eduroam y 802.1X: Autenticación WiFi segura para la educación superior

Esta guía de referencia técnica autorizada explica la arquitectura, la implementación y la seguridad de la autenticación eduroam y 802.1X. Diseñada para gerentes de TI y arquitectos de redes, cubre los pasos prácticos de implementación, la selección del método EAP y cómo los operadores de recintos pueden admitir de manera segura el roaming académico.

📖 6 min de lectura📝 1,343 palabras🔧 3 ejemplos resueltos❓ 3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast

PODCAST SCRIPT: eduroam y 802.1X — Secure WiFi Authentication for Higher Education
Duración: aproximadamente 10 minutos
Voz: inglés británico, masculino, tono de consultor senior — seguro, conversacional, con autoridad

---

[INTRO — 1 minuto]

Bienvenidos de nuevo. Durante los próximos diez minutos los guiaré a través de eduroam y 802.1X: qué son, cómo funcionan realmente bajo el capó y qué necesita saber su equipo antes de implementarlos o integrarse con alguno de ellos.

Si es un gerente de TI, arquitecto de redes o CTO en una universidad, colegio o institución de investigación —o si es un operador de un recinto que necesita entender qué esperan sus visitantes académicos de su infraestructura inalámbrica— este informe es para usted.

Comencemos con el panorama general. eduroam significa "education roaming". Es un servicio global de roaming de WiFi que permite a estudiantes, investigadores y personal de las instituciones miembro conectarse a internet en cualquier recinto participante —de forma automática, segura y utilizando las credenciales de su institución de origen. Sin Captive Portals. Sin códigos de cupones. Sin pedir la contraseña en la recepción.

Ha estado funcionando desde 2003, ahora cubre a más de 10,000 instituciones en más de 100 países y es el estándar de facto para redes inalámbricas de campus en la educación superior a nivel mundial. Si su organización interactúa con universidades —ya sea que se trate de un hotel cerca de un campus, un centro de conferencias que alberga eventos académicos o una biblioteca pública en una ciudad universitaria— entender eduroam es directamente relevante para su estrategia de red.

---

[TECHNICAL DEEP-DIVE — 5 minutos]

Muy bien. Entremos en los detalles técnicos.

eduroam está construido sobre IEEE 802.1X, el estándar de control de acceso a la red basado en puertos. 802.1X define un marco para autenticar dispositivos antes de que se les conceda acceso a una red. Se diseñó originalmente para Ethernet cableado, pero se adapta perfectamente a la tecnología inalámbrica y es la base de lo que llamamos seguridad WPA2-Enterprise o WPA3-Enterprise.

El modelo 802.1X tiene tres componentes. Primero, el Supplicant (suplicante): ese es el dispositivo que intenta conectarse. La laptop de un estudiante, el teléfono de un investigador. Segundo, el Authenticator (autenticador): ese es su punto de acceso de red o switch administrado. Se ubica entre el suplicante y el resto de la red y actúa como un guardián. Tercero, el Authentication Server (servidor de autenticación): casi siempre un servidor RADIUS. RADIUS significa Remote Authentication Dial-In User Service. Es el componente que realmente valida las credenciales.

Así es como funciona el saludo de conexión (handshake). El dispositivo del estudiante se asocia con el punto de acceso inalámbrico. El punto de acceso aún no otorga acceso completo a la red; abre lo que se conoce como un puerto controlado, pero solo para el tráfico EAP. EAP es el Protocolo de Autenticación Extensible (Extensible Authentication Protocol). El punto de acceso actúa como proxy de la conversación EAP entre el dispositivo y el servidor RADIUS. El servidor RADIUS desafía al dispositivo, el dispositivo responde con las credenciales (normalmente un usuario y contraseña, o un certificado) y, si el servidor RADIUS queda satisfecho, devuelve un mensaje de Access-Accept. El punto de acceso entonces abre el puerto de red completo. Todo este intercambio toma menos de dos segundos en un despliegue bien configurado.

Ahora, ¿cómo se acopla eduroam a todo esto? eduroam utiliza una infraestructura de proxy RADIUS jerárquica. Cada institución participante opera su propio servidor RADIUS, llamado Proveedor de Identidad o IdP. Cuando un estudiante de, por ejemplo, la Universidad de Manchester visita el Imperial College de Londres y se conecta al SSID de eduroam, su dispositivo envía sus credenciales en el formato usuario@manchester.ac.uk. El servidor RADIUS de Imperial detecta el dominio (realm) —la parte después del símbolo @— y reenvía la solicitud de autenticación como proxy al servidor RADIUS nacional, el cual es operado en el Reino Unido por Jisc, la red nacional de investigación y educación. Jisc luego enruta la solicitud al servidor RADIUS de la Universidad de Manchester, el cual valida las credenciales y devuelve un mensaje de Aceptado (Accept) o Rechazado (Reject). Toda la cadena se resuelve en milisegundos.

Esta cadena de proxies es lo que permite que eduroam funcione a través de fronteras institucionales sin necesidad de secretos precompartidos entre las instituciones. Cada salto en la cadena utiliza un secreto RADIUS compartido únicamente con su vecino inmediato. La contraseña real del estudiante nunca sale del servidor RADIUS de su institución de origen, ya que está protegida de extremo a extremo por el túnel EAP.

Hablando de los métodos EAP —aquí es donde fallan muchos despliegues, así que preste atención. Los métodos EAP más comunes en eduroam son PEAP (EAP protegido) y EAP-TLS. PEAP envuelve un método de autenticación interno, normalmente MSCHAPv2, dentro de un túnel TLS. Requiere un certificado en el lado del servidor RADIUS, pero el cliente solo necesita un usuario y contraseña. EAP-TLS es la opción más segura: utiliza autenticación mutua mediante certificados, lo que significa que tanto el servidor como el cliente presentan certificados. Es más difícil de desplegar a escala porque se requiere una PKI para emitir certificados de cliente, pero es esencialmente inmune al phishing de credenciales.

El requisito de seguridad crítico que muchas instituciones configuran incorrectamente es la validación de certificados en el lado del cliente. Cuando un dispositivo se conecta a eduroam usando PEAP, el dispositivo debe verificar el certificado del servidor RADIUS antes de enviar las credenciales. Si el dispositivo está mal configurado para aceptar cualquier certificado, un atacante puede montar un punto de acceso falso que transmita el SSID eduroam, presentar un certificado autofirmado y recopilar credenciales. Este es un vector de ataque conocido. La solución es configurar sus perfiles de suplicante (a través de MDM para dispositivos gestionados, o mediante la Herramienta de Asistencia de Configuración de eduroam, conocida como CAT, para dispositivos personales) para vincular la autoridad de certificación y el nombre de servidor esperados.

Desde la perspectiva de los estándares, se espera que las implementaciones de eduroam cumplan con la Definición del Servicio de Políticas de eduroam, la cual exige TLS 1.2 o superior para todas las conexiones RADIUS sobre TLS, prohíbe el uso de métodos EAP débiles como EAP-MD5 o LEAP, y requiere que todas las conexiones de proxy RADIUS utilicen RadSec (RADIUS sobre TLS) en lugar de RADIUS UDP simple siempre que sea posible. Esto se alinea con la guía de la NCSC en el Reino Unido y la norma NIST SP 800-120 en los EE. UU.

Un punto técnico adicional que vale la pena destacar: la asignación de VLAN. En una implementación de eduroam bien estructurada, la respuesta Access-Accept de RADIUS incluye atributos de VLAN que indican al punto de acceso a qué VLAN asignar el dispositivo que se conecta. Esto le permite segmentar el tráfico, colocando a los estudiantes visitantes en una VLAN restringida con acceso exclusivo a internet, mientras que su propio personal es enrutado a la red interna. Esto es esencial para el cumplimiento, particularmente si está sujeto a PCI DSS o si necesita mantener la separación entre las redes de datos de investigación y el tráfico de internet general.

---

[RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES — 2 minutos]

Permítame ofrecerle la guía práctica.

Si está implementando eduroam por primera vez, su primer contacto debe ser con su NREN nacional (en el Reino Unido es Jisc, en Irlanda HEAnet, en los EE. UU. Internet2). Ellos gestionan la membresía de la federación y le asignarán un dominio RADIUS. No puede participar en eduroam sin ser miembro de su federación nacional.

Su lista de verificación de infraestructura: necesita puntos de acceso con capacidad 802.1X; cualquier equipo de nivel empresarial de Cisco, Aruba, Juniper, Ruckus o Ubiquiti UniFi servirá para esto. Necesita un servidor RADIUS: FreeRADIUS es el estándar de código abierto, o puede usar Microsoft NPS, Cisco ISE o Aruba ClearPass. Necesita un certificado TLS válido para su servidor RADIUS proveniente de una CA de confianza para la comunidad de eduroam, normalmente un certificado de la PKI de su institución o de una CA comercial en la lista aprobada de eduroam.

Los tres fallos de implementación más comunes que veo son: primero, la configuración incorrecta de certificados, ya sea porque el certificado RADIUS ha expirado o porque los perfiles de los suplicantes de los clientes no están anclados correctamente. Segundo, los tiempos de espera del proxy RADIUS: si tu conexión ascendente con la NREN tiene problemas de latencia, la autenticación se agotará por límite de tiempo y los usuarios verán fallos de conexión que parecen errores de credenciales. Tercero, la configuración incorrecta de la VLAN: los usuarios visitantes terminan en el segmento de red equivocado, ya sea sin acceso a Internet o, peor aún, obteniendo acceso a recursos internos que no deberían ver.

Por el lado del cliente, implementa perfiles eduroam CAT en todos los dispositivos administrados a través de tu plataforma MDM. Para dispositivos personales, publica el enlace del instalador CAT en un lugar visible. Este único paso elimina la mayoría de los tickets de soporte.

Para los recintos que no son instituciones de educación superior pero quieren ofrecer acceso a eduroam (centros de conferencias, hoteles y similares), el proceso se llama eduroam Visitor Access, o eVA. Permite a las organizaciones que no son miembros alojar el SSID de eduroam y delegar la autenticación al proxy de la federación sin ser miembros de pleno derecho. Vale la pena investigarlo si organizas regularmente conferencias académicas o eventos universitarios.

---

[PREGUNTAS Y RESPUESTAS RÁPIDAS — 1 minuto]

Preguntas rápidas que me hacen con frecuencia.

"¿Puede eduroam reemplazar por completo a nuestro WiFi de invitados?" No. eduroam solo funciona para usuarios que tienen credenciales en una institución miembro. Aún necesitas una solución de WiFi de invitados independiente para todos los demás: visitantes, contratistas y el público en general.

"¿Cumple eduroam con el GDPR?" Sí, con matices. La arquitectura de la federación significa que tu institución procesa los datos de autenticación, pero debes asegurarte de que tus avisos de privacidad cubran esto y que tus registros de RADIUS se manejen adecuadamente.

"¿Podemos usar WPA3 con eduroam?" Sí. WPA3-Enterprise es totalmente compatible con 802.1X y es el estándar recomendado para nuevas implementaciones. Añade cifrado en modo de 192 bits para entornos de alta seguridad.

"¿Cuál es la diferencia entre eduroam y OpenRoaming?" OpenRoaming es una iniciativa de la industria más amplia de la Wireless Broadband Alliance que utiliza la misma arquitectura de proxy RADIUS y 802.1X, pero extiende el roaming más allá de la educación a recintos comerciales. Algunas plataformas, incluyendo Purple, admiten OpenRoaming como parte de su oferta de WiFi de invitados.

---

[RESUMEN Y PRÓXIMOS PASOS — 1 minuto]

Para resumir: eduroam es un servicio de WiFi roaming maduro, bien gobernado e implementado globalmente, construido sobre 802.1X y una infraestructura jerárquica de proxy RADIUS. Ofrece autenticación por usuario, cifrado sólido y un roaming sin interrupciones en más de 10,000 instituciones, sin contraseñas compartidas ni Captive Portals.

Para los equipos de TI que implementan o actualizan la red inalámbrica del campus: prioricen EAP-TLS sobre PEAP donde su PKI pueda admitirlo, exijan la validación de certificados en todos los perfiles de cliente, utilicen RadSec para todas las conexiones de proxy RADIUS y segmenten a los usuarios visitantes en una VLAN dedicada.
Para los operadores de recintos: si reciben visitantes académicos con frecuencia, investiguen eduroam Visitor Access. Y, independientemente de si implementan eduroam, su infraestructura de WiFi para invitados debe basarse en principios 802.1X de nivel empresarial, no en PSK compartidas.

Si desean profundizar en alguno de estos temas —arquitectura RADIUS, diseño de PKI para EAP-TLS o cómo plataformas como Purple se integran con eduroam y OpenRoaming—, la guía escrita completa está enlazada en las notas del programa.

Gracias por escuchar. Hasta la próxima.

---
FIN DEL GUION

Puntos clave

✓eduroam es un servicio de roaming global de WiFi basado en el estándar IEEE 802.1X.
✓802.1X utiliza un Suplicante (Supplicant), un Autenticador (Authenticator) y un Servidor de Autenticación (RADIUS) para controlar el acceso a la red.
✓eduroam utiliza una arquitectura jerárquica de proxy RADIUS para validar credenciales en la institución de origen del usuario.
✓PEAP es el método de implementación más común, pero requiere una validación estricta de certificados del lado del cliente para evitar el robo de credenciales.
✓EAP-TLS ofrece la mayor seguridad al utilizar autenticación mutua por certificados, eliminando las contraseñas.
✓Las herramientas de configuración como eduroam CAT o los perfiles MDM son esenciales para una implementación segura en los clientes.
✓La asignación dinámica de VLAN a través de RADIUS garantiza una segmentación de red adecuada para los usuarios visitantes.

Resumen Ejecutivo

Para las instituciones de educación superior y los recintos que albergan a sus estudiantes y personal, ofrecer una conectividad inalámbrica segura y fluida ya no es un lujo: es un mandato operativo. El estándar para esta conectividad es eduroam, un servicio de roaming global desarrollado sobre el framework IEEE 802.1X.

Esta guía proporciona a los directores de TI, arquitectos de red y directores de operaciones de recintos una referencia completa y neutral respecto al proveedor para comprender, implementar y solucionar problemas de 802.1X y eduroam. Vamos más allá de los modelos teóricos básicos para abordar las realidades prácticas del WiFi de campus empresarial, incluyendo la gestión de certificados, la arquitectura de proxy RADIUS y la integración con estrategias de red de invitados más amplias.

Ya sea que esté actualizando una red universitaria antigua o configurando un centro de conferencias para dar soporte a visitantes académicos, implementar 802.1X correctamente mitiga riesgos de seguridad significativos, particularmente el robo de credenciales, al tiempo que reduce drásticamente los costos operativos de soporte. Para los recintos fuera de la educación superior tradicional, comprender estos estándares es fundamental para evaluar las federaciones de roaming comercial como OpenRoaming, que comparten la misma arquitectura subyacente.

Inmersión Técnica Profunda: 802.1X y la Arquitectura eduroam

En esencia, eduroam es una implementación de IEEE 802.1X, el estándar para el control de acceso a redes basado en puertos. Aunque originalmente se diseñó para redes cableadas, 802.1X constituye la base de la seguridad WPA2-Enterprise y WPA3-Enterprise.

El Triángulo 802.1X

El framework 802.1X se basa en la interacción de tres componentes distintos para autorizar el acceso:

Suplicante (Supplicant): El dispositivo cliente (por ejemplo, la laptop o smartphone de un estudiante) que solicita acceso a la red.
Autenticador (Authenticator): El dispositivo de acceso a la red (por ejemplo, un punto de acceso inalámbrico o un switch administrado). Actúa como un guardián, bloqueando todo el tráfico excepto los mensajes de autenticación hasta que el dispositivo esté autorizado.
Servidor de Autenticación (Authentication Server): El sistema backend que valida las credenciales, casi universalmente un servidor RADIUS (Remote Authentication Dial-In User Service).

Cuando un dispositivo se conecta, el Autenticador establece un puerto controlado. Este transmite mensajes del Protocolo de Autenticación Extensible (EAP) entre el Suplicante y el Servidor de Autenticación. Si las credenciales son válidas, el servidor devuelve un mensaje RADIUS Access-Accept y el Autenticador abre el puerto para el tráfico IP estándar.

La jerarquía de proxies RADIUS de eduroam

Lo que hace único a eduroam es su arquitectura federada. Permite a los usuarios autenticarse en cualquier institución participante utilizando sus credenciales de origen, sin que la institución receptora necesite una copia de dichas credenciales.

Esto se logra a través de una cadena jerárquica de proxies RADIUS. Cuando un usuario de username@university.ac.uk se conecta al SSID de eduroam en un establecimiento receptor:

El dispositivo del usuario envía una solicitud de autenticación con el formato username@university.ac.uk.
El servidor RADIUS del establecimiento receptor examina el realm (la parte posterior a la @). Al reconocerlo como un dominio externo, redirige la solicitud mediante proxy al servidor RADIUS nacional de nivel superior (operado por la Red Nacional de Investigación y Educación, o NREN).
El servidor nacional encamina la solicitud al servidor RADIUS de la institución de origen (university.ac.uk).
La institución de origen valida las credenciales y devuelve un mensaje de Access-Accept o Access-Reject a lo largo de la cadena.

Por lo general, todo este proceso se completa en menos de dos segundos. Crucialmente, la contraseña del usuario nunca se expone al establecimiento receptor ni a los proxies intermedios; está protegida dentro de un túnel EAP cifrado establecido directamente entre el suplicante y el servidor RADIUS de origen.

Métodos EAP: Seguridad frente a facilidad de despliegue

La elección del método EAP determina cómo se forma el túnel cifrado y cómo se intercambian las credenciales. La Definición de la Política del Servicio eduroam restringe estrictamente los métodos permitidos para garantizar la seguridad.

PEAP (EAP protegido): El despliegue más común. Establece un túnel TLS mediante un certificado del lado del servidor en el servidor RADIUS. Luego, el cliente se autentica dentro de este túnel, normalmente utilizando MSCHAPv2 (usuario y contraseña). Es relativamente fácil de desplegar, pero vulnerable a ataques de puntos de acceso no autorizados (rogue access points) si los clientes no están configurados para validar estrictamente el certificado del servidor.
EAP-TLS: El estándar de oro de la seguridad. Requiere autenticación mutua, lo que significa que tanto el servidor RADIUS como el dispositivo cliente deben presentar certificados válidos. Aunque es inmune al phishing de credenciales, requiere una infraestructura de clave pública (PKI) robusta para emitir y gestionar certificados de cliente, lo que hace que su despliegue a escala sea más complejo.

Guía de implementación

El despliegue de 802.1X y eduroam requiere una coordinación cuidadosa entre la infraestructura de red, la gestión de identidades y la configuración de los clientes.

1. Preparación de la infraestructura

Asegúrese de que sus controladores y puntos de acceso inalámbricos sean compatibles con WPA2-Enterprise/WPA3-Enterprise y 802.1X. Cualquier hardware moderno de nivel empresarial (Cisco, Aruba, Juniper, etc.) cumplirá con este requisito. También debe desplegar una infraestructura RADIUS sólida (por ejemplo, FreeRADIUS, Cisco ISE, Aruba ClearPass) capaz de gestionar la carga de autenticación esperada y de redirigir las solicitudes mediante proxy.

2. Gestión de certificados

Para despliegues de PEAP, su servidor RADIUS requiere un certificado TLS emitido por una Autoridad de Certificación (CA) de confianza para sus clientes. No utilice certificados autofirmados para despliegues de eduroam en producción. El certificado debe renovarse periódicamente para evitar interrupciones en la autenticación.

3. Configuración del cliente (la herramienta CAT)

El punto de fallo más común en los despliegues de eduroam es la configuración incorrecta del cliente. Los usuarios que se conectan manualmente a menudo no configuran la validación del certificado, lo que los deja vulnerables a la obtención de credenciales.

Para mitigar esto, las instituciones deben utilizar la Herramienta de Asistencia de Configuración de eduroam (CAT) o una solución MDM para distribuir perfiles preconfigurados. Estos perfiles configuran automáticamente el método EAP correcto, asocian el certificado del servidor RADIUS esperado y establecen los protocolos de autenticación interna adecuados.

4. Asignación y segmentación de VLAN

Un despliegue maduro utiliza atributos RADIUS para asignar dinámicamente VLAN según la identidad del usuario.

Usuarios locales: Asignados a VLAN internas con el acceso adecuado a los recursos del campus.
Usuarios visitantes: Asignados a una VLAN de invitados restringida con acceso exclusivo a internet.

Esta segmentación es vital para la seguridad y el cumplimiento normativo, garantizando que los dispositivos visitantes no puedan acceder a redes internas sensibles.

Mejores prácticas y recomendaciones neutrales con respecto al proveedor

Priorizar WPA3: Para nuevos despliegues, habilite WPA3-Enterprise para beneficiarse del cifrado obligatorio de 192 bits y una mejor protección contra ataques de diccionario fuera de línea.
Aplicar la validación de certificados: Exija el uso de perfiles de configuración (a través de CAT o MDM) para garantizar que los suplicantes validen estrictamente el certificado del servidor RADIUS antes de transmitir las credenciales.
Usar RadSec: Al configurar conexiones proxy RADIUS a la federación nacional, utilice RadSec (RADIUS sobre TLS) en lugar de UDP simple. Esto cifra el tráfico proxy y mejora la confiabilidad en los enlaces WAN.
Integrar con soluciones para invitados: eduroam solo atiende a usuarios con credenciales académicas. Debe mantener una solución de Guest WiFi segura y separada para contratistas, visitantes públicos y asistentes a eventos.
Revisar la infraestructura relacionada: Asegúrese de que su red subyacente sea segura. Lea nuestra guía para Proteger su red con DNS sólido y seguridad para obtener más detalles. Si va a desplegar infraestructura temporal para eventos universitarios, consulte Event WiFi: planificación y despliegue de redes inalámbricas temporales o la versión en portugués Event WiFi: Planeamento e Implementação de Redes Sem Fios Temporárias .

Resolución de problemas y mitigación de riesgos

Cuando falla la autenticación, la resolución sistemática de problemas es esencial.

Aísle el dominio de fallas: Determine si la falla es local (que afecta a sus propios usuarios en su propia red), remota (que afecta a sus usuarios en otros lugares) o entrante (que afecta a los visitantes de su red).
Verifique los registros de RADIUS: Los registros del servidor RADIUS son la fuente definitiva de información. Busque mensajes Access-Reject (que indican credenciales incorrectas o violaciones de políticas) o tiempos de espera agotados (que indican problemas de conectividad del proxy).
Verifique la validez del certificado: Asegúrese de que el certificado del servidor RADIUS no haya expirado y de que se esté presentando la cadena de certificados completa al cliente.
Monitoree la latencia ascendente: La alta latencia en la conexión con el proxy RADIUS nacional puede causar tiempos de espera agotados en el cliente, lo que resulta en conexiones fallidas incluso con las credenciales correctas.

ROI e impacto empresarial

Para las instituciones de educación superior, el ROI de una implementación adecuada de eduroam se mide en una reducción drástica de los tickets de soporte. Al eliminar los Captive Portals y la entrada manual de contraseñas, las mesas de ayuda de TI ven una disminución significativa en las llamadas relacionadas con la conectividad. (El compromiso de Purple con este sector es evidente; consulte Purple demuestra sus ambiciones para la educación superior con el nombramiento de Tim Peers como vicepresidente de educación ).

Para los establecimientos comerciales —como los de Hospitalidad , Comercio minorista , Salud o Transporte —, admitir el acceso de visitantes de eduroam (eVA) o federaciones similares como OpenRoaming brinda una experiencia sin fricciones para grupos demográficos de alto valor. Garantiza que los visitantes académicos puedan conectarse de forma automática y segura, lo que mejora la satisfacción y permite al establecimiento mantener una segmentación de red estricta. Si su establecimiento requiere un ancho de banda dedicado para admitir esto, considere leer ¿Qué es una línea arrendada? Internet dedicado para empresas .

Al planificar actualizaciones de red, la integración de capacidades 802.1X garantiza que la infraestructura esté lista para redes modernas basadas en la identidad, sentando las bases para servicios avanzados de WiFi Analytics y basados en la ubicación.

Definiciones clave

802.1X

Un estándar IEEE para el Control de Acceso a la Red basado en puertos (PNAC). Proporciona un mecanismo de autenticación para los dispositivos que desean conectarse a una LAN o WLAN.

El protocolo fundamental para la seguridad WiFi de nivel empresarial, que reemplaza las contraseñas compartidas (PSK) con autenticación individualizada.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que proporciona una gestión centralizada de Autenticación, Autorización y Contabilidad (AAA) para los usuarios que se conectan y utilizan un servicio de red.

El servidor backend en una implementación de 802.1X que realmente verifica las credenciales del usuario con un directorio (como Active Directory).

EAP (Protocolo de Autenticación Extensible)

Un marco de autenticación de uso frecuente en redes inalámbricas y conexiones punto a punto. Permite el transporte y uso de diversos mecanismos de autenticación.

El lenguaje hablado entre el dispositivo cliente y el servidor RADIUS durante el proceso de handshake de 802.1X.

Suplicante

El dispositivo cliente (por ejemplo, laptop, smartphone) o el software en ese dispositivo que intenta autenticarse en una red mediante 802.1X.

La entidad que solicita acceso. Su configuración (especialmente con respecto a la validación de certificados) es fundamental para la seguridad.

Autenticador

El dispositivo de red (por ejemplo, punto de acceso inalámbrico, switch Ethernet) que facilita el proceso de autenticación 802.1X al transmitir mensajes entre el Suplicante y el Servidor de Autenticación.

El guardián que bloquea el tráfico de red hasta que el servidor RADIUS da luz verde.

PEAP (Protocolo de Autenticación Extensible Protegido)

Un método EAP que encapsula la transacción EAP dentro de un túnel TLS establecido mediante un certificado del lado del servidor, protegiendo la autenticación interna (generalmente una contraseña).

El método de autenticación más común para eduroam, que equilibra la seguridad con la facilidad de implementación.

RadSec

Un protocolo para transmitir datos RADIUS a través de TCP y TLS, en lugar del UDP tradicional.

Recomendado para asegurar las conexiones proxy entre las instituciones y la federación nacional de eduroam, evitando la intercepción del tráfico de autenticación.

Realm

La parte de la identidad de un usuario que sigue al símbolo "@" (por ejemplo, "university.ac.uk" en "user@university.ac.uk").

Utilizado por los servidores proxy RADIUS para determinar a dónde enrutar la solicitud de autenticación en un entorno federado como eduroam.

Ejemplos resueltos

Un hotel de conferencias de 400 habitaciones adyacente a una universidad importante recibe con frecuencia simposios académicos. El Director de TI desea permitir que los académicos visitantes se conecten automáticamente sin utilizar el Captive Portal estándar del hotel, pero debe garantizar que estos visitantes no puedan acceder a la red corporativa del hotel ni a la VLAN de la red de invitados estándar.

El hotel debe implementar eduroam Visitor Access (eVA) o unirse a una federación comercial como OpenRoaming.

El hotel configura un nuevo SSID ('eduroam' o 'OpenRoaming') en sus puntos de acceso empresariales.
Los AP se configuran para utilizar WPA2-Enterprise/802.1X.
El hotel despliega un servidor RADIUS local configurado para actuar como proxy de las solicitudes de autenticación de dominios externos hacia la federación nacional (para eduroam) o el hub de OpenRoaming.
De manera crucial, el servidor RADIUS local se configura para devolver un atributo de ID de VLAN específico en el mensaje Access-Accept para todas las autenticaciones proxy.
Los puntos de acceso colocan a estos usuarios autenticados en una VLAN aislada, solo para internet, completamente segmentada del tráfico corporativo y de invitados estándar del hotel.

Comentario del examinador: Este enfoque aprovecha correctamente la arquitectura de proxy RADIUS para delegar la autenticación a las instituciones de origen de los visitantes. Al utilizar la asignación dinámica de VLAN mediante atributos RADIUS, el hotel mantiene una segmentación de red estricta, cumpliendo con los requisitos de seguridad y proporcionando una experiencia de usuario sin fricciones.

Un equipo de TI universitario detecta un aumento en las cuentas de estudiantes comprometidas. La investigación revela que los estudiantes se están conectando a un punto de acceso no autorizado que transmite el SSID 'eduroam' en una cafetería local. El AP no autorizado está utilizando un certificado autofirmado para recopilar credenciales a través de PEAP.

El equipo de TI debe exigir de inmediato una validación estricta de certificados en todos los dispositivos de los clientes.

Deben dejar de aconsejar a los estudiantes que se conecten manualmente al SSID y 'acepten la advertencia del certificado'.
Despliegan la herramienta eduroam Configuration Assistant Tool (CAT) para dispositivos BYOD y actualizan los perfiles MDM para los dispositivos administrados.
Estos perfiles configuran al suplicante para que solo confíe en la Autoridad de Certificación (CA) específica que emitió el certificado del servidor RADIUS de la universidad, y para verificar el Common Name (CN) del servidor.
Una vez configurado, si el dispositivo de un estudiante encuentra el AP no autorizado, el establecimiento del túnel EAP fallará porque el certificado no autorizado no coincide con la CA/CN fijada, evitando la transmisión de credenciales.

Comentario del examinador: Este escenario destaca la vulnerabilidad más crítica en las implementaciones de PEAP. La solución identifica correctamente que la corrección es la configuración del lado del cliente. Confiar en la educación del usuario para detectar certificados falsos es ineficaz; los controles técnicos (fijación de perfiles) son obligatorios.

Una cadena de tiendas minoristas desea ofrecer OpenRoaming en 50 ubicaciones utilizando su infraestructura de WiFi para invitados existente, que actualmente depende de un SSID abierto con un Captive Portal.

La cadena minorista debe actualizar su red para admitir 802.1X y el proxy RADIUS.

El equipo de red habilita un nuevo SSID que transmite el OI (Identificador de Organización) de OpenRoaming Consortium.
Configuran los puntos de acceso para autenticarse a través de 802.1X.
Configuran su servidor RADIUS central para enviar solicitudes de proxy al hub de la federación OpenRoaming.
Se aseguran de que su red de retorno de internet pueda soportar el aumento previsto en las conexiones automatizadas, actualizando potencialmente a líneas arrendadas dedicadas si es necesario.

Comentario del examinador: Esto resalta que pasar de un Captive Portal a un modelo federado 802.1X requiere cambios arquitectónicos fundamentales, específicamente la implementación de proxy RADIUS y la capacidad de manejar un mayor número de conexiones automatizadas.

Preguntas de práctica

Q1. Su universidad está implementando una nueva red inalámbrica. El CISO exige que el phishing de credenciales a través de puntos de acceso no autorizados (rogue APs) sea matemáticamente imposible. ¿Qué método EAP debe seleccionar?

Sugerencia: Considere qué método depende de contraseñas en comparación con cuál depende completamente de claves criptográficas.

Ver respuesta modelo

Debe seleccionar EAP-TLS. A diferencia de PEAP, que depende de una contraseña dentro de un túnel TLS, EAP-TLS requiere autenticación mutua por certificados. Debido a que el dispositivo cliente se autentica utilizando un certificado criptográfico en lugar de una contraseña, no hay credenciales que un punto de acceso no autorizado pueda obtener mediante phishing.

Q2. Un investigador visitante de otra universidad se queja de que no puede conectarse a su red eduroam. Sus usuarios locales se están conectando sin problemas. Revisa los registros de su servidor RADIUS local y ve que la solicitud llega, pero expira antes de que se reciba un Access-Accept. ¿Cuál es la causa más probable?

Sugerencia: Piense en la ruta que toma la solicitud de autenticación para un usuario visitante en comparación con un usuario local.

Ver respuesta modelo

La causa más probable es un problema de conectividad o latencia entre su servidor RADIUS local y el proxy RADIUS de la NREN nacional. Debido a que los usuarios locales se autentican directamente en su servidor, no se ven afectados. La solicitud del usuario visitante debe enviarse a un proxy ascendente, y un tiempo de espera agotado (timeout) indica que la respuesta de la institución de origen no está regresando a tiempo.

Q3. Usted es un arquitecto de red para una cadena de tiendas de retail ubicada cerca de una gran universidad. Desea ofrecer WiFi sin interrupciones a los estudiantes que utilizan eduroam Visitor Access (eVA), pero debe cumplir con PCI DSS para sus terminales de punto de venta. ¿Cómo integra eVA de forma segura?

Sugerencia: ¿Cómo permite 802.1X que el punto de acceso a la red diferencie el tráfico después de la autenticación?

Ver respuesta modelo

Integra eVA configurando su servidor RADIUS para asignar todas las autenticaciones exitosas de eVA a una VLAN de invitados dedicada y exclusiva para internet. El mensaje Access-Accept del servidor RADIUS debe incluir el ID de VLAN específico. Esto garantiza que los dispositivos de los estudiantes estén completamente segmentados de la VLAN compatible con PCI utilizada por las terminales de punto de venta, cumpliendo con los requisitos de conformidad.

Continúe leyendo esta serie

Per-Device PSK por proveedor: comparación de iPSK, DPSK, MPSK y PPSK (y soporte de WPA3)

Una comparación exhaustiva de las implementaciones de per-device PSK en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet y Ubiquiti UniFi. Conozca cómo WPA3-SAE afecta las estrategias de claves por dispositivo y cuándo implementar modos de transición en lugar de migrar a 802.1X.

Captive Portal Authentication Methods Compared

Esta guía de referencia técnica autorizada evalúa las ventajas y desventajas arquitectónicas, operativas y de cumplimiento de cinco métodos principales de autenticación de Captive Portal. Proporciona a los arquitectos de red, directores de TI y gerentes de marketing los datos cuantitativos y los marcos de decisión necesarios para equilibrar la fricción del registro de invitados con los requisitos de recopilación de datos en los establecimientos empresariales.

¿Qué es la autenticación por dirección MAC? Cuándo usarla y cuándo evitarla

Esta guía de referencia técnica autorizada cubre la autenticación por dirección MAC en entornos de WiFi empresariales: cómo funciona la autenticación MAC basada en RADIUS en la Capa 2, sus vulnerabilidades de seguridad inherentes (incluyendo el spoofing de MAC y el impacto de la aleatorización de MAC a nivel de sistema operativo) y los contextos operativos precisos donde sigue siendo una herramienta válida para gestionar dispositivos IoT y headless. Proporciona orientación de implementación práctica para gerentes de TI y arquitectos de redes en sectores como hotelería, retail, salud y espacios públicos, con ejemplos prácticos del mundo real, marcos de decisión y contexto de integración para la plataforma de analítica y WiFi de invitados de Purple.