Mitigación de vulnerabilidades de RADIUS: Una guía de endurecimiento de seguridad
Esta guía proporciona una referencia exhaustiva y práctica para gerentes de TI, arquitectos de red y CTO responsables de la infraestructura de WiFi empresarial en entornos de hospitalidad, retail, eventos y el sector público. Cubre toda la superficie de ataque de las implementaciones de servidores RADIUS - desde vulnerabilidades de colisión MD5 y secretos compartidos débiles hasta transporte UDP no cifrado y métodos EAP mal configurados - y ofrece un plan de ruta de endurecimiento priorizado alineado con los requisitos de IEEE 802.1X, PCI-DSS y GDPR. Las organizaciones que implementen estas recomendaciones reducirán materialmente su exposición a ataques de red basados en credenciales, cumplirán con sus obligaciones de cumplimiento y construirán una postura de seguridad sólida para su infraestructura de WiFi corporativa y de invitados.
Escucha esta guía
Ver transcripción del podcast
- Resumen Ejecutivo
- Análisis Técnico Profundo
- Cómo funciona RADIUS y dónde es débil
- El ataque BlastRADIUS en detalle
- Guía de implementación
- Fase 1: Remediación inmediata (semanas 1 a 2)
- Fase 2: Higiene de secretos compartidos (semanas 2 a 4)
- Fase 3: Racionalización del método EAP (meses 1 a 2)
- Fase 4: Despliegue de RadSec (meses 2 a 3)
- Fase 5: Autenticación multifactor para el acceso administrativo (meses 2 a 3)
- Fase 6: Integración con SIEM y alertas (meses 3 - 4)
- Mejores Prácticas
- Solución de Problemas y Mitigación de Riesgos
- Modos de falla comunes
- Registro de riesgos
- ROI e impacto empresarial
- Cuantificación del riesgo
- Puntos de referencia de costos de implementación
- Beneficios operativos más allá de la seguridad

Resumen Ejecutivo
RADIUS (Remote Authentication Dial-In User Service) sigue siendo el protocolo principal para el control de acceso a la red en implementaciones de WiFi empresariales, sustentando la autenticación IEEE 802.1X en hoteles, tiendas minoristas, estadios, centros de conferencias y edificios del sector público. Sin embargo, la arquitectura de RADIUS data de la década de 1990 y varias de sus decisiones de diseño fundamentales - la dependencia de la función hash MD5, el transporte UDP sin cifrado nativo y los secretos compartidos estáticos - se han convertido en riesgos significativos en el entorno de amenazas actual.
En julio de 2024, la vulnerabilidad BlastRADIUS (CVE-2024-3596) demostró que un atacante de tipo man-in-the-middle puede falsificar respuestas Access-Accept de RADIUS al explotar las debilidades de integridad de MD5 en los paquetes Access-Request. La vulnerabilidad afecta a todas las principales implementaciones de RADIUS, incluidas FreeRADIUS, Cisco ISE y Microsoft NPS. Las implementaciones sin parches siguen estando en riesgo.
Esta guía proporciona una hoja de ruta de robustecimiento priorizada que cubre la gestión de parches, la higiene de secretos compartidos, la selección del método EAP, la implementación de RadSec, la autenticación multifactor para el acceso administrativo y la integración con SIEM para la detección de anomalías. Está escrita para profesionales de TI que necesitan tomar decisiones defendibles este trimestre, no el próximo año.

Análisis Técnico Profundo
Cómo funciona RADIUS y dónde es débil
RADIUS opera como un protocolo cliente - servidor entre un servidor de acceso a la red (NAS) - normalmente un punto de acceso WiFi, switch o concentrador VPN - y un servidor RADIUS, el cual valida las credenciales contra un almacén de identidad de backend como Active Directory o LDAP. El intercambio de autenticación sigue el modelo de solicitud - desafío - respuesta definido en RFC 2865, con la contabilidad gestionada por separado bajo RFC 2866.
El protocolo transmite paquetes de autenticación sobre UDP, utilizando el puerto 1812 para la autenticación y el 1813 para la contabilidad. El secreto compartido - la clave precompartida configurada tanto en el NAS como en el servidor RADIUS - se utiliza para generar el campo Response Authenticator y para cifrar el atributo User-Password a través de un cifrado XOR basado en MD5. Esto no es cifrado en ningún sentido moderno; es una ofuscación que depende enteramente de la confidencialidad y la fortaleza del secreto compartido.
Las cinco categorías principales de vulnerabilidad en una implementación típica de RADIUS son las siguientes.
Vulnerabilidades de colisión MD5 e integridad. El ataque BlastRADIUS (CVE-2024-3596) explota la falta de protección de integridad en los paquetes Access-Request. Debido a que muchas configuraciones no incluyen de forma predeterminada el atributo Message-Authenticator desde el NAS, un atacante en una posición de hombre en el medio (man-in-the-middle) puede inyectar atributos manipulados antes de que el paquete llegue al servidor RADIUS. Utilizando una técnica de colisión de prefijo elegido de MD5, el atacante puede manipular el paquete para que el servidor RADIUS calcule un Response Authenticator válido para el paquete modificado, devolviendo un Access-Accept para una solicitud que debió haber sido rechazada. La remediación consiste en exigir el atributo Message-Authenticator en todos los paquetes Access-Request, lo que proporciona protección de integridad HMAC-MD5 en todo el paquete. Esto requiere cambios de configuración tanto en el NAS como en el servidor RADIUS, no solo un parche del servidor.
Secretos compartidos débiles o estáticos. El secreto compartido es el ancla criptográfica del intercambio RADIUS. Si el secreto es corto, predecible o nunca se rota, un atacante que capture el tráfico RADIUS (lo cual se puede lograr mediante spoofing de ARP o un dispositivo de red comprometido) puede descifrar por fuerza bruta el atributo User-Password de forma offline. La guía de NIST SP 800-63B sobre secretos memorizados se aplica aquí: los secretos deben tener al menos 20 caracteres, ser generados aleatoriamente y almacenarse en un sistema de gestión de secretos. Para redes grandes con docenas o cientos de dispositivos NAS, la rotación manual es inviable a nivel operativo; la automatización a través de HashiCorp Vault o un gestor de secretos similar es el enfoque correcto.
Transporte UDP no cifrado. RADIUS estándar sobre UDP no proporciona confidencialidad en la capa de transporte. El atributo User-Password está ofuscado pero no cifrado. Todos los demás atributos - incluidos los nombres de usuario, las direcciones IP de NAS y los metadatos de la sesión - viajan en texto claro. RadSec (RADIUS sobre TLS), definido en RFC 6614 y actualizado en RFC 7360, aborda esto al envolver el protocolo RADIUS en un túnel TLS sobre el puerto TCP 2083, estableciendo una sesión TLS 1.2 o TLS 1.3. RadSec proporciona autenticación mutua de certificados entre el NAS y el servidor RADIUS, cifrado completo de la carga útil y protección contra la repetición de paquetes. Es el transporte correcto para cualquier tráfico RADIUS que cruce un límite de red no seguro.
Selección de método EAP. El Protocolo de Autenticación Extensible (EAP) define los métodos de autenticación interna utilizados dentro del marco 802.1X. EAP-MD5 está obsoleto y debe eliminarse de todas las implementaciones de inmediato; no proporciona autenticación mutua ni resistencia a los ataques de recolección de credenciales. PEAP (EAP protegido) y EAP-TTLS establecen un túnel TLS utilizando un certificado de servidor antes de transmitir las credenciales, proporcionando autenticación mutua y protegiendo el método interno de la interceptación. EAP-TLS elimina por completo las contraseñas, requiriendo certificados X.509 tanto en el servidor como en el cliente. Es inmune al phishing y a los ataques de fuerza bruta y es el método recomendado para entornos de alta seguridad. Registro y monitoreo insuficientes. El registro de RADIUS documenta cada evento de autenticación - éxito, falla, inicio de sesión, detención de sesión. Estos datos son operativamente valiosos para la planeación de capacidad y comercialmente valiosos para WiFi Analytics , pero también son una fuente crítica de telemetría de seguridad. Las tormentas de autenticaciones fallidas, las autenticaciones de direcciones MAC desconocidas y los patrones de acceso fuera de horario son detectables desde los registros de RADIUS. La mayoría de las organizaciones no integran estos datos en un SIEM, y las que lo hacen, rara vez configuran umbrales de alerta.

El ataque BlastRADIUS en detalle
BlastRADIUS fue revelado en julio de 2024 por investigadores de la Universidad de Boston y de la UC San Diego. El ataque requiere una posición de man-in-the-middle entre el NAS y el servidor RADIUS - que se puede lograr mediante envenenamiento ARP en un segmento de red compartido, un enrutador comprometido o un infiltrado malicioso con acceso a la red.
El ataque se desarrolla de la siguiente manera: el atacante intercepta un paquete Access-Request del NAS. Debido a que el paquete carece del atributo Message-Authenticator (el valor predeterminado en muchas configuraciones), el atacante tiene la libertad de modificar la lista de atributos del paquete. Utilizando una colisión de prefijo elegido MD5, el atacante construye un paquete modificado para el cual el servidor RADIUS calculará el mismo Response Authenticator que el original. Por lo tanto, el servidor devuelve un Access-Accept para una solicitud que contiene atributos controlados por el atacante - incluyendo un Service-Type de Administrative que autoriza el acceso total a la red.
El ataque es efectivo contra implementaciones PEAP y EAP-TTLS que utilizan MSCHAPv2 como método interno. No afecta a las implementaciones EAP-TLS, donde la autenticación mutua basada en certificados proporciona una protección de integridad que MD5 no puede subvertir.
Para las organizaciones que operan tanto Guest WiFi como 802.1X corporativo, la instancia RADIUS de la red de invitados también debe ser parcheada, incluso si utiliza MAC Authentication Bypass en lugar de EAP. La higiene de secretos compartidos y el requisito de Message-Authenticator se aplican de igual manera.
Guía de implementación
Fase 1: Remediación inmediata (semanas 1 a 2)
La aplicación de parches es lo primero. FreeRADIUS 3.2.5 y 3.0.27 contienen las correcciones de BlastRADIUS y exigen Message-Authenticator de forma predeterminada. Cisco ISE 3.1 Parche 8, 3.2 Parche 4 y 3.3 Parche 1 resuelven la vulnerabilidad. Microsoft lanzó KB5040434 para Windows Server 2022 NPS en julio de 2024. Verifique sus versiones actuales y aplique los parches dentro de su próxima ventana de cambios programada. Al mismo tiempo, audite el firmware de sus dispositivos NAS. La aplicación de Message-Authenticator solo es efectiva si el NAS también envía el atributo. Consulte los avisos de los proveedores de sus puntos de acceso y switches - Aruba, Ruckus, Cisco y Juniper ya han lanzado actualizaciones de firmware para BlastRADIUS. Si utiliza hardware Ruckus, la guía de puntos de acceso inalámbricos Ruckus proporciona el contexto relevante para la gestión de firmware.
Para la resolución de problemas de autenticación 802.1X en Windows 11 que puedan surgir tras la aplicación de parches, la causa más común es que el servidor NPS rechaza las conexiones de clientes que no incluyen Message-Authenticator - un comportamiento de seguridad correcto que podría requerir la reconfiguración del suplicante en clientes Windows más antiguos.
Fase 2: Higiene de secretos compartidos (semanas 2 a 4)
Exporte la lista completa de clientes NAS registrados en sus servidores RADIUS. Para cada entrada, registre la longitud del secreto compartido y la fecha de su última modificación. Cualquier secreto de menos de 20 caracteres, o que no haya sido cambiado en más de 24 meses, debe rotarse de inmediato.
Para los nuevos secretos, utilice un generador criptográficamente aleatorio - openssl rand -base64 32 produce una cadena base64 de 44 caracteres ideal para usarse como secreto compartido de RADIUS. Almacene todos los secretos en un sistema de gestión de secretos. Implemente un programa de rotación: anualmente para dispositivos NAS de bajo riesgo y cada seis meses para dispositivos NAS dentro del alcance de PCI DSS.
Fase 3: Racionalización del método EAP (meses 1 a 2)
Audite los métodos EAP que permiten sus servidores RADIUS. Desactive EAP-MD5. Si utiliza PEAP-MSCHAPv2, verifique que todos los suplicantes exijan la validación del certificado del servidor - un suplicante mal configurado que acepta cualquier certificado de servidor es vulnerable a ataques de servidores RADIUS falsificados. Para entornos dentro del alcance de PCI DSS, se recomienda EAP-TLS. Si no cuenta con una infraestructura de certificados existente, comience la planificación de la PKI.
Para proteger las redes WiFi de invitados , tenga en cuenta que las redes de invitados suelen utilizar la autenticación mediante Captive Portal en lugar de 802.1X, por lo que el robustecimiento del método EAP se aplica principalmente a los SSIDs corporativos y del personal.
Fase 4: Despliegue de RadSec (meses 2 a 3)
Identifique cada ruta de tráfico RADIUS que cruce el límite de una red no confiable. Los escenarios comunes incluyen un servidor RADIUS central que brinda servicio a hoteles remotos a través de Internet; dispositivos NAS locales que se conectan a un servicio RADIUS en la nube; y cadenas de proxy RADIUS donde el tráfico atraviesa múltiples dominios de red.
Para cada ruta identificada, configure RadSec. En FreeRADIUS, esto significa habilitar el listener tls en el puerto 2083 y configurar TLS mutuo con certificados de su PKI. En Cisco ISE, RadSec se configura en Administración > Dispositivos de red. Asegúrese de utilizar TLS 1.2 como mínimo; desactive explícitamente TLS 1.0 y 1.1.
Fase 5: Autenticación multifactor para el acceso administrativo (meses 2 a 3)
La interfaz de administración de un servidor RADIUS es un objetivo de alto valor. Un atacante que comprometa el servidor RADIUS puede modificar la política de autenticación, extraer secretos compartidos y redirigir los flujos de autenticación. Implemente MFA en los inicios de sesión administrativos de todos los servidores RADIUS y sus sistemas operativos subyacentes. Restrinja el acceso de administración a una VLAN de administración dedicada fuera de banda. Implemente el control de acceso basado en roles: los ingenieros de red no deben tener los mismos privilegios que los administradores de seguridad.
Fase 6: Integración con SIEM y alertas (meses 3 - 4)
Configure sus servidores RADIUS para reenviar los registros de contabilidad a su SIEM en tiempo real. Defina los siguientes umbrales de alerta de línea base:
| Alerta | Umbral | Severidad |
|---|---|---|
| Múltiples fallas de autenticación desde una sola dirección MAC | >5 en 60 segundos | Alta |
| Pico en la tasa de Access-Reject | 200% por encima de la línea base de 7 días | Media |
| Autenticación desde una nueva dirección MAC en un SSID corporativo | Primera ocurrencia | Media |
| Certificado del servidor RADIUS próximo a expirar | 90 / 30 / 7 días | Alta / Crítica / Crítica |
| Errores de discrepancia en el secreto compartido | Cualquier ocurrencia | Alta |
Mejores Prácticas
Las siguientes recomendaciones sintetizan el consenso de IEEE 802.1X, NIST SP 800-63B, PCI-DSS v4.0 y las advertencias de seguridad de los proveedores.
Gestión de certificados. Cualquier implementación que utilice EAP-TLS o RadSec tiene certificados X.509 en su ruta de autenticación. El vencimiento de los certificados es la causa más común de fallas de autenticación repentinas y totales en las implementaciones de WiFi empresariales. Implemente una gestión automatizada del ciclo de vida de los certificados. Establezca alertas de monitoreo a los 90, 30 y 7 días antes del vencimiento. Para los certificados del servidor RADIUS, utilice claves RSA de mínimo 2048 bits o ECDSA de 256 bits, y algoritmos de firma SHA-256 o superiores. No utilice SHA-1.
Segmentación de red. Los servidores RADIUS deben ubicarse en un segmento de administración dedicado, aislado de las redes de invitados y corporativas generales. El acceso a los puertos RADIUS (UDP 1812, 1813 y TCP 2083 para RadSec) debe restringirse mediante ACL de firewall a las direcciones IP específicas de los dispositivos NAS registrados. No permita el acceso directo de internet a los puertos RADIUS.
Redundancia y alta disponibilidad. Un solo servidor RADIUS es un único punto de falla para toda su infraestructura de control de acceso a la red. Implemente al menos dos servidores RADIUS en una configuración activo - pasivo o activo - activo. Para implementaciones de Hospitality con requisitos de conectividad para invitados las 24 horas, el tiempo de inactividad del servidor RADIUS se traduce directamente en tiempo de inactividad del WiFi para invitados - un riesgo reputacional y comercial.WPA3 and 802.1X. WPA3-Enterprise en modo de seguridad de 192 bits, requerido para implementaciones gubernamentales y de alta seguridad, exige AES-256-GCMP para el cifrado de datos y HMAC-SHA-384 para la autenticación. Para la mayoría de las implementaciones empresariales, WPA3-Enterprise con seguridad estándar de 128 bits ya representa una mejora significativa sobre WPA2-Enterprise, particularmente cuando se combina con EAP-TLS. Los entornos de Retail que procesan pagos con tarjeta deben considerar la adopción de WPA3-Enterprise como una medida de reducción de riesgos de PCI-DSS.
Frecuencia de parches de proveedores. Suscríbase a los avisos de seguridad del proveedor de su servidor RADIUS y de los proveedores de sus dispositivos NAS. FreeRADIUS, Cisco, Microsoft, Aruba y Ruckus publican notificaciones de CVE. Integre estas en su programa de gestión de vulnerabilidades con SLAs definidos: vulnerabilidades críticas (CVSS ≥ 9.0) parchadas en un plazo de 72 horas; vulnerabilidades de alta gravedad (CVSS 7.0-8.9) en un plazo de 14 días.
Solución de Problemas y Mitigación de Riesgos
Modos de falla comunes
Fallas de autenticación después de parchar. Después de aplicar los parches para BlastRADIUS, es posible que algunos dispositivos NAS no logren autenticarse si su firmware no es compatible con Message-Authenticator. Síntoma: un aumento repentino de respuestas Access-Reject sin cambios en las credenciales de los usuarios. Diagnóstico: habilite el registro de depuración de RADIUS y busque errores del tipo "Message-Authenticator required but not present". Solución: actualice el firmware del NAS o, como medida temporal, configure el servidor RADIUS para aceptar solicitudes sin Message-Authenticator desde IPs de NAS específicas mientras se programan las actualizaciones de firmware.
Fallas de validación de certificados en EAP-TLS. Síntoma: los clientes reciben "authentication failed" sin el correspondiente Access-Reject en el registro de RADIUS. Diagnóstico: verifique la cadena de certificados del servidor RADIUS - ¿el suplicante del cliente confía en la CA emisora? ¿El certificado del servidor está dentro de su periodo de validez? Solución: asegúrese de que la cadena completa de certificados (hoja + intermedio + raíz) esté configurada en el servidor RADIUS. Distribuya los certificados de la CA raíz a los dispositivos clientes mediante MDM o Directiva de Grupo.
Fallas en el saludo TLS de RadSec. Síntoma: los dispositivos NAS no pueden establecer conexiones RadSec después de un cambio de configuración. Diagnóstico: verifique la compatibilidad de la versión de TLS - es posible que el firmware de NAS más antiguo no admita TLS 1.2. Verifique la autenticación mutua de certificados - ambos extremos deben confiar en la CA del otro. Solución: verifique la compatibilidad de la versión de TLS en las notas de lanzamiento del firmware del NAS; asegúrese de que los certificados del dispositivo NAS sean emitidos por la misma CA en la que confía el servidor RADIUS.
Discrepancia en la clave secreta compartida. Síntoma: cada autenticación de un NAS en particular falla con errores de "invalid authenticator". Diagnóstico: una discrepancia en la clave secreta compartida entre la configuración del NAS y la entrada del cliente en el servidor RADIUS. Solución: vuelva a ingresar la clave secreta compartida en ambos extremos, verificando que no haya espacios en blanco al final o problemas de codificación de caracteres. Copie y pegue desde su gestor de secretos para evitar errores de transcripción.
Registro de riesgos
| Riesgo | Probabilidad | Impacto | Controles de mitigación |
|---|---|---|---|
| Explotación de BlastRADIUS | Alta (si no está parcheado) | Crítica | Parcheo + aplicación de Message-Authenticator |
| Fuerza bruta de secreto compartido | Media | Alta | Secretos aleatorios de 32 caracteres, rotación anual |
| Servidor RADIUS no autorizado (Rogue) | Media | Alta | Autenticación mutua EAP-TLS, anclaje de certificados |
| Expiración del certificado del servidor RADIUS | Alta | Crítica | Monitoreo automatizado, alertas con 90 días de anticipación |
| Relleno de credenciales (credential stuffing) mediante 802.1X | Media | Alta | Política de bloqueo de cuentas, alertas en SIEM |
| Compromiso del servidor RADIUS | Baja | Crítica | MFA para acceso de administrador, segmentación de red |
ROI e impacto empresarial
Cuantificación del riesgo
El argumento financiero para el endurecimiento de RADIUS es más claro cuando se analiza frente a los costos de una brecha de seguridad. El costo promedio de una brecha de datos en el Reino Unido en 2024 fue de £3.58 millones de libras esterlinas, lo que cubre multas regulatorias, remediación, costos legales y daños a la reputación. Para las organizaciones dentro del alcance de PCI-DSS - prácticamente todos los operadores de Retail y Hospitality que aceptan pagos con tarjeta a través de WiFi -, una brecha en el control de acceso a la red que exponga datos de titulares de tarjetas desencadena una investigación forense obligatoria, posibles multas de las marcas de tarjetas y la posible suspensión de los derechos de procesamiento de tarjetas.
Para las organizaciones de Healthcare , una brecha de GDPR que involucre datos de pacientes a los que se accedió a través de un servidor RADIUS comprometido conlleva multas de hasta el 4% de la facturación anual global según el Artículo 83(5). El historial de cumplimiento de la ICO demuestra que las fallas en la seguridad de la red se tratan como negligencia, no como una desgracia técnica.
Puntos de referencia de costos de implementación
Las siguientes estimaciones de costos asumen una red corporativa de 500 dispositivos:
| Actividad de endurecimiento | Costo estimado | Cronograma |
|---|---|---|
| Parcheo (FreeRADIUS / NPS / ISE) | Solo mano de obra interna | 1-2 semanas |
| Auditoría y rotación de secretos compartidos | Mano de obra interna + licencia de gestor de secretos (~£2,000/año) | 2-4 semanas |
| Despliegue de PKI EAP-TLS | £15,000-£30,000 (herramientas + servicios profesionales) | 2-3 meses |
| Implementación de RadSec | Mano de obra interna + costos de certificados (~£1,500) | 4-6 semanas |
| Integración con SIEM y alertas | Depende del SIEM existente; £0-£10,000 | 4-8 semanas |
La inversión total de endurecimiento para una mediana empresa es de aproximadamente £20,000-£45,000. Frente al costo base de una brecha de £3.58 millones de libras, el ROI ajustado al riesgo es convincente incluso bajo supuestos conservadores de probabilidad de brecha.
Beneficios operativos más allá de la seguridad
La infraestructura RADIUS endurecida también ofrece beneficios operativos. Una autenticación confiable y bien monitoreada reduce los tickets de soporte técnico relacionados con la conectividad WiFi. Los datos de contabilidad de RADIUS, cuando se integran con WiFi Analytics , brindan visibilidad a nivel de sesión sobre los patrones de uso de la red, tiempos de permanencia y tipos de dispositivos; datos con un valor comercial directo para los operadores de establecimientos en entornos de Hospitality y Transport . Para las organizaciones del sector público y de Atención Médica , un programa documentado de robustecimiento de RADIUS proporciona evidencia de controles técnicos para las evaluaciones de Cyber Essentials Plus, ISO 27001 y NHS DSPT - reduciendo el esfuerzo de auditoría y demostrando la debida diligencia ante los reguladores.
Definiciones clave
RADIUS (Remote Authentication Dial-In User Service)
Un protocolo cliente-servidor definido en la norma RFC 2865 que proporciona autenticación, autorización y contabilidad (AAA) centralizadas para el acceso a la red. Los servidores RADIUS validan las credenciales presentadas por los dispositivos de red (NAS) frente a un almacenamiento de identidad de backend como Active Directory o LDAP.
Los equipos de TI se encuentran con RADIUS como el motor de autenticación para WiFi 802.1X, autenticación de puertos cableados, acceso VPN y gestión de dispositivos de red. Es el protocolo que decide quién accede a la red.
IEEE 802.1X
Un estándar de la IEEE para el control de acceso a la red basado en puertos que define la encapsulación de EAP sobre LAN (EAPOL). Proporciona un marco de autenticación tanto para redes cableadas como inalámbricas, exigiendo que los dispositivos se autentiquen antes de que se les conceda acceso a la red.
802.1X es el estándar que hace funcionar la autenticación WiFi empresarial. Cuando un miembro del personal se conecta a un SSID corporativo y se le solicitan credenciales, 802.1X es el marco que coordina ese intercambio, con RADIUS en el backend.
EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)
Un método EAP que utiliza certificados X.509 para la autenticación mutua entre el cliente y el servidor RADIUS. Ambas partes deben presentar certificados válidos, eliminando por completo las contraseñas del intercambio de autenticación.
EAP-TLS es el estándar de oro para la autenticación de WiFi empresarial. Es inmune al phishing de credenciales y a los ataques de fuerza bruta. El requisito operativo es una infraestructura PKI para emitir y gestionar certificados de cliente.
RadSec (RADIUS over TLS)
Un protocolo definido en el RFC 6614 que encapsula paquetes RADIUS dentro de una sesión TLS a través del puerto TCP 2083. Proporciona cifrado de capa de transporte, autenticación mutua de certificados y protección contra reproducción para el tráfico RADIUS.
RadSec es necesario para cualquier tráfico RADIUS que cruce un límite de red no confiable: enlaces WAN, conexiones a internet o infraestructura de red compartida. Es el reemplazo correcto para el RADIUS estándar sobre UDP en despliegues multisitio.
BlastRADIUS (CVE-2024-3596)
Un ataque de intermediario (man-in-the-middle) revelado en julio de 2024 que explota la ausencia de protección de integridad en los paquetes Access-Request de RADIUS. Utilizando técnicas de colisión de prefijo elegido MD5, un atacante puede falsificar una respuesta Access-Accept, otorgando acceso a la red a un usuario no autenticado.
BlastRADIUS afecta a todas las implementaciones principales de RADIUS, incluyendo FreeRADIUS, Cisco ISE y Microsoft NPS. Las organizaciones que no hayan aplicado los parches lanzados en julio de 2024 siguen expuestas a este ataque.
Message-Authenticator
Un atributo RADIUS (Atributo 80) que proporciona protección de integridad HMAC-MD5 sobre todo el paquete RADIUS. Cuando está presente en un Access-Request, evita el ataque de modificación de paquetes utilizado en BlastRADIUS.
Imponer el Message-Authenticator en todos los paquetes Access-Request es la principal mitigación para BlastRADIUS. Debe configurarse tanto en el servidor RADIUS (para requerir el atributo) como en el dispositivo NAS (para incluir el atributo en las solicitudes).
NAS (Network Access Server)
En la terminología de RADIUS, el NAS es el dispositivo de red - típicamente un punto de acceso WiFi, switch o concentrador VPN - que actúa como el cliente RADIUS. Intercepta las solicitudes de conexión de los dispositivos finales y reenvía las solicitudes de autenticación al servidor RADIUS.
Los dispositivos NAS son los clientes RADIUS en un despliegue. Los secretos compartidos se configuran por NAS. La mitigación de BlastRADIUS requiere actualizaciones de firmware en los dispositivos NAS, así como parches en el servidor RADIUS.
PEAP (Protected Extensible Authentication Protocol)
Un método EAP que establece un túnel TLS utilizando un certificado del lado del servidor antes de transmitir el método de autenticación interno (típicamente MSCHAPv2). Proporciona autenticación mutua y protege las credenciales contra la interceptación.
PEAP-MSCHAPv2 es el método de autenticación WiFi empresarial más ampliamente desplegado. Cumple con PCI DSS y es operativamente más simple que EAP-TLS porque no requiere certificados de cliente. Sin embargo, es vulnerable a ataques de servidores RADIUS falsos si no se aplica la validación de certificados del lado del cliente.
Shared Secret
Una clave compartida previamente configurada tanto en el servidor RADIUS como en cada dispositivo NAS. Se utiliza para generar el campo Response Authenticator y para ofuscar el atributo User-Password. No es una contraseña para usuarios finales; es una credencial de autenticación de servidor a servidor.
Los secretos compartidos débiles o estáticos son una de las vulnerabilidades más comunes de RADIUS. Un atacante que capture el tráfico RADIUS puede realizar un ataque de fuerza bruta sin conexión contra un secreto compartido débil. La longitud mínima recomendada es de 32 caracteres, generados aleatoriamente.
PCI DSS (Payment Card Industry Data Security Standard)
Un conjunto de estándares de seguridad exigidos por las principales marcas de tarjetas (Visa, Mastercard, Amex) para las organizaciones que procesan, almacenan o transmiten datos de tarjetahabientes. La versión 4.0, vigente a partir de marzo de 2024, incluye requisitos específicos para el control de acceso a la red y la autenticación sólida.
Las organizaciones de comercio minorista y hotelería con terminales de punto de venta conectados a WiFi están dentro del alcance de PCI DSS. Las vulnerabilidades del servidor RADIUS que podrían permitir el acceso no autorizado a la red a los entornos de datos de titulares de tarjetas representan un riesgo directo de cumplimiento.
Ejemplos resueltos
Un grupo hotelero de 350 habitaciones con 12 propiedades utiliza un servidor RADIUS centralizado alojado en el centro de datos de su oficina central. Cada propiedad se conecta a través de una WAN MPLS compartida. Una auditoría de seguridad ha señalado que el tráfico de RADIUS no está cifrado en la WAN, los secretos compartidos son cadenas de 8 caracteres configuradas durante la implementación inicial hace cinco años, y el servidor RADIUS ejecuta FreeRADIUS 3.0.21. El grupo procesa pagos con tarjeta a través de terminales de punto de venta (POS) conectados a WiFi en sus instalaciones de restaurante y spa. ¿Cuál es la prioridad de remediación y la secuencia de implementación?
La secuencia de remediación debe ordenarse por gravedad del riesgo y velocidad de implementación. Paso 1 (inmediato, en un plazo de 72 horas): Parchear FreeRADIUS a la versión 3.2.5 o 3.0.27. Esto resuelve BlastRADIUS y aplica Message-Authenticator de forma predeterminada. Simultáneamente, verifique las versiones de firmware de los puntos de acceso en las 12 propiedades y programe actualizaciones de firmware para cualquier dispositivo NAS que no sea compatible con Message-Authenticator. Paso 2 (semanas 1 - 2): Rotar todos los secretos compartidos. Genere secretos aleatorios de 32 caracteres usando openssl rand -base64 32 para cada uno de los registros NAS de las 12 propiedades. Almacénelos en HashiCorp Vault o equivalente. Documente la fecha de rotación. Paso 3 (meses 1 - 2): Implementar RadSec en la ruta WAN. Configure el servidor FreeRADIUS para aceptar conexiones RadSec en el puerto TCP 2083. Emita certificados TLS desde una CA interna a los dispositivos NAS de cada propiedad. Actualice las reglas del firewall para permitir TCP 2083 desde los rangos de IP de los NAS de las propiedades hacia el servidor RADIUS. Deshabilite UDP 1812/1813 de las interfaces orientadas a la WAN una vez que se confirme que RadSec está operativo. Paso 4 (meses 2 - 3): Para el SSID de WiFi de los POS dentro del alcance de PCI-DSS, migre de PEAP-MSCHAPv2 a EAP-TLS. Implemente una PKI interna (Microsoft ADCS o el motor de PKI de HashiCorp Vault). Emita certificados de cliente a las terminales POS a través de MDM. Actualice la política de RADIUS para requerir EAP-TLS para el SSID de los POS. Paso 5 (mes 3): Integre los registros de contabilidad de RADIUS en el SIEM. Configure alertas para picos de autenticación fallidos y vencimiento de certificados.
Una cadena minorista regional con 45 tiendas utiliza WPA2-Personal (clave previamente compartida) para el WiFi del personal y una red abierta para el WiFi de los clientes. El director de TI quiere migrar el WiFi del personal a la autenticación 802.1X utilizando Microsoft NPS como servidor RADIUS, integrado con Active Directory. Las tiendas tienen una combinación de puntos de acceso Aruba y Cisco. La cadena está dentro del alcance de PCI-DSS. ¿Qué arquitectura deberían implementar y cuáles son las decisiones clave de configuración?
La arquitectura recomendada es 802.1X con PEAP-MSCHAPv2 como método EAP inicial, con una hoja de ruta documentada hacia EAP-TLS. El servidor NPS debe implementarse en un par redundante (primario + secundario) en el centro de datos central, con una configuración de proxy RADIUS en los puntos de acceso para realizar la conmutación por error de forma automática. Decisiones de configuración: (1) Política de red NPS: cree una política que coincida con el SSID del personal con PEAP-MSCHAPv2, requiriendo la pertenencia al grupo de seguridad de AD (por ejemplo, 'WiFi-Staff-Access'). Establezca el tiempo de espera de la sesión en 8 horas para forzar la reautenticación. (2) Certificado: implemente un certificado de servidor NPS de una CA interna de Microsoft ADCS. Distribuya el certificado de CA raíz a todos los dispositivos del personal mediante Directiva de grupo (Windows) y MDM (iOS/Android). (3) Configuración del suplicante: configure los dispositivos Windows mediante Directiva de grupo (Configuración del equipo > Configuración de Windows > Configuración de seguridad > Directivas de red inalámbrica). Para dispositivos iOS y Android, utilice un perfil de MDM. Aplique la validación del certificado del servidor; no permita que los usuarios acepten certificados arbitrarios. (4) Configuración del punto de acceso: en Aruba, configure el servidor RADIUS en Autenticación > Servidores. Establezca el secreto compartido en una cadena aleatoria de 32 caracteres. Habilite RadSec si el firmware de Aruba lo admite (AOS 8.9+). En Cisco, configure en Seguridad > AAA > RADIUS. (5) Registro de NPS: habilite el registro de contabilidad de NPS en una base de datos de SQL Server. Configure un período de retención de registros de 90 días como mínimo para el cumplimiento de PCI-DSS. (6) Posmigración: deshabilite WPA2-Personal en el SSID del personal. Consérvelo únicamente como un SSID de emergencia con una PSK compleja guardada en el administrador de secretos, para su uso exclusivo cuando NPS no esté disponible.
Preguntas de práctica
Q1. Su organización opera un servidor FreeRADIUS 3.0.21 que admite autenticación 802.1X para 800 dispositivos del personal en un campus de un solo sitio. El servidor RADIUS se encuentra en la misma VLAN de administración que todos los puntos de acceso. Una prueba de penetración ha identificado que los puntos de acceso están enviando paquetes Access-Request sin el atributo Message-Authenticator. El equipo de seguridad desea implementar Message-Authenticator de inmediato, pero el equipo de operaciones de red teme interrumpir la autenticación de los 800 usuarios. ¿Cómo secuenciaría la remediación para minimizar la interrupción del servicio?
Sugerencia: Considere la diferencia entre el servidor RADIUS que requiere Message-Authenticator y los dispositivos NAS que lo envían. Estos son dos cambios de configuración independientes con diferentes perfiles de riesgo.
Ver respuesta modelo
La secuencia correcta es: (1) Primero, actualice FreeRADIUS a la versión 3.2.5. Esta versión exige Message-Authenticator de forma predeterminada, pero incluye un modo de compatibilidad que registra una advertencia en lugar de rechazar los paquetes que carecen del atributo. Esto le permite aplicar el parche sin interrumpir la autenticación de inmediato. (2) Audite las versiones de firmware de los puntos de acceso. Identifique qué modelos y versiones de firmware admiten Message-Authenticator en los paquetes Access-Request. (3) Actualice el firmware de los puntos de acceso por lotes, comenzando con un grupo piloto de 50 dispositivos. Verifique que la autenticación siga funcionando después de cada lote. (4) Una vez que se confirme que todos los puntos de acceso están enviando Message-Authenticator, habilite la aplicación estricta en el servidor FreeRADIUS (require_message_authenticator = yes en clients.conf). (5) Supervise los registros de RADIUS en busca de advertencias restantes de 'Message-Authenticator missing', lo que indicaría dispositivos NAS que no recibieron la actualización de firmware. El principio clave es que puede aplicar el parche al servidor primero sin romper nada, ya que el modo de compatibilidad permite un período de transición. Exigir el rechazo estricto en el servidor debe ser el último paso, después de que todos los dispositivos NAS se hayan actualizado.
Q2. El operador de un centro de conferencias cuenta con un único servidor RADIUS que admite tanto el SSID del personal corporativo (802.1X con PEAP-MSCHAPv2) como el WiFi de invitados para eventos (Captive Portal con MAC Authentication Bypass). El gerente de TI pregunta si la instancia de RADIUS para el WiFi de invitados debe protegerse con el mismo estándar que la instancia de RADIUS corporativa, dado que los invitados no se autentican con credenciales corporativas. ¿Cuál es su recomendación?
Sugerencia: Considere los vectores de ataque que se aplican a MAC Authentication Bypass frente a la autenticación basada en EAP, y el riesgo de movimiento lateral entre las instancias de RADIUS corporativas y de invitados.
Ver respuesta modelo
La instancia de RADIUS para WiFi de invitados requiere un endurecimiento, pero los controles específicos difieren de los de la instancia corporativa. El parche para BlastRADIUS se aplica de la misma manera: la vulnerabilidad afecta al servidor RADIUS independientemente del método de autenticación utilizado por los clientes. La higiene de los secretos compartidos se aplica de igual manera: un secreto compartido débil entre el controlador del Captive Portal de invitados y el servidor RADIUS es explotable sin importar si se usa EAP o no. El riesgo adicional clave es el servidor RADIUS compartido: si las solicitudes de autenticación de los SSID de invitados y corporativos son gestionadas por el mismo proceso de servidor RADIUS, una vulnerabilidad en la ruta de RADIUS de invitados podría utilizarse para pivotar hacia la política de autenticación corporativa. La arquitectura recomendada es ejecutar instancias de RADIUS separadas (o como mínimo servidores virtuales separados dentro de FreeRADIUS) para la autenticación de invitados y corporativa, con secretos compartidos y conjuntos de políticas independientes. Esto proporciona un aislamiento tal que el compromiso de la ruta de RADIUS de invitados no expone las credenciales corporativas. Para la instancia de invitados específicamente: aplique el parche para BlastRADIUS, rote los secretos compartidos y asegúrese de que la instancia de RADIUS de invitados no tenga acceso al Active Directory corporativo. Los requisitos de EAP-TLS y RadSec son menos relevantes para un despliegue de Captive Portal, pero aun así se debe considerar RadSec si el controlador del Captive Portal se encuentra en un segmento de red diferente al del servidor RADIUS.
Q3. Un fideicomiso de atención médica está planeando migrar su WiFi clínica de WPA2-Personal a la autenticación 802.1X. El fideicomiso cuenta con 1,200 dispositivos clínicos, incluyendo laptops Windows, tablets iOS y dispositivos portátiles Android. El CISO quiere implementar EAP-TLS como el estado objetivo. El director de TI está preocupado por la complejidad del despliegue de PKI y propone PEAP-MSCHAPv2 como una solución permanente. ¿Qué aconseja al CISO y al director de TI, y cuál es la ruta de implementación recomendada?
Sugerencia: Considere el modelo de amenazas específico para un entorno de atención médica: ¿cuáles son las consecuencias del compromiso de credenciales y cómo aborda EAP-TLS los riesgos que PEAP-MSCHAPv2 no resuelve?
Ver respuesta modelo
El instinto del CISO es correcto, pero la preocupación del director de TI es válida. El consejo recomendado es: implementar PEAP-MSCHAPv2 ahora como una posición provisional, con una hoja de ruta comprometida a 12 meses hacia EAP-TLS. La lógica para no aceptar PEAP-MSCHAPv2 como una solución permanente en el sector salud es: (1) PEAP-MSCHAPv2 es vulnerable a ataques de servidores RADIUS falsos si no se exige la validación de certificados del lado del cliente. En un entorno de atención médica donde el personal clínico puede conectar dispositivos personales, aplicar la configuración del suplicante de manera consistente en 1,200 dispositivos es un desafío operativo. (2) Las credenciales de MSCHAPv2, si se capturan mediante un ataque de RADIUS falso, se pueden descifrar fuera de línea con herramientas como hashcat. En un contexto de atención médica, es probable que esas credenciales también otorguen acceso a los sistemas clínicos. (3) Las evaluaciones de NHS DSPT y CQC exigen cada vez más controles de autenticación robustos para el acceso a la red clínica. EAP-TLS proporciona una mejor posición de evidencia de auditoría. La ruta de implementación: Meses 1 y 2: Desplegar PEAP-MSCHAPv2 con validación de certificado de servidor obligatoria mediante perfiles MDM en los 1,200 dispositivos. Meses 3 a 6: Desplegar Microsoft ADCS como la infraestructura PKI. Inscribir dispositivos Windows mediante la inscripción automática de Group Policy. Meses 6 a 9: Inscribir dispositivos iOS y Android mediante perfiles de certificado MDM. Meses 9 a 12: Migrar la política del SSID clínico de PEAP a EAP-TLS. Conservar PEAP como alternativa para cualquier dispositivo en el que falle la inscripción de certificados, con monitoreo mejorado. Para obtener más información sobre la arquitectura de seguridad de redes clínicas, la guía de WiFi en hospitales proporciona un contexto de despliegue relevante.
Continúe leyendo esta serie
WatchGuard Wi-Fi Cloud AP y guest WiFi: configuración de Captive Portal con Purple
Cómo los puntos de acceso WatchGuard Wi-Fi Cloud, gestionados desde WatchGuard Cloud, funcionan con el guest WiFi de Purple: una página de bienvenida externa con autenticación RADIUS y un walled garden, con un enlace a la guía de configuración paso a paso de Purple para la configuración exacta.
Zyxel Nebula y guest WiFi: configuración de captive portal con Purple
Cómo funcionan los puntos de acceso de Zyxel Nebula Cloud con el guest WiFi de Purple: un captive portal externo, RADIUS y un walled garden, con un enlace a la guía de configuración paso a paso de Purple para la configuración exacta.
Grandstream GWN y WiFi para invitados: configuración de captive portal con Purple
Cómo funcionan los puntos de acceso Grandstream GWN con el WiFi para invitados de Purple: una página de inicio externa, RADIUS y un walled garden, con un enlace a la guía de configuración paso a paso de Purple para la configuración exacta.