¿Qué es PKI? Cómo la infraestructura de clave pública impulsa la seguridad WiFi

Esta guía de referencia técnica autorizada explica la infraestructura de clave pública (PKI) y su papel fundamental en la protección de redes WiFi empresariales en los sectores de hospitalidad, retail y sector público. Diseñada para gerentes de TI, arquitectos de red y CTO, ofrece orientación práctica sobre la autenticación basada en certificados, la implementación de IEEE 802.1X con EAP-TLS y cómo la plataforma de Purple aprovecha estos estándares para una conectividad escalable y en cumplimiento. Los lectores obtendrán una hoja de ruta de implementación concreta, casos de estudio del mundo real y una comprensión clara de cómo PKI elimina las vulnerabilidades del WiFi de secreto compartido.

📖 6 min de lectura📝 1,484 palabras🔧 2 ejemplos resueltos❓ 3 preguntas de práctica📚 9 definiciones clave

Escucha esta guía

Ver transcripción del podcast

Bienvenidos al Informe Técnico de Purple. Soy su anfitrión, y hoy abordaremos un componente fundamental de la seguridad de redes empresariales: la infraestructura de clave pública, o PKI, y específicamente cómo impulsa un WiFi seguro a través de la autenticación basada en certificados.

Si es un gerente de TI, un arquitecto de red o un director de operaciones de recintos que administra la conectividad en hoteles, cadenas de retail o grandes espacios públicos, sabe que la clave precompartida tradicional —la contraseña pegada en la pared o compartida en un pizarrón— está muerta. Es una enorme vulnerabilidad de seguridad. No proporciona responsabilidad individual y rotarla es una pesadilla operativa.

¿Cuál es la alternativa entonces? La respuesta es IEEE 802.1X combinado con PKI.

Comencemos con lo básico. ¿Qué es PKI?

La infraestructura de clave pública es el marco integral de hardware, software, políticas y procedimientos necesarios para crear, administrar, distribuir, usar, almacenar y revocar certificados digitales. En pocas palabras, es el sistema que le permite emitir pasaportes digitales a cada dispositivo y usuario de su red.

En lugar de que un usuario escriba una contraseña, su dispositivo presenta un certificado digital: un documento criptográfico con formato estándar X.509. Este certificado vincula una clave pública a una identidad, como la dirección MAC de un dispositivo o el correo electrónico de un empleado.

La autoridad central en este sistema es la Autoridad de Certificación, o CA. Piense en la CA como el gobierno que emite ese pasaporte. Si su red confía en la CA, confía en los certificados emitidos por ella.

Ahora bien, ¿cómo se aplica esto al WiFi? Esto nos lleva a 802.1X y EAP-TLS.

802.1X es el estándar IEEE para el control de acceso a la red basado en puertos. Básicamente actúa como un cadenero en la puerta de su red: el punto de acceso. Bloquea todo el tráfico hasta que el dispositivo demuestre quién es.

EAP-TLS, que significa Protocolo de autenticación extensible con seguridad de la capa de transporte, es el método estándar de oro para esta demostración. Requiere autenticación mutua. Esto es absolutamente fundamental.

En EAP-TLS, el dispositivo cliente presenta su certificado al servidor RADIUS para decir: 'Soy un dispositivo corporativo válido'. Pero luego, el servidor RADIUS presenta su propio certificado de vuelta al cliente para decir: 'Y yo soy la red corporativa legítima, no un punto de acceso no autorizado'.

Esta confianza mutua evita lo que los profesionales de la seguridad llaman ataques de Evil Twin (gemelo malvado), en los que un actor malicioso configura un punto de acceso no autorizado con el mismo nombre de red para robar credenciales. Debido a que el atacante no tiene un certificado válido de su Autoridad de Certificación interna, el dispositivo cliente se negará a conectarse. Punto final.

Hablemos de los componentes con más detalle.

La jerarquía de la Autoridad de Certificación suele tener tres niveles. En la parte superior, se encuentra la CA raíz. Esta es la fuente última de confianza. En una implementación bien diseñada, la CA raíz se mantiene completamente fuera de línea: protegida físicamente y aislada (air-gapped). Solo se utiliza para firmar certificados de CA intermedias.

Debajo de eso, tiene una o más CAs intermedias. Estas están en línea y se encargan de la firma diaria de los certificados de la CA emisora. La separación de la CA raíz de las CAs intermedias significa que incluso si una CA intermedia se ve comprometida, puede revocarla sin destruir toda su PKI.

En la parte inferior de la jerarquía, la CA emisora es la que realmente firma los certificados de entidad final, los que se instalan en sus laptops, tabletas y teléfonos inteligentes.

Cada certificado contiene varios campos clave: el Sujeto, que identifica al titular del certificado; el Emisor, que identifica a la CA que lo firmó; la Clave Pública; el Período de Validez, que define las fechas de inicio y fin; y la Firma Digital de la CA emisora.

Ahora, analicemos un escenario de implementación del mundo real.

Imagine una cadena de retail con quinientas tiendas. Actualmente utilizan WPA2-PSK: una única contraseña compartida en todas las ubicaciones. El equipo de TI sabe que esto es un problema. La rotación de personal significa que la contraseña se comparte externamente. No hay forma de auditar quién está en la red. Y si la contraseña de una tienda se ve comprometida, el atacante tiene acceso a toda la red de la empresa.

La ruta de migración a PKI se ve así.

Primero, seleccione un proveedor de PKI administrado en la nube e intégrelo con la solución de gestión de dispositivos móviles (MDM) existente. Segundo, configure SCEP —el Protocolo simple de inscripción de certificados— para enviar automáticamente certificados únicos y vinculados al dispositivo a cada equipo corporativo. Tercero, implemente un servicio RADIUS en la nube y configúrelo para validar certificados contra la PKI. Cuarto, reconfigure los controladores inalámbricos en cada tienda para exigir la autenticación 802.1X en el SSID corporativo. Finalmente, retire la red PSK.

¿El resultado? Cada dispositivo tiene una identidad criptográfica única. Si roban una tableta, su certificado se revoca en la PKI y, en cuestión de minutos, ese dispositivo ya no puede acceder a ninguna red en ninguna tienda. Sin rotación de contraseñas. Sin tiempo de inactividad. Sin caos operativo.

Ahora, hablemos de algunos errores comunes, porque aquí es donde muchas implementaciones tienen problemas.

El primer problema y el más común es una mala gestión de la revocación. Emitir certificados es la parte fácil. Revocarlos de manera confiable es donde los equipos suelen fallar. Su servidor RADIUS debe estar configurado para verificar activamente la Lista de revocación de certificados, o CRL, o utilizar el Protocolo de estado de certificado en línea, conocido como OCSP, en cada intento de autenticación. No solo una vez al día. Cada vez. Si un dispositivo se ve comprometido y su certificado se revoca, pero su servidor RADIUS solo verifica la CRL una vez cada veinticuatro horas, tendrá una ventana de exposición de veinticuatro horas.

El segundo error común es la sincronización de la hora. Esto afecta a los equipos más a menudo de lo que se esperaría. Los certificados digitales son extremadamente sensibles al tiempo. Si el reloj de un dispositivo cliente tiene un desfase de más de unos pocos minutos —debido a una falla de NTP, por ejemplo—, la validación del certificado fallará. El certificado parecerá no ser válido aún o haber expirado. Asegure una configuración sólida de NTP en toda su infraestructura de red.

El tercer error común es la distribución de la cadena de confianza. Para que la autenticación mutua EAP-TLS funcione, el dispositivo cliente debe confiar en la CA raíz que emitió el certificado del servidor RADIUS. En los dispositivos Windows unidos a Active Directory, esto generalmente se maneja de forma automática a través de Group Policy. Pero para dispositivos Android, dispositivos iOS o equipos BYOD, debe enviar el certificado de la CA raíz a través de MDM. Si omite este paso, esos dispositivos rechazarán el certificado del servidor RADIUS y no podrán conectarse.

Pasemos a las preguntas rápidas que me hacen con más frecuencia.

¿Puedo usar EAP-TLS para el WiFi de invitados? Técnicamente sí, pero en la práctica no. Los dispositivos de invitados no están administrados, por lo que no se les pueden enviar certificados. Las redes de invitados deben usar un Captive Portal con inicio de sesión de redes sociales o autenticación por correo electrónico, mientras que el SSID corporativo utiliza EAP-TLS. Plataformas como Purple manejan esta separación de manera limpia.

¿Qué es OpenRoaming y cómo se relaciona la PKI con él? OpenRoaming es un estándar de WiFi federado que permite a los usuarios conectarse de manera segura y sin interrupciones a las redes participantes utilizando un perfil preaprovisionado, esencialmente una credencial basada en certificados. Purple actúa como un proveedor de identidad gratuito para OpenRoaming bajo la licencia Connect, lo que significa que los usuarios aprovisionados a través de Purple pueden conectarse a cualquier recinto habilitado para OpenRoaming sin necesidad de un Captive Portal o contraseña.

¿Con qué frecuencia se deben renovar los certificados? La mejor práctica es establecer la vida útil de los certificados en un año para los certificados de entidad final y automatizar la renovación al alcanzar el sesenta por ciento del período de validez. Esto le brinda un margen sustancial si el proceso de renovación falla.

Para resumir el informe de hoy.

PKI reemplaza los secretos compartidos vulnerables con identidad criptográfica. Cada dispositivo obtiene un certificado digital único e infalsificable. EAP-TLS proporciona autenticación mutua, lo que garantiza que el dispositivo confíe en la red y la red confíe en el dispositivo. El aprovisionamiento automatizado a través de MDM no es negociable para implementaciones escalables. Una verificación de revocación sólida es la diferencia entre una implementación segura y una falsa sensación de seguridad. Y para los recintos abiertos al público, adoptar estándares respaldados por PKI como OpenRoaming ofrece una experiencia de invitado segura y sin interrupciones a escala.

Si está planeando una migración a WiFi basado en certificados, la guía de referencia técnica completa está disponible en el sitio web de Purple, con diagramas de arquitectura, listas de verificación de implementación y ejemplos prácticos para entornos de hospitalidad, retail y atención médica.

Gracias por acompañarnos en este informe. Hasta la próxima.

Puntos clave

✓PKI reemplaza las contraseñas compartidas vulnerables con certificados digitales criptográficos, proporcionando identidades únicas e infalsificables para cada dispositivo en la red.
✓EAP-TLS ofrece autenticación mutua —el dispositivo se demuestra ante la red y la red se demuestra ante el dispositivo—, lo que evita los ataques de gemelo malvado (evil twin).
✓El aprovisionamiento automatizado de certificados a través de MDM utilizando SCEP o EST no es negociable para implementaciones empresariales escalables; la instalación manual es operativamente inviable.
✓Una verificación de revocación sólida (CRL u OCSP en cada intento de autenticación) es la diferencia entre una implementación genuinamente segura y una falsa sensación de seguridad.
✓La CA raíz debe mantenerse fuera de línea y aislada (air-gapped); toda la emisión diaria de certificados fluye a través de CAs intermedias en línea para proteger la raíz de confianza.
✓El WiFi basado en certificados cumple directamente con los requisitos de PCI DSS, GDPR e ISO 27001, proporcionando controles de acceso auditables y demostrables que los entornos de clave compartida no pueden igualar.
✓OpenRoaming extiende la seguridad respaldada por PKI al WiFi de invitados y visitantes a escala, con Purple actuando como un proveedor de identidad gratuito bajo la licencia Connect.

Resumen Ejecutivo

Para los líderes de TI empresariales que administran implementaciones a gran escala en recintos de hospitalidad, retail o del sector público, proteger el acceso inalámbrico es un requisito fundamental, no una actualización opcional. Las claves precompartidas (PSKs) tradicionales son inadecuadas para entornos corporativos: no proporcionan responsabilidad individual, no se pueden auditar y crean una carga operativa significativa cuando se rotan. La infraestructura de clave pública (PKI) proporciona la base criptográfica necesaria para una seguridad de red sólida y escalable. Esta guía detalla qué es PKI, cómo impulsa la seguridad WiFi empresarial a través de la autenticación basada en certificados y los pasos concretos necesarios para implementar IEEE 802.1X con EAP-TLS. Al hacer la transición a una arquitectura respaldada por PKI, las organizaciones pueden eliminar el robo de credenciales, automatizar la incorporación de dispositivos y garantizar un acceso seguro y sin interrupciones tanto para los dispositivos corporativos como para los invitados, al tiempo que cumplen con los requisitos de PCI DSS, GDPR e ISO 27001.

Análisis Técnico Profundo: Comprensión de PKI en WiFi Empresarial

La infraestructura de clave pública (PKI) es el marco de hardware, software, políticas y procedimientos necesarios para crear, administrar, distribuir, usar, almacenar y revocar certificados digitales y administrar el cifrado de clave pública. En el contexto del WiFi empresarial, PKI es el motor que impulsa la verificación de identidad y el cifrado, reemplazando la contraseña compartida inherentemente insegura con una identidad criptográfica que es única para cada dispositivo o usuario.

Los Componentes Clave de PKI

En su núcleo, PKI se basa en la criptografía asimétrica, donde se utilizan dos claves relacionadas matemáticamente: una clave pública (compartida abiertamente) y una clave privada (mantenida en secreto). Los datos cifrados con la clave pública solo pueden descifrarse con la clave privada correspondiente, y viceversa. Los componentes principales de una implementación de PKI son los siguientes.

Componente	Rol	Contexto de WiFi Empresarial
Autoridad de Certificación (CA)	Emite y firma certificados digitales	La raíz de confianza para su red; todos los dispositivos deben confiar en la CA
Certificado Digital (X.509)	Vincula una clave pública a una identidad	Instalado en cada dispositivo corporativo; presentado durante la autenticación 802.1X
Servidor RADIUS	Valida certificados y otorga acceso a la red	El motor de decisiones que acepta o rechaza las solicitudes de conexión
Autoridad de Registro (RA)	Verifica la identidad antes de la emisión del certificado	A menudo manejado por MDM/UEM en implementaciones automatizadas
CRL / OCSP	Verifica si un certificado ha sido revocado	Fundamental para bloquear dispositivos comprometidos o robados en tiempo real

Cómo PKI Impulsa 802.1X y EAP-TLS

La seguridad WiFi empresarial se basa en el estándar IEEE 802.1X para el control de acceso a la red basado en puertos. Cuando se combina con el Protocolo de autenticación extensible (EAP), específicamente EAP-TLS (Seguridad de la capa de transporte), PKI ofrece el nivel más alto de seguridad inalámbrica: autenticación mutua.

En una implementación de EAP-TLS, el dispositivo cliente presenta su certificado digital a la red para demostrar su identidad, y el servidor RADIUS presenta su certificado al cliente, demostrando que la red es legítima y no un punto de acceso no autorizado o "evil twin". Esta confianza mutua se establece porque ambas partes confían en la CA raíz que emitió los certificados. Una vez autenticada, la sesión se cifra utilizando el conjunto de cifrado TLS negociado, lo que evita la escucha no autorizada y los ataques de intermediario (man-in-the-middle).

El flujo de EAP-TLS opera a través de cuatro entidades lógicas: el Dispositivo Cliente (suplicante), el Punto de Acceso (autenticador), el Servidor RADIUS (servidor de autenticación) y la Autoridad de Certificación. El punto de acceso actúa como un relevo transparente: no toma la decisión de autenticación por sí mismo. Esa decisión recae por completo en el servidor RADIUS, que valida la cadena de certificados de vuelta a la CA raíz de confianza.

Guía de Implementación: Despliegue de WiFi Basado en Certificados

La transición a una arquitectura WiFi respaldada por PKI requiere una planificación cuidadosa en cuatro fases.

Fase 1: Arquitectura y Selección de CA

Decida si construirá una PKI interna (por ejemplo, Active Directory Certificate Services de Microsoft) o si utilizará un proveedor de PKI en la nube administrado. Para implementaciones modernas a escala, la PKI en la nube reduce significativamente la carga administrativa y proporciona alta disponibilidad integrada. Asegúrese de que la CA elegida se integre perfectamente con su solución de gestión de dispositivos móviles (MDM) o gestión unificada de endpoints (UEM). Para entornos que utilizan WiFi de invitados , asegúrese de que la infraestructura RADIUS esté diseñada para manejar tanto el tráfico corporativo de 802.1X como la autenticación de Captive Portal de invitados en SSIDs separados.

Fase 2: Configuración del Servidor RADIUS

Implemente un servidor RADIUS sólido; las opciones incluyen FreeRADIUS, Cisco ISE, Aruba ClearPass o un RADIUS-as-a-Service nativo de la nube. Configure el servidor RADIUS con su propio certificado de servidor emitido por su CA. Esto es fundamental: sin un certificado de servidor válido, el cliente no puede realizar la autenticación mutua y será vulnerable a ataques de gemelo malvado (evil twin). Para implementaciones en grandes recintos, considere configuraciones de proxy RADIUS para admitir el roaming entre sitios. Los recintos que implementen plataformas de Análisis de WiFi deben asegurarse de que los datos de contabilidad de RADIUS se alimenten al flujo de análisis para una atribución precisa de las sesiones.

Fase 3: Aprovisionamiento Automatizado de Certificados

La instalación manual de certificados no es escalable y es propensa a errores. Aproveche el protocherramientas como SCEP (Simple Certificate Enrollment Protocol) o EST (Enrollment over Secure Transport) a través de su MDM para enviar certificados de forma silenciosa a los dispositivos corporativos. Para escenarios BYOD, implemente un portal de incorporación que aprovisione de forma segura un certificado en el dispositivo del usuario tras la verificación de identidad inicial. Para dispositivos IoT sin interfaz (headless), como equipos médicos, terminales de punto de venta o señalización digital, los certificados deben aprovisionarse durante la fase de preparación del dispositivo antes de su implementación.

Fase 4: Aplicación de políticas de red

Configure sus controladores inalámbricos y puntos de acceso para exigir 802.1X en el SSID corporativo. Asocie los atributos del certificado (como el Subject Alternative Name o el campo OU) a VLAN específicas o políticas de firewall utilizando atributos RADIUS, garantizando un acceso a la red con el menor privilegio posible. Para establecimientos que utilizan hardware de proveedores específicos, consulte las guías del fabricante, como Su guía para un punto de acceso inalámbrico Ruckus , para conocer los pasos de configuración específicos de la plataforma.

Mejores prácticas para PKI empresarial

Proteja la CA raíz. Si utiliza una PKI interna, la CA raíz debe mantenerse fuera de línea (offline) y protegida físicamente. Solo las CA intermedias deben estar en línea y emitiendo certificados de forma activa. Una CA raíz comprometida invalida toda su PKI.

Implemente una verificación de revocación sólida. Asegúrese de que sus servidores RADIUS verifiquen activamente las CRL o utilicen OCSP para comprobar el estado del certificado en cada intento de autenticación. A un dispositivo comprometido se le debe revocar el certificado de inmediato para bloquear el acceso. Configurar RADIUS para almacenar en caché las respuestas CRL durante demasiado tiempo crea una ventana de exposición.

Automatice las renovaciones antes del vencimiento. Los certificados vencen. Implemente procesos de renovación automatizados que se activen al 60-70% del periodo de validez del certificado para evitar interrupciones de red causadas por certificados vencidos. El vencimiento de los certificados es una de las causas más comunes de interrupciones imprevistas de WiFi en entornos empresariales.

Adopte OpenRoaming para espacios públicos. Para establecimientos de Hospitalidad , Retail , Transporte y Salud , participar en OpenRoaming ofrece una conectividad de invitados segura y sin interrupciones a escala. Purple actúa como un proveedor de identidad gratuito para OpenRoaming bajo la licencia Connect, lo que permite a los usuarios con perfiles existentes conectarse de forma segura sin un captive portal ni contraseña, respaldado por el mismo modelo de confianza de PKI descrito en esta guía.

Resolución de problemas y mitigación de riesgos

Incluso con una planificación cuidadosa, las implementaciones de PKI se enfrentan a modos de falla previsibles. La siguiente tabla resume los problemas más comunes y sus soluciones.

Modo de falla	Síntoma	Causa raíz	Resolución
Falla de sincronización de hora	Errores de validación de certificados en todos los dispositivos	Mala configuración de NTP en el cliente o RADIUS	Aplicar la política NTP a través de MDM y la infraestructura de red
Falla en la cadena de confianza	Tipos de dispositivos específicos (por ejemplo, Android) no pueden conectarse	La CA raíz no está en el almacén de raíces de confianza del dispositivo	Enviar la CA raíz a través del perfil de MDM
CRL no accesible	Fallas de autenticación intermitentes	El firewall bloquea los endpoints de CRL/OCSP	Abrir reglas de firewall para los puntos de distribución de la CA
Vencimiento del certificado	Desconexión masiva repentina	Automatización de renovación no configurada	Implementar la renovación activada por MDM al 60% de validez
Discrepancia de certificado RADIUS	Todos los clientes fallan en la autenticación mutua	El certificado del servidor RADIUS venció o la CA es incorrecta	Renovar el certificado del servidor RADIUS y volver a implementar

Específicamente para entornos de atención médica, donde el tiempo de inactividad de la red tiene implicaciones directas en la seguridad del paciente, consulte WiFi en hospitales: una guía para redes clínicas seguras para obtener recomendaciones de resiliencia de nivel clínico.

ROI e impacto empresarial

La implementación de PKI para la seguridad de WiFi ofrece un valor empresarial medible en tres dimensiones.

Reducción de riesgos y cumplimiento. Eliminar las contraseñas compartidas elimina el vector más común para el movimiento lateral en la red. La autenticación basada en certificados cumple directamente con los requisitos de PCI DSS (Requisito 8.6), GDPR (Medidas técnicas del Artículo 32) e ISO 27001 (Anexo A.9). La capacidad de revocar instantáneamente un certificado cuando un empleado se va o se roba un dispositivo proporciona un control auditable y demostrable que los entornos de clave compartida simplemente no pueden igualar.

Eficiencia operativa. El aprovisionamiento automatizado de certificados a través de MDM reduce significativamente los tickets de soporte de TI relacionados con problemas de conectividad WiFi (restablecimiento de contraseñas, rotación de claves y retrasos en la incorporación). En entornos de retail con alta rotación de personal, esto se traduce directamente en menores costos de soporte de TI y tiempos de implementación de dispositivos más rápidos.

Experiencia de usuario e invitado mejorada. La autenticación basada en certificados es invisible para el usuario final. Los empleados corporativos se conectan de forma automática y segura sin necesidad de realizar pasos manuales. Para los invitados, las plataformas como la solución Guest WiFi de Purple gestionan la separación entre el acceso corporativo administrado y la incorporación de invitados, garantizando que cada público obtenga la experiencia de autenticación adecuada sin comprometer la seguridad en ninguna de las redes.

Definiciones clave

Infraestructura de clave pública (PKI)

El marco integral de roles, políticas, hardware y software utilizado para administrar certificados digitales y el cifrado de clave pública. Establece las relaciones de confianza que permiten a los dispositivos y servidores verificar las identidades de los demás de forma criptográfica.

La arquitectura fundamental requerida para alejarse de las contraseñas compartidas y avanzar hacia la seguridad de red basada en la identidad. Toda implementación de WiFi empresarial que utilice 802.1X depende de una PKI.

Autoridad de certificación (CA)

Una entidad de confianza que emite, firma y administra certificados digitales. Actúa como la raíz de confianza en una PKI: cualquier certificado firmado por la CA es confiable para todas las partes que confían en la CA.

El pilar central de la seguridad de su red. Si la CA se ve comprometida, todos los certificados que ha emitido están potencialmente comprometidos. Proteger la CA raíz es el control de seguridad más importante en una implementación de PKI.

X.509

El estándar ITU-T que define el formato de los certificados de clave pública. Los certificados X.509 contienen campos que incluyen el Sujeto, el Emisor, la Clave Pública, el Período de Validez y la Firma Digital de la CA.

Al configurar las políticas del servidor RADIUS, los equipos de TI mapean campos específicos de X.509 —como el Subject Alternative Name (SAN) o la Unidad Organizativa (OU)— a asignaciones de VLAN y políticas de acceso.

IEEE 802.1X

El estándar IEEE para el Control de Acceso a la Red basado en puertos (PNAC). Proporciona un mecanismo de autenticación que bloquea todo el tráfico de red en el punto de acceso hasta que un servidor de autenticación haya verificado la identidad del dispositivo que se conecta.

El protocolo que exige la autenticación basada en certificados en el punto de acceso inalámbrico. Sin 802.1X, un dispositivo puede conectarse al SSID sin demostrar su identidad.

EAP-TLS (Protocolo de autenticación extensible - Seguridad de la capa de transporte)

Un método EAP que utiliza certificados de cliente y servidor para establecer una sesión TLS cifrada y autenticada mutuamente. Es el método EAP más seguro disponible para WiFi empresarial.

El estándar de oro para la autenticación WiFi corporativa. A diferencia de PEAP o EAP-TTLS, que utilizan contraseñas dentro de un túnel TLS, EAP-TLS elimina las contraseñas por completo, reemplazándolas con certificados criptográficos.

RADIUS (Servicio de usuario de marcación de autenticación remota)

Un protocolo de red que proporciona una administración centralizada de autenticación, autorización y contabilidad (AAA). En las implementaciones de 802.1X, el servidor RADIUS recibe el certificado del cliente desde el punto de acceso, lo valida contra la CA y devuelve una decisión de acceso.

El motor de decisiones de la pila de autenticación WiFi empresarial. RADIUS también maneja la asignación dinámica de VLAN, lo que permite la segmentación de la red según la identidad del dispositivo o el rol del usuario.

Lista de revocación de certificados (CRL)

Una lista publicada periódicamente de certificados que han sido revocados por la CA emisora antes de su fecha de vencimiento programada. Los servidores RADIUS verifican la CRL para asegurarse de no otorgar acceso a dispositivos comprometidos o retirados del servicio.

Fundamental para mantener la seguridad cuando los dispositivos se pierden, se roban o se retiran del servicio. La verificación de CRL debe configurarse en el servidor RADIUS; no ocurre automáticamente.

Autenticación mutua

Un proceso de seguridad en el que ambas partes en un enlace de comunicación se autentican entre sí simultáneamente. En EAP-TLS, el cliente se autentica ante la red y la red se autentica ante el cliente.

Evita los ataques de 'Evil Twin' (gemelo malvado) en los que un hacker configura un punto de acceso no autorizado con el mismo SSID que la red corporativa para interceptar credenciales. Sin autenticación mutua, el cliente no tiene forma de verificar que se está conectando a la red legítima.

SCEP (Protocolo simple de inscripción de certificados)

Un protocolo que permite la distribución automatizada y escalable de certificados digitales a los dispositivos a través de un MDM o un sistema de administración de dispositivos de red.

El mecanismo que hace que las implementaciones de PKI empresariales sean operativamente viables a escala. Sin SCEP o un protocolo de inscripción automatizado similar, el aprovisionamiento de certificados para miles de dispositivos requeriría intervención manual.

Ejemplos resueltos

Una gran cadena de retail con 500 tiendas necesita proteger su WiFi corporativo para las tabletas de punto de venta (POS) de los empleados y los escáneres de inventario. Actualmente utilizan un único WPA2-PSK en todas las tiendas, el cual se comparte con frecuencia con personas ajenas a la empresa y no se puede auditar. ¿Cómo deberían rediseñar su arquitectura de autenticación?

La cadena de retail debe migrar a WPA3-Enterprise utilizando 802.1X y EAP-TLS. Paso 1: Seleccionar un proveedor de PKI administrado en la nube e integrarlo con la solución MDM existente que administra las tabletas POS y los escáneres. Paso 2: Configurar SCEP para enviar automáticamente certificados digitales únicos y vinculados al dispositivo a cada equipo corporativo a través de MDM. Paso 3: Implementar un servicio Cloud RADIUS y configurarlo para validar certificados contra la PKI, con la verificación OCSP habilitada. Paso 4: Reconfigurar los controladores inalámbricos en cada tienda para exigir la autenticación 802.1X en el SSID corporativo. Paso 5: Retirar la red PSK. Paso 6: Configurar la asignación de VLAN a través de atributos RADIUS para segmentar los dispositivos POS de los dispositivos del personal general en la capa de red.

Comentario del examinador: Este enfoque elimina por completo la vulnerabilidad del secreto compartido. Debido a que los certificados se implementan a través de MDM y se vinculan al hardware del dispositivo, no se pueden extraer ni compartir externamente. Si una tableta se pierde o es robada, su certificado específico se revoca a través de la integración MDM/PKI, bloqueando instantáneamente el acceso a la red de ese dispositivo sin afectar a ninguna otra tienda o dispositivo. La segmentación de VLAN a través de atributos RADIUS también cumple con los requisitos de segmentación de red de PCI DSS para entornos de datos de titulares de tarjetas.

Una importante red de hospitales está implementando nuevas bombas de infusión médica inalámbricas en tres sitios. Estos dispositivos carecen de una interfaz de usuario para ingresar credenciales o aceptar solicitudes de Captive Portal. ¿Cómo se pueden conectar de manera segura a la red WiFi clínica sin crear una vulnerabilidad de clave compartida?

Implementar una arquitectura basada en PKI específicamente para dispositivos médicos IoT sin pantalla (headless). Paso 1: Generar certificados X.509 específicos para cada bomba de infusión, utilizando el número de serie del dispositivo como el Subject Common Name. Paso 2: Instalar los certificados en las bombas durante la fase de preparación y aprovisionamiento, antes de la implementación clínica. Paso 3: Configurar el SSID de la red WiFi clínica para 802.1X EAP-TLS. Paso 4: Configurar el servidor RADIUS para mapear el Subject CN del certificado del dispositivo a una VLAN específica dedicada a dispositivos médicos. Paso 5: Implementar la verificación CRL para permitir la revocación instantánea si un dispositivo se retira del servicio o se retira del mercado.

Comentario del examinador: Este es el enfoque estándar para implementaciones seguras de IoT en entornos clínicos, como se detalla en [WiFi en hospitales: una guía para redes clínicas seguras](/blog/wifi-in-hospitals). Proporciona una seguridad sólida basada en la identidad sin requerir la interacción del usuario, lo cual es fundamental para dispositivos médicos sin pantalla. La asignación de VLAN a través de RADIUS garantiza que, incluso si el certificado de una bomba se viera comprometido de alguna manera, el dispositivo solo tendría acceso a la VLAN de dispositivos clínicos, no a la red hospitalaria en general.

Preguntas de práctica

Q1. Su organización está migrando de PEAP (usuario/contraseña) a EAP-TLS (certificados) para el SSID corporativo. Durante las pruebas, las laptops con Windows se conectan correctamente, pero los dispositivos Android fallan constantemente. Los registros de RADIUS muestran que los dispositivos Android están rechazando el certificado del servidor durante el saludo TLS. ¿Cuál es la causa más probable y cómo se resuelve?

Sugerencia: Considere el concepto de autenticación mutua y la cadena de confianza. ¿Qué necesita el dispositivo Android para confiar en el certificado del servidor RADIUS?

Ver respuesta modelo

Los dispositivos Android no tienen el certificado de la CA raíz instalado en su almacén de raíces de confianza. Las laptops con Windows reciben la CA raíz a través de Group Policy de forma automática, pero los dispositivos Android requieren que la CA raíz se envíe a través de un perfil de MDM. Sin la CA raíz en el almacén de confianza, el dispositivo Android no puede verificar la cadena de certificados del servidor RADIUS, lo que hace que rechace el certificado del servidor y aborte el saludo TLS. Resolución: cree un perfil de configuración de MDM que instale el certificado de la CA raíz en el almacén de raíces de confianza en todos los dispositivos Android administrados, luego vuelva a realizar la prueba.

Q2. La laptop corporativa de un empleado recientemente despedido todavía se conecta con éxito a la red WiFi empresarial dos días después de que se deshabilitara su cuenta de Active Directory. La red utiliza EAP-TLS. ¿Por qué sucede esto y qué se debe hacer para evitarlo?

Sugerencia: Deshabilitar una cuenta de Active Directory no invalida automáticamente un certificado criptográfico. Considere qué está validando realmente el servidor RADIUS.

Ver respuesta modelo

El servidor RADIUS está validando el certificado, no el estado de la cuenta de Active Directory. Debido a que el certificado sigue siendo matemáticamente válido y no ha sido revocado, el servidor RADIUS otorga el acceso. Para resolver esto de inmediato, se debe revocar en la Autoridad de Certificación el certificado específico emitido para esa laptop. Para evitar esto de manera sistemática, integre el proceso de baja de recursos humanos con el MDM y la PKI: cuando se da de baja a un empleado, el MDM debe revocar automáticamente el certificado del dispositivo y anular su inscripción. Además, asegúrese de que el servidor RADIUS esté configurado para verificar OCSP o la CRL en cada intento de autenticación —no solo periódicamente— para que la revocación surta efecto de inmediato.

Q3. Está diseñando la arquitectura de red para un gran estadio que desea ofrecer WiFi seguro y sin interrupciones a 60,000 asistentes sin requerir que cada persona pase por un Captive Portal. El recinto también desea brindar soporte a los expositores corporativos que necesitan acceso protegido por 802.1X para sus equipos POS. ¿Cómo influye la PKI en ambos requisitos?

Sugerencia: Considere que existen dos audiencias distintas con diferentes necesidades de autenticación. OpenRoaming aborda una; un SSID corporativo dedicado con 802.1X aborda la otra.

Ver respuesta modelo

Se requieren dos SSIDs separados. Para los 60,000 asistentes, implemente OpenRoaming. La red del estadio debe estar configurada para confiar en las CAs raíz de OpenRoaming. Cuando el dispositivo de un visitante —aprovisionado por un proveedor de identidad como Purple o un operador móvil— se conecta, presenta un certificado. El servidor RADIUS lo valida contra la cadena de confianza de OpenRoaming y otorga un acceso seguro y cifrado sin un Captive Portal. Para los expositores corporativos con equipos POS, implemente un SSID 802.1X separado utilizando EAP-TLS. A los expositores se les emiten certificados de dispositivo temporales durante su proceso de acreditación, los cuales se revocan automáticamente después del evento. Los atributos de RADIUS asignan los dispositivos POS a una VLAN dedicada, cumpliendo con los requisitos de segmentación de red de PCI DSS.

Continúe leyendo esta serie

Per-Device PSK by Vendor: iPSK, DPSK, MPSK and PPSK Compared (and WPA3 Support)

Una comparación exhaustiva de las implementaciones de PSK por dispositivo en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet y Ubiquiti UniFi. Conozca cómo WPA3-SAE afecta las estrategias de claves por dispositivo y cuándo implementar modos de transición en lugar de migrar a 802.1X.

Captive Portal Authentication Methods Compared

Esta guía de referencia técnica autorizada evalúa las ventajas y desventajas arquitectónicas, operativas y de cumplimiento de cinco métodos principales de autenticación de Captive Portal. Proporciona a arquitectos de red, directores de TI y gerentes de marketing los datos cuantitativos y los marcos de decisión necesarios para equilibrar la fricción en el registro de invitados con los requisitos de recopilación de datos en entornos empresariales.

What Is MAC Address Authentication? When to Use It and When to Avoid It

Esta guía técnica de referencia autorizada cubre la autenticación por dirección MAC en entornos WiFi empresariales: cómo funciona la autenticación MAC basada en RADIUS en la Capa 2, sus vulnerabilidades de seguridad inherentes (incluyendo la suplantación de MAC y el impacto de la aleatorización de MAC a nivel de sistema operativo), y los contextos operativos precisos donde sigue siendo una herramienta válida para gestionar dispositivos IoT y sin interfaz. Proporciona una guía de implementación práctica para gerentes de TI y arquitectos de red en hostelería, comercio minorista, atención médica y recintos del sector público, con ejemplos prácticos del mundo real, marcos de decisión y contexto de integración para la plataforma de WiFi para invitados y análisis de Purple.