Mitigación de vulnerabilidades de RADIUS: Una guía de fortalecimiento de seguridad

Resumen Ejecutivo

RADIUS (Remote Authentication Dial-In User Service) sigue siendo el protocolo dominante para el control de acceso a la red en implementaciones de WiFi empresariales, respaldando la autenticación IEEE 802.1X en hoteles, tiendas minoristas, estadios, centros de conferencias y edificios del sector público. Sin embargo, RADIUS fue diseñado en la década de 1990 y varias de sus decisiones de diseño fundamentales (la dependencia del hashing MD5, el transporte UDP sin cifrado nativo y los secretos compartidos estáticos) se han convertido en vulnerabilidades críticas en el entorno de amenazas actual.

En julio de 2024, la vulnerabilidad BlastRADIUS (CVE-2024-3596) demostró que un atacante intermediario (man-in-the-middle) puede falsificar respuestas Access-Accept de RADIUS explotando la debilidad de integridad de MD5 en los paquetes Access-Request. Esto afecta a las principales implementaciones de RADIUS, incluyendo FreeRADIUS, Cisco ISE y Microsoft NPS. Las implementaciones sin parches siguen expuestas.

Esta guía proporciona una hoja de ruta de robustecimiento priorizada que cubre la gestión de parches, la higiene de secretos compartidos, la selección del método EAP, la implementación de RadSec, la autenticación multifactor para el acceso administrativo y la integración con SIEM para la detección de anomalías. Está escrita para el profesional de TI que necesita tomar una decisión defendible este trimestre, no el próximo año.

Análisis Técnico Detallado

Cómo Funciona RADIUS y Dónde se Quiebra

RADIUS opera como un protocolo cliente-servidor entre un Servidor de Acceso a la Red (NAS) — típicamente un punto de acceso WiFi, switch o concentrador VPN — y un servidor RADIUS que valida las credenciales contra un almacén de identidad backend como Active Directory o LDAP. El intercambio de autenticación sigue un modelo de solicitud-desafío-respuesta definido en RFC 2865, con la contabilidad (accounting) gestionada por separado bajo RFC 2866.

El protocolo transmite paquetes de autenticación sobre UDP, puerto 1812 para autenticación y puerto 1813 para contabilidad. El secreto compartido — una clave precompartida configurada tanto en el NAS como en el servidor RADIUS — se utiliza para generar el campo Response Authenticator y para ofuscar el atributo User-Password a través de un cifrado XOR basado en MD5. Esto no es cifrado en ningún sentido moderno; es ofuscación, y depende completamente del secreto y la fortaleza del secreto compartido.

Las cinco clases principales de vulnerabilidad en una implementación típica de RADIUS son las siguientes.

Vulnerabilidades de integridad y colisión MD5. El ataque BlastRADIUS (CVE-2024-3596) explota la ausencia de protección de integridad en los paquetes Access-Request. Debido a que el NAS no incluye un atributo Message-Authenticator de forma predeterminada en muchas configuraciones, un atacante con una posición de intermediario (man-in-the-middle) puede inyectar un atributo manipulado en el paquete antes de que llegue al servidor RADIUS. Al explotar técnicas de colisión de prefijo elegido de MD5, el atacante puede manipular el paquete de tal manera que el servidor RADIUS calcule un Response Authenticator válido para el paquete modificado, devolviendo un Access-Accept para una solicitud que debería haber sido rechazada. La mitigación consiste en exigir el atributo Message-Authenticator en todos los paquetes Access-Request, lo que proporciona protección de integridad HMAC-MD5 sobre todo el paquete. Este es un cambio de configuración tanto en el NAS como en el servidor RADIUS, no solo un parche del servidor.

Secretos compartidos débiles o estáticos. El secreto compartido es el ancla criptográfica del intercambio RADIUS. Si es corto, predecible o no se ha rotado, un atacante que capture el tráfico RADIUS (lo cual es viable mediante suplantación de ARP o un dispositivo de red comprometido) puede realizar un ataque de fuerza bruta sin conexión contra el atributo User-Password. La guía de NIST SP 800-63B sobre secretos memorizados se aplica aquí: los secretos deben tener un mínimo de 20 caracteres, generarse de forma aleatoria y almacenarse en un sistema de gestión de secretos. Para entornos grandes con decenas o cientos de dispositivos NAS, la rotación manual es inviable desde el punto de vista operativo; la automatización a través de HashiCorp Vault o un gestor de secretos comparable es el enfoque correcto.

Transporte UDP no cifrado. El estándar RADIUS sobre UDP no proporciona confidencialidad en la capa de transporte. El atributo User-Password se ofusca pero no se cifra. Todos los demás atributos, incluidos el nombre de usuario, la IP del NAS y los metadatos de la sesión, se transmiten en texto plano. RadSec (RADIUS sobre TLS), definido en RFC 6614 y actualizado en RFC 7360, resuelve esto al envolver el protocolo RADIUS en una sesión TLS 1.2 o TLS 1.3 sobre el puerto TCP 2083. RadSec proporciona autenticación mutua de certificados entre el NAS y el servidor RADIUS, cifrado completo de la carga útil y protección contra reproducción. Es el transporte correcto para cualquier tráfico RADIUS que cruce un límite de red no confiable.

EAP Method Selection. El Protocolo de Autenticación Extensible (EAP) define el método de autenticación interno utilizado dentro del marco 802.1X. EAP-MD5 está obsoleto y debe eliminarse de todas las implementaciones de inmediato; no proporciona autenticación mutua ni protección contra la recopilación de credenciales. PEAP (Protected EAP) y EAP-TTLS establecen un túnel TLS utilizando un certificado de servidor antes de transmitir las credenciales, lo que proporciona autenticación mutua y protege el método interno contra la interceptación. EAP-TLS elimina las contraseñas por completo, requiriendo que tanto el servidor como el cliente presenten certificados X.509. Es inmune al phishing y a los ataques de fuerza bruta, y es el método recomendado para entornos de alta seguridad.

Insufficient Logging and Monitoring. El registro de RADIUS registra cada evento de autenticación: éxito, falla, inicio de sesión, finalización de sesión. Estos datos son operativamente valiosos para la planificación de capacidad y comercialmente valiosos para WiFi Analytics , pero también son una fuente crítica de telemetría de seguridad. Las tormentas de autenticación fallidas, las autenticaciones desde direcciones MAC inesperadas y los patrones de acceso fuera de horario son detectables a partir de los registros de RADIUS. La mayoría de las organizaciones no están ingresando estos datos en un SIEM, y aquellas que lo hacen a menudo no tienen configurados umbrales de alerta.

The BlastRADIUS Attack in Detail

BlastRADIUS fue revelado en julio de 2024 por investigadores de la Universidad de Boston y la Universidad de California en Diego. El ataque requiere una posición de intermediario (man-in-the-middle) entre el NAS y el servidor RADIUS, lo cual se puede lograr mediante envenenamiento ARP en un segmento de red compartido, un router comprometido o un infiltrado malicioso con acceso a la red.

El ataque procede de la siguiente manera: el atacante intercepta un paquete Access-Request del NAS. Debido a que el paquete carece de un atributo Message-Authenticator (el valor predeterminado en muchas configuraciones), el atacante tiene la libertad de modificar la lista de atributos del paquete. Utilizando una colisión de prefijo elegido de MD5, el atacante diseña un paquete modificado que, al ser procesado por el servidor RADIUS, produce el mismo Response Authenticator que habría producido el paquete original. Por lo tanto, el servidor devuelve un Access-Accept para una solicitud que contiene atributos controlados por el atacante, incluido un Service-Type de Administrative, que otorga acceso total a la red.

El ataque es viable contra implementaciones de PEAP y EAP-TTLS donde el método interno utiliza MSCHAPv2. No afecta a las implementaciones de EAP-TLS, porque la autenticación mutua basada en certificados proporciona una protección de integridad que MD5 no puede debilitar.

Para las organizaciones que ejecutan Guest WiFi junto con 802.1X corporativo, la instancia RADIUS de la red de invitados también debe parcharse, incluso si utiliza MAC Authentication Bypass en lugar de EAP. Los requisitos de higiene de secretos compartidos y Message-Authenticator se aplican por igual.

Guía de Implementación

Fase 1: Remediación Inmediata (Semanas 1–2)

La primera prioridad es el parcheo. FreeRADIUS 3.2.5 y 3.0.27 incluyen la corrección de BlastRADIUS y aplican Message-Authenticator de forma predeterminada. Cisco ISE 3.1 Parche 8, 3.2 Parche 4 y 3.3 Parche 1 solucionan la vulnerabilidad. Microsoft lanzó KB5040434 para Windows Server 2022 NPS en julio de 2024. Verifique sus versiones actuales y aplique los parches dentro de su próxima ventana de cambios programada.

Simultáneamente, audite el firmware de sus dispositivos NAS. La aplicación de Message-Authenticator solo es efectiva si el NAS también envía el atributo. Consulte los avisos de seguridad de los proveedores de sus puntos de acceso y switches: Aruba, Ruckus, Cisco y Juniper lanzaron actualizaciones de firmware que abordan BlastRADIUS. Si utiliza hardware Ruckus, la guía de puntos de acceso inalámbricos Ruckus proporciona un contexto relevante para la gestión de firmware.

Para la Resolución de problemas de autenticación 802.1X en Windows 11 que puedan surgir después del parche, la causa más común es que el servidor NPS rechace las conexiones de clientes que no incluyen Message-Authenticator, un comportamiento de seguridad correcto que puede requerir la reconfiguración del suplicante en clientes Windows más antiguos.

Fase 2: Higiene de Secretos Compartidos (Semanas 2–4)

Exporte la lista completa de clientes NAS registrados en su servidor RADIUS. Para cada entrada, registre la longitud del secreto compartido y la fecha en que se cambió por última vez. Cualquier secreto de menos de 20 caracteres o que no se haya cambiado en más de 24 meses debe rotarse de inmediato.

Para nuevos secretos, utilice un generador aleatorio criptográfico: openssl rand -base64 32 produce una cadena base64 de 44 caracteres adecuada para su uso como secreto compartido de RADIUS. Almacene todos los secretos en un sistema de gestión de secretos. Implemente un programa de rotación: anualmente para dispositivos NAS de bajo riesgo, cada seis meses para dispositivos NAS dentro del alcance de PCI DSS.

Fase 3: Racionalización del Método EAP (Meses 1–2)

Audite los métodos EAP permitidos en su servidor RADIUS. Desactive EAP-MD5. Si utiliza PEAP-MSCHAPv2, verifique que la validación del certificado del servidor se aplique en todos los suplicantes; un suplicante mal configurado que acepte cualquier certificado de servidor es vulnerable a ataques de servidores RADIUS no autorizados. Para entornos dentro del alcance de PCI DSS, EAP-TLS es el camino recomendado. Comience la planificación de PKI si no cuenta con una infraestructura de certificados existente.

Para la Seguridad en redes Guest WiFi , tenga en cuenta que las redes de invitados suelen utilizar la autenticación de Captive Portal en lugar de 802.1X, por lo que el endurecimiento del método EAP se aplica principalmente a los SSIDs corporativos y del personal.

Fase 4: Despliegue de RadSec (Meses 2–3)

Identifique todas las rutas de tráfico RADIUS que crucen límites de red no confiables. Los escenarios comunes incluyen: un servidor RADIUS central que brinda servicio a propiedades hoteleras remotas a través de internet; un servicio RADIUS alojado en la nube al que acceden dispositivos NAS locales; y cadenas de proxy RADIUS donde el tráfico pasa por múltiples dominios de red.

Para cada ruta identificada, configure RadSec. En FreeRADIUS, esto requiere habilitar el listener tls en el puerto 2083 y configurar TLS mutuo con certificados de su PKI. En Cisco ISE, RadSec se configura en Administration > Network Devices. Asegúrese de que TLS 1.2 sea la versión mínima; deshabilite TLS 1.0 y 1.1 de forma explícita.

Fase 5: MFA para Acceso Administrativo (Mes 2–3)

La interfaz de administración del servidor RADIUS es un objetivo de alto valor. Un atacante que comprometa el servidor RADIUS puede modificar las políticas de autenticación, extraer secretos compartidos y redirigir el tráfico de autenticación. Implemente MFA para todos los inicios de sesión administrativos en el servidor RADIUS y su sistema operativo subyacente. Restrinja el acceso de administración a una VLAN de administración fuera de banda dedicada. Implemente el control de acceso basado en roles: los ingenieros de red no deben tener los mismos privilegios que los administradores de seguridad.

Fase 6: Integración con SIEM y Alertas (Mes 3–4)

Configure su servidor RADIUS para reenviar los registros de contabilidad (accounting logs) a su SIEM en tiempo real. Defina los siguientes umbrales de alerta como línea base:

Mejores Prácticas

Las siguientes recomendaciones representan el consenso de IEEE 802.1X, NIST SP 800-63B, PCI DSS v4.0 y los avisos de seguridad de los proveedores.

Gestión de Certificados. Cualquier implementación que utilice EAP-TLS o RadSec tiene certificados X.509 en la ruta de autenticación. El vencimiento de los certificados es la causa más común de fallas de autenticación repentinas y totales en las implementaciones de WiFi empresariales. Implemente la gestión automatizada del ciclo de vida de los certificados. Configure alertas de monitoreo a los 90, 30 y 7 días antes del vencimiento. Para los certificados del servidor RADIUS, utilice un tamaño de clave mínimo de RSA de 2048 bits o ECDSA de 256 bits, con algoritmos de firma SHA-256 o superiores. No utilice SHA-1.

Segmentación de Red. El servidor RADIUS debe residir en un segmento de red de administración dedicado, aislado tanto de la red de invitados como de la red corporativa general. El acceso a los puertos RADIUS (UDP 1812, 1813, TCP 2083 para RadSec) debe restringirse mediante ACL de firewall a las direcciones IP específicas de los dispositivos NAS registrados. No se permite el acceso directo de internet a los puertos RADIUS. Redundancy and High Availability. A single RADIUS server is a single point of failure for your entire network access control infrastructure. Deploy a minimum of two RADIUS servers in an active-passive or active-active configuration. For Hospitality deployments with 24/7 guest connectivity requirements, RADIUS server downtime is directly equivalent to guest WiFi downtime — a reputational and commercial risk.

WPA3 and 802.1X. WPA3-Enterprise mandates the use of 192-bit security mode for government and high-security deployments, requiring AES-256-GCMP for data encryption and HMAC-SHA-384 for authentication. For most enterprise deployments, WPA3-Enterprise with standard 128-bit security is a significant improvement over WPA2-Enterprise, particularly in combination with EAP-TLS. Retail environments processing card payments should treat WPA3-Enterprise adoption as a PCI DSS risk reduction measure.

Vendor Patch Cadence. Subscribe to security advisories from your RADIUS server vendor and your NAS device vendors. FreeRADIUS, Cisco, Microsoft, Aruba, and Ruckus all publish CVE notifications. Integrate these into your vulnerability management programme with a defined SLA: critical vulnerabilities (CVSS ≥ 9.0) patched within 72 hours; high vulnerabilities (CVSS 7.0–8.9) within 14 days.

Troubleshooting and Risk Mitigation

Common Failure Modes

Post-Patch Authentication Failures. After applying BlastRADIUS patches, some NAS devices may fail to authenticate if their firmware does not support Message-Authenticator. Symptoms: sudden increase in Access-Reject responses with no change in user credentials. Diagnosis: enable RADIUS debug logging and check for "Message-Authenticator required but not present" errors. Resolution: update NAS firmware or, as a temporary measure, configure the RADIUS server to accept requests without Message-Authenticator from specific NAS IPs while firmware updates are scheduled.

Certificate Validation Failures in EAP-TLS. Symptoms: clients receive "Authentication Failed" with no corresponding Access-Reject in RADIUS logs. Diagnosis: check the RADIUS server's certificate chain — is the issuing CA trusted by the client's supplicant? Is the server certificate within its validity period? Resolution: ensure the full certificate chain (leaf + intermediate + root) is configured on the RADIUS server. Push the root CA certificate to client devices via MDM or Group Policy.

RadSec TLS Handshake Failures. Symptoms: NAS devices fail to establish RadSec connections after configuration change. Diagnosis: check TLS version compatibility — older NAS firmware may not support TLS 1.2. Check mutual certificate authentication — both ends must trust each other's CA. Resolution: verify TLS version support in NAS firmware release notes; ensure NAS device certificates are issued by the same CA trusted by the RADIUS server.

Shared Secret Mismatch. Síntomas: todas las autenticaciones de un NAS específico fallan con errores de "Invalid authenticator". Diagnóstico: discrepancia de secreto compartido (shared secret) entre la configuración del NAS y la entrada del cliente del servidor RADIUS. Resolución: vuelva a ingresar el secreto compartido en ambos lados, asegurándose de que no haya espacios al final ni problemas de codificación de caracteres. Utilice copiar y pegar desde un gestor de secretos para evitar errores de transcripción.

Registro de Riesgos

ROI e Impacto de Negocio

Cuantificación del Riesgo

El caso financiero para el endurecimiento (hardening) de RADIUS es evidente cuando se compara con los costos de una brecha de seguridad. El costo promedio de una brecha de datos en el Reino Unido en 2024 fue de £3.58 millones de libras, incluyendo multas regulatorias, remediación, costos legales y daño reputacional. Para las organizaciones dentro del alcance de PCI DSS —que incluye prácticamente a todos los operadores de Retail y Hospitality que procesan pagos con tarjeta a través de WiFi— una brecha en el control de acceso a la red que exponga datos de tarjetahabientes desencadena una investigación forense obligatoria, posibles multas de las marcas de tarjetas y la posible suspensión de los privilegios de procesamiento de tarjetas.

Para las organizaciones de Healthcare , una brecha de GDPR que involucre datos de pacientes a los que se accedió a través de un servidor RADIUS comprometido conlleva multas de hasta el 4% de la facturación anual global según el Artículo 83(5). El historial de cumplimiento de la ICO demuestra que las fallas de seguridad de la red se tratan como negligencia, no como accidentes técnicos.

Puntos de Referencia de Costos de Implementación

Las siguientes estimaciones de costos son indicativas para una infraestructura empresarial de 500 dispositivos:

Inversión total de endurecimiento para una infraestructura mediana: aproximadamente £20,000–£45,000. Frente a un costo base de brecha de £3.58 millones de libras, el ROI ajustado al riesgo es convincente incluso con estimaciones bajas de probabilidad de brecha.

Beneficios Operativos Más Allá de la Seguridad

Una infraestructura RADIUS robustecida también ofrece beneficios operativos. Una autenticación confiable y bien monitoreada reduce los tickets de soporte técnico relacionados con la conectividad WiFi. Los datos de contabilidad de RADIUS, al integrarse con WiFi Analytics , proporcionan visibilidad a nivel de sesión sobre los patrones de uso de la red, los tiempos de permanencia y los tipos de dispositivos; datos que tienen un valor comercial directo para los operadores de recintos en los entornos de Hospitality y Transport .

Para las organizaciones del sector público y de Healthcare , un programa documentado de robustecimiento de RADIUS proporciona evidencia de controles técnicos para las evaluaciones de Cyber Essentials Plus, ISO 27001 y NHS DSPT, lo que reduce la carga de trabajo de las auditorías y demuestra la debida diligencia ante los reguladores.