Saltar al contenido principal
Español (México)

How to Set Up Enterprise WiFi on Android Devices with EAP-TLS

Esta guía de referencia técnica proporciona a los líderes de TI sénior un plan integral para implementar la autenticación 802.1X EAP-TLS en dispositivos Android. Cubre la mecánica arquitectónica, las estrategias de implementación manuales y basadas en MDM, y las metodologías de resolución de problemas necesarias para proteger las redes inalámbricas empresariales.

📖 5 min de lectura📝 1,161 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast
Cómo configurar WiFi empresarial en dispositivos Android con EAP-TLS Una sesión técnica de Purple — Aproximadamente 10 minutos --- INTRODUCCIÓN Y CONTEXTO — aproximadamente 1 minuto Bienvenido a la serie de sesiones técnicas de Purple. Soy su anfitrión, y hoy entraremos en los detalles de la implementación de la autenticación 802.1X EAP-TLS en dispositivos Android, ya sea que administre un complejo hotelero, una cadena de tiendas de retail, un estadio o un campus del sector público. Si usted es responsable de una red que necesita autenticar dispositivos Android corporativos o BYOD sin depender de contraseñas compartidas, este episodio es para usted. EAP-TLS es el estándar de oro para la seguridad de WiFi empresarial: utiliza autenticación mutua basada en certificados, lo que significa que no hay credenciales que puedan ser objeto de phishing, no hay contraseñas que rotar y ofrece una postura de cumplimiento que satisface PCI DSS, ISO 27001 y la mayoría de los marcos de seguridad del sector público. Al final de esta sesión, comprenderá exactamente cómo funciona EAP-TLS en Android, cuáles son sus opciones de implementación y los tres errores más comunes que provocan fallas en el despliegue. Comencemos. --- ANÁLISIS TÉCNICO DETALLADO — aproximadamente 5 minutos Comencemos con la arquitectura. 802.1X es el estándar IEEE que rige el control de acceso a la red basado en puertos. Cuando un dispositivo Android se conecta a una red WiFi empresarial (una configurada como WPA2-Enterprise o WPA3-Enterprise), el punto de acceso actúa como lo que se denomina un autenticador. No toma la decisión de autenticación por sí mismo; transmite la conversación entre el dispositivo y un servidor RADIUS, que es el servidor de autenticación real. EAP-TLS (Protocolo de Autenticación Extensible con Seguridad de la Capa de Transporte) es el método de autenticación que se ejecuta dentro de ese marco 802.1X. Lo que lo diferencia de EAP-PEAP o EAP-TTLS, que utilizan usuario y contraseña dentro de un túnel TLS, es que EAP-TLS utiliza certificados X.509 en ambos lados. El servidor RADIUS presenta un certificado de servidor al dispositivo, y el dispositivo presenta un certificado de cliente de vuelta al servidor RADIUS. Ambas partes se validan mutuamente. Eso es autenticación mutua, y es lo que convierte a EAP-TLS en la opción más segura disponible. Ahora, específicamente en Android, hay algunas cosas que debe comprender. Android 11 y versiones posteriores introdujeron requisitos de validación de certificados más estrictos. Si está realizando la implementación en Android 11 o superior (que en este momento es la gran mayoría de sus dispositivos), el dispositivo se negará a conectarse a menos que el certificado del servidor RADIUS sea explícitamente de confianza. No puede confiar únicamente en el almacén de confianza del sistema; debe enviar el certificado de la CA raíz al dispositivo o configurar el perfil de WiFi para que haga referencia a él de forma explícita.Hablemos de la cadena de certificados. Necesita tres componentes listos antes de que un solo dispositivo Android pueda autenticarse a través de EAP-TLS. Primero, una Autoridad de Certificación (CA), ya sea su PKI interna, Microsoft Active Directory Certificate Services o una PKI en la nube como SCEP a través de Intune. Segundo, un certificado de servidor emitido para su servidor RADIUS, firmado por esa CA. Tercero, un certificado de cliente único emitido para cada dispositivo o usuario, también firmado por la misma CA. El dispositivo presenta su certificado de cliente durante el saludo TLS, y el servidor RADIUS lo valida contra la lista de revocación de certificados de la CA (o CRL) o a través de OCSP (Protocolo de Estado de Certificados en Línea). Para Android, el certificado de cliente y la clave privada se empaquetan normalmente como un archivo PKCS12 (un archivo .P12 o .PFX) que contiene tanto el certificado como la clave privada cifrada. En un dispositivo configurado manualmente, el usuario importa este archivo a través de Ajustes, luego Seguridad y después Instalar un certificado. En un dispositivo gestionado por MDM, el certificado se envía de forma silenciosa al almacén de claves gestionado del dispositivo, sin requerir interacción del usuario. Ahora hablemos del perfil de WiFi en sí. Al configurar una conexión WiFi empresarial en Android, debe especificar: el SSID, el tipo de seguridad (WPA2-Enterprise o WPA3-Enterprise), el método EAP (que es TLS), el certificado de la CA para la validación del servidor, el certificado de cliente para la autenticación del dispositivo y la cadena de identidad, que suele ser el Nombre Común (CN) del dispositivo o el UPN del usuario. En Android 11 y versiones posteriores, también debe especificar la coincidencia de sufijo de dominio o el asunto del certificado del servidor para evitar ataques de intermediario (man-in-the-middle). Para implementaciones de MDM (y aquí es donde entra la verdadera escalabilidad), enviará todo esto como un perfil de configuración estructurado. En Microsoft Intune, crea un perfil de certificado SCEP que solicita e instala automáticamente un certificado de cliente único en cada dispositivo Android registrado. Luego, crea un perfil de configuración de WiFi que hace referencia a ese perfil de certificado. Cuando el dispositivo se conecta, recibe tanto el certificado como el perfil de WiFi, y se conecta a su red 802.1X de forma automática. Sin interacción del usuario, sin llamadas de soporte. Si utiliza Intune para esto, nuestra guía complementaria sobre cómo usar Microsoft Intune para enviar certificados de WiFi a dispositivos detalla los pasos de configuración exactos; le recomiendo leerla junto con este documento informativo. Para VMware Workspace ONE y Jamf Connect, el proceso es idéntico a nivel de arquitectura: un perfil de certificado SCEP o PKCS, seguido de un perfil de WiFi que hace referencia a él. La interfaz de usuario específica varía, pero la cadena de certificados y los requisitos de configuración de RADIUS son los mismos. Un detalle importante a destacar del lado de RADIUS: si estás ejecutando FreeRADIUS, Microsoft NPS o Cisco ISE, asegúrate de que el certificado de tu servidor incluya los atributos correctos de Uso mejorado de clave (EKU), específicamente, Autenticación de servidor, OID 1.3.6.1.5.5.7.3.1. Android es muy estricto con esto. Un certificado que funciona perfectamente con clientes de Windows puede fallar en Android si el EKU falta o está mal configurado. --- RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES — aproximadamente 2 minutos Muy bien, hablemos de lo que realmente sale mal en el campo de trabajo, porque aquí es donde la mayoría de las implementaciones tienen problemas. El primer fallo y el más común es la confianza del certificado. Android 11 y versiones superiores no se conectarán si la cadena de certificados del servidor RADIUS no se puede validar. La solución es sencilla: distribuye el certificado de tu CA raíz en el almacén de certificados de usuario del dispositivo a través de un MDM, y haz referencia a él explícitamente en el campo de certificado de CA del perfil de WiFi. No dejes esto como "No validar"; eso es una brecha de seguridad y, de todos modos, fallará en algunas versiones de Android. El segundo error común es la expiración del certificado. Los certificados de cliente suelen tener un periodo de validez de uno a dos años. Si no cuentas con una renovación automatizada a través de SCEP o NDES, te despertarás una mañana y descubrirás que la mitad de tus dispositivos han perdido el acceso a la WiFi simultáneamente. Integra la automatización de la renovación de certificados en tu flujo de trabajo de MDM desde el primer día, no como una idea de último momento. El tercer problema es la capacidad del servidor RADIUS. Los saludos de conexión (handshakes) de EAP-TLS son computacionalmente más costosos que los de PEAP debido al intercambio mutuo completo de certificados. En un estadio o centro de conferencias con miles de autenticaciones simultáneas, un servidor RADIUS de tamaño insuficiente se convertirá en un cuello de botella. Dimensiona tu infraestructura RADIUS para picos de autenticaciones concurrentes, no para la carga promedio. Finalmente, del lado de Android, ten en cuenta que diferentes fabricantes (Samsung, Google, Xiaomi) tienen implementaciones ligeramente distintas de la API de configuración de WiFi. Prueba los perfiles distribuidos por MDM en dispositivos representativos de cada fabricante en tu inventario antes de realizar un despliegue a gran escala. Los dispositivos Samsung, en particular, históricamente han requerido que el campo de identidad se configure explícitamente, incluso cuando se puede inferir del certificado. --- PREGUNTAS Y RESPUESTAS RÁPIDAS — aproximadamente 1 minuto Algunas preguntas rápidas que me hacen con frecuencia. ¿Puedo usar EAP-TLS para dispositivos BYOD? Sí, pero requiere que el usuario instale un certificado de cliente en su dispositivo personal. Para BYOD a gran escala, considera si EAP-TTLS con PAP o PEAP-MSCHAPv2 es una alternativa más práctica, reservando EAP-TLS para los dispositivos propiedad de la empresa. ¿Funciona EAP-TLS con WPA3-Enterprise? Sí, y de hecho, WPA3-Enterprise con modo de 192 bits exige obligatoriamente EAP-TLS. Si estás implementando WPA3-Enterprise en entornos de alta seguridad, EAP-TLS es tu única opción compatible. ¿Cuál es la versión mínima de Android que debería tener como objetivo? Android 8 y versiones superiores son compatibles con EAP-TLS de forma nativa. Para Android 11 y versiones superiores, aplique la validación explícita del certificado CA. Para Android 13 y versiones superiores, puede aprovechar las APIs de gestión de certificados mejoradas para un control más detallado. ¿Puede la plataforma de Purple integrarse con redes EAP-TLS? La plataforma de WiFi para invitados y analítica de Purple funciona en un SSID independiente de su red corporativa 802.1X. Sus dispositivos corporativos se autentican a través de EAP-TLS en el SSID seguro, mientras que los dispositivos de los invitados utilizan el Captive Portal de Purple en el SSID de invitados. Ambos coexisten en la misma infraestructura de puntos de acceso, con la separación de VLAN proporcionando el límite de seguridad. --- RESUMEN Y PRÓXIMOS PASOS — aproximadamente 1 minuto Para concluir: EAP-TLS en Android es el método de autenticación de WiFi empresarial más seguro disponible, y con las herramientas de MDM modernas es totalmente práctico de implementar a escala. Las tres cosas que debe hacer bien son: una PKI configurada correctamente con renovación automática de certificados, confianza explícita en el certificado CA en Android 11 y versiones superiores, y una infraestructura RADIUS dimensionada para la carga máxima. Si está realizando la implementación en un espacio con tráfico mixto de corporativo e invitados, la plataforma de Purple le brinda la capa de analítica e interacción en la red de invitados, mientras que su infraestructura EAP-TLS protege el lado corporativo. Ambos se complementan perfectamente. Para sus próximos pasos: revise nuestro diagrama de arquitectura en la guía completa, trabaje en el tutorial de implementación de Intune y realice una prueba piloto en un subconjunto de dispositivos antes de implementarlo en todo su entorno. Comience con un grupo controlado de cincuenta dispositivos, valide la entrega de certificados y la conectividad WiFi, y luego escale con confianza. Gracias por escuchar el Informe Técnico de Purple. Encontrará la guía escrita completa, los diagramas y las referencias de configuración en purple.ai. Hasta la próxima.

header_image.png

Resumen Ejecutivo

Proteger las redes inalámbricas empresariales contra el robo de credenciales y el acceso no autorizado requiere ir más allá de las contraseñas compartidas. Para las flotas de dispositivos Android en entornos corporativos, 802.1X EAP-TLS (Protocolo de Autenticación Extensible con Seguridad de la Capa de Transporte) representa el estándar de seguridad definitivo. Al aprovechar la autenticación mutua basada en certificados, EAP-TLS elimina los riesgos asociados con la fatiga de contraseñas, el phishing y las credenciales débiles.

Esta guía de referencia técnica proporciona a los arquitectos de red, gerentes de TI y CTOs estrategias prácticas para implementar EAP-TLS en dispositivos Android. Ya sea que se gestionen terminales de punto de venta en Retail , dispositivos clínicos en Healthcare o las operaciones internas en Hospitality , dominar esta implementación garantiza un sólido cumplimiento de seguridad (PCI DSS, GDPR, ISO 27001) al tiempo que ofrece una experiencia de conexión fluida para los usuarios finales. Cubrimos tanto la configuración manual para entornos BYOD como el aprovisionamiento MDM zero-touch para flotas propiedad de la empresa.

Escuche la Sesión Informativa

Análisis Técnico Detallado

La Arquitectura 802.1X y el Funcionamiento de EAP-TLS

En su núcleo, 802.1X es un estándar IEEE para el control de acceso a la red basado en puertos. En un contexto inalámbrico, el punto de acceso actúa como el Autenticador, facilitando la comunicación entre el dispositivo Android (el Suplicante) y el servidor RADIUS (el Servidor de Autenticación).

A diferencia de PEAP o TTLS, que canalizan la autenticación de contraseña heredada dentro de TLS, EAP-TLS se basa completamente en certificados X.509. Esto crea un paradigma de autenticación mutua:

  1. El servidor RADIUS presenta su certificado al dispositivo Android para demostrar que la red es legítima.
  2. El dispositivo Android presenta su certificado de cliente único al servidor RADIUS para demostrar que es un endpoint autorizado.

eap_tls_architecture_overview.png

Requisitos de Certificados Específicos para Android

La implementación en Android introduce restricciones específicas, particularmente a partir de Android 11 en adelante. Google desaprobó la opción "No validar" para los certificados de servidor con el fin de mitigar los ataques de intermediario (MitM). En consecuencia, el dispositivo Android debe poseer el certificado de la CA Raíz que firmó el certificado del servidor RADIUS.

Furthermore, the RADIUS server certificate must contain the correct Extended Key Usage (EKU) attributes—specifically Server Authentication (OID 1.3.6.1.5.5.7.3.1). Without this, the Android supplicant will silently drop the TLS handshake.

For the client side, Android requires the private key and certificate to be bundled, typically in a PKCS#12 format (.p12 or .pfx).

Integration with Purple's Ecosystem

While EAP-TLS secures your corporate devices and operational infrastructure, venue operators must also manage visitor access. This is where a dual-SSID strategy becomes critical. Your corporate SSID utilises 802.1X EAP-TLS, while your public SSID leverages Purple's Guest WiFi platform. This separation ensures operational security while allowing the marketing team to leverage WiFi Analytics on the guest network. For a broader view on securing the physical infrastructure, refer to Access Point Security: Your 2026 Enterprise Guide .

Implementation Guide

Deploying EAP-TLS on Android can be approached manually for small BYOD deployments or via Mobile Device Management (MDM) for enterprise scale.

mdm_deployment_comparison.png

Method 1: Manual Configuration (BYOD / Small Scale)

This method is support-intensive and only recommended for limited rollouts or testing.

  1. Certificate Delivery: Securely deliver the .p12 client certificate and the Root CA .cer file to the Android device (e.g., via secure portal or encrypted email).
  2. Installation:
    • Navigate to Settings > Security > Encryption & credentials > Install a certificate.
    • Install the Root CA as a "Wi-Fi certificate".
    • Install the .p12 file, providing the extraction password when prompted.
  3. Network Configuration:
    • Go to Settings > Network & internet > Wi-Fi and select "Add network".
    • Enter the SSID.
    • Set Security to WPA/WPA2/WPA3-Enterprise.
    • Set EAP method to TLS.
    • Set CA certificate to the installed Root CA.
    • Set Online Certificate Status to Request certificate status.
    • Set Domain to match the RADIUS server's certificate Subject Alternative Name (SAN).
    • Select the installed Client certificate.
    • Enter the Identity (usually the user's UPN or device MAC).

Method 2: MDM-Pushed Profile (Enterprise Scale)

For large estates, such as a university campus or a logistics hub in Transport , MDM is mandatory. This provides zero-touch provisioning and lifecycle management.

  1. PKI Integration: Connect your MDM (Intune, Workspace ONE, Jamf) to your Certificate Authority using SCEP or NDES.
  2. Perfil de Certificado: Crea un perfil de configuración para enviar la CA Raíz al almacén de confianza del dispositivo. Crea un segundo perfil (SCEP) para solicitar e instalar automáticamente el certificado de cliente único.
  3. Perfil de WiFi: Crea un perfil de configuración de Wi-Fi que vincule los certificados implementados.
    • Tipo de Seguridad: WPA2/WPA3 Enterprise
    • Tipo de EAP: EAP-TLS
    • Método de Autenticación: Certificado
    • Confianza del Servidor: Especifica la CA Raíz y el nombre de dominio exacto del servidor.

Para obtener instrucciones detalladas específicas de Microsoft, consulta nuestra guía: Cómo usar Microsoft Intune para enviar certificados de WiFi a los dispositivos .

Mejores Prácticas

  1. Forzar WPA3-Enterprise: Donde el hardware lo admita, exige WPA3-Enterprise. La suite de seguridad de 192 bits requiere explícitamente EAP-TLS, lo que garantiza los estándares criptográficos más altos.
  2. Automatizar el Ciclo de Vida de los Certificados: Los certificados de cliente caducan. Si dependes de renovaciones manuales, te enfrentarás a interrupciones masivas del servicio. Implementa SCEP/NDES para renovar automáticamente los certificados 30 días antes de su vencimiento.
  3. Implementar un DNS Sólido: Las comprobaciones de la Lista de Revocación de Certificados (CRL) y OCSP requieren una resolución de DNS confiable desde el extremo. Lee más en Protege tu red con un DNS sólido y seguridad .
  4. Segmentación de VLAN: Mapea las sesiones autenticadas por EAP-TLS a VLANs específicas según los atributos del certificado (por ejemplo, separando las terminales de punto de venta de las tablets de los gerentes) utilizando atributos RADIUS como Tunnel-Private-Group-Id.

Resolución de Problemas y Mitigación de Riesgos

Cuando los dispositivos Android no logran conectarse a través de EAP-TLS, el problema casi siempre radica en la cadena de certificados o en la configuración de RADIUS.

  • Síntoma: Los dispositivos Android 11+ se desconectan inmediatamente o muestran "Error de autenticación" sin preguntar al usuario.
    • Causa Raíz: El dispositivo no confía en el certificado del servidor RADIUS. El campo "Dominio" en el perfil de WiFi debe coincidir exactamente con el SAN del certificado del servidor, y la CA Raíz debe estar instalada.
  • Síntoma: La conexión se agota por límite de tiempo durante el saludo TLS.
    • Causa Raíz: El servidor RADIUS no puede acceder al punto de distribución de la CRL para verificar el estado de revocación del certificado de cliente. Asegúrate de que tu servidor RADIUS tenga acceso HTTP saliente a los endpoints de la CRL de tu PKI.
  • Síntoma: Los dispositivos Windows se conectan, pero los dispositivos Android fallan.
    • Causa Raíz: Falta el EKU de Autenticación de Servidor en el certificado RADIUS, o el suplicante de Android está intentando usar una suite de cifrado no compatible. Revisa los registros de RADIUS para buscar fallas en la negociación TLS.

ROI e Impacto Comercial

La transición a EAP-TLS requiere una inversión inicial en infraestructura de PKI y MDM, pero el retorno de la inversión es sustancial para los líderes de TI sénior.

  • Reducción de costos de Helpdesk: Los restablecimientos de contraseñas representan entre el 20% y el 30% de los tickets de soporte de TI. La autenticación basada en certificados elimina las políticas de rotación de contraseñas para el acceso a la red, reduciendo drásticamente los costos operativos de soporte.
  • Mitigación de riesgos: EAP-TLS proporciona inmunidad contra la recolección de credenciales y los ataques de diccionario fuera de línea. El costo de una sola vulneración de seguridad en una industria regulada como la de Healthcare supera con creces el costo de implementación de una PKI.
  • Continuidad operativa: El aprovisionamiento automatizado de certificados garantiza que los dispositivos operativos críticos —desde escáneres de almacén hasta sistemas POS minoristas— nunca se desconecten de la red debido a credenciales vencidas. A medida que Purple continúa expandiendo su alcance, lo cual se destaca por movimientos estratégicos recientes como Purple Signals Higher Education Ambitions with Appointment of VP Education Tim Peers , una conectividad base robusta se convierte en el habilitador para análisis avanzados y engagement.

Definiciones clave

802.1X

Un estándar IEEE para el Control de Acceso a Redes basado en puertos (PNAC) que proporciona un mecanismo de autenticación a los dispositivos que desean conectarse a una LAN o WLAN.

El marco fundamental que evita que dispositivos no autorizados accedan a la red corporativa en el extremo.

EAP-TLS

Protocolo de Autenticación Extensible con Seguridad en la Capa de Transporte. Un marco de autenticación que utiliza certificados X.509 para la autenticación mutua entre el cliente y el servidor.

Considerado el tipo de EAP más seguro, elimina la dependencia de contraseñas, lo que lo hace esencial para entornos de alta seguridad.

RADIUS

Remote Authentication Dial-In User Service. Un protocolo de red que proporciona una gestión centralizada de Autenticación, Autorización y Contabilidad (AAA).

El componente del servidor (por ejemplo, Cisco ISE, Microsoft NPS) que valida el certificado del dispositivo Android contra la PKI.

Supplicant

El dispositivo cliente (en este caso, el teléfono inteligente o tableta Android) que solicita acceso a la red.

Comprender las limitaciones específicas del sistema operativo del supplicant (como la validación estricta de Android 11) es clave para una implementación exitosa.

Authenticator

El dispositivo de red (el punto de acceso WiFi) que facilita el proceso de autenticación entre el Supplicant y el servidor RADIUS.

El AP no toma la decisión; simplemente aplica el control de puertos basándose en la respuesta del servidor RADIUS.

PKI

Infraestructura de Clave Pública. Un conjunto de roles, políticas, hardware, software y procedimientos necesarios para crear, gestionar, distribuir, utilizar, almacenar y revocar certificados digitales.

La columna vertebral de EAP-TLS. Sin una PKI sólida, la autenticación basada en certificados es imposible.

SCEP

Protocolo Simple de Inscripción de Certificados. Un protocolo diseñado para hacer que la emisión y revocación de certificados digitales sea lo más escalable posible.

Utilizado por las plataformas MDM para aprovisionar automáticamente certificados de cliente en dispositivos Android sin la intervención del usuario.

SAN

Nombre Alternativo del Sujeto. Una extensión de X.509 que permite asociar varios valores con un certificado de seguridad.

Android 11+ requiere que el campo 'Dominio' en el perfil de WiFi coincida con el SAN del certificado del servidor RADIUS.

Ejemplos resueltos

Una cadena minorista nacional necesita implementar 5,000 tabletas de punto de venta (POS) basadas en Android. El equipo de seguridad exige que estos dispositivos no utilicen contraseñas compartidas y sean inmunes al phishing de credenciales. ¿Cómo debería abordar este despliegue el equipo de infraestructura?

El equipo debe implementar una solución de Mobile Device Management (MDM) integrada con su infraestructura de clave pública (PKI) interna a través de SCEP. El MDM enviará un perfil de configuración que contiene el certificado de la CA raíz, solicitará automáticamente un certificado de cliente único para cada tableta POS y configurará el perfil de WiFi WPA3-Enterprise para usar EAP-TLS. El servidor RADIUS se configurará para asignar estos dispositivos a una VLAN de POS aislada tras la validación exitosa del certificado.

Comentario del examinador: Este es el enfoque empresarial óptimo. Intentar la configuración manual para 5,000 dispositivos es inviable desde el punto de vista operativo. Al utilizar MDM y SCEP, la organización logra un aprovisionamiento sin intervención y la renovación automática de certificados, cumpliendo con el mandato de seguridad y minimizando la fricción en la implementación.

El gerente de TI de un hospital está actualizando la red inalámbrica. Después de la actualización, los dispositivos Android 9 más antiguos se conectan con éxito a la red EAP-TLS, pero los dispositivos Android 12 recién adquiridos no logran autenticarse, mostrando un error de confianza.

El gerente de TI debe actualizar el perfil de configuración de WiFi enviado a los dispositivos. Android 11+ exige una validación estricta del certificado del servidor. El perfil debe actualizarse para definir explícitamente el certificado de la CA raíz en el que se debe confiar y especificar el "Dominio" exacto (que coincida con el SAN del servidor RADIUS) para evitar ataques MitM.

Comentario del examinador: Esto resalta un cambio crítico a nivel del sistema operativo en el comportamiento del suplicante de Android. Las configuraciones heredadas de "No validar" representan un riesgo de seguridad significativo y están totalmente obsoletas en las versiones modernas de Android. La solución identifica correctamente la necesidad de una configuración de confianza explícita.

Preguntas de práctica

Q1. Su organización está migrando de PEAP-MSCHAPv2 a EAP-TLS. Durante la fase piloto, varios dispositivos Android 13 no logran conectarse. Los registros de RADIUS muestran que el saludo TLS se inicia pero el cliente lo interrumpe antes de que se envíe el certificado del cliente. ¿Cuál es el error de configuración más probable?

Sugerencia: Considere los estrictos requisitos de validación introducidos en versiones recientes de Android con respecto a la identidad del servidor.

Ver respuesta modelo

El error más probable es que el perfil de WiFi enviado a los dispositivos Android 13 no especifica correctamente la coincidencia del sufijo de "Dominio", o la CA raíz no está vinculada correctamente en el perfil. Android interrumpe la conexión para evitar un ataque de intermediario (Man-in-the-Middle) porque no puede validar el certificado del servidor RADIUS.

Q2. Está diseñando la arquitectura para el despliegue en un gran estadio. El cliente desea utilizar EAP-TLS para todos los dispositivos del personal. ¿Qué componente de infraestructura específico debe escalarse en comparación con una red WPA2-PSK estándar y por qué?

Sugerencia: EAP-TLS implica operaciones criptográficas complejas durante la fase de conexión.

Ver respuesta modelo

La infraestructura del servidor RADIUS debe escalarse significativamente. EAP-TLS requiere una validación mutua completa de certificados (criptografía asimétrica), lo cual es computacionalmente costoso. En el entorno de un estadio con miles de dispositivos que potencialmente realizan roaming o se autentican simultáneamente, un despliegue de RADIUS de tamaño insuficiente provocará tiempos de espera de autenticación y fallas de conexión.

Q3. Un certificado de cliente se ve comprometido en una tableta Android extraviada. ¿Cuál es el mecanismo exacto mediante el cual la red evita que este dispositivo se conecte a través de EAP-TLS?

Sugerencia: ¿Cómo sabe el servidor RADIUS que el certificado ya no es válido antes de su fecha de vencimiento?

Ver respuesta modelo

El administrador de TI revoca el certificado del cliente en la PKI. La PKI actualiza su Lista de Revocación de Certificados (CRL) o el respondedor OCSP. Cuando la tableta extraviada intenta conectarse, el servidor RADIUS verifica el certificado del cliente contra la CRL/OCSP. Al ver que está revocado, el servidor RADIUS rechaza la solicitud de autenticación.

Continúe leyendo esta serie

Per-Device PSK por proveedor: comparación de iPSK, DPSK, MPSK y PPSK (y soporte de WPA3)

Una comparación exhaustiva de las implementaciones de per-device PSK en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet y Ubiquiti UniFi. Conozca cómo WPA3-SAE afecta las estrategias de claves por dispositivo y cuándo implementar modos de transición en lugar de migrar a 802.1X.

Leer la guía →

Captive Portal Authentication Methods Compared

Esta guía de referencia técnica autorizada evalúa las ventajas y desventajas arquitectónicas, operativas y de cumplimiento de cinco métodos principales de autenticación de Captive Portal. Proporciona a los arquitectos de red, directores de TI y gerentes de marketing los datos cuantitativos y los marcos de decisión necesarios para equilibrar la fricción del registro de invitados con los requisitos de recopilación de datos en los establecimientos empresariales.

Leer la guía →

¿Qué es la autenticación por dirección MAC? Cuándo usarla y cuándo evitarla

Esta guía de referencia técnica autorizada cubre la autenticación por dirección MAC en entornos de WiFi empresariales: cómo funciona la autenticación MAC basada en RADIUS en la Capa 2, sus vulnerabilidades de seguridad inherentes (incluyendo el spoofing de MAC y el impacto de la aleatorización de MAC a nivel de sistema operativo) y los contextos operativos precisos donde sigue siendo una herramienta válida para gestionar dispositivos IoT y headless. Proporciona orientación de implementación práctica para gerentes de TI y arquitectos de redes en sectores como hotelería, retail, salud y espacios públicos, con ejemplos prácticos del mundo real, marcos de decisión y contexto de integración para la plataforma de analítica y WiFi de invitados de Purple.

Leer la guía →