Saltar al contenido principal
Español (México)

La guía definitiva de la arquitectura y autenticación de OpenRoaming

Esta guía proporciona una referencia técnica autorizada sobre la arquitectura de WBA OpenRoaming, que abarca la base de Passpoint, la federación RADIUS, la seguridad mTLS de RadSec y una guía de implementación paso a paso para recintos empresariales. Equipa a los gerentes de TI, arquitectos de red y operadores de recintos con el conocimiento para reemplazar los Captive Portals con una conectividad Wi-Fi fluida, segura y compatible que ofrece un ROI medible.

📖 7 min de lectura📝 1,706 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 9 definiciones clave

Escucha esta guía

Ver transcripción del podcast
[00:00:00] Host: Bienvenido al Informe Técnico de Purple. Soy su anfitrión, y hoy nos adentraremos en una tecnología que está reestructurando fundamentalmente el funcionamiento del Wi-Fi empresarial: WBA OpenRoaming. Si usted es un gerente de TI, un arquitecto de redes o un director de operaciones de un recinto, conoce el dolor de cabeza que representa el Captive Portal tradicional. Los inicios de sesión manuales, los tickets de soporte, los huéspedes frustrados. Hoy analizaremos cómo OpenRoaming reemplaza esa fricción con una experiencia de roaming segura y similar a la de la red celular. Entremos de lleno en la arquitectura. [00:01:00] Host: Para entender OpenRoaming, debemos analizar el funcionamiento interno subyacente. Está construido sobre la base de Passpoint, o Hotspot 2.0, que se basa en el estándar IEEE 802.11u. Esto permite que un dispositivo —su smartphone o laptop— consulte de forma silenciosa al punto de acceso utilizando el Protocolo de Consulta de Red de Acceso, o ANQP. El dispositivo pregunta: "¿Soportas mis credenciales?" buscando Identificadores de Organización de Consorcio de Roaming específicos, o RCOIs. Si hay una coincidencia, el dispositivo se conecta automáticamente. Sin páginas de bienvenida. Sin intervención del usuario. Es, sencillamente, la experiencia de roaming celular finalmente llevada al Wi-Fi. [00:02:30] Host: La Wireless Broadband Alliance, o WBA, gestiona la federación global que hace esto posible. Piense en ello como un marco de confianza. Por un lado, están los Proveedores de Identidad: organizaciones que emiten credenciales a los usuarios. Podría ser un operador de telefonía móvil, un departamento de TI corporativo o un programa de lealtad. Por el otro lado, están los Proveedores de Red de Acceso: los recintos que operan la infraestructura física de Wi-Fi. Hoteles, estadios, cadenas de retail, aeropuertos. La federación WBA es el pegamento que los conecta, permitiendo que un usuario con credenciales de su operador móvil se autentique sin problemas en un hotel que nunca antes ha visitado. [00:04:00] Host: Pero, ¿cómo verifica la red del recinto esas credenciales de forma segura, a través de miles de proveedores diferentes a nivel mundial? Aquí es donde entra la federación RADIUS. OpenRoaming resuelve el problema de escalabilidad mediante el descubrimiento dinámico de DNS, definido en el RFC 7585. Cuando una solicitud de autenticación llega a su proxy RADIUS, este realiza una búsqueda DNS NAPTR en el dominio del usuario para encontrar dinámicamente el servidor RadSec del Proveedor de Identidad. Luego establece una conexión RadSec —que es RADIUS sobre TLS, definido en el RFC 6614— protegida por TLS mutuo utilizando certificados emitidos por la propia Infraestructura de Clave Pública de la WBA. Esto significa que dos partes cualesquiera de la federación pueden establecer una conexión cifrada y de confianza sin haberse conocido antes. [00:05:30] Host: Hablemos de seguridad y cumplimiento, porque aquí es donde OpenRoaming ofrece una actualización verdaderamente transformadora. Con un Captive Portal, tu tráfico no está cifrado en el aire hasta que terminas de iniciar sesión. OpenRoaming utiliza autenticación 802.1X y WPA3-Enterprise. Obtienes cifrado desde el primer paquete. Además, la autenticación mutua de certificados evita los ataques de Evil Twin, donde un punto de acceso no autorizado suplanta el nombre de tu red. Debido a que el dispositivo verifica el certificado de la red antes de conectarse, una red suplantada simplemente no puede pasar esa verificación. [00:07:00] Host: Desde la perspectiva del GDPR, OpenRoaming utiliza identificadores seudónimos en lugar de PII sin procesar. Sabes que el usuario está autenticado y es legítimo, pero minimizas tu huella de datos. Para el cumplimiento de PCI DSS en entornos minoristas, aplicas la asignación dinámica de VLAN a través de tu servidor RADIUS para colocar a los usuarios invitados en un segmento de red aislado, manteniéndolos completamente separados de tus sistemas de punto de venta. [00:08:00] Host: Ahora, los errores comunes de implementación. Primero, verifica que tu hardware sea compatible con Passpoint. Segundo, la gestión del ciclo de vida de los certificados es fundamental: si tus certificados WBA PKI caducan, RadSec falla silenciosamente. Configura el monitoreo con al menos 60 días de anticipación. Tercero, asegúrate de que la infraestructura DNS sea sumamente sólida, ya que el descubrimiento dinámico depende por completo de una resolución confiable de registros NAPTR y SRV. [00:08:45] Host: Preguntas y respuestas rápidas. ¿Puedo seguir controlando el ancho de banda por usuario? Sí, la autenticación es federada, pero la autorización es local. Tu servidor RADIUS aplica perfiles de QoS a través de atributos específicos del proveedor. ¿Funciona para dispositivos IoT? Sí, los dispositivos sin pantalla provistos con un perfil Passpoint a través de MDM se conectan automáticamente. ¿Cuál es el ROI? Los recintos informan reducciones del 70 al 80 por ciento en los tickets de soporte de Wi-Fi. La implementación de RAI Amsterdam vio a 18,000 asistentes consumir 77 terabytes de datos durante cuatro días. [00:09:45] Host: En resumen: OpenRoaming es el estándar moderno para una conectividad de invitados segura. Implementa el RCOI libre de liquidación, audita tus puntos de acceso para verificar la compatibilidad con Passpoint, evalúa tu infraestructura RADIUS para la capacidad RadSec e interactúa con un agente de WBA. Gracias por acompañarnos en este Purple Technical Briefing. Hasta la próxima, mantén tus redes seguras y tus conexiones fluidas.

header_image.png

Resumen Ejecutivo

El modelo tradicional de Captive Portal para Wi-Fi de invitados es obsoleto. Durante décadas, los establecimientos han dependido de pantallas de inicio de sesión manuales que frustran a los usuarios, ofrecen una seguridad deficiente y generan una carga significativa de soporte técnico. WBA OpenRoaming representa un cambio arquitectónico fundamental, reemplazando la autenticación manual con una federación global de conexiones seguras y automáticas basadas en la tecnología Passpoint (Hotspot 2.0) y 802.1X Authentication: Securing Network Access on Modern Devices .

Para los administradores de TI y arquitectos de red, implementar OpenRoaming ya no es solo cuestión de mejorar la experiencia del usuario; es un imperativo estratégico para mejorar la seguridad de la red, reducir los tickets de soporte y generar un ROI medible mediante una mayor utilización de la red. Esta guía proporciona una referencia técnica completa para implementar la arquitectura OpenRoaming, navegar por la federación RADIUS y garantizar el cumplimiento de los estándares de seguridad modernos en entornos empresariales, de Retail y de Hospitality .

Análisis Técnico Profundo: La Arquitectura OpenRoaming

La arquitectura OpenRoaming opera a través de una federación de confianza gestionada por la Wireless Broadband Alliance (WBA). Sirve de puente entre los Proveedores de Identidad (IDPs) que emiten credenciales y los Proveedores de Redes de Acceso (ANPs) que operan la infraestructura de Wi-Fi.

La Base de Passpoint

En el núcleo de OpenRoaming se encuentra el estándar Passpoint de la Wi-Fi Alliance (basado en IEEE 802.11u). Passpoint permite que los dispositivos descubran y se autentiquen en redes Wi-Fi de forma automática. Cuando un dispositivo entra a un establecimiento habilitado con OpenRoaming, utiliza el Access Network Query Protocol (ANQP) para consultar al punto de acceso sobre los Roaming Consortium Organization Identifiers (RCOIs) compatibles antes de asociarse. Este descubrimiento previo a la asociación es completamente invisible para el usuario: el dispositivo determina de forma silenciosa si posee credenciales válidas para la red antes de iniciar cualquier intento de conexión.

La Federación RADIUS y RadSec

El roaming de Wi-Fi de operadores tradicionales depende de tablas de enrutamiento RADIUS estáticas alimentadas a través de acuerdos bilaterales, protegidas mediante túneles IPSec. Este modelo no es escalable para una federación global y abierta. OpenRoaming resuelve esto utilizando el descubrimiento dinámico de pares basado en DNS (RFC 7585) y RadSec (RADIUS sobre TLS, RFC 6614).

Cuando un punto de acceso recibe una solicitud de autenticación, el proxy RADIUS local realiza una búsqueda DNS NAPTR en el dominio del usuario para descubrir dinámicamente el servidor RadSec del IDP. La señalización se protege mediante TLS mutuo (mTLS) con certificados emitidos por la Infraestructura de Clave Pública (PKI) de cuatro niveles de la WBA, lo que garantiza la seguridad de extremo a extremo entre la red de acceso y el proveedor de identidad sin requerir acuerdos bilaterales preestablecidos.

Identificadores de Organización de Consorcio de Roaming (RCOIs)

OpenRoaming utiliza RCOIs específicos para transmitir controles de políticas y modelos de liquidación. Estos se anuncian en la baliza 802.11 y a través de ANQP:

Valor RCOI Modelo Descripción
5A-03-BA Sin liquidación El ANP proporciona conectividad sin costo para el IDP. Modelo dominante para empresas, comercio minorista y hotelería.
BA-A2-D0 Liquidado El ANP espera una compensación financiera. Se utiliza para escenarios de conectividad premium.

Los 12 bits más significativos del RCOI también se pueden utilizar para definir políticas de Grupo de Acceso Cerrado (CAG), lo que permite a los ANP e IDP negociar niveles de calidad de servicio, niveles de verificación de identidad y requisitos de privacidad a un nivel detallado.

architecture_overview.png

Guía de Implementación

La implementación de OpenRoaming requiere la coordinación entre el hardware de red, la infraestructura RADIUS y la gestión de identidades. Para obtener una descripción general completa de los requisitos de hardware, consulte nuestra guía sobre Definición de Puntos de Acceso Inalámbricos: Su Guía Definitiva para 2026 .

Paso 1: Evaluación de la preparación de la infraestructura

Verifique que sus puntos de acceso y controladores de LAN inalámbrica sean compatibles con Passpoint/Hotspot 2.0 (IEEE 802.11u). La mayoría de los equipos de nivel empresarial fabricados después de 2018 incluyen soporte nativo. Configure un SSID dedicado protegido con WPA3-Enterprise (o WPA2-Enterprise para compatibilidad con dispositivos heredados). Este SSID transportará el tráfico de OpenRoaming y debe configurarse con los ajustes de ANQP adecuados para transmitir su RCOI.

Paso 2: Membresía de la WBA y participación de intermediarios

Para participar en la federación OpenRoaming, su organización debe unirse directamente a la WBA o contratar a un intermediario autorizado de la WBA. El intermediario asignará a su organización una Identidad de la WBA (WBAID), emitirá sus certificados RadSec bajo la PKI de la WBA y configurará sus registros DNS NAPTR/SRV para permitir el descubrimiento dinámico. Este es el paso fundamental que conecta su infraestructura a la federación global.

Paso 3: Configuración de la infraestructura RADIUS

Su servidor RADIUS debe estar configurado para enrutar las solicitudes de autenticación a la federación de OpenRoaming. Esto implica configurar RadSec para establecer conexiones mTLS utilizando sus certificados emitidos por la WBA. El proxy RADIUS debe ser capaz de realizar búsquedas DNS NAPTR para resolver dinámicamente los endpoints del IDP. Las soluciones RADIUS basadas en la nube pueden simplificar significativamente este paso al abstraer los complejos procesos de descubrimiento de DNS y gestión de certificados.

Paso 4: Estrategia de aprovisionamiento de dispositivos

Llevar los perfiles de Passpoint a los dispositivos de los usuarios es la principal consideración operativa. Existen cuatro enfoques disponibles:

Método Ideal para Mecanismo
Inserción de MDM Dispositivos corporativos administrados Intune, Jamf o Workspace ONE insertan perfiles automáticamente
Registro en línea (OSU) Despliegues orientados al consumidor Autorregistro estandarizado a través del protocolo Passpoint OSU
Aprovisionamiento basado en aplicaciones Miembros de programas de lealtad La aplicación móvil instala el perfil de Passpoint después de la autenticación
Registro mediante código QR Check-in en hotelería Un código QR físico activa la instalación del perfil

Paso 5: Configuración de políticas y segmentación de VLAN

Configure su controlador WLAN para transmitir los RCOI de OpenRoaming adecuados a través de ANQP. Implemente la asignación dinámica de VLAN mediante atributos RADIUS para garantizar que el tráfico de invitados esté aislado de las redes corporativas. Esto no es negociable para el cumplimiento de PCI DSS en entornos de Retail y es una mejor práctica en todos los sectores.

deployment_checklist.png

Mejores prácticas de seguridad y cumplimiento

OpenRoaming mejora fundamentalmente la postura de seguridad del Wi-Fi de los establecimientos, pasando de redes abiertas y no cifradas a una sólida seguridad de nivel empresarial. Para profundizar en los mecanismos de autenticación subyacentes, revise Autenticación 802.1X: Asegurando el acceso a la red en dispositivos modernos .

WPA3-Enterprise y autenticación 802.1X

A diferencia de los Captive Portals donde el tráfico no está cifrado hasta el inicio de sesión, OpenRoaming utiliza cifrado WPA3-Enterprise desde el primer paquete. El proceso de autenticación mutua 802.1X garantiza que el dispositivo del usuario verifique criptográficamente la identidad de la red antes de transmitir cualquier credencial, eliminando el riesgo de puntos de acceso no autorizados "Evil Twin", una vulnerabilidad que los Captive Portals tradicionales no pueden resolver.

Privacidad y cumplimiento de GDPR

Los Captive Portals tradicionales a menudo recopilan información de identificación personal (PII) de manera exhaustiva, lo que genera cargas significativas de cumplimiento con el GDPR. OpenRoaming autentica a los usuarios a través de identificadores seudónimos, como el atributo Chargeable-User-Identity (CUI). El establecimiento verifica que el usuario es legítimo sin necesidad de absorber su PII sin procesar, alineándose con los principios de minimización de datos del GDPR y reduciendo el alcance de sus obligaciones de procesamiento de datos.

Segmentación de red y PCI DSS

Para entornos de Retail , el cumplimiento de PCI DSS es fundamental. El tráfico de OpenRoaming debe estar estrictamente segmentado de los sistemas de Punto de Venta (POS) y de las redes corporativas. Utilice la asignación dinámica de VLAN a través de atributos RADIUS para aislar el tráfico de invitados inmediatamente después de la autenticación, colocándolo en una instancia VRF con solo una ruta de internet predeterminada y reglas de denegación explícitas para todo el espacio de direcciones interno RFC 1918.

comparison_chart.png

Casos de estudio: OpenRoaming en producción

Caso de estudio 1: Centro de Convenciones RAI Amsterdam (Eventos y Conferencias)

El Centro de Convenciones RAI Amsterdam, uno de los recintos para eventos más grandes de Europa que recibe a 1.5 millones de invitados al año, implementó Wi-Fi 6 con WBA OpenRoaming en 2023. En Cisco Live Europe, más de 18,000 asistentes tuvieron acceso a una conectividad OpenRoaming fluida, consumiendo más de 77 terabytes de datos en cuatro días. Los asistentes pasaron un promedio de seis horas en la red. La implementación demostró cómo OpenRoaming elimina el pico de conexión que suele ocurrir cuando se abren las puertas del evento, distribuyendo la carga de autenticación de manera uniforme en toda la federación. Para los centros de Transport y centros de conferencias, este caso de estudio es la prueba de concepto definitiva.

Caso de estudio 2: Cadena de tiendas Delhaize (Retail)

El grupo minorista belga Delhaize implementó OpenRoaming en toda su red de tiendas para mejorar la conectividad de los clientes y optimizar las operaciones. La implementación resolvió problemas persistentes con las tasas de conversión de los Captive Portals, un desafío que enfrentan todos los operadores de Retail a medida que los clientes optan cada vez más por usar datos móviles en lugar de interactuar con pantallas de inicio de sesión manuales. Al habilitar una conectividad automática y segura para los usuarios de su aplicación de lealtad, Delhaize aumentó la adopción de WiFi y mejoró la calidad de los datos de analítica en la tienda, respaldando directamente las decisiones de comercialización y utilización del espacio. Esto se alinea con la tendencia más amplia de integrar WiFi Analytics con plataformas de inteligencia comercial.

Resolución de problemas y mitigación de riesgos

Aunque OpenRoaming simplifica la experiencia del usuario final, la infraestructura subyacente es compleja. Los arquitectos de red deben mitigar proactivamente los modos de falla comunes:

La expiración del certificado RadSec es el riesgo operativo más crítico. Las conexiones mTLS dependen de los certificados WBA PKI. Un certificado vencido interrumpirá de inmediato el enrutamiento de la federación, lo que provocará fallas de autenticación silenciosas. Implemente un monitoreo con al menos 60 días de anticipación y un proceso de renovación definido.

Las fallas de resolución de DNS son la segunda causa más común de interrupciones de OpenRoaming. El descubrimiento dinámico de pares depende de una resolución de DNS confiable de los registros NAPTR y SRV. Asegúrese de que sus proxies RADIUS tengan configurados reenviadores de DNS redundantes y de alto rendimiento, y pruebe la resolución de DNS como parte de sus verificaciones periódicas del estado de la red.

La compatibilidad con dispositivos heredados debe planificarse durante la transición. Aunque los dispositivos modernos con iOS, Android, Windows y macOS admiten Passpoint de forma nativa, los dispositivos más antiguos no lo hacen. Mantenga una red de Guest WiFi tradicional paralela durante el período de transición para garantizar una cobertura universal.

La mala configuración del proxy RADIUS puede causar fallas en el enrutamiento basado en dominios. Asegúrese de que su proxy maneje correctamente el dominio EAP-Identity y que sus registros DNS NAPTR tengan el formato correcto para el descubrimiento de RFC 7585. Realice pruebas con múltiples dominios IDP antes del lanzamiento.

ROI e impacto empresarial

El caso de negocio para OpenRoaming va mucho más allá de la elegancia técnica. Los operadores de recintos pueden esperar retornos medibles en varios vectores:

Métrica Resultado típico Fuente
Reducción de tickets de soporte de Wi-Fi Disminución del 70–80% Informes de implementación de WBA
Incremento en la tasa de adopción de Wi-Fi Incremento del 40–50% Datos de implementación en aeropuertos de WBA
Consumo de datos por usuario Significativamente mayor vs. Captive Portal Caso de estudio de RAI Amsterdam
Riesgo de cumplimiento de PII Sustancialmente reducido Modelo de ID seudónimo de GDPR

Al adoptar OpenRoaming, los recintos ofrecen las Modern Hospitality WiFi Solutions Your Guests Deserve , transformando el Wi-Fi de un servicio frustrante a un habilitador invisible y fluido de la experiencia digital. La integración con las plataformas de WiFi Analytics se vuelve más valiosa a medida que las tasas de conexión más altas producen conjuntos de datos más ricos y representativos. Para las organizaciones que exploran el panorama más amplio de la modernización de la red, The Core SD WAN Benefits for Modern Businesses proporciona un contexto complementario sobre cómo encaja OpenRoaming dentro de una arquitectura de red moderna definida por software.

El sector de Healthcare también se beneficiará significativamente, ya que OpenRoaming permite una conectividad segura y automática para los médicos visitantes y los dispositivos IoT médicos, sin los riesgos de cumplimiento de las redes de invitados abiertas ni la carga operativa de la gestión de Captive Portal por dispositivo.

Definiciones clave

Passpoint (Hotspot 2.0)

Un programa de certificación de Wi-Fi Alliance basado en IEEE 802.11u que permite a los dispositivos descubrir y autenticarse automáticamente en redes Wi-Fi sin intervención del usuario, utilizando credenciales previamente aprovisionadas.

La tecnología fundamental que hace posible la experiencia fluida de OpenRoaming en el dispositivo del usuario final. Sin el soporte de Passpoint tanto en el AP como en el dispositivo, OpenRoaming no puede funcionar.

RadSec

Un protocolo (RFC 6614) que transporta paquetes RADIUS a través de una conexión TCP y TLS, proporcionando una entrega cifrada, confiable y autenticada de la señalización de autenticación.

Se utiliza para asegurar el tráfico de autenticación que atraviesa el internet público entre el proxy RADIUS del establecimiento y la federación global de OpenRoaming. Reemplaza el modelo heredado de túnel IPSec.

RCOI (Roaming Consortium Organization Identifier)

Un identificador de 3 o 5 octetos transmitido por los puntos de acceso en balizas (beacons) 802.11 y respuestas ANQP para indicar qué federaciones de roaming y políticas de liquidación admite la red.

Los dispositivos leen el RCOI para determinar si poseen credenciales válidas para conectarse antes de intentar la autenticación. El RCOI libre de cargos (5A-03-BA) es el estándar para implementaciones empresariales.

ANQP (Access Network Query Protocol)

Un protocolo IEEE 802.11 utilizado por los dispositivos para consultar a los puntos de acceso sobre información de la red —incluyendo RCOIs admitidos, nombre del establecimiento y lista de dominios NAI— antes de la asociación.

Permite a los dispositivos evaluar de forma silenciosa si una red admite sus credenciales sin interrumpir al usuario ni iniciar un intento de conexión.

Identity Provider (IDP)

Una organización que mantiene las identidades de los usuarios y emite las credenciales de Passpoint (certificados o perfiles) utilizadas para la autenticación de OpenRoaming.

Los operadores móviles, los departamentos de TI corporativos y los programas de fidelización actúan como IDPs. El IDP autentica al usuario y comunica el resultado al ANP a través de la federación RADIUS.

Access Network Provider (ANP)

El establecimiento u organización que opera la infraestructura física de Wi-Fi, transmite los RCOIs de OpenRoaming y aplica las políticas de acceso local.

Los hoteles, estadios, tiendas minoristas y oficinas corporativas actúan como ANPs. El ANP controla a qué pueden acceder los usuarios autenticados, independientemente de qué IDP los haya autenticado.

WBA PKI

La Infraestructura de Clave Pública de cuatro niveles gestionada por la Wireless Broadband Alliance, utilizada para emitir los certificados mTLS requeridos para las conexiones RadSec entre los participantes de la federación.

Proporciona la confianza criptográfica fundamental que permite a miles de redes independientes federarse de forma segura sin acuerdos bilaterales previamente establecidos.

802.1X

Un estándar IEEE para el control de acceso a redes basado en puertos que proporciona un mecanismo de autenticación para los dispositivos que desean conectarse a una LAN o WLAN, utilizando métodos EAP (Extensible Authentication Protocol).

El robusto marco de seguridad que sustenta a OpenRoaming. Evita el acceso no autorizado y permite el cifrado WPA3-Enterprise desde el primer paquete de datos.

Chargeable-User-Identity (CUI)

Un atributo RADIUS (RFC 4372) que proporciona un identificador seudónimo y estable para un usuario a lo largo de múltiples sesiones, sin exponer su identidad real a la red de acceso.

Permite a los establecimientos rastrear visitantes únicos para fines analíticos mientras se minimiza la recopilación de PII, apoyando directamente el cumplimiento de la minimización de datos de GDPR.

Ejemplos resueltos

Un hotel de lujo de 500 habitaciones utiliza actualmente un Captive Portal que requiere que los huéspedes inicien sesión con su número de habitación y apellido. Están experimentando altos volúmenes de soporte y bajas puntuaciones de satisfacción de los huéspedes con respecto al Wi-Fi. Quieren implementar OpenRoaming pero les preocupa perder la capacidad de segmentar el ancho de banda para huéspedes VIP y miembros del programa de fidelidad.

El hotel debe implementar OpenRoaming utilizando el RCOI libre de liquidación (5A-03-BA), con la aplicación de fidelidad del hotel actuando como Proveedor de Identidad (IDP). Cuando un miembro VIP de fidelidad se autentica, la respuesta RADIUS Access-Accept del IDP incluye Atributos Específicos del Proveedor (VSAs) que indican al controlador WLAN del hotel que asigne al usuario a un perfil de QoS premium y a una VLAN dedicada de alto ancho de banda. Los huéspedes estándar autenticados a través de un IDP de terceros (por ejemplo, su operador móvil) reciben el perfil de QoS predeterminado. El servidor RADIUS del hotel actúa como el punto de aplicación de políticas, traduciendo los atributos de identidad proporcionados por el IDP en políticas de red local.

Comentario del examinador: Este enfoque separa elegantemente la autenticación de la autorización. OpenRoaming se encarga de la incorporación fluida y segura (el "quién"), mientras que las políticas RADIUS locales garantizan que el recinto mantenga un control granular sobre los recursos de red (el "qué"). Esto satisface tanto el objetivo operativo de reducir la fricción como el requisito comercial de mantener la segmentación del servicio. También demuestra un principio arquitectónico clave: el IDP prueba la identidad, pero el ANP aplica la política.

Una gran cadena minorista con 200 tiendas quiere implementar OpenRoaming para mejorar la conectividad de los clientes y alimentar su plataforma de WiFi Analytics con datos de afluencia más enriquecidos. Su equipo de seguridad está preocupado por el cumplimiento de PCI DSS y el riesgo de que los dispositivos de los huéspedes accedan a la red corporativa o a los sistemas de punto de venta.

La cadena minorista debe implementar una segmentación de red estricta como requisito previo para la implementación. El SSID de OpenRoaming debe asignarse a una VLAN de invitados aislada en la capa de acceso (el AP o el switch de distribución). El servidor RADIUS debe aplicar la asignación dinámica de VLAN, asegurando que todos los usuarios autenticados por OpenRoaming se coloquen en una instancia VRF con solo una ruta predeterminada a Internet y reglas de denegación ACL explícitas para todo el espacio de direcciones internas RFC 1918. El proxy RADIUS de OpenRoaming debe implementarse en una DMZ, sin una ruta de enrutamiento directa a la red corporativa. Una prueba de penetración trimestral debe verificar que el límite de segmentación se mantenga.

Comentario del examinador: Este es el enfoque estándar de la industria para entornos minoristas. Al aplicar la segmentación en el borde y utilizar VRFs, el tráfico de OpenRoaming se desacopla por completo del entorno de datos de titulares de tarjetas (CDE). Esto garantiza que la implementación no aumente el alcance de su auditoría PCI DSS. La ubicación en la DMZ del proxy RADIUS es un detalle crítico que muchas implementaciones pasan por alto: garantiza que incluso si la infraestructura RADIUS se ve comprometida, los atacantes no puedan pivotar hacia la red corporativa.

Preguntas de práctica

Q1. Su establecimiento está experimentando fallas frecuentes de autenticación silenciosa para un subconjunto de usuarios de OpenRoaming. Las capturas de paquetes confirman que el AP recibe la respuesta EAP-Identity, pero ninguna solicitud RADIUS Access-Request llega al Proveedor de Identidad. ¿Cuál es el punto de falla arquitectónico más probable y cómo lo diagnosticaría?

Sugerencia: Considere los pasos requeridos para que el proxy RADIUS localice el destino correcto para el realm del usuario específico antes de que pueda reenviar la solicitud de autenticación.

Ver respuesta modelo

El punto de falla más probable es la resolución DNS en el proxy RADIUS. OpenRoaming depende del descubrimiento dinámico (RFC 7585), lo que requiere que el proxy realice una búsqueda DNS NAPTR/SRV en el realm proporcionado en la EAP-Identity. Si el DNS falla, el proxy no puede determinar la dirección IP del servidor RadSec del IDP, lo que resulta en una falla silenciosa. Diagnostique ejecutando una búsqueda manual NAPTR desde el proxy RADIUS para el realm afectado, verificando que se devuelvan los registros SRV correctos y que la IP del servidor RadSec sea accesible en el puerto 2083.

Q2. El director de TI de un hospital desea implementar OpenRoaming para mejorar la conectividad de los médicos visitantes y los dispositivos IoT médicos, pero exige que todo el tráfico de invitados esté cifrado de forma inalámbrica desde el momento de la conexión para cumplir con la política de seguridad interna. Actualmente utilizan un Captive Portal con WPA2-Personal (PSK). ¿Cumple OpenRoaming con este requisito y en qué se diferencia el modelo de cifrado?

Sugerencia: Compare el tiempo de cifrado de los Captive Portals frente a la autenticación basada en 802.1X, y considere qué sucede con el tráfico antes de que se complete el inicio de sesión en el Captive Portal.

Ver respuesta modelo

Sí, OpenRoaming cumple plenamente con este requisito. Con un Captive Portal, el tráfico no está cifrado de forma inalámbrica hasta que el usuario completa el proceso de inicio de sesión, lo que crea una ventana de vulnerabilidad. OpenRoaming utiliza autenticación 802.1X y WPA3-Enterprise (o WPA2-Enterprise), lo que establece una sesión cifrada única y criptográficamente segura mediante un saludo de 4 vías (4-way handshake) inmediatamente después de una autenticación exitosa, antes de que se transmita cualquier dato del usuario. Cada sesión utiliza una PMK única derivada del intercambio EAP, lo que garantiza un cifrado por sesión que es mucho más sólido que el modelo de PSK compartido.

Q3. Está configurando el controlador WLAN para la implementación de un nuevo estadio que participará en la federación OpenRoaming sin liquidación (settlement-free). Un colega sugiere transmitir también el RCOI con liquidación para maximizar la compatibilidad. ¿Cuáles son las implicaciones de transmitir ambos RCOIs simultáneamente y cuál es su recomendación?

Sugerencia: Considere las implicaciones comerciales y operativas del RCOI con liquidación (settled), y cómo los dispositivos priorizan la coincidencia de RCOI.

Ver respuesta modelo

Transmitir el RCOI con liquidación (BA-A2-D0) junto con el RCOI sin liquidación (5A-03-BA) es técnicamente posible, pero conlleva un riesgo comercial significativo. El RCOI con liquidación indica a los Proveedores de Identidad que el ANP espera una compensación financiera por la conectividad. Esto puede disuadir a los IDPs de permitir que sus usuarios se conecten, ya que incurrirían en cargos. Para un estadio que busca la máxima adopción por parte de los usuarios y una conectividad fluida, el enfoque correcto es transmitir únicamente el RCOI sin liquidación. El RCOI con liquidación solo debe utilizarse cuando exista un acuerdo de liquidación comercial específico con los IDPs correspondientes.

Continúe leyendo esta serie

How to Configure SCEP for Automated Enterprise WiFi Certificate Enrollment

Esta guía explica cómo configurar SCEP (Simple Certificate Enrollment Protocol) para el registro automatizado de certificados de WiFi empresariales, abarcando toda la arquitectura desde PKI y NDES hasta la implementación de perfiles MDM y la validación RADIUS. Está dirigida a gerentes de TI, arquitectos de red y CTOs en hoteles, cadenas de retail, estadios, centros de convenciones y organizaciones del sector público que necesitan ir más allá de las claves precompartidas e implementar una autenticación 802.1X EAP-TLS escalable y basada en la identidad. La plataforma de superposición en la nube de Purple, que es agnóstica al hardware, se integra directamente con esta arquitectura, proporcionando la capa de WiFi para invitados y BYOD que coexiste junto con la red de personal autenticada por certificado.

Leer la guía →

La guía empresarial de SCEP: Implementación de Simple Certificate Enrollment Protocol para la seguridad automatizada de WiFi en campus

Esta guía de referencia técnica proporciona un diseño arquitectónico definitivo y una estrategia de implementación paso a paso para la distribución de certificados de WiFi empresarial mediante SCEP. Cubre las diferencias críticas entre SCEP y PKCS, la secuencia exacta de implementación requerida para el éxito y las estrategias de mitigación de riesgos del mundo real para los líderes de TI.

Leer la guía →

Cómo implementar SCEP para la inscripción automatizada de certificados WiFi

Esta guía explica cómo implementar SCEP (Simple Certificate Enrollment Protocol) para la inscripción automatizada de certificados WiFi en entornos empresariales. Cubre el diseño completo de la arquitectura, desde el diseño de PKI y la integración con MDM hasta la secuencia obligatoria de implementación de tres pasos, y muestra a los gerentes de TI y arquitectos de red cómo eliminar las credenciales compartidas, automatizar la gestión del ciclo de vida de los certificados y cumplir con los requisitos de PCI DSS y GDPR a escala.

Leer la guía →