PEAP-MSCHAPv2: Por qué sigue siendo común, por qué es riesgoso y cómo avanzar

Una guía de referencia técnica completa que detalla las vulnerabilidades críticas de seguridad de PEAP-MSCHAPv2, incluidos los ataques de gemelo malvado (evil twin) y la captura de credenciales. Proporciona una hoja de ruta práctica y neutral respecto al proveedor para que los equipos de TI migren las redes WiFi empresariales a una autenticación segura EAP-TLS basada en certificados.

📖 5 min de lectura📝 1,170 palabras🔧 2 ejemplos resueltos❓ 3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast

Hola y bienvenidos a esta sesión técnica de Purple. Soy su anfitrión y hoy abordaremos un tema que se encuentra en la intersección de la arquitectura de red, el cumplimiento de seguridad y, francamente, la deuda técnica heredada. Estamos hablando de PEAP-MSCHAPv2.

Específicamente, analizaremos por qué sigue siendo el método de autenticación más común en el WiFi empresarial, por qué es fundamentalmente riesgoso en el panorama de amenazas actual y, lo más importante, cómo puede trasladar de manera práctica a su organización hacia algo mejor.

Comencemos con el contexto. Si usted es director de TI o arquitecto de redes en un hotel, una cadena de retail o un gran recinto público, es muy probable que la red WiFi de su personal —y quizás sus dispositivos corporativos— se estén autenticando mediante PEAP-MSCHAPv2. Ha sido el estándar predeterminado para las redes WPA2-Enterprise durante casi dos décadas. ¿Por qué? Porque es increíblemente fácil de implementar. Se conecta directamente a Active Directory a través de un servidor RADIUS y los usuarios simplemente ingresan su nombre de usuario y contraseña estándar de Windows. Sin certificados que administrar, sin una infraestructura compleja de clave pública que construir. Simplemente funciona.

Pero "simplemente funcionar" ya no es suficiente. La arquitectura de seguridad que sustenta a PEAP-MSCHAPv2 está, para decirlo sin rodeos, obsoleta.

Profundicemos en la realidad técnica. MSCHAPv2 se basa en el algoritmo de hash MD4 y el cifrado DES. Ambos estándares criptográficos se diseñaron en la década de 1990 y se consideran débiles desde hace más de una década. En 2012, en la conferencia de seguridad DEF CON, el investigador Moxie Marlinspike demostró que el saludo de conexión (handshake) de MSCHAPv2 se podía descifrar de forma determinista. Lanzó una herramienta que redujo el proceso de descifrado a un solo descifrado de clave DES, lo que significa que un atacante con una potencia informática modesta —o acceso a un servicio de descifrado en la nube— podría recuperar la contraseña de Active Directory en texto plano de un usuario a partir de un saludo de conexión capturado en cuestión de horas, si no de minutos.

Entonces, ¿cómo captura realmente un atacante ese saludo de conexión en el mundo real? Esto nos lleva al ataque "Evil Twin" (Gemelo Malvado).

Imagine una oficina corporativa o el área de operaciones internas de un hotel. Un atacante entra con un punto de acceso no autorizado, a menudo algo tan pequeño como un Wi-Fi Pineapple en su mochila. Configuran este AP no autorizado para transmitir exactamente el mismo SSID que su red corporativa, por ejemplo, "Staff-WiFi". Aumentan la intensidad de la señal para que los dispositivos cercanos lo prefieran de forma natural sobre sus puntos de acceso legítimos.

Cuando la laptop o el teléfono de un empleado intenta conectarse, el AP malicioso actúa como el autenticador y apunta a un servidor RADIUS falso controlado por el atacante. El dispositivo del empleado inicia el túnel PEAP. Ahora, aquí está el punto crítico de falla: PEAP depende de que el dispositivo cliente verifique el certificado digital del servidor para asegurarse de que se está comunicando con el servidor RADIUS corporativo real. Sin embargo, en la gran mayoría de las implementaciones, los dispositivos cliente están mal configurados o simplemente se les presenta a los usuarios una ventana emergente que dice "¿Confía en este certificado?" y hacen clic en "Sí" solo para conectarse.

Una vez que se acepta ese certificado falso, el dispositivo envía el desafío-respuesta MSCHAPv2 a través del túnel. El atacante lo captura, se retira y descifra el hash fuera de línea. Ahora tienen credenciales válidas de Active Directory, que pueden usar para iniciar sesión en su VPN, su sistema de correo electrónico o cualquier otro servicio corporativo.

Este no es un riesgo teórico. Es un procedimiento operativo estándar tanto para los evaluadores de penetración como para los actores maliciosos. Y si está sujeto a marcos de cumplimiento como PCI DSS o GDPR, confiar en un protocolo de autenticación comprometido es una responsabilidad significativa.

Entonces, si los riesgos son tan altos, ¿por qué no hemos hecho la transición?

La respuesta suele ser una mezcla de complejidad percibida y hardware heredado. Dejar atrás PEAP significa avanzar hacia la autenticación basada en certificados, específicamente EAP-TLS. EAP-TLS es el estándar de oro. Requiere que tanto el servidor como el dispositivo cliente presenten un certificado digital válido. No se transmiten contraseñas, cifradas ni de ninguna otra forma. Es completamente inmune a los ataques de diccionario fuera de línea y altamente resistente a los ataques de Evil Twin porque el cliente rechazará silenciosamente cualquier servidor RADIUS falso que no tenga un certificado firmado por su Autoridad de Certificación de confianza.

Pero implementar EAP-TLS significa que necesita una Infraestructura de Clave Pública, o PKI. Necesita una forma de generar certificados y distribuirlos de manera segura a cada laptop, teléfono y tableta de su flota. Hace cinco años, construir una infraestructura de Microsoft Active Directory Certificate Services era un proyecto desalentador y costoso.

Hoy, sin embargo, el panorama ha cambiado. El camino de implementación es mucho más claro.

Si está planeando una migración, este es el enfoque pragmático que recomendamos a nuestros clientes en Purple.

Primero, no tiene que hacer una transición abrupta. Los servidores RADIUS modernos, ya sea Cisco ISE, Aruba ClearPass o soluciones nativas de la nube, le permiten ejecutar PEAP-MSCHAPv2 y EAP-TLS simultáneamente en el mismo SSID.

El primer paso es implementar su PKI. Ya no necesita necesariamente construir esto de forma local. Las soluciones de PKI en la nube se integran directamente con su proveedor de identidad, como Entra ID o Google Workspace, y sus plataformas de gestión de dispositivos móviles como Intune o Jamf.

El paso dos consiste en utilizar su MDM para enviar de forma silenciosa certificados de cliente a sus dispositivos gestionados. Puede configurar el perfil de WiFi a través de MDM para que prefiera EAP-TLS. Esto significa que sus laptops corporativas cambiarán automáticamente al método seguro basado en certificados sin ninguna interacción del usuario.

El paso tres es la fase de transición. Usted monitorea sus registros de RADIUS. Verá que sus dispositivos gestionados se autentican a través de EAP-TLS, mientras que los dispositivos no gestionados o heredados continúan utilizando PEAP.

Esto nos lleva al error común: los dispositivos heredados. ¿Qué hacer con los escáneres de códigos de barras de hace diez años en su almacén, o las terminales de punto de venta más antiguas que simplemente no son compatibles con EAP-TLS?

La solución es la segmentación. Nunca debe degradar la seguridad de su red principal de personal para adaptarse al mínimo común denominador. En su lugar, aísle esos dispositivos heredados en una VLAN dedicada. Puede utilizar la autenticación basada en MAC combinada con controles estrictos de acceso a la red, garantizando que esos dispositivos solo puedan comunicarse con los servidores internos específicos que necesitan, y absolutamente nada más.

Una vez que su flota gestionada se haya migrado por completo a EAP-TLS, finalmente podrá desactivar PEAP-MSCHAPv2 en su SSID corporativo principal, cerrando la ventana de vulnerabilidad para siempre.

Hagamos una sesión rápida de preguntas y respuestas basada en las dudas más comunes que recibimos de los directores de TI.

Pregunta uno: "¿WPA3 soluciona el problema de PEAP-MSCHAPv2?"
Respuesta: No. WPA3 mejora el cifrado de forma inalámbrica, pero el método de autenticación EAP subyacente sigue siendo el mismo. Si utiliza WPA3-Enterprise con PEAP-MSCHAPv2, sigue siendo vulnerable a la captura de credenciales a través de un Evil Twin si el cliente no valida estrictamente el certificado del servidor.

Pregunta dos: "¿Qué pasa con EAP-TTLS?"
Respuesta: EAP-TTLS es mejor que PEAP porque tuneliza la autenticación, a menudo utilizando PAP en lugar de MSCHAPv2, lo que evita las debilidades criptográficas específicas de MSCHAPv2. Sin embargo, sigue dependiendo de contraseñas y sigue siendo vulnerable si no se valida el certificado del servidor. Es un paso intermedio, pero el objetivo final debe ser EAP-TLS.

Pregunta tres: "¿Cómo afecta esto a nuestro WiFi de invitados de Purple?"
Respuesta: No afecta directamente. El WiFi de invitados suele utilizar redes abiertas con Captive Portals o WPA2/3-Personal, que son independientes de su autenticación empresarial 802.1X. Sin embargo, proteger la red interna es fundamental para salvaguardar la infraestructura que soporta todas las operaciones de su establecimiento, incluidos sus servicios para invitados y plataformas de analítica.

En resumen: PEAP-MSCHAPv2 nos ha sido de gran utilidad, pero su tiempo ha pasado. Las fallas criptográficas son públicas y las herramientas de ataque están automatizadas. La migración a EAP-TLS ya no es un proyecto de vanguardia experimental; es una actualización estándar y alcanzable, facilitada significativamente por las soluciones modernas de MDM y PKI en la nube.

El riesgo de no hacer nada —una contraseña de Active Directory comprometida que resulte en una brecha de red más amplia— supera por mucho el esfuerzo operativo de la migración. Comience hoy mismo con una auditoría de sus registros de RADIUS, identifique sus dispositivos heredados y empiece a planificar su transición hacia la autenticación basada en certificados.

Gracias por escuchar este informe técnico de Purple. Para obtener guías de implementación más detalladas y diagramas de arquitectura, asegúrese de leer la guía de referencia técnica completa que acompaña a este podcast.

Puntos clave

✓PEAP-MSCHAPv2 depende de criptografía obsoleta (MD4 y DES) que puede ser descifrada de forma trivial fuera de línea.
✓El protocolo es altamente vulnerable a ataques de 'Gemelo Malvado' (Evil Twin) si los dispositivos finales no validan estrictamente el certificado del servidor RADIUS.
✓Las actualizaciones modernas de Windows (Credential Guard) están bloqueando activamente la autenticación MSCHAPv2 para evitar el robo de hashes.
✓EAP-TLS es el reemplazo definitivo, ya que ofrece autenticación mutua mediante certificados digitales e inmunidad al descifrado fuera de línea.
✓Las plataformas de Cloud PKI y los MDM modernos han reducido drásticamente la complejidad y el costo de implementar EAP-TLS.
✓Los dispositivos heredados que no son compatibles con EAP-TLS deben segmentarse en VLAN dedicadas y restringidas, en lugar de degradar la seguridad de la red principal.

Resumen Ejecutivo

A pesar de las vulnerabilidades criptográficas bien documentadas, PEAP-MSCHAPv2 sigue siendo el método EAP más implementado para la autenticación WiFi empresarial en los sectores de hotelería, comercio minorista y sector público. Su prevalencia continua se debe a la facilidad de implementación —específicamente su integración nativa con Active Directory— más que a su eficacia de seguridad. Sin embargo, el perfil de riesgo ha cambiado drásticamente. Las herramientas de explotación automatizadas han democratizado el ataque de "gemelo malvado" (evil twin), lo que permite a los actores de amenazas capturar y descifrar hashes de desafío-respuesta de MSCHAPv2 con un esfuerzo mínimo, lo que conduce directamente a credenciales de Active Directory comprometidas.

Para los directores de TI y arquitectos de redes, el mandato es claro: PEAP-MSCHAPv2 ya no es adecuado para su propósito en ningún entorno sujeto a marcos de cumplimiento como PCI DSS o GDPR. Esta guía proporciona un análisis crítico de los vectores de ataque específicos que apuntan a PEAP-MSCHAPv2 y describe una ruta de migración pragmática y por fases hacia EAP-TLS. Al aprovechar las soluciones modernas de gestión de dispositivos móviles (MDM) y la infraestructura de clave pública (PKI) en la nube, las organizaciones pueden realizar la transición a una autenticación sólida basada en certificados sin interrumpir las operaciones comerciales ni alienar a los dispositivos heredados.

Análisis Técnico Profundo: La Anatomía de la Vulnerabilidad

Para comprender por qué se debe dejar de usar PEAP-MSCHAPv2, se debe examinar su arquitectura criptográfica subyacente. MSCHAPv2 (Protocolo de autenticación por desafío mutuo de Microsoft versión 2) se diseñó a finales de la década de 1990 y se basa en el algoritmo de hash MD4 y el Estándar de cifrado de datos (DES) [1]. Ambos se consideran obsoletos según los estándares criptográficos modernos.

La Falla Criptográfica

La debilidad fundamental radica en cómo MSCHAPv2 maneja el hash NT de la contraseña del usuario. El protocolo divide una clave de 21 bytes derivada del hash NT en tres claves DES de 7 bytes. De manera crucial, la tercera clave solo utiliza dos bytes significativos del hash, rellenando el resto con bytes nulos. Esta falla estructural reduce la complejidad criptográfica de manera exponencial.

In 2012, el investigador de seguridad Moxie Marlinspike demostró que el saludo (handshake) de MSCHAPv2 podía descifrarse de manera determinista al reducir el problema al descifrado de una sola clave DES [2]. Utilizando servicios de descifrado basados en la nube o plataformas de GPU modernas que ejecutan herramientas como hashcat, un atacante puede recuperar la contraseña de Active Directory en texto plano a partir de un saludo capturado en cuestión de horas, independientemente de la complejidad de la contraseña.

El Vector de Ataque de Gemelo Malvado (Evil Twin)

La debilidad criptográfica se explota activamente en entornos reales mediante el ataque "evil twin". En un escenario típico en una oficina corporativa o un espacio de Hospitality :

Despliegue de AP no autorizado: El atacante despliega un punto de acceso no autorizado que transmite el SSID corporativo objetivo (por ejemplo, "Staff-WiFi").
Dominancia de señal: El AP no autorizado opera a una potencia de transmisión más alta, lo que obliga a los dispositivos cliente cercanos a asociarse con él en lugar de con la infraestructura legítima.
Autenticación RADIUS falsa: Cuando el cliente inicia el túnel PEAP, el AP no autorizado actúa como proxy de la solicitud hacia un servidor RADIUS controlado por el atacante (como hostapd-wpe).
Fallo de validación de certificado: El servidor RADIUS no autorizado presenta un certificado digital autofirmado o no verificado. Si el dispositivo cliente está mal configurado para omitir la validación estricta del certificado del servidor —o si el usuario simplemente hace clic en "Aceptar" en un mensaje de confianza— el túnel se establece.
Captura de credenciales: El cliente transmite el desafío-respuesta MSCHAPv2 a través del túnel comprometido. El atacante captura el hash y termina la conexión.

Sin una validación estricta del certificado del servidor aplicada a nivel de endpoint, cada dispositivo que utiliza PEAP-MSCHAPv2 es vulnerable a esta técnica de captura de credenciales. Esto es especialmente preocupante para los entornos de Retail donde las redes internas a menudo comparten proximidad física con espacios públicos.

Guía de implementación: Migración a EAP-TLS

La mitigación definitiva para las vulnerabilidades de MSCHAPv2 es la migración a EAP-TLS (Extensible Authentication Protocol-Transport Layer Security). EAP-TLS exige autenticación mutua: tanto el servidor RADIUS como el dispositivo cliente deben presentar certificados digitales válidos. Debido a que no se transmiten ni se cifran contraseñas mediante hash durante el saludo, EAP-TLS es completamente inmune a los ataques de diccionario sin conexión y altamente resistente a la suplantación de identidad por evil twin.

Históricamente, la barrera para la adopción de EAP-TLS era la complejidad de implementar una infraestructura de clave pública (PKI) local. Hoy en día, la PKI en la nube y las integraciones modernas de MDM han simplificado el proceso.

Fase 1: Auditoría e inventario

Antes de modificar las políticas de autenticación, realice una auditoría exhaustiva de sus registros de RADIUS actuales (por ejemplo, Cisco ISE, Aruba ClearPass o Windows NPS). Identifique todos los dispositivos que se autentican actualmente a través de PEAP. Categorice estos dispositivos en dos grupos:

Dispositivos gestionados: Laptops, tablets y smartphones corporativos registrados en una plataforma MDM (por ejemplo, Intune, Jamf).
Dispositivos no gestionados/heredados: Sensores IoT, terminales de punto de venta antiguos, escáneres de códigos de barras o dispositivos BYOD que no admiten el registro de certificados.

Fase 2: Despliegue de PKI y configuración de RADIUS

Implemente una solución PKI para emitir certificados de cliente y servidor. Las plataformas PKI nativas de la nube pueden integrarse directamente con Entra ID o Google Workspace, eliminando la necesidad de una pesada infraestructura local de Microsoft AD CS. Configure su servidor RADIUS para aceptar la autenticación EAP-TLS. De manera crucial, configure la política de red para admitir tanto PEAP como EAP-TLS simultáneamente en el mismo SSID durante el período de transición.

Fase 3: Distribución de certificados a través de MDM

Aproveche su plataforma MDM para distribuir de forma silenciosa certificados de cliente a los dispositivos administrados utilizando protocolos como SCEP (Simple Certificate Enrollment Protocol). Al mismo tiempo, envíe un perfil de WiFi actualizado a través de MDM que indique a los dispositivos priorizar EAP-TLS para el SSID corporativo. Esto garantiza una transición sin intervención para los usuarios finales.

Fase 4: Manejo de dispositivos heredados

Los dispositivos heredados que no pueden admitir EAP-TLS nunca deben dictar la postura de seguridad de la red corporativa principal. En su lugar, segmente estos dispositivos en una VLAN dedicada. Implemente la omisión de autenticación basada en MAC (MAB) combinada con listas de control de acceso (ACL) estrictas para garantizar que estos dispositivos solo puedan comunicarse con los servidores internos específicos requeridos para su función.

Mejores prácticas y cumplimiento

Mantener un entorno inalámbrico empresarial seguro requiere una adhesión continua a los estándares de la industria.

Exigir la validación del certificado del servidor: Si debe mantener temporalmente PEAP-MSCHAPv2, use MDM para exigir un anclaje estricto del certificado del servidor en todos los endpoints. Evite que los usuarios confíen manualmente en certificados desconocidos.
Descontinuar WPA2-Personal: Asegúrese de que todo el acceso corporativo dependa de 802.1X (WPA2/WPA3-Enterprise). Las claves precompartidas (PSK) deben limitarse estrictamente a redes IoT aisladas.
Alinearse con PCI DSS: Para los establecimientos que procesan pagos, el requisito 4 de PCI DSS exige una criptografía sólida para transmitir datos de titulares de tarjetas a través de redes inalámbricas. El PCI Security Standards Council recomienda explícitamente EAP-TLS para una autenticación robusta [3].
Monitorear analíticas: Utilice plataformas como WiFi Analytics de Purple para monitorear el estado de la red, identificar patrones de conexión anómalos y garantizar que los dispositivos heredados no intenten acceder a subredes restringidas.

ROI e impacto comercial

El retorno de inversión al migrar a EAP-TLS se mide principalmente en la mitigación de riesgos. Un ataque de gemelo malvado (evil twin) exitoso contra PEAP-MSCHAPv2 expone credenciales válidas de Active Directory, lo que proporciona a los actores de amenazas un acceso inicial a la red corporativa. El impacto financiero de una filtración de datos resultante, el despliegue de ransomware o una multa regulatoria (como las contempladas bajo el GDPR) supera con creces el costo operativo de implementar una PKI en la nube y actualizar los perfiles de MDM.

Además, la autenticación basada en certificados reduce significativamente el volumen de tickets de soporte técnico relacionados con la expiración y el bloqueo de contraseñas. Al migrar a EAP-TLS, los equipos de TI eliminan la fricción del acceso a WiFi basado en contraseñas, ofreciendo una experiencia de conectividad segura y fluida que respalda las arquitecturas modernas de red zero-trust.

Referencias

[1] Microsoft Security Response Center. "Weaknesses in MS-CHAPv2 authentication." Agosto de 2012. [2] Marlinspike, Moxie. "Defeating PPTP VPNs and WPA2 Enterprise with MS-CHAPv2." DEF CON 20, 2012. [3] PCI Security Standards Council. "Information Supplement: PCI DSS Wireless Guidelines."

Definiciones clave

PEAP (Protected Extensible Authentication Protocol)

Un método EAP que encapsula el proceso de autenticación dentro de un túnel TLS seguro para proteger las credenciales de autenticación internas de ser interceptadas de forma inalámbrica.

Ampliamente utilizado porque solo requiere un certificado del lado del servidor, lo que facilita su implementación en comparación con los métodos de autenticación mutua.

MSCHAPv2

El protocolo de autenticación interna comúnmente utilizado dentro de un túnel PEAP, el cual se basa en un mecanismo de desafío-respuesta que utiliza el hash NT de la contraseña del usuario.

La principal fuente de vulnerabilidad en las implementaciones de PEAP debido a su dependencia del hash MD4 obsoleto y el cifrado DES.

EAP-TLS

Un método EAP que requiere autenticación mutua, donde tanto el servidor RADIUS como el dispositivo cliente presentan certificados digitales para demostrar su identidad.

El estándar de oro de la industria para la seguridad de WiFi empresarial, inmune a ataques de diccionario fuera de línea y de gemelo malvado (evil twin).

Evil Twin Attack

Un ataque inalámbrico en el que un punto de acceso no autorizado imita un SSID corporativo legítimo para engañar a los dispositivos clientes para que se conecten, lo que permite al atacante interceptar el tráfico o capturar credenciales de autenticación.

El vector principal utilizado por los atacantes para capturar los saludos de conexión (handshakes) de MSCHAPv2 en implementaciones vulnerables de PEAP.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que proporciona una gestión centralizada de Autenticación, Autorización y Contabilidad (AAA) para los usuarios que se conectan y utilizan un servicio de red.

La infraestructura de servidor central (como Cisco ISE o NPS) que procesa las solicitudes de autenticación 802.1X de los puntos de acceso.

PKI (Public Key Infrastructure)

Un conjunto de roles, políticas, hardware, software y procedimientos necesarios para crear, administrar, distribuir, usar, almacenar y revocar certificados digitales.

La infraestructura fundamental requerida para implementar EAP-TLS, entregada cada vez más a través de plataformas SaaS nativas de la nube.

MDM (Mobile Device Management)

Software que permite a los administradores de TI controlar, asegurar y hacer cumplir políticas en teléfonos inteligentes, tabletas y dispositivos finales.

Esencial para las migraciones a EAP-TLS, ya que se utiliza para enviar de forma silenciosa certificados de cliente y perfiles de WiFi estrictos a los dispositivos corporativos.

MAB (MAC Authentication Bypass)

Un método de control de acceso basado en puertos que autentica los dispositivos según su dirección MAC en lugar de requerir un nombre de usuario/contraseña o un certificado.

Utilizado como un mecanismo de respaldo para autenticar dispositivos heredados "sin interfaz" (como impresoras) que no pueden admitir protocolos 802.1X.

Ejemplos resueltos

Una cadena hotelera de 400 habitaciones utiliza actualmente PEAP-MSCHAPv2 para la red de su personal administrativo. El director de TI desea migrar a EAP-TLS, pero le preocupan 50 escáneres de inventario portátiles heredados que ejecutan un sistema operativo desactualizado y no admiten la inscripción de certificados. ¿Cómo debería el arquitecto de red manejar esta migración sin interrumpir las operaciones de inventario?

El arquitecto de red debe implementar un enfoque segmentado. Primero, implementar una PKI en la nube y configurar el servidor RADIUS central para que acepte tanto EAP-TLS como PEAP-MSCHAPv2. Utilizar la plataforma MDM del hotel para enviar certificados de cliente y un perfil de WiFi EAP-TLS actualizado a todas las laptops y tabletas modernas del personal. Para los 50 escáneres heredados, crear un SSID oculto y dedicado, mapeado a una VLAN aislada. Configurar la omisión de autenticación basada en MAC (MAB) para las direcciones MAC de estos escáneres específicos en el servidor RADIUS. Aplicar ACL de red estrictas a esta VLAN para que los escáneres solo puedan comunicarse con el servidor de la base de datos de inventario y nada más. Una vez que todos los dispositivos modernos utilicen EAP-TLS, desactivar PEAP-MSCHAPv2 en la red principal del personal.

Comentario del examinador: Este enfoque equilibra perfectamente una seguridad sólida para la mayoría de la flota con la continuidad operativa para el hardware heredado. Al aislar los dispositivos heredados en una VLAN restringida, el arquitecto mitiga el riesgo de que estos dispositivos se utilicen como punto de pivote si se ven comprometidos, al tiempo que elimina con éxito la vulnerabilidad de PEAP-MSCHAPv2 de la red corporativa principal.

Una organización minorista ha implementado Windows 11 22H2 en su flota corporativa. El soporte técnico de TI de repente recibe reportes de que los usuarios no pueden conectarse a la red WiFi corporativa WPA2-Enterprise, que utiliza PEAP-MSCHAPv2. ¿Cuál es la causa probable y cuál es la solución inmediata?

La causa probable es la introducción de Windows Defender Credential Guard, que está habilitado de forma predeterminada en Windows 11 22H2 y versiones más recientes. Credential Guard aísla y protege los hashes de contraseñas NTLM y los Kerberos Ticket Granting Tickets. Debido a que PEAP-MSCHAPv2 requiere acceso al hash NT para generar el desafío-respuesta, Credential Guard interrumpe intencionalmente este método de autenticación para evitar el robo de credenciales. La solución inmediata es acelerar la migración a EAP-TLS, que utiliza autenticación basada en certificados y es totalmente compatible con Credential Guard. Una solución alternativa temporal y menos segura sería deshabilitar Credential Guard a través de directivas de grupo, pero esto se desaconseja firmemente, ya que debilita la postura general de seguridad del sistema operativo.

Comentario del examinador: Este escenario destaca un impulsor operativo moderno y crítico para migrar fuera de PEAP. Las propias mejoras de seguridad del sistema operativo de Microsoft están dejando obsoleta de forma activa la compatibilidad con los hashes heredados que requiere MSCHAPv2. La solución identifica correctamente a EAP-TLS como la solución permanente en lugar de depender de degradaciones inseguras del sistema operativo.

Preguntas de práctica

Q1. Estás auditando la red inalámbrica de una subsidiaria recién adquirida. Utilizan PEAP-MSCHAPv2. El gerente de TI afirma que están protegidos contra ataques de gemelo malvado (evil twin) porque han ocultado el SSID y desactivado su transmisión. ¿Está su red protegida contra la captura de credenciales?

Sugerencia: Considera cómo se comportan los dispositivos cliente cuando están configurados para conectarse a redes ocultas, y si ocultar un SSID evita que un AP malicioso lo suplante.

Ver respuesta modelo

No, la red no es segura. Ocultar el SSID (desactivar las tramas de baliza o beacon frames) ofrece cero seguridad criptográfica. De hecho, los dispositivos configurados para conectarse a redes ocultas transmiten activamente solicitudes de sondeo (probe requests) que contienen el nombre del SSID, anunciando efectivamente la red oculta a cualquier atacante que esté escuchando. Un atacante puede capturar fácilmente el nombre del SSID, levantar un AP gemelo malvado que transmita exactamente ese SSID y ejecutar el ataque estándar de captura de credenciales MSCHAPv2. La única defensa es la validación estricta del certificado del servidor o la migración a EAP-TLS.

Q2. Durante un piloto de migración a EAP-TLS, distribuyes certificados de cliente a 20 laptops Windows a través de Intune. Sin embargo, la autenticación falla para los 20 dispositivos. Los registros del servidor RADIUS muestran 'Client Certificate Not Trusted'. Los certificados de cliente fueron emitidos por tu nueva Cloud PKI. ¿Qué paso crítico de configuración se omitió?

Sugerencia: Para que la autenticación mutua funcione, ambas partes deben confiar en la entidad que emitió el certificado de la otra parte.

Ver respuesta modelo

El servidor RADIUS no ha sido configurado para confiar en la CA raíz de la nueva Cloud PKI. Aunque las laptops tienen los certificados de cliente correctos, cuando los presentan al servidor RADIUS, este los rechaza porque no tiene los certificados raíz/intermedios de la Cloud PKI en su almacén de confianza local. Debes importar el certificado público de la CA raíz de la Cloud PKI en el almacén de entidades de certificación de confianza del servidor RADIUS.

Q3. Tu organización exige EAP-TLS para el WiFi corporativo. Un alto ejecutivo insiste en conectar su iPad personal no gestionado a la red corporativa para acceder a tableros financieros internos. ¿Cómo atiendes esta solicitud manteniendo la postura de seguridad de EAP-TLS?

Sugerencia: Considera los requisitos previos para EAP-TLS y la definición de un dispositivo 'gestionado'.

Ver respuesta modelo

No puedes atender esta solicitud de forma segura en la red corporativa principal sin comprometer la arquitectura EAP-TLS. EAP-TLS requiere un certificado de cliente. Debido a que el iPad no está gestionado (BYOD), el departamento de TI no puede distribuir un certificado de forma segura a través de un MDM. Permitir que el ejecutivo instale manualmente un certificado introduce un riesgo significativo y una gran carga administrativa. El enfoque correcto es denegar el acceso al SSID corporativo. En su lugar, el ejecutivo debe conectarse al WiFi de invitados y utilizar una VPN corporativa segura (que admita autenticación moderna MFA/SAML) para acceder a los recursos internos, o bien el dispositivo debe registrarse en el MDM corporativo para recibir un certificado.

Continúe leyendo esta serie

How to Configure SCEP for Automated Enterprise WiFi Certificate Enrollment

Esta guía explica cómo configurar SCEP (Simple Certificate Enrollment Protocol) para el registro automatizado de certificados de WiFi empresariales, abarcando toda la arquitectura desde PKI y NDES hasta la implementación de perfiles MDM y la validación RADIUS. Está dirigida a gerentes de TI, arquitectos de red y CTOs en hoteles, cadenas de retail, estadios, centros de convenciones y organizaciones del sector público que necesitan ir más allá de las claves precompartidas e implementar una autenticación 802.1X EAP-TLS escalable y basada en la identidad. La plataforma de superposición en la nube de Purple, que es agnóstica al hardware, se integra directamente con esta arquitectura, proporcionando la capa de WiFi para invitados y BYOD que coexiste junto con la red de personal autenticada por certificado.

La guía empresarial de SCEP: Implementación de Simple Certificate Enrollment Protocol para la seguridad automatizada de WiFi en campus

Esta guía de referencia técnica proporciona un diseño arquitectónico definitivo y una estrategia de implementación paso a paso para la distribución de certificados de WiFi empresarial mediante SCEP. Cubre las diferencias críticas entre SCEP y PKCS, la secuencia exacta de implementación requerida para el éxito y las estrategias de mitigación de riesgos del mundo real para los líderes de TI.

Cómo implementar SCEP para la inscripción automatizada de certificados WiFi

Esta guía explica cómo implementar SCEP (Simple Certificate Enrollment Protocol) para la inscripción automatizada de certificados WiFi en entornos empresariales. Cubre el diseño completo de la arquitectura, desde el diseño de PKI y la integración con MDM hasta la secuencia obligatoria de implementación de tres pasos, y muestra a los gerentes de TI y arquitectos de red cómo eliminar las credenciales compartidas, automatizar la gestión del ciclo de vida de los certificados y cumplir con los requisitos de PCI DSS y GDPR a escala.