RADIUS, otorgando acceso no autorizado a la red. Utilice secretos únicos por ubicación y almacénelos en un administrador de secretos.

MAC Authentication Bypass (MAB)

Un mecanismo de autenticación alternativo donde la dirección MAC de un dispositivo se utiliza como su credencial de identidad, lo que permite el acceso a la red para dispositivos que no admiten supplicants 802.1X.

Se utiliza para dispositivos sin interfaz (impresoras, sensores IoT, cámaras IP). Debido a que las direcciones MAC son públicamente visibles y fáciles de falsificar, MAB proporciona identificación de dispositivos en lugar de una autenticación sólida. Siempre debe asociarse con una asignación de VLAN restrictiva.

Ejemplos resueltos

Una cadena minorista nacional con 500 sucursales necesita implementar WiFi seguro para las tabletas y terminales de punto de venta (POS) de los gerentes de tienda. Actualmente utilizan una única clave PSK en todas las tiendas, la cual se comparte con frecuencia con personal y contratistas no autorizados. Utilizan Azure AD para la gestión de identidades y no tienen personal de TI dedicado en las sucursales.

Desplegar una solución de Cloud RADIUS integrada directamente con Azure AD. Esto elimina la necesidad de desplegar y gestionar servidores RADIUS locales en 500 ubicaciones. El equipo de TI utiliza Microsoft Intune para enviar un perfil de WiFi a todas las tabletas y terminales POS de los gerentes de tienda configurado para PEAP-MSCHAPv2, exigiendo estrictamente la validación del certificado del servidor Cloud RADIUS. La política de Cloud RADIUS verifica la pertenencia al grupo de Azure AD del usuario antes de otorgar el acceso: el grupo "Store_Managers" recibe la VLAN 10 (acceso completo a POS y oficina administrativa), el grupo "Contractors" recibe la VLAN 20 (solo Internet). Cuando finaliza el contrato de un contratista, eliminarlo del grupo de Azure AD revoca inmediatamente su acceso a la WiFi en las 500 ubicaciones de forma simultánea, sin necesidad de cambiar la PSK.

Comentario del examinador: Este enfoque aborda la vulnerabilidad principal (PSK compartida) al tiempo que reconoce las limitaciones operativas (sin personal de TI en sucursales, entorno de Azure AD). Cloud RADIUS proporciona la escalabilidad necesaria y se integra de forma nativa con el proveedor de identidad existente. El uso de la asignación dinámica de VLAN garantiza que, incluso si el dispositivo de un contratista está en el sitio después de que finalice su contrato, eliminarlo del grupo del directorio es la única acción requerida para revocar el acceso.

Un hotel de 400 habitaciones en el centro de la ciudad necesita proporcionar WiFi seguro tanto para el personal (recepción, limpieza, administración) como para los huéspedes. El personal requiere acceso al sistema de gestión de la propiedad (PMS) y a los servidores internos. Los huéspedes requieren únicamente acceso a Internet. El hotel cuenta con un único entorno local de Windows Server.

Desplegar Microsoft NPS en una máquina virtual dedicada de Windows Server. Configurar dos SSIDs en la infraestructura inalámbrica: "Hotel_Staff" (WPA2-Enterprise, 802.1X) y "Hotel_Guest" (abierto o WPA2-Personal, que redirige a un Captive Portal). Para el SSID del personal, NPS valida las credenciales contra Active Directory y devuelve asignaciones dinámicas de VLAN: grupo de AD "Management" → VLAN 10 (acceso completo), "FrontDesk" → VLAN 20 (acceso al PMS), "Housekeeping" → VLAN 30 (solo Internet + aplicación de programación). Para los huéspedes, integrar el Captive Portal con la plataforma de Guest WiFi de Purple para proporcionar una experiencia de inicio de sesión personalizada con la marca, recopilar datos de primera mano (correo electrónico, consentimiento de marketing) y obtener análisis sobre el tiempo de permanencia y las visitas recurrentes. El modelo de dos SSIDs mantiene el tráfico del personal y de los huéspedes completamente separado en la capa de red.

Comentario del examinador: El modelo de dos SSIDs es el enfoque correcto en este caso, en lugar de un único SSID con un enrutamiento de políticas complejo. Proporciona una separación operativa clara y simplifica la resolución de problemas. Integrar Purple para el SSID de invitados es la decisión comercialmente inteligente: convierte la red de invitados de un centro de costos en un canal de captura de datos y marketing, con un ROI medible a través de las tasas de visitas recurrentes y el compromiso de marketing por correo electrónico.

Preguntas de práctica

Q1. Tu organización está migrando 2,000 laptops Windows de una PSK compartida a 802.1X con PEAP-MSCHAPv2. Tu equipo de seguridad advierte que PEAP es vulnerable a la obtención de credenciales a través de puntos de acceso no autorizados (rogue APs). ¿Cuál es el paso de configuración más importante para mitigar este riesgo y cómo lo implementas a escala?

Sugerencia: Considera qué evita que un cliente confíe en un servidor RADIUS fraudulento que presenta un certificado autofirmado.

Ver respuesta modelo

El paso crítico es aplicar una validación estricta del certificado del servidor en cada dispositivo cliente. Utilizando Objetos de Directiva de Grupo (GPO), distribuye un perfil de WiFi a las 2,000 laptops que especifique: (1) el certificado de la CA Raíz exacto que emitió el certificado del servidor RADIUS, (2) el nombre de servidor esperado (CN/SAN), y (3) que el cliente no debe solicitar al usuario que confíe en nuevos certificados. Esto asegura que incluso si un atacante implementa un AP no autorizado con un certificado fraudulento, el cliente rechazará el saludo TLS y se negará a enviar credenciales. Sin esta configuración, PEAP no ofrece ninguna protección significativa contra ataques de AP no autorizados.

Q2. Un director de TI de un hospital necesita proporcionar acceso a la red para 300 dispositivos IoT médicos (bombas de infusión, equipos de monitoreo) que no son compatibles con 802.1X. Estos dispositivos se encuentran junto a las estaciones de trabajo del personal en la misma infraestructura inalámbrica. ¿Cómo debe manejar la infraestructura RADIUS estos dispositivos y qué controles de red deben implementarse?

Sugerencia: Piensa en el método de autenticación disponible para dispositivos sin interfaz de usuario (headless) y cómo compensar su debilidad inherente.

Ver respuesta modelo

Configura MAC Authentication Bypass (MAB) en el servidor RADIUS para estos dispositivos específicos. Registra la dirección MAC de cada dispositivo en un grupo dedicado de Active Directory o en la base de datos de RADIUS. Debido a que las direcciones MAC se pueden suplantar fácilmente, el servidor RADIUS debe utilizar la Asignación Dinámica de VLAN para colocar todos los dispositivos autenticados por MAB en una VLAN dedicada y altamente restringida (por ejemplo, VLAN 30 - IoT). Esta VLAN debe estar protegida por un firewall para permitir la comunicación únicamente con direcciones IP de servidores médicos específicos y bloquear todo el demás tráfico, incluido el acceso a internet y el movimiento lateral hacia las VLAN del personal. Las estaciones de trabajo del personal se autentican mediante 802.1X y se colocan en una VLAN separada. Esta arquitectura cumple con los requisitos de segmentación de red de HIPAA para dispositivos adyacentes a ePHI.

Q3. Eres el arquitecto de red de una cadena de restaurantes de 50 sucursales. La autenticación funciona correctamente en 49 sucursales utilizando Cloud RADIUS, pero una sucursal específica informa que todos los dispositivos fallan al autenticarse. El portal de administración de Cloud RADIUS muestra cero solicitudes de autenticación entrantes de esa sucursal. ¿Cuál es tu enfoque de diagnóstico?

Sugerencia: Si el servidor RADIUS no recibe ninguna solicitud, el problema está en la ruta de comunicación entre el autenticador y el servidor, no en la lógica de autenticación en sí.

Ver respuesta modelo

Dado que el servidor RADIUS recibe cero solicitudes de esta sucursal, la falla radica entre los puntos de acceso y el servidor Cloud RADIUS. Pasos de diagnóstico en orden: (1) Verifica la dirección IP del servidor RADIUS y el puerto (UDP 1812) configurados en los AP o en el controlador inalámbrico de la sucursal; un error de dedo aquí es la causa más común. (2) Revisa las reglas del firewall o router local en esa sucursal para confirmar que se permite el tráfico UDP 1812 saliente hacia el rango de IP de Cloud RADIUS. (3) Verifica que el Secreto Compartido configurado en los AP coincida con el secreto configurado para esa sucursal en el portal de Cloud RADIUS; una discrepancia hace que el servidor RADIUS descarte los paquetes de forma silenciosa. (4) Comprueba si la conexión a internet de la sucursal funciona; Cloud RADIUS requiere conectividad a internet confiable. Ejecutar una captura de paquetes en el AP o en el router ascendente confirmará si se están enviando paquetes RADIUS y si se están recibiendo respuestas.

Continúe leyendo esta serie

Per-Device PSK por proveedor: comparación de iPSK, DPSK, MPSK y PPSK (y soporte de WPA3)

Una comparación exhaustiva de las implementaciones de per-device PSK en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet y Ubiquiti UniFi. Conozca cómo WPA3-SAE afecta las estrategias de claves por dispositivo y cuándo implementar modos de transición en lugar de migrar a 802.1X.

Captive Portal Authentication Methods Compared

Esta guía de referencia técnica autorizada evalúa las ventajas y desventajas arquitectónicas, operativas y de cumplimiento de cinco métodos principales de autenticación de Captive Portal. Proporciona a los arquitectos de red, directores de TI y gerentes de marketing los datos cuantitativos y los marcos de decisión necesarios para equilibrar la fricción del registro de invitados con los requisitos de recopilación de datos en los establecimientos empresariales.

¿Qué es la autenticación por dirección MAC? Cuándo usarla y cuándo evitarla

Esta guía de referencia técnica autorizada cubre la autenticación por dirección MAC en entornos de WiFi empresariales: cómo funciona la autenticación MAC basada en RADIUS en la Capa 2, sus vulnerabilidades de seguridad inherentes (incluyendo el spoofing de MAC y el impacto de la aleatorización de MAC a nivel de sistema operativo) y los contextos operativos precisos donde sigue siendo una herramienta válida para gestionar dispositivos IoT y headless. Proporciona orientación de implementación práctica para gerentes de TI y arquitectos de redes en sectores como hotelería, retail, salud y espacios públicos, con ejemplos prácticos del mundo real, marcos de decisión y contexto de integración para la plataforma de analítica y WiFi de invitados de Purple.