EAP-TLS vs. PEAP: ¿Qué protocolo de autenticación es el adecuado para su red?

Una comparación técnica completa de los protocolos de autenticación EAP-TLS y PEAP, que cubre la arquitectura de seguridad, la complejidad de implementación y las implicaciones de cumplimiento. Esta guía proporciona marcos de decisión prácticos para líderes de TI en sectores como hospitalidad, retail, eventos y entornos del sector público que necesitan seleccionar el método de autenticación 802.1X adecuado para su infraestructura de WiFi empresarial.

📖 6 min de lectura📝 1,341 palabras🔧 2 ejemplos resueltos❓ 3 preguntas de práctica📚 9 definiciones clave

Escucha esta guía

Ver transcripción del podcast

EAP-TLS vs PEAP: ¿Qué protocolo de autenticación es el adecuado para su red?
Un informe técnico de Purple

[INTRODUCCIÓN — aproximadamente 1 minuto]

Le damos la bienvenida al informe técnico de Purple. Soy su anfitrión, y hoy nos adentraremos en una de las decisiones más trascendentales que tomará al diseñar o actualizar su infraestructura inalámbrica empresarial: la elección entre EAP-TLS y PEAP para su marco de autenticación 802.1X.

Si usted es gerente de TI, arquitecto de red o CTO responsable de un grupo hotelero, una cadena de tiendas de retail, un estadio o una organización del sector público, esta decisión afecta su postura de seguridad, su cumplimiento normativo y la carga operativa diaria que soporta su equipo. Así que vayamos directo al grano.

Tanto EAP-TLS como PEAP son métodos de autenticación 802.1X. Ambos dependen de un servidor RADIUS para gestionar las solicitudes de autenticación y ambos proporcionan una seguridad significativamente mayor que una frase de contraseña compartida WPA2. Sin embargo, la forma en que verifican la identidad es fundamentalmente diferente, y esa diferencia tiene implicaciones de gran alcance sobre cómo implementa, gestiona y escala su red.

[ANÁLISIS TÉCNICO PROFUNDO — aproximadamente 5 minutos]

Comencemos con EAP-TLS: Extensible Authentication Protocol Transport Layer Security.

EAP-TLS es el estándar de oro de la autenticación WiFi empresarial. La característica que lo define es la autenticación mutua por certificados. Lo que esto significa en la práctica es lo siguiente: cuando un dispositivo intenta conectarse a su red, el servidor RADIUS presenta un certificado digital al dispositivo. El dispositivo verifica ese certificado con sus Autoridades de Certificación de confianza. Pero aquí está la diferencia crítica con PEAP: el dispositivo presenta luego su propio certificado de vuelta al servidor. El servidor valida ese certificado de cliente y, solo si ambos certificados son válidos y confiables, la red concede el acceso.

No hay contraseñas de por medio. Ninguna. La autenticación se basa completamente en certificados. Esto hace que EAP-TLS sea extraordinariamente resistente al robo de credenciales, ataques de diccionario y ataques de Man-in-the-Middle. Simplemente no se puede robar una contraseña que no existe en el flujo de autenticación.

Ahora bien, la desventaja es la complejidad de la implementación. Para ejecutar EAP-TLS a gran escala, necesita una infraestructura de clave pública (PKI, por sus siglas en inglés) para emitir, gestionar y revocar certificados para cada uno de los dispositivos de su red. También necesita una solución de gestión de dispositivos móviles (MDM) para distribuir esos certificados de forma silenciosa a los terminales. Si administra una infraestructura corporativa con Microsoft Intune o Jamf, esto es totalmente viable. Si no es así, EAP-TLS se convierte en un desafío importante.

La otra consideración operativa es la gestión del ciclo de vida de los certificados. Los certificados expiran. Si el certificado de su servidor RADIUS expira, la autenticación de todos los dispositivos de su red fallará simultáneamente. Eso representaría una caída catastrófica del servicio. Los procesos de monitoreo y renovación de certificados son innegociables.

Ahora analicemos PEAP: Protected Extensible Authentication Protocol.

PEAP fue diseñado para abordar la complejidad de implementación de EAP-TLS y, al mismo tiempo, proporcionar una seguridad sólida. La idea clave detrás de PEAP es esta: solo se necesita que el servidor tenga un certificado. El cliente no necesita uno.

Así es como funciona. El servidor RADIUS presenta su certificado al dispositivo cliente. El cliente valida al servidor, tal como en EAP-TLS. Esto establece un túnel TLS cifrado. Dentro de ese túnel, el cliente realiza la autenticación estándar basada en contraseña, normalmente usando MSCHAPv2, contra su almacén de identidades: Active Directory, LDAP, Google Workspace o lo que sea que esté usando.

La contraseña nunca viaja en texto plano. Siempre está protegida dentro del túnel cifrado. Por lo tanto, PEAP es realmente seguro, siempre y cuando se configure correctamente.

Y ahí es donde debemos hablar sobre la mala configuración más común y peligrosa en las implementaciones de PEAP. Si un dispositivo cliente no está configurado para validar estrictamente el certificado del servidor RADIUS, un atacante puede configurar un punto de acceso falso con el mismo nombre de red, presentar un certificado fraudulento y el dispositivo se conectará sin problemas. Luego, el atacante captura el intercambio de autenticación MSCHAPv2, que se puede descifrar sin conexión. Este no es un ataque teórico: es una técnica bien documentada que se utiliza en pruebas de penetración del mundo real.

La solución es sencilla: use directivas de grupo, perfiles de MDM o herramientas de incorporación para exigir una validación estricta del certificado del servidor en cada dispositivo cliente. Pero la realidad operativa es que, en entornos BYOD, garantizar que esta configuración se aplique de manera consistente en miles de dispositivos personales no administrados es realmente difícil.

Permítame darle una comparación concreta. Considere una cadena minorista de 500 ubicaciones. Tienen tablets y escáneres portátiles propiedad de la empresa, todos administrados a través de Microsoft Intune. EAP-TLS es la opción correcta. Intune distribuye los certificados de forma automática. Si se pierde un escáner, el departamento de TI revoca su certificado y queda fuera de la red en cuestión de minutos, sin restablecer contraseñas ni cambiar frases de contraseña compartidas en 500 tiendas. La seguridad es absoluta.

Ahora considere un gran centro de conferencias que opera WiFi para 3,000 miembros del personal en sus dispositivos personales. Sin MDM. El personal utiliza Google Workspace. PEAP integrado con Google Secure LDAP es la opción pragmática. El personal se autentica con sus credenciales estándar. El equipo de TI proporciona documentación de incorporación para configurar la validación de certificados. Se puede implementar en días, no en meses.

La arquitectura que sustenta ambos protocolos es el mismo modelo 802.1X de tres componentes: el suplicante (que es el dispositivo cliente), el autenticador (que es su punto de acceso o switch) y el servidor RADIUS. El autenticador actúa como un guardián, bloqueando todo el tráfico hasta que el servidor RADIUS indica que la autenticación se ha realizado con éxito.

[RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES — aproximadamente 2 minutos]

Entonces, ¿cuáles son las recomendaciones prácticas?

Primero: si cuenta con una solución de MDM y dispositivos propiedad de la empresa, implemente EAP-TLS. La inversión inicial en PKI y gestión de certificados rinde frutos al reducir el riesgo y simplificar las auditorías de cumplimiento. Para entornos regulados —sector salud, finanzas, sector público— esto no es opcional. Es la arquitectura que sus auditores esperan ver.

Segundo: si opera en un entorno BYOD o no cuenta con infraestructura de MDM, implemente PEAP. Pero no omita la configuración de validación de certificados de servidor. Utilice herramientas de incorporación, portales de control de acceso a la red o perfiles de MDM siempre que sea posible para exigir esto. Trátelo como un paso de implementación obligatorio, no como una medida de seguridad opcional.

Tercero: independientemente del protocolo que elija, incorpore redundancia de RADIUS en su arquitectura. La autenticación es un camino crítico. Una sola falla en el servidor RADIUS significa que nadie puede acceder a la red. Las soluciones RADIUS alojadas en la nube pueden proporcionar resiliencia sin la sobrecarga que implica gestionar una infraestructura local redundante.

Cuarto: segmente su red después de la autenticación. Una autenticación 802.1X exitosa no debe otorgar acceso ilimitado a toda su red corporativa. Utilice políticas de asignación de VLAN para ubicar a los usuarios en los segmentos de red adecuados con los controles de acceso correspondientes.

Los errores comunes que debe evitar: la expiración de certificados que causa fallas masivas de autenticación en implementaciones de EAP-TLS; dispositivos clientes que no validan los certificados de servidor en implementaciones de PEAP; y problemas de tiempo de espera de RADIUS causados por una alta latencia entre el controlador inalámbrico y el servidor de autenticación —particularmente relevante en entornos distribuidos geográficamente.

[PREGUNTAS Y RESPUESTAS RÁPIDAS — aproximadamente 1 minuto]

Permítame repasar algunas preguntas que escucho con frecuencia.

¿Puedo ejecutar tanto EAP-TLS como PEAP en la misma red? Sí. Muchas organizaciones ejecutan EAP-TLS para dispositivos corporativos en un SSID y PEAP para BYOD o acceso de invitados en un SSID independiente, con la segmentación de red adecuada entre ellos.

¿WPA3 cambia esta decisión? WPA3 Enterprise exige el modo de seguridad de 192 bits para implementaciones de alta seguridad, lo cual se alinea con EAP-TLS. WPA3 Personal utiliza SAE en lugar de PSK, pero para implementaciones empresariales de 802.1X, la selección del método EAP sigue siendo relevante.

¿PEAP cumple con PCI DSS? Sí, cuando se configura correctamente exigiendo la validación del certificado de servidor. Sin embargo, para entornos que manejan datos de titulares de tarjetas, EAP-TLS es cada vez más el enfoque recomendado en las evaluaciones de seguridad.

¿Qué pasa con OpenRoaming? OpenRoaming utiliza autenticación basada en certificados de manera interna, alineándose con los principios de EAP-TLS. Las plataformas como Purple pueden actuar como proveedor de identidad para OpenRoaming, permitiendo un roaming seguro y fluido entre diferentes ubicaciones sin necesidad de volver a autenticarse.

[RESUMEN Y PRÓXIMOS PASOS — aproximadamente 1 minuto]

En resumen: EAP-TLS es la opción de mayor seguridad, ya que elimina por completo las contraseñas mediante la autenticación mutua de certificados. Requiere infraestructura PKI y MDM, pero ofrece la postura de cumplimiento más sólida y el control de acceso a nivel de dispositivo más detallado. PEAP es la opción pragmática para BYOD y entornos sin infraestructura de gestión de certificados, ya que proporciona una autenticación cifrada sólida utilizando las credenciales existentes, pero solo cuando la validación del certificado del servidor se aplica de forma rigurosa.

El marco de decisión es sencillo: si gestionas tus dispositivos, utiliza EAP-TLS. Si tus usuarios traen sus propios dispositivos, utiliza PEAP, pero configúralo de forma adecuada.

Para tus próximos pasos: realiza una auditoría de tu configuración de autenticación actual, evalúa la preparación de tu PKI y MDM, y revisa tu infraestructura RADIUS en busca de redundancia y latencia. Si estás implementando o actualizando el WiFi para invitados junto con tu red corporativa, considera cómo una plataforma como Purple puede integrarse con tu marco de autenticación para proporcionar tanto seguridad como análisis procesables de tu red.

Gracias por escuchar el Informe Técnico de Purple. Hasta la próxima.

Puntos clave

✓EAP-TLS ofrece el nivel más alto de seguridad WiFi empresarial mediante la autenticación mutua de certificados, eliminando por completo las contraseñas del flujo de autenticación.
✓PEAP proporciona una seguridad sólida al canalizar la autenticación de contraseña estándar dentro de una sesión TLS cifrada, requiriendo únicamente un certificado del lado del servidor.
✓EAP-TLS es la opción correcta para entornos de dispositivos gestionados por la empresa donde existe una infraestructura de PKI y MDM, particularmente en industrias reguladas como el sector salud, financiero y público.
✓PEAP es la opción pragmática para entornos BYOD y organizaciones que carecen de capacidades de gestión automatizada de certificados, siempre que se aplique rigurosamente la validación del certificado del servidor.
✓La vulnerabilidad principal y más explotada en los despliegues de PEAP es la falta de validación estricta del certificado del servidor en los dispositivos cliente; esto debe tratarse como un paso de configuración obligatorio.
✓Ambos protocolos requieren una infraestructura RADIUS sólida y de alta disponibilidad; una sola falla en el servidor RADIUS genera una interrupción completa de la autenticación.
✓Integrar la autenticación segura 802.1X con una plataforma como Purple permite a los establecimientos combinar seguridad de nivel empresarial con analíticas de WiFi accionables y un proceso de registro de invitados sin fricciones.

Resumen Ejecutivo

Seleccionar el protocolo de autenticación adecuado es una decisión arquitectónica crítica que afecta tanto a la postura de seguridad como a los costos operativos. Para los gerentes de TI, arquitectos de red y CTO que operan en entornos complejos — como el sector de Hospitalidad , el Retail , estadios y organizaciones del sector público —, la elección entre EAP-TLS y PEAP suele determinar el equilibrio entre una seguridad blindada y la viabilidad de la implementación.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) es considerado el estándar de oro para la seguridad de redes WiFi empresariales, ya que se basa en la autenticación mutua mediante certificados. Por el contrario, PEAP (Protected Extensible Authentication Protocol) encapsula la autenticación estándar basada en contraseñas dentro de un túnel TLS cifrado, lo que reduce significativamente la complejidad de implementación.

Esta guía de referencia técnica proporciona un análisis arquitectónico profundo y neutral respecto a los proveedores para ambos protocolos. Exploramos su funcionamiento operativo, evaluamos las complejidades de implementación y brindamos recomendaciones prácticas para garantizar que su infraestructura de red cumpla con los estándares de seguridad modernos — incluyendo la conformidad con PCI DSS y GDPR — al tiempo que se mantiene una conectividad sin interrupciones para sus usuarios.

Análisis Técnico Profundo: Arquitectura de Protocolos

Para tomar una decisión informada, es esencial comprender la mecánica subyacente de cómo estos protocolos protegen el marco de autenticación 802.1X. Ambos protocolos utilizan un servidor RADIUS para gestionar las solicitudes de autenticación, pero sus métodos para validar la identidad difieren fundamentalmente. Para obtener una comprensión básica de la infraestructura RADIUS, consulte nuestra guía sobre ¿Qué es RADIUS? Cómo los servidores RADIUS protegen las redes WiFi .

EAP-TLS: Autenticación Mutua mediante Certificados

EAP-TLS funciona bajo el principio de autenticación mutua. Tanto el dispositivo cliente (suplicante) como el servidor de autenticación (RADIUS) deben presentar certificados digitales válidos para establecer una conexión.

El saludo (Handshake): Cuando un dispositivo intenta conectarse, el servidor RADIUS presenta su certificado al cliente. El cliente valida este certificado frente a sus Autoridades de Certificación (CAs) raíz de confianza. Una vez verificado el servidor, el cliente presenta su propio certificado único de vuelta al servidor. Si ambos certificados son válidos y no han sido revocados — verificado mediante CRL u OCSP —, se establece una sesión TLS segura y se concede el acceso a la red.

Esta verificación mutua hace que EAP-TLS sea altamente resistente al robo de credenciales, a los ataques de diccionario y a los ataques de intermediario (Man-in-the-Middle o MitM). Debido a que no se transmiten contraseñas, las credenciales de usuario comprometidas no se pueden utilizar para vulnerar la red.

PEAP: Autenticación de contraseña por túnel

PEAP se desarrolló como una alternativa más fácil de implementar que EAP-TLS, eliminando la necesidad de certificados del lado del cliente y proporcionando al mismo tiempo una seguridad sólida.

Establecimiento del túnel: El servidor RADIUS presenta su certificado al cliente. El cliente valida al servidor, estableciendo un túnel TLS cifrado. Dentro de este túnel seguro, el cliente realiza la autenticación estándar basada en contraseña (normalmente MSCHAPv2) contra un proveedor de identidad como Active Directory. El servidor RADIUS valida las credenciales y otorga el acceso.

Aunque PEAP es altamente seguro cuando se configura correctamente, depende de que los usuarios mantengan contraseñas seguras. Fundamentalmente, si el dispositivo de un usuario no está configurado para validar el certificado del servidor, un punto de acceso no autorizado puede interceptar las credenciales. Este no es un riesgo teórico; es un vector de ataque bien documentado utilizado en pruebas de penetración del mundo real.

Dimensión	EAP-TLS	PEAP
Nivel de seguridad	Muy alto: autenticación mutua por certificado	Alto: túnel cifrado, solo certificado de servidor
Tipo de credencial	Certificados digitales de cliente y servidor	Nombre de usuario y contraseña (dentro del túnel TLS)
Complejidad de implementación	Mayor: requiere PKI y MDM	Menor: se integra con los servicios de directorio existentes
Ideal para	Flotas de dispositivos propiedad de la empresa, industrias reguladas	Entornos BYOD, organizaciones sin PKI
Se requiere certificado de cliente	Sí	No
Adecuación para PCI DSS / GDPR	Excelente: preferido para entornos de alto cumplimiento	Bueno: cumple con la normativa cuando se exige la validación del servidor

Guía de implementación: Estrategias de despliegue

La principal diferencia entre EAP-TLS y PEAP radica en la complejidad de su implementación y la gestión de su ciclo de vida.

Implementación de EAP-TLS

La implementación de EAP-TLS requiere una infraestructura de clave pública (PKI) robusta para emitir, gestionar y revocar certificados para cada dispositivo de la red. Las soluciones de gestión de dispositivos móviles (MDM) o de gestión de movilidad empresarial (EMM) son prácticamente obligatorias para automatizar el aprovisionamiento de certificados en los terminales a escala. Los equipos de TI deben gestionar los ciclos de vida de los certificados, gestionando las renovaciones antes de su vencimiento y garantizando una revocación inmediata en caso de pérdida de dispositivos o salida de empleados. EAP-TLS es ideal para redes corporativas con dispositivos propiedad de la empresa, entornos altamente regulados como el de la salud o el sector financiero, y arquitecturas Zero Trust.

Implementación de PEAP

PEAP es significativamente más fácil de implementar porque aprovecha los almacenes de identidad existentes (Active Directory, LDAP o directorios en la nube) sin requerir certificados de cliente. Un servidor RADIUS con un certificado de servidor válido (idealmente de una CA pública) e integración con su servicio de directorio existente es suficiente para comenzar. El gasto operativo es mínimo: los usuarios se autentican con sus credenciales corporativas estándar. Se aplican políticas de rotación de contraseñas, lo que puede causar un impacto menor en el soporte técnico cuando los usuarios olvidan actualizar sus perfiles de WiFi después de un cambio de contraseña. PEAP es más adecuado para entornos BYOD, sectores educativos y organizaciones sin una infraestructura PKI o MDM establecida.

Mejores Prácticas y Estándares de la Industria

Independientemente del protocolo elegido, el cumplimiento de los estándares de la industria no es negociable para mitigar el riesgo.

Forzar la Validación del Certificado del Servidor: La vulnerabilidad más común en las implementaciones de PEAP son los dispositivos de cliente mal configurados que no validan el certificado del servidor RADIUS. Esto permite a los atacantes configurar puntos de acceso no autorizados y recopilar credenciales. TI debe utilizar políticas de grupo o perfiles de MDM para forzar una validación estricta del servidor en cada endpoint.

Implementar Redundancia de RADIUS: La autenticación es un camino crítico. Asegúrese de que su infraestructura RADIUS sea de alta disponibilidad. Las soluciones RADIUS basadas en la nube pueden mitigar los puntos únicos de falla locales. Las consideraciones arquitectónicas para la resiliencia de la red distribuida se discuten más a fondo en The Core SD WAN Benefits for Modern Businesses .

Integrar con Proveedores de Identidad Modernos: Para espacios públicos, aprovechar una plataforma robusta de Guest WiFi que actúe como un proveedor de identidad seguro puede agilizar el acceso manteniendo la seguridad. La licencia Connect de Purple, por ejemplo, proporciona un proveedor de identidad gratuito para servicios como OpenRoaming, cerrando la brecha entre la seguridad de nivel empresarial y la incorporación fluida de invitados.

Segmentación de Red Post-Autenticación: Una autenticación 802.1X exitosa no debe otorgar acceso ilimitado a toda la subred corporativa. Utilice políticas de asignación dinámica de VLAN para ubicar a los usuarios en los segmentos de red adecuados con ACL restringidas.

Resolución de Problemas y Mitigación de Riesgos

Al administrar redes 802.1X, los equipos de TI deben estar preparados para los modos de falla comunes.

Expiración de Certificados (EAP-TLS): Si el certificado de la CA o el certificado del servidor RADIUS expira, toda la autenticación fallará simultáneamente. Implemente un monitoreo y alertas agresivas para los períodos de validez de los certificados; configure alertas a los 90, 30 y 7 días antes de la expiración. Mala configuración del supplicant (PEAP): No validar el certificado del servidor es un riesgo crítico. Audite regularmente las configuraciones de los endpoints para garantizar que "Validar certificado del servidor" se aplique estrictamente. Incluya esto como un elemento estándar en su lista de verificación de auditoría de seguridad.

Problemas de tiempo de espera (timeout) de RADIUS: La alta latencia entre el controlador inalámbrico y el servidor RADIUS, o entre el servidor RADIUS y Active Directory, puede causar tiempos de espera de EAP y fallas de autenticación. Garantice una conectividad sólida y considere proxies RADIUS locales para sitios distribuidos. Esto es particularmente relevante para implementaciones de retail y de Transporte en múltiples sitios.

Ataques de puntos de acceso no autorizados (Rogue AP): Realice evaluaciones periódicas de seguridad inalámbrica para detectar APs no autorizados. Los sistemas de detección de intrusiones inalámbricas (WIDS) integrados en su infraestructura de puntos de acceso pueden proporcionar un monitoreo continuo.

ROI e impacto comercial

La decisión entre EAP-TLS y PEAP conlleva importantes implicaciones comerciales más allá de la arquitectura técnica.

EAP-TLS requiere un CapEx inicial más alto para soluciones PKI y MDM, junto con un OpEx continuo para la gestión de certificados. Sin embargo, proporciona el nivel más alto de mitigación de riesgos contra brechas basadas en credenciales, que pueden resultar en daños financieros y de reputación devastadores. Para los establecimientos que manejan datos sensibles o que operan bajo un estricto cumplimiento regulatorio, el ROI de EAP-TLS se materializa a través de los costos de brechas evitados y auditorías de cumplimiento simplificadas. Una sola brecha basada en credenciales en un entorno de retail o de hospitalidad puede costar millones en remediación, multas regulatorias y daño a la marca.

PEAP ofrece un tiempo de obtención de valor más rápido y costos de implementación más bajos. Es altamente efectivo para entornos donde el objetivo principal es el acceso seguro y cifrado sin la sobrecarga de la gestión de dispositivos. Al integrar PEAP con una solución integral de WiFi Analytics , los establecimientos pueden gestionar el acceso de forma segura mientras extraen información operativa valiosa de los datos de uso de la red, conectando la infraestructura de autenticación con resultados comerciales medibles, como el análisis del tiempo de permanencia, los patrones de afluencia y las tasas de visitantes recurrentes.

Definiciones clave

EAP (Protocolo de Autenticación Extensible)

Un marco de autenticación definido en IEEE 802.1X que proporciona el mecanismo de transporte para varios métodos de autenticación sobre la infraestructura de acceso a la red.

EAP es el marco de trabajo general; EAP-TLS y PEAP son métodos específicos que se ejecutan dentro de él. Los equipos de TI encuentran EAP al configurar políticas RADIUS y perfiles de suplicantes inalámbricos.

Suplicante

El dispositivo cliente (computadora portátil, smartphone, escáner o dispositivo IoT) que inicia la solicitud de autenticación para unirse a la red.

Los equipos de TI deben asegurarse de que los suplicantes estén configurados correctamente, especialmente en lo que respecta a la validación de certificados, para evitar ataques Man-in-the-Middle. La configuración del suplicante es la fuente más común de vulnerabilidades PEAP.

Autenticador

El dispositivo de red (típicamente un punto de acceso inalámbrico o switch administrado) que bloquea todo el tráfico del suplicante hasta que el servidor RADIUS confirma la autenticación exitosa.

El autenticador actúa como el guardián, transmitiendo mensajes EAP entre el suplicante y el servidor RADIUS sin procesar la autenticación por sí mismo.

Servidor RADIUS

Servicio de Autenticación Remota de Usuarios de Marcación Telefónica (Remote Authentication Dial-In User Service). El servidor centralizado que recibe solicitudes de autenticación del autenticador, valida las credenciales frente a un almacén de identidades y devuelve una respuesta de Aceptación de Acceso o Rechazo de Acceso.

El servidor RADIUS es el cerebro de la arquitectura 802.1X. La alta disponibilidad y la baja latencia entre el servidor RADIUS y el almacén de identidades (Active Directory, LDAP) son fundamentales para una autenticación confiable.

PKI (Infraestructura de Clave Pública)

El marco de funciones, políticas, hardware y software necesarios para crear, gestionar, distribuir y revocar certificados digitales.

Una PKI robusta es un prerrequisito absoluto para implementar con éxito EAP-TLS a escala. Sin PKI, la gestión del ciclo de vida de los certificados se vuelve inmanejable y genera un riesgo operativo significativo.

MDM (Gestión de Dispositivos Móviles)

Software utilizado por TI para monitorear, gestionar y asegurar los dispositivos móviles corporativos, incluida la capacidad de enviar perfiles de configuración, certificados y políticas de forma silenciosa a los dispositivos inscritos.

MDM es fundamental para las implementaciones de EAP-TLS para automatizar el aprovisionamiento silencioso de certificados de cliente en los dispositivos de los usuarios finales. Microsoft Intune, Jamf y VMware Workspace ONE son plataformas MDM comunes.

Autenticación Mutua

Un proceso de seguridad donde ambas partes en un enlace de comunicación se autentican mutuamente antes de que se intercambien datos, a diferencia de la autenticación unidireccional donde solo se verifica una parte.

La característica definitoria de EAP-TLS. La autenticación mutua garantiza que el cliente sepa que se está comunicando con el servidor de red legítimo, y que el servidor sepa que se está comunicando con un dispositivo cliente autorizado.

MSCHAPv2 (Protocolo de Autenticación de Desafío y Apretón de Manos de Microsoft v2)

Un protocolo de autenticación basado en contraseñas que se utiliza comúnmente como el método de autenticación interno dentro de los túneles PEAP. Utiliza un mecanismo de desafío-respuesta para evitar la transmisión de contraseñas en texto plano.

Los hashes de MSCHAPv2 se pueden capturar y descifrar fuera de línea si el túnel PEAP se ve comprometido por un punto de acceso no autorizado. Es por esto que la validación del certificado del servidor en PEAP no es negociable.

OpenRoaming

Un estándar de federación WiFi que permite a los usuarios conectarse de forma automática y segura a las redes participantes en diferentes recintos y operadores sin tener que volver a autenticarse, utilizando la autenticación basada en certificados.

Purple actúa como un proveedor de identidad gratuito para OpenRoaming bajo su licencia Connect, lo que permite a los recintos ofrecer una conectividad segura y fluida que se alinea con los principios de autenticación de certificados EAP-TLS.

Ejemplos resueltos

Una cadena de retail nacional con 500 sucursales necesita asegurar el acceso a la red corporativa para las tabletas de los gerentes de tienda y los escáneres de inventario portátiles. Actualmente utilizan una clave WPA2-PSK compartida en todos los sitios. Tienen Microsoft Intune implementado para la gestión de dispositivos.

Implementar EAP-TLS. Dado que la organización ya utiliza Microsoft Intune, el trabajo pesado de la distribución de certificados ya está resuelto. Configure Intune para enviar certificados de cliente únicos a todas las tabletas y escáneres propiedad de la empresa a través de un perfil de certificado SCEP o PKCS. La infraestructura inalámbrica se reconfigura para utilizar 802.1X apuntando a un servidor RADIUS central o basado en la nube (como Microsoft NPS o un servicio RADIUS en la nube). El servidor RADIUS se configura para aceptar la autenticación únicamente de los dispositivos que presenten certificados emitidos por la CA interna de la organización. Tras la autenticación, la asignación dinámica de VLAN coloca a los dispositivos en el segmento de operaciones de tienda correspondiente.

Comentario del examinador: Este enfoque elimina el enorme riesgo de seguridad de una PSK compartida en 500 sucursales; anteriormente, una PSK comprometida en una tienda habría expuesto a todos los sitios. Con EAP-TLS, si un escáner se pierde o es robado, el departamento de TI simplemente revoca su certificado específico a través de la PKI, interrumpiendo instantáneamente su acceso a la red sin afectar a ningún otro dispositivo. EAP-TLS es la opción óptima aquí porque la infraestructura de MDM hace que la gestión del ciclo de vida de los certificados sea escalable. El riesgo clave a monitorear es la expiración de los certificados; asegúrese de que las políticas de renovación automática estén configuradas en Intune.

Un gran centro de conferencias necesita proporcionar WiFi seguro para 3,000 empleados internos que utilizan sus propios dispositivos personales (BYOD). Utilizan Google Workspace para la identidad corporativa, pero no gestionan los teléfonos ni las computadoras portátiles personales del personal.

Implementar PEAP (específicamente PEAP-MSCHAPv2 o EAP-TTLS/PAP contra Google Secure LDAP). El equipo de TI configura un servidor RADIUS integrado con Google Workspace Secure LDAP. Los miembros del personal se conectan al SSID 'Staff_WiFi' utilizando su correo electrónico y contraseña estándar de Google Workspace. El equipo de TI proporciona documentación de incorporación (idealmente a través de un Captive Portal o una herramienta de incorporación a la red) que indica al personal cómo configurar sus dispositivos para que confíen en el certificado específico del servidor RADIUS y validen el nombre de dominio del servidor. Se mantiene un SSID de invitados separado para los asistentes al evento, gestionado a través de la plataforma de Guest WiFi de Purple para análisis y control de acceso.

Comentario del examinador: EAP-TLS es inviable en este caso porque la organización no tiene el control de MDM sobre los dispositivos personales para distribuir los certificados. PEAP proporciona un túnel cifrado y seguro para la autenticación utilizando las credenciales existentes, lo que lo hace altamente viable para escenarios de BYOD, al tiempo que protege contra la interceptación de datos. El paso operativo crítico es el proceso de incorporación: el equipo de TI debe asegurarse de que el dispositivo de cada miembro del personal esté configurado correctamente para validar el certificado del servidor. No hacerlo representa el mayor riesgo individual en esta implementación.

Preguntas de práctica

Q1. Un departamento de TI de una universidad está implementando WiFi seguro en todo el campus para 20,000 estudiantes. Los estudiantes traen sus propios laptops y smartphones con una combinación de Windows, macOS, iOS y Android. El director de TI insiste en la máxima seguridad y propone EAP-TLS. ¿Cuál es su recomendación arquitectónica?

Sugerencia: Considere la sobrecarga operativa de la gestión de certificados en dispositivos personales no administrados en un parque de dispositivos heterogéneo.

Ver respuesta modelo

Desaconseje EAP-TLS para este caso de uso específico. Aunque EAP-TLS ofrece la mayor seguridad, implementar y administrar más de 20,000 certificados de cliente en dispositivos de estudiantes no administrados sin una solución MDM creará una carga de soporte insuperable. Los estudiantes cambian de dispositivo con frecuencia y el proceso de incorporación para la instalación de certificados en iOS, Android, Windows y macOS es complejo sin la automatización de MDM. Recomiende PEAP (o EAP-TTLS) integrado con el servicio de directorio de estudiantes de la universidad. Asegúrese de utilizar herramientas de incorporación robustas para configurar los dispositivos de los estudiantes para que validen estrictamente el certificado del servidor. Opcionalmente, implemente EAP-TLS en un SSID independiente para los dispositivos del personal que son administrados por la universidad, creando una arquitectura de seguridad por niveles.

Q2. Durante una auditoría de seguridad, un evaluador de penetración recopila con éxito credenciales de usuario de su red inalámbrica protegida con PEAP mediante la configuración de un punto de acceso no autorizado que transmite el mismo SSID. ¿Cuál es la causa raíz de esta vulnerabilidad y cuál es la remediación?

Sugerencia: Piense en lo que sucede durante la fase de establecimiento del túnel TLS en PEAP, y en lo que el dispositivo cliente está —o no está— verificando.

Ver respuesta modelo

La causa raíz es la configuración incorrecta del suplicante. Los dispositivos cliente no están configurados para validar estrictamente el certificado digital del servidor RADIUS. Cuando el punto de acceso no autorizado presentó un certificado fraudulento, los dispositivos cliente confiaron ciegamente en él, establecieron el túnel TLS con el atacante y transmitieron el intercambio de autenticación MSCHAPv2. El atacante puede descifrar esto de forma offline. La remediación es de tres niveles: (1) aplicar una validación estricta del certificado del servidor a través de directivas de grupo o perfiles de MDM en todos los dispositivos cliente; (2) especificar el nombre de dominio exacto esperado del servidor RADIUS en la configuración del suplicante para evitar la aceptación de certificados de otros dominios; (3) implementar un Sistema de Detección de Intrusiones Inalámbricas (WIDS) para detectar y alertar sobre puntos de acceso no autorizados.

Q3. Un proveedor de atención médica está actualizando su red para dar soporte a estaciones de trabajo de enfermería móviles que acceden a expedientes de pacientes. Estas estaciones de trabajo son propiedad de la empresa, están estrictamente administradas por TI a través de Microsoft Intune y el entorno debe cumplir con las regulaciones de protección de datos de atención médica. ¿Deberían implementar PEAP o EAP-TLS?

Sugerencia: Evalúe el entorno regulatorio, el nivel de control de los dispositivos y la confidencialidad de los datos a los que se accede.

Ver respuesta modelo

Implemente EAP-TLS sin dudarlo. El entorno de atención médica requiere un cumplimiento estricto y la máxima seguridad contra el robo de credenciales: una contraseña comprometida en una red de salud puede exponer expedientes de pacientes y provocar sanciones regulatorias significativas bajo GDPR y los requisitos sectoriales específicos de protección de datos. Debido a que los dispositivos son propiedad de la empresa y están estrictamente administrados a través de Microsoft Intune, la implementación de certificados de cliente es viable desde el punto de vista operativo y puede automatizarse por completo. EAP-TLS proporciona la autenticación mutua necesaria para garantizar que solo los dispositivos autorizados y administrados por la empresa puedan acceder a la red clínica. Además, EAP-TLS simplifica las auditorías de cumplimiento: los auditores que revisen la arquitectura de la red verán un sistema de autenticación sin contraseñas basado en certificados que es intrínsecamente más defendible que las alternativas basadas en contraseñas.

Continúe leyendo esta serie

Per-Device PSK por proveedor: comparación de iPSK, DPSK, MPSK y PPSK (y soporte de WPA3)

Una comparación exhaustiva de las implementaciones de per-device PSK en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet y Ubiquiti UniFi. Conozca cómo WPA3-SAE afecta las estrategias de claves por dispositivo y cuándo implementar modos de transición en lugar de migrar a 802.1X.

Captive Portal Authentication Methods Compared

Esta guía de referencia técnica autorizada evalúa las ventajas y desventajas arquitectónicas, operativas y de cumplimiento de cinco métodos principales de autenticación de Captive Portal. Proporciona a los arquitectos de red, directores de TI y gerentes de marketing los datos cuantitativos y los marcos de decisión necesarios para equilibrar la fricción del registro de invitados con los requisitos de recopilación de datos en los establecimientos empresariales.

¿Qué es la autenticación por dirección MAC? Cuándo usarla y cuándo evitarla

Esta guía de referencia técnica autorizada cubre la autenticación por dirección MAC en entornos de WiFi empresariales: cómo funciona la autenticación MAC basada en RADIUS en la Capa 2, sus vulnerabilidades de seguridad inherentes (incluyendo el spoofing de MAC y el impacto de la aleatorización de MAC a nivel de sistema operativo) y los contextos operativos precisos donde sigue siendo una herramienta válida para gestionar dispositivos IoT y headless. Proporciona orientación de implementación práctica para gerentes de TI y arquitectos de redes en sectores como hotelería, retail, salud y espacios públicos, con ejemplos prácticos del mundo real, marcos de decisión y contexto de integración para la plataforma de analítica y WiFi de invitados de Purple.