Comparación de métodos EAP: PEAP, EAP-TLS, EAP-TTLS y EAP-FAST

Esta guía técnica de referencia autorizada ofrece una comparación detallada de PEAP, EAP-TLS, EAP-TTLS y EAP-FAST para la autenticación de WiFi empresarial. Proporciona orientación práctica sobre el nivel de seguridad, la complejidad de la implementación y la compatibilidad de los dispositivos para ayudar a los directores de TI y arquitectos de redes a elegir la estrategia de implementación de 802.1X más adecuada.

📖 6 min de lectura📝 1,483 palabras🔧 2 ejemplos resueltos❓ 3 preguntas de práctica📚 8 definiciones clave

Puntos clave

✓PEAP es el caballo de batalla versátil, ideal para entornos BYOD debido a su amplio soporte nativo, pero requiere una configuración estricta del lado del cliente para evitar el robo de credenciales.
✓EAP-TLS es el estándar de oro para la seguridad, ya que exige la autenticación mutua de certificados y elimina por completo las contraseñas, lo que lo hace perfecto para el cumplimiento de PCI DSS.
✓EAP-TLS requiere una infraestructura de implementación significativa, específicamente una solución sólida de PKI y MDM para administrar los certificados de los clientes.
✓EAP-TTLS proporciona un túnel seguro similar a PEAP, pero ofrece la flexibilidad de utilizar protocolos de autenticación interna más antiguos (como PAP), lo que lo hace útil para almacenes de identidades que no son de Microsoft.
✓EAP-FAST utiliza credenciales de acceso protegido (PAC) en lugar de certificados, manteniéndose relevante principalmente en entornos heredados centrados en Cisco o de IoT específicos.
✓Independientemente del método elegido, automatizar la gestión del ciclo de vida de los certificados es fundamental para evitar interrupciones en la red.
✓La plataforma de Purple se integra perfectamente con servidores RADIUS que admiten todos los principales métodos EAP, lo que permite bases seguras para análisis avanzados de ubicaciones.

📚 Part of our core series: Seguridad y autenticación WiFi empresarial: la guía completa →

Resumen Ejecutivo

Para los administradores de TI y arquitectos de redes empresariales, seleccionar el método de Protocolo de Autenticación Extensible (EAP) adecuado es una decisión crítica que equilibra la postura de seguridad, la complejidad de implementación y la experiencia del usuario. A medida que las organizaciones avanzan más allá de las vulnerables claves precompartidas (PSK) hacia la autenticación 802.1X, la elección generalmente se reduce a cuatro métodos principales: PEAP, EAP-TLS, EAP-TTLS y EAP-FAST. Esta guía proporciona una comparación técnica directa de estos métodos, preparándolo para tomar decisiones arquitectónicas informadas para su Guest WiFi y redes corporativas internas. Examinaremos las diferencias de seguridad entre los métodos tunelizados basados en contraseñas y la autenticación de certificados mutuos, evaluaremos cuándo son apropiados ciertos métodos específicos y proporcionaremos orientación de implementación práctica para entornos empresariales modernos.

Análisis Técnico Detallado: Comparación de Métodos EAP

PEAP (EAP Protegido)

PEAP es ampliamente considerado el caballo de batalla empresarial para la autenticación 802.1X. Desarrollado conjuntamente por Cisco, Microsoft y RSA Security, crea un túnel TLS cifrado utilizando un certificado del lado del servidor. Dentro de este túnel seguro, el cliente se autentica utilizando un método heredado, más comúnmente MSCHAPv2.

La ventaja principal de PEAP es su soporte nativo casi universal en los sistemas operativos modernos, incluidos Windows, macOS, iOS y Android. Debido a que solo requiere un certificado en el servidor RADIUS y no en los dispositivos cliente, la implementación es significativamente menos compleja que las alternativas basadas en certificados. Esto hace que PEAP sea sumamente atractivo para entornos Bring Your Own Device (BYOD) o grandes lugares públicos como centros de Transport donde la gestión de certificados de cliente no es práctica.

Sin embargo, la dependencia de PEAP de las contraseñas (a través de MSCHAPv2) introduce riesgos de seguridad. Si un dispositivo cliente no está estrictamente configurado para validar el certificado del servidor, se puede engañar a los usuarios para que se conecten a un punto de acceso no autorizado (un ataque "evil twin"). El AP no autorizado puede entonces capturar el desafío-respuesta de MSCHAPv2, que se puede descifrar sin conexión para recuperar la contraseña del usuario. Por lo tanto, aplicar una validación estricta del certificado del servidor a través de Políticas de Grupo o MDM es un control de seguridad obligatorio al implementar PEAP.

EAP-TLS (EAP-Seguridad de la Capa de Transporte)

EAP-TLS representa el estándar de oro para la seguridad inalámbrica empresarial. A diferencia de PEAP, EAP-TLS requiere una autenticación de certificado mutua. Tanto el servidor RADIUS como el dispositivo cliente deben presentar un certificado digital válido antes de que se conceda cualquier acceso a la red. Esta autenticación mutua elimina por completo la necesidad de contraseñas, lo que hace que el robo de credenciales, los ataques de diccionario y los ataques de AP maliciosos sean ineficaces. Si un dispositivo carece del certificado de cliente correcto, simplemente no puede conectarse a la red. Para las organizaciones sujetas a requisitos regulatorios estrictos, como PCI DSS en el sector de Retail o HIPAA en Healthcare , EAP-TLS es el enfoque firmemente recomendado.

La contrapartida de esta seguridad mejorada es la complejidad de la implementación. Implementar EAP-TLS requiere una infraestructura de clave pública (PKI) sólida para emitir, renovar y revocar certificados. También requiere una solución de gestión de dispositivos móviles (MDM), como Microsoft Intune o Jamf, para distribuir de forma segura estos certificados a los terminales. Para obtener orientación sobre entornos Apple, consulte nuestra guía sobre Jamf e RADIUS: Autenticação WiFi Baseada em Certificado para Frotas de Dispositivos Apple . EAP-TLS es la opción óptima para flotas de dispositivos administrados y de propiedad corporativa donde la seguridad es primordial.

EAP-TTLS (EAP Tunneled TLS)

EAP-TTLS, codesarrollado por Funk Software y Certicom, funciona de manera similar a PEAP al establecer un túnel TLS cifrado mediante un certificado del lado del servidor. El diferenciador clave es su flexibilidad con respecto al método de autenticación interno. Mientras que PEAP está estrechamente ligado a MSCHAPv2, EAP-TTLS puede encapsular casi cualquier protocolo de autenticación, incluidos PAP, CHAP o MSCHAP, de forma segura dentro del túnel.

Esta flexibilidad hace que EAP-TTLS sea muy valioso en entornos que necesitan autenticarse contra directorios LDAP más antiguos, proxies RADIUS o almacenes de identidades que no son de Microsoft y que no admiten MSCHAPv2 de forma nativa. Es el protocolo subyacente del famoso eduroam, el servicio de acceso de roaming global para la comunidad internacional de investigación y educación. Históricamente, el soporte de cliente nativo para EAP-TTLS era menos ubicuo que PEAP, y a menudo requería suplicantes de terceros en versiones anteriores de Windows, pero los sistemas operativos modernos ahora brindan un soporte nativo sólido.

EAP-FAST (Flexible Authentication via Secure Tunneling)

Desarrollado por Cisco como un reemplazo rápido para el vulnerable protocolo LEAP, EAP-FAST fue diseñado para proporcionar una autenticación segura sin el requisito estricto de implementar certificados digitales. En lugar de utilizar un certificado de servidor para establecer el túnel seguro, EAP-FAST se basa en credenciales de acceso protegido (PAC, por sus siglas en inglés), que son bloques opacos de datos provistos dinámicamente a los clientes por el servidor de autenticación. EAP-FAST se caracteriza por sus capacidades de reanudación rápida de sesiones. Aunque proporciona un túnel cifrado y seguro, su dependencia de los PAC en lugar de los certificados estándar X.509 lo hace un tanto propietario y menos alineado con las arquitecturas modernas de confianza cero (zero-trust) que son independientes del proveedor. Hoy en día, EAP-FAST es relevante principalmente en entornos heredados centrados en Cisco, implementaciones específicas de IoT o dispositivos robustos especializados. Para la mayoría de las nuevas implementaciones empresariales, se prefieren PEAP o EAP-TLS.

Guía de implementación

La implementación de la autenticación 802.1X requiere una planificación cuidadosa en toda la pila de red, desde los puntos de acceso inalámbricos hasta la infraestructura RADIUS y los proveedores de identidad. Al integrarse con la plataforma de Purple, nuestros servidores RADIUS son compatibles con todos los principales métodos EAP, lo que garantiza una autenticación fluida antes de que los usuarios interactúen con funciones como Wayfinding o WiFi Analytics .

Paso 1: Definir la estrategia de autenticación

Evalúe su flota de dispositivos. Si los dispositivos son propiedad de la empresa y se gestionan mediante MDM, el objetivo debe ser EAP-TLS. Si ofrece soporte para BYOD, PEAP es la opción más práctica. Asegúrese de que su proveedor de identidad (Active Directory, Google Workspace, Okta) sea compatible con los protocolos requeridos (por ejemplo, MSCHAPv2 para PEAP).

Paso 2: Gestión de certificados

Para todos los métodos excepto EAP-FAST, debe implementar un certificado de servidor en su servidor RADIUS. Idealmente, este certificado debe ser emitido por una Autoridad de Certificación (CA) pública de confianza para minimizar las advertencias de confianza en el lado del cliente, aunque se puede utilizar una CA empresarial interna si usted controla todos los endpoints. Para EAP-TLS, establezca su PKI y configure su MDM para aprovisionar automáticamente los certificados de cliente con las asignaciones correctas de Nombre Alternativo del Sujeto (SAN).

Paso 3: Configuración de RADIUS y puntos de acceso

Configure sus puntos de acceso inalámbricos para utilizar WPA2-Enterprise o WPA3-Enterprise, apuntándolos a las direcciones IP de su servidor RADIUS con los secretos compartidos correctos. En el servidor RADIUS, defina sus políticas de red, especificando los métodos EAP permitidos y asignando las autenticaciones exitosas a las VLAN correspondientes según la pertenencia a grupos de usuarios o dispositivos.

Paso 4: Configuración del suplicante del endpoint

Este es el paso más crítico para la seguridad. Para PEAP, use MDM o políticas de grupo para enviar un perfil de WiFi preconfigurado a los dispositivos. Este perfil DEBE especificar explícitamente los nombres de los servidores RADIUS de confianza y la CA raíz de confianza que emitió el certificado del servidor. Fundamentalmente, desactive la opción que solicita a los usuarios confiar en nuevos servidores o certificados.

Mejores prácticas

Nunca confíe en el criterio del usuario para los certificados: Al implementar PEAP o EAP-TTLS, configure siempre de forma previa los suplicantes de los endpoints para que confíen en certificados de servidor específicos. Confiar en que los usuarios hagan clic en "Aceptar" ante una advertencia de certificado debilita todo el modelo de seguridad y expone la red a ataques de AP falsos.
Automatice la gestión del ciclo de vida de los certificados: El vencimiento de los certificados es una de las causas principales de las interrupciones en 802.1X. Implemente procesos automatizados de monitoreo y renovación tanto para los certificados del servidor RADIUS como para los certificados de cliente en implementaciones de EAP-TLS.
Implemente WPA3-Enterprise: Cuando el soporte del cliente lo permita, realice la transición a WPA3-Enterprise. Este exige el uso de Tramas de Administración Protegidas (PMF) y ofrece una opción de suite de seguridad de 192 bits, lo que proporciona protecciones criptográficas más sólidas que WPA2.
Segmente la red: Utilice atributos RADIUS (como Filter-Id o Tunnel-Private-Group-Id) para asignar de forma dinámica a los usuarios autenticados a VLANs específicas según su rol, aislando el tráfico de invitados de los activos corporativos. Para conocer más sobre el diseño de redes modernas, revise The Core SD WAN Benefits for Modern Businesses .

Solución de problemas y mitigación de riesgos

Los modos de fallo comunes en las implementaciones de EAP suelen estar relacionados con la validación de certificados y la integración con proveedores de identidad.

Síntoma: Los clientes no se conectan después de una actualización del servidor RADIUS.
- Riesgo: El nuevo certificado del servidor no fue emitido por la CA raíz de confianza de los clientes, o el nombre del servidor cambió.
- Mitigación: Pruebe siempre las sustituciones de certificados en un entorno de pruebas. Asegúrese de que la cadena del nuevo certificado sea de total confianza para todos los perfiles de endpoint antes de aplicarla en producción.
Síntoma: Los dispositivos iOS se conectan sin problemas, pero los dispositivos Windows fallan.
- Riesgo: Los suplicantes de Windows suelen ser más estrictos al validar la Indicación de Nombre de Servidor (SNI) o los atributos específicos de EKU (Uso Extendido de Clave) en el certificado del servidor.
- Mitigación: Verifique que el certificado del servidor incluya el EKU de 'Autenticación de servidor' y que el SAN coincida con el nombre configurado en el perfil de WiFi de Windows.

ROI e impacto empresarial

La transición a un método EAP sólido ofrece un valor empresarial significativo que va más allá de la seguridad básica. Al eliminar las contraseñas compartidas, los equipos de TI reducen la carga operativa de los tickets de soporte relacionados con el restablecimiento de contraseñas o PSKs comprometidas. En entornos como Hospitality , donde la rotación de personal puede ser alta, la autenticación basada en certificados (EAP-TLS) garantiza que el acceso se revoque automáticamente cuando se borra un dispositivo o vence un certificado, sin necesidad de cambiar una contraseña global.

Además, la autenticación sólida es un requisito previo para los marcos de cumplimiento como PCI DSS y GDPR. Al demostrar controles de acceso robustos, las organizaciones mitigan el riesgo de multas regulatorias y el daño a la reputación asociado con las brechas de datos. Para obtener una visión más amplia sobre la actualización de la infraestructura de su establecimiento, consulte Modern Hospitality WiFi Solutions Your Guests Deserve .

Podcast Briefing

Escuche nuestro briefing técnico de 10 minutos sobre los métodos EAP, que cubre estrategias de implementación y errores comunes: eap_methods_compared_peap_eap_tls_eap_ttls_and_eap_fast_podcast.wav

Definiciones clave

802.1X

Un estándar IEEE para el control de acceso a redes basado en puertos que proporciona un mecanismo de autenticación para los dispositivos que desean conectarse a una LAN o WLAN.

Los equipos de TI implementan 802.1X para reemplazar las contraseñas compartidas inseguras (PSK) con una autenticación individualizada de nivel empresarial.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que proporciona una administración centralizada de Autenticación, Autorización y Contabilidad (AAA) para los usuarios que se conectan y utilizan un servicio de red.

El servidor RADIUS actúa como el cerebro central de una implementación de 802.1X, verificando las credenciales frente a un proveedor de identidad e indicando al punto de acceso si debe permitir la conexión.

Suplicante

El cliente de software en un dispositivo final (laptop, smartphone) que se comunica con el autenticador (punto de acceso) para negociar el acceso a la red a través de 802.1X.

Los suplicantes mal configurados son la causa principal de las vulnerabilidades de seguridad en las implementaciones de PEAP, particularmente cuando la validación del certificado del servidor está deshabilitada.

Autenticación Mutua

Un proceso de seguridad en el que ambas entidades en un enlace de comunicación se autentican entre sí (por ejemplo, el cliente verifica al servidor y el servidor verifica al cliente).

Crucial para prevenir ataques de puntos de acceso apócrifos; EAP-TLS impone esto de forma inherente, mientras que PEAP requiere una configuración estricta del suplicante para lograr la verificación de cliente a servidor.

PKI (Public Key Infrastructure)

Un conjunto de roles, políticas, hardware, software y procedimientos necesarios para crear, administrar, distribuir, usar, almacenar y revocar certificados digitales.

Una PKI robusta es el requisito previo para implementar EAP-TLS, lo que a menudo representa la mayor barrera de entrada para los equipos de TI más pequeños.

Ataque de Gemelo Malvado (Evil Twin)

Un punto de acceso inalámbrico apócrifo que se hace pasar por una red empresarial legítima para espiar las comunicaciones inalámbricas o robar credenciales.

Este es el principal vector de amenaza contra las implementaciones de PEAP mal configuradas donde los clientes no validan el certificado del servidor RADIUS.

PAC (Protected Access Credential)

Un secreto compartido robusto, aprovisionado dinámicamente a un cliente por un servidor de autenticación, utilizado específicamente en EAP-FAST para establecer un túnel seguro.

Las PAC permiten que EAP-FAST proporcione una autenticación segura sin requerir la implementación de certificados digitales.

MDM (Mobile Device Management)

Software de seguridad utilizado por un departamento de TI para monitorear, administrar y proteger los dispositivos móviles de los empleados a través de múltiples proveedores de servicios móviles y múltiples sistemas operativos móviles.

El MDM es esencial para las implementaciones modernas de EAP-TLS, lo que permite a TI enviar de forma silenciosa certificados de cliente y perfiles de WiFi estrictos a los dispositivos corporativos.

Ejemplos resueltos

¿Una cadena minorista nacional necesita implementar WiFi seguro para tabletas de punto de venta (POS) en 500 tiendas. Las tabletas son propiedad de la empresa y se gestionan a través de Microsoft Intune. Deben cumplir con los requisitos de PCI DSS. ¿Qué método EAP deberían implementar y cómo?

La organización debería implementar EAP-TLS. Utilizando Microsoft Intune, configurarán un perfil de Protocolo de Inscripción de Certificados Simples (SCEP) para aprovisionar automáticamente certificados de cliente únicos en cada tableta POS. Luego, enviarán un perfil de Wi-Fi a través de Intune que configure las tabletas para conectarse mediante WPA2/WPA3-Enterprise, especificando EAP-TLS como el método de autenticación y seleccionando el certificado de cliente aprovisionado. Los servidores RADIUS se configurarán para autenticar los dispositivos basándose en estos certificados, asignándolos a una VLAN restringida que cumpla con las normas de PCI.

Comentario del examinador: EAP-TLS es la única opción correcta en este caso. PCI DSS regula estrictamente los entornos que manejan datos de titulares de tarjetas. PEAP dependería de contraseñas, las cuales son susceptibles de verse comprometidas y requieren políticas complejas de rotación. EAP-TLS proporciona autenticación mutua y elimina las contraseñas por completo, cumpliendo con los estrictos requisitos de conformidad. Gestionar la implementación a través de Intune elimina la complejidad tradicional asociada con EAP-TLS.

Una universidad grande necesita proporcionar WiFi seguro para 20,000 estudiantes que utilizan una combinación de computadoras portátiles personales, teléfonos inteligentes y tabletas (BYOD). La universidad utiliza Active Directory para la gestión de identidades. ¿Cómo deberían abordar 802.1X?

La universidad debería implementar PEAP con MSCHAPv2. Instalarán un certificado de servidor de una Autoridad de Certificación pública de renombre (por ejemplo, DigiCert, Let's Encrypt) en sus servidores RADIUS. Para garantizar la seguridad, deben proporcionar una herramienta de incorporación (como SecureW2 o una aplicación personalizada) que configure automáticamente los dispositivos de los estudiantes. Esta herramienta creará el perfil de WiFi, definirá explícitamente los nombres de los servidores RADIUS de confianza y obligará a la validación del certificado del servidor, evitando que los estudiantes se conecten a AP no autorizados.

Comentario del examinador: PEAP es la opción más pragmática para implementaciones masivas de BYOD, ya que emitir y gestionar 20,000 certificados de cliente para dispositivos no gestionados (EAP-TLS) es una pesadilla operativa. El factor crítico de éxito aquí es la herramienta de incorporación. Si los estudiantes configuran sus dispositivos manualmente, es probable que no configuren la validación del servidor correctamente, dejando sus credenciales de Active Directory vulnerables a la interceptación.

Preguntas de práctica

Q1. Su organización está migrando de Google Workspace a un nuevo proveedor de identidad basado en la nube que solo admite LDAP y no es compatible con MSCHAPv2. Necesita mantener su WiFi 802.1X existente basado en contraseñas para dispositivos heredados. ¿Qué método EAP debe configurar en su servidor RADIUS?

Sugerencia: Considere qué método tunelizado permite protocolos de autenticación interna distintos de MSCHAPv2.

Ver respuesta modelo

Debe configurar EAP-TTLS. A diferencia de PEAP, que depende en gran medida de MSCHAPv2 para la autenticación interna, EAP-TTLS puede encapsular protocolos más antiguos como PAP o CHAP dentro de su túnel seguro TLS, lo que le permite interactuar con directorios LDAP que carecen de soporte para MSCHAPv2.

Q2. Una auditoría de seguridad revela que las contraseñas de Active Directory de los usuarios se están viendo comprometidas cuando conectan sus teléfonos inteligentes a redes WiFi públicas en cafeterías. Los atacantes están transmitiendo el SSID corporativo. Su implementación actual utiliza PEAP. ¿Cómo mitiga esto sin cambiar el método EAP?

Sugerencia: El problema es que los dispositivos de los clientes confían ciegamente en el AP malicioso. ¿Cómo obliga al cliente a verificar que se está comunicando con la red corporativa real?

Ver respuesta modelo

Debe configurar los suplicantes de los endpoints (a través de MDM o políticas de grupo) para exigir una validación estricta del certificado del servidor. El perfil de WiFi debe especificar explícitamente los nombres de los servidores RADIUS corporativos de confianza y la CA raíz específica que emitió sus certificados. Además, debe desactivar la opción que solicita a los usuarios confiar en certificados desconocidos, garantizando que la conexión falle de forma silenciosa si el servidor no está autenticado.

Q3. Está implementando una flota de escáneres de códigos de barras de uso rudo en un almacén. Los dispositivos ejecutan un sistema operativo integrado heredado que no admite WPA2-Enterprise ni certificados 802.1X estándar, pero sí admiten Cisco Compatible Extensions (CCX). Necesita una autenticación segura. ¿Cuál es el método EAP más probable a utilizar?

Sugerencia: Busque el protocolo desarrollado específicamente por Cisco para entornos donde la implementación de certificados es difícil o imposible.

Ver respuesta modelo

EAP-FAST es la opción adecuada en este caso. Fue diseñado por Cisco específicamente para entornos donde la implementación de certificados no es práctica. Utiliza credenciales de acceso protegido (PAC) proporcionadas dinámicamente para establecer el túnel seguro, lo que lo hace adecuado para hardware heredado o especializado que admite CCX pero carece de capacidades sólidas de PKI.

Continúe leyendo esta serie

Per-Device PSK por proveedor: comparación de iPSK, DPSK, MPSK y PPSK (y soporte de WPA3)

Una comparación exhaustiva de las implementaciones de per-device PSK en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet y Ubiquiti UniFi. Conozca cómo WPA3-SAE afecta las estrategias de claves por dispositivo y cuándo implementar modos de transición en lugar de migrar a 802.1X.

Captive Portal Authentication Methods Compared

Esta guía de referencia técnica autorizada evalúa las ventajas y desventajas arquitectónicas, operativas y de cumplimiento de cinco métodos principales de autenticación de Captive Portal. Proporciona a los arquitectos de red, directores de TI y gerentes de marketing los datos cuantitativos y los marcos de decisión necesarios para equilibrar la fricción del registro de invitados con los requisitos de recopilación de datos en los establecimientos empresariales.

¿Qué es la autenticación por dirección MAC? Cuándo usarla y cuándo evitarla

Esta guía de referencia técnica autorizada cubre la autenticación por dirección MAC en entornos de WiFi empresariales: cómo funciona la autenticación MAC basada en RADIUS en la Capa 2, sus vulnerabilidades de seguridad inherentes (incluyendo el spoofing de MAC y el impacto de la aleatorización de MAC a nivel de sistema operativo) y los contextos operativos precisos donde sigue siendo una herramienta válida para gestionar dispositivos IoT y headless. Proporciona orientación de implementación práctica para gerentes de TI y arquitectos de redes en sectores como hotelería, retail, salud y espacios públicos, con ejemplos prácticos del mundo real, marcos de decisión y contexto de integración para la plataforma de analítica y WiFi de invitados de Purple.