Per-Device PSK por proveedor: comparación de iPSK, DPSK, MPSK y PPSK (y soporte de WPA3)

Una comparación exhaustiva de las implementaciones de per-device PSK en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet y Ubiquiti UniFi. Conozca cómo WPA3-SAE afecta las estrategias de claves por dispositivo y cuándo implementar modos de transición en lugar de migrar a 802.1X.

📖 6 min de lectura📝 1,350 palabras🔧 2 ejemplos resueltos❓ 3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast

Per-Device PSK by Vendor: iPSK, DPSK, MPSK and PPSK Compared, and WPA3 Support. A Purple Technical Briefing.

Introduction and Context.

Welcome to the Purple technical briefing series. I'm going to walk you through one of the most practically important - and frequently misunderstood - topics in enterprise WiFi right now: per-device pre-shared keys. Specifically, we're going to compare how each of the major vendors implements this capability, what they call it, how it actually works under the hood, and - critically - what happens when you try to move to WPA3.

If you're an IT manager, network architect, or venue operations director running WiFi across a hotel estate, a retail chain, a stadium, or a public-sector campus, this briefing is for you. You've probably already encountered the alphabet soup: iPSK, DPSK, MPSK, PPSK. They all refer to the same concept - giving each device or user its own unique password on a single SSID - but the implementations differ significantly, and those differences matter when you're planning your next infrastructure refresh.

Let's start with the fundamentals, then work through each vendor, and finish with the WPA3 question that everyone is wrestling with right now.

Technical Deep-Dive.

So what is per-device PSK, and why does it exist?

Traditional WPA2-Personal uses a single shared passphrase for an entire SSID. Everyone on your guest network uses the same password. That creates two problems. First, you can't revoke access for one device without changing the password for everyone. Second, you have no per-device visibility or policy enforcement. Per-device PSK solves both. Each device or user gets a unique credential. You can revoke one without touching the others. You can assign different VLANs, bandwidth policies, or access schedules per key. It's the middle ground between the simplicity of WPA2-Personal and the complexity of full 802.1X enterprise authentication.

Now let's look at how each vendor implements this.

Cisco Meraki calls it iPSK - Identity Pre-Shared Key. Meraki supports two modes. Without RADIUS, you configure up to five unique PSKs directly in the Meraki dashboard, each mapped to a VLAN. It's quick to set up and requires no external infrastructure. With RADIUS - typically Cisco ISE - you can scale to thousands of keys. The client associates, the AP sends the MAC address and a PSK hint to the RADIUS server, the server returns the correct per-device key, and the standard WPA2 four-way handshake completes using that key as the Pairwise Master Key. The key insight here is that the RADIUS server is doing the lookup, not the AP. The AP just facilitates the exchange.

HPE Aruba calls it MPSK - Multiple Pre-Shared Key. Aruba Central and Aruba Instant support MPSK in two modes: MPSK Local, where keys are stored on the controller or AP cluster, and MPSK with ClearPass, Aruba's RADIUS and policy engine. ClearPass can hold tens of thousands of keys, assign dynamic VLANs, and apply role-based policies per key. The authentication flow is essentially the same as Meraki's RADIUS mode - MAC-based lookup returns the per-device key before the four-way handshake.

Ruckus - now part of CommScope - calls it DPSK, Dynamic Pre-Shared Key. This is arguably the most mature implementation in the market. Ruckus DPSK has been available since the early SmartZone days. In local mode, the DPSK service runs on the controller and holds the key database. In RADIUS mode, it integrates with Cloudpath, Ruckus's own network access control platform. What makes Ruckus notable is DPSK3 - their WPA3 extension of DPSK, which we'll come back to shortly. DPSK3 is available on Wi-Fi 6, 6E, and 7 access points running firmware 7.0 or later, and it operates in WPA2 slash WPA3 mixed mode.

Juniper Mist calls it PPSK - Private Pre-Shared Key - or sometimes Multi-PSK. Mist stores keys in the cloud, in the Mist organisation or site key database, with a limit of 5,000 keys per site. Keys can be assigned per user, per device, or per group. Mist also integrates with its Access Assurance service - the cloud-native NAC - which adds RADIUS-based PSK lookup. Critically, Juniper has announced WPA3 RADIUS PSK support through Access Assurance, allowing a single WPA3-Personal SSID to serve multiple passphrases. This is one of the more forward-looking implementations in the market.

Extreme Networks - which acquired Aerohive - calls it PPSK, Private Pre-Shared Key, through ExtremeCloud IQ. Extreme's implementation supports local key storage on the AP itself, which is useful for branch or remote sites with limited connectivity. It also supports RADIUS-based lookup via ExtremeCloud IQ's cloud RADIUS service. MAC binding is available, which ties a PPSK to a specific device MAC address for additional security.

Fortinet calls it MPSK, Multiple Pre-Shared Key, managed through FortiAP and the FortiGate wireless controller. Fortinet's implementation is notable because it explicitly supports WPA3-SAE and WPA3-SAE Transition security modes in its MPSK profiles - as of FortiAP firmware 8.0. You can create an MPSK profile with WPA3-SAE keys, assign them to a VAP, and enable dynamic VLAN assignment per key. This is one of the cleaner WPA3 MPSK implementations available today.

Ubiquiti UniFi calls it Private Pre-Shared Keys, or Private PSK. UniFi's implementation is local only - keys are stored in the UniFi Network controller, not in an external RADIUS server. You can assign different VLANs per key and set client limits per key. The significant limitation: as of mid-2026, UniFi Private PSK only works on WPA2 networks on 2.4 GHz and 5 GHz. WPA3 and 6 GHz are not supported. For smaller deployments this is fine, but it's a constraint worth knowing before you commit to a UniFi estate at scale.

Now, the WPA3 question. This is where it gets technically interesting.

WPA2-Personal uses a four-way handshake. The client and AP derive a Pairwise Transient Key from a shared Pairwise Master Key, which itself is derived from la frase de contraseña. Debido a que la derivación de PMK ocurre después de la búsqueda de RADIUS, el AP puede sustituir una clave por dispositivo en ese punto. Al estándar no le importa, solo ve una PMK válida.

WPA3-Personal reemplaza el protocolo de enlace de cuatro vías con SAE (Simultaneous Authentication of Equals). SAE es un protocolo basado en Diffie-Hellman. Ambas partes se comprometen a un elemento de contraseña compartido derivado de la frase de contraseña antes de que se complete la asociación. La diferencia crítica: la contraseña debe ser conocida por ambas partes antes de que comience el intercambio SAE. No hay ningún punto en el protocolo donde un servidor RADIUS pueda inyectar una clave diferente por dispositivo. El AP y el cliente ya están realizando un intercambio criptográfico con un único valor compartido.

Es por esto que WPA3 actualmente solo permite una clave por SSID en su forma estándar. No es una limitación de firmware. Es una restricción del protocolo.

Las soluciones alternativas se dividen en tres categorías.

Primero, el modo de transición WPA3, también llamado modo mixto WPA2 barra diagonal WPA3. El SSID anuncia tanto WPA2-PSK como WPA3-SAE. Los clientes WPA2 utilizan el protocolo de enlace de cuatro vías y pueden recibir claves por dispositivo a través de RADIUS. Los clientes WPA3 utilizan SAE con una única contraseña compartida. Este es el enfoque más implementado hoy en día y es compatible con Cisco Meraki, HPE Aruba, Ruckus y otros.

Segundo, extensiones propietarias. Ruckus DPSK3 es el ejemplo más claro. Al ejecutarse en modo mixto WPA2 barra diagonal WPA3 con Cloudpath como backend de RADIUS, DPSK3 permite que los dispositivos compatibles con WPA3 utilicen SAE mientras el sistema gestiona la vinculación de claves por dispositivo a través de la integración con Cloudpath. El Access Assurance WPA3 RADIUS PSK de Juniper adopta un enfoque similar. El MPSK de Fortinet con modo de transición WPA3-SAE le permite mezclar claves WPA2-Personal y WPA3-SAE en el mismo perfil MPSK.

Tercero, migrar a 802.1X. Para endpoints gestionados (laptops corporativas, dispositivos del personal, cualquier cosa a la que se le pueda instalar un certificado), WPA3-Enterprise con EAP-TLS es la respuesta ideal. Es totalmente compatible con WPA3 y 6 GHz, proporciona identidad por dispositivo y se integra con Microsoft Entra ID, Okta y Google Workspace. La desventaja es la complejidad de la implementación y la necesidad de una infraestructura de certificados.

Recomendaciones de implementación y errores comunes.

Entonces, ¿qué debería hacer realmente?

Si gestiona una propiedad hotelera con una combinación de dispositivos de huéspedes, sensores IoT y dispositivos del personal, la respuesta pragmática en 2026 es un diseño de SSID híbrido. Mantenga un SSID WPA2-Personal con PSK por dispositivo para IoT heredado y dispositivos de huéspedes. Ejecute un SSID WPA3-Enterprise para los dispositivos del personal que usted controla. Utilice el modo de transición en su SSID de huéspedes principal para admitir clientes WPA2 y WPA3 sin fragmentar su número de SSID.

Si utiliza Ruckus y cuenta con hardware Wi-Fi 6 o más reciente, vale la pena evaluar DPSK3 en modo mixto WPA2 barra diagonal WPA3 con Cloudpath. Le ofrece lo más cercano a un PSK por dispositivo nativo de WPA3 disponible hoy en día.

Si utiliza Fortinet, el perfil MPSK con transición WPA3-SAE es sencillo de configurar y le ofrece una ruta de migración limpia.

Si utiliza UniFi, sea explícito con sus partes interesadas en que el PSK privado es exclusivo para WPA2. Para los recintos que implementen Wi-Fi 6E o Wi-Fi 7 con radios de 6 GHz, necesitará una estrategia de autenticación diferente para esa banda.

El mayor error que vemos es que los equipos asumen que habilitar WPA3 en un SSID con PSK por dispositivo existente funcionará sin más. No será así. Realice pruebas en un sitio piloto primero. Verifique las versiones de firmware de sus AP; DPSK3 requiere la versión de firmware 7.0 o posterior en Ruckus, por ejemplo. Y verifique la compatibilidad de su servidor RADIUS; Ruckus DPSK3 en modo mixto requiere específicamente Cloudpath, no un servidor RADIUS genérico.

Un segundo error común es la proliferación descontrolada de claves. El PSK por dispositivo es excelente para la rendición de cuentas, pero solo si tiene un proceso para revocar las claves cuando los dispositivos se retiran de servicio. Sin una gestión del ciclo de vida, terminará con miles de claves huérfanas y sin un registro de auditoría. Integre el aprovisionamiento de sus claves con su flujo de trabajo de gestión de dispositivos desde el primer día.

Preguntas y respuestas rápidas.

¿Puedo usar PSK por dispositivo en un SSID de 6 GHz? No. 6 GHz exige exclusivamente WPA3, y WPA3 no admite de forma nativa PSK por dispositivo. Utilice 802.1X o un SSID independiente de 2.4 barra diagonal 5 GHz para los dispositivos que requieran PSK por dispositivo.

¿El PSK por dispositivo cumple con los requisitos de PCI DSS? El PSK por dispositivo en WPA2 puede cumplir con los requisitos de segmentación de red de PCI DSS 4.0 si cada clave se asocia a una VLAN aislada. Sin embargo, PCI DSS recomienda encarecidamente 802.1X para entornos de datos de titulares de tarjetas. Verifique con su QSA.

¿Cuál es el número máximo de claves por SSID? Varía significativamente. Cisco Meraki con ISE admite implementaciones muy grandes. Ruckus DPSK admite decenas de miles de claves. Juniper Mist tiene un límite de 5,000 por sitio. UniFi está limitado efectivamente por la memoria del controlador. Siempre consulte la documentación del proveedor para su versión específica de firmware.

¿Cómo encaja Purple en esto? Purple funciona como una capa de nube sobre su hardware existente. Nos integramos con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. Para implementaciones de Guest WiFi y Staff WiFi, Purple gestiona la capa de identidad (autenticación, captura de datos, gestión de consentimiento) y devuelve la asignación de VLAN o política correspondiente a su hardware a través de RADIUS o API. Usted conserva su infraestructura de PSK por dispositivo existente; Purple añade la capa de identidad y analítica por encima.

Resumen y próximos pasos.

Vamos a resumir esto.

El PSK por dispositivo, ya sea que lo llame iPSK, DPSK, MPSK o PPSK, es una función madura y bien respaldada por todos los principales proveedores de WiFi empresarial. Las implementaciones difieren en dónde se almacenan las claves, cómo escalan y cómo se integran con RADIUS.

El protocolo SAE de WPA3 crea una restricción técnica real para el PSK por dispositivo. El estándar no lo admite de forma nativa. Las respuestas prácticas hoy en día son el modo de transición, las extensiones propietarias como DPSK3 o la migración a 802.1X para los dispositivos que lo admitan.

El resumen proveedor por proveedor: Cisco Meraki iPSK funciona bien con ISE en modo RADIUS; el soporte de WPA3 es a través del modo de transición. HPE Aruba MPSK con ClearPass es altamente escalable; WPA3 MPSK está en desarrollo activo. Ruckus DPSK3 es la solución PSK por dispositivo WPA3 más madura disponible. Juniper Mist Access Assurance añade WPA3 RADIUS PSK. Fortinet MPSK es compatible explícitamente con WPA3-SAE en sus perfiles MPSK. Extreme PPSK es sólido para los modos local y RADIUS. UniFi Private PSK es exclusivo para WPA2 y de modo local.

Para sus próximos pasos: realice una auditoría de su implementación actual de PSK por dispositivo, identifique qué dispositivos son compatibles con WPA3 y diseñe una estrategia de SSID híbrido que sirva para ambos. Si está planeando una renovación de hardware, priorice los AP de Wi-Fi 6 o Wi-Fi 7 con soporte confirmado para DPSK3 o WPA3 MPSK.

Si desea comprender cómo Purple se integra con su proveedor de hardware específico para añadir gestión de identidad y analíticas sobre su implementación de PSK por dispositivo, visite purple.ai o hable con su equipo de cuenta.

Eso es todo por esta sesión informativa. Gracias por escuchar.

Puntos clave

✓Per-device PSK proporciona contraseñas únicas por dispositivo en un solo SSID, lo que permite la revocación y la asignación dinámica de VLAN.
✓Los principales proveedores lo admiten bajo diferentes nombres: Cisco iPSK, Aruba MPSK, Ruckus DPSK, Mist PPSK.
✓El protocolo SAE de WPA3 rompe el soporte nativo de per-device PSK porque la contraseña debe conocerse antes de que comience el handshake.
✓El modo de transición WPA3 (modo mixto WPA2/WPA3) es la solución alternativa más común, lo que permite que los clientes WPA2 utilicen claves por dispositivo.
✓Ruckus DPSK3 y Juniper Access Assurance ofrecen soluciones propietarias de per-device PSK para WPA3.
✓Para los dispositivos corporativos administrados, la migración a WPA3-Enterprise (802.1X) es la estrategia recomendada a largo plazo.

Resumen Ejecutivo

La Clave Precompartida por dispositivo (PSK) es la tecnología de transición esencial para las redes empresariales que necesitan visibilidad por dispositivo sin la complejidad de una autenticación 802.1X completa. Aunque los proveedores utilizan diferentes nombres (Cisco Meraki iPSK, HPE Aruba MPSK, Ruckus DPSK, Juniper Mist PPSK), el objetivo fundamental es idéntico: asignar una contraseña única a cada dispositivo en un solo SSID.

Sin embargo, la transición a WPA3 introduce una limitación arquitectónica significativa. WPA3 reemplaza el tradicional protocolo de enlace de cuatro vías de WPA2 con la Autenticación Simultánea de Iguales (SAE). SAE requiere que tanto el punto de acceso como el cliente conozcan la contraseña antes de que comience el intercambio, lo que rompe el mecanismo estándar de búsqueda basado en RADIUS utilizado por la mayoría de las implementaciones de PSK por dispositivo. Esta guía detalla cómo maneja cada proveedor principal la PSK por dispositivo, cómo almacenan y buscan las claves, y cómo abordan el desafío de WPA3-SAE, desde los modos de transición de WPA3 hasta las extensiones propietarias como Ruckus DPSK3.

Análisis Técnico Detallado

La Arquitectura de la PSK por Dispositivo

El WPA2-Personal tradicional utiliza una única frase de contraseña compartida para todo un SSID. Cada dispositivo utiliza la misma contraseña, lo que significa que no se puede revocar el acceso de un dispositivo sin cambiar la contraseña para todos los demás. Además, no se tiene visibilidad por dispositivo ni aplicación de políticas.

La PSK por dispositivo resuelve esto al emitir una credencial única para cada dispositivo o usuario. Se puede revocar una clave sin afectar a las demás. Se pueden asignar diferentes VLAN, políticas de ancho de banda o programaciones de acceso por clave.

El mecanismo técnico se basa en el protocolo de enlace de cuatro vías de WPA2. Cuando un cliente se asocia, el punto de acceso envía la dirección MAC del cliente a un servidor RADIUS (o a una base de datos local) en un mensaje de Access-Request. El servidor RADIUS devuelve un mensaje de Access-Accept que contiene la clave específica para ese dispositivo. Luego, el punto de acceso completa el protocolo de enlace de cuatro vías utilizando esa clave específica para derivar la Clave Maestra por Pares (PMK).

El Desafío de WPA3-SAE

WPA3-Personal reemplaza el protocolo de enlace de cuatro vías con SAE. SAE es un protocolo basado en Diffie-Hellman donde ambas partes se comprometen con un elemento de contraseña compartido derivado de la frase de contraseña antes de que se complete la asociación.

La diferencia crítica es que ambas partes deben conocer la contraseña antes de que comience el intercambio SAE. No hay ningún punto en el protocolo en el que un servidor RADIUS pueda inyectar una clave diferente por dispositivo. El punto de acceso y el cliente ya están ejecutando un intercambio criptográfico basado en un único valor compartido. Esta es una limitación del protocolo definida por el estándar IEEE 802.11, no una limitación del proveedor.

Comparación de Implementaciones de Proveedores

Todos los principales proveedores empresariales admiten PSK por dispositivo, pero sus implementaciones y preparación para WPA3 varían.

Cisco Meraki (iPSK) Cisco Meraki lo llama Clave Precompartida de Identidad (iPSK). Admite dos modos. Sin RADIUS, se pueden configurar hasta cinco PSK únicas directamente en el panel de Meraki. Con RADIUS (normalmente Cisco ISE), se puede escalar hasta 100,000 claves. El servidor RADIUS realiza la búsqueda y devuelve la clave por dispositivo. Para WPA3, Meraki se basa en el modo de transición WPA3 (modo mixto WPA2/WPA3), donde los clientes WPA2 utilizan el protocolo de enlace de cuatro vías y reciben claves por dispositivo, mientras que los clientes WPA3 utilizan SAE con una única contraseña compartida.

HPE Aruba (MPSK) HPE Aruba lo llama Clave Precompartida Múltiple (MPSK). Aruba admite MPSK Local, donde las claves se almacenan en el controlador, y MPSK con ClearPass, que actúa como el motor de políticas y RADIUS. ClearPass puede albergar decenas de miles de claves y asignar VLAN dinámicas. Al igual que Meraki, el soporte de WPA3 se maneja actualmente a través del modo de transición.

Ruckus (DPSK y DPSK3) Ruckus lo llama Clave Precompartida Dinámica (DPSK). Es una de las implementaciones más maduras, disponible desde los primeros días de SmartZone. En modo RADIUS, se integra con Cloudpath. Ruckus destaca por DPSK3, su extensión para WPA3. DPSK3 opera en modo mixto WPA2/WPA3 y requiere Cloudpath como backend de RADIUS. Permite que los dispositivos compatibles con WPA3 utilicen SAE mientras el sistema gestiona la vinculación de claves por dispositivo a través de la integración con Cloudpath.

Juniper Mist (PPSK / Multi-PSK) Juniper Mist lo llama Clave Precompartida Privada (PPSK) o Multi-PSK. Mist almacena las claves en la base de datos de la nube, con un límite de 5,000 claves por sitio. Las claves se pueden asignar por usuario, por dispositivo o por grupo. Mist se integra con su servicio Access Assurance, que añade la búsqueda de PSK basada en RADIUS. Juniper admite WPA3 RADIUS PSK a través de Access Assurance, lo que permite que un solo SSID WPA3-Personal sirva múltiples frases de contraseña.

Extreme Networks (PPSK) Extreme Networks lo llama Clave Precompartida Privada (PPSK) a través de ExtremeCloud IQ. Admite el almacenamiento local de claves en el propio punto de acceso, lo cual es útil para sitios remotos, así como la búsqueda basada en RADIUS a través del servicio RADIUS en la nube de ExtremeCloud IQ. Extreme admite la vinculación de MAC para asociar una PPSK a un dispositivo específico.

Fortinet (MPSK) Fortinet lo llama Clave Precompartida Múltiple (MPSK), gestionada a través de FortiAP y el controlador inalámbrico FortiGate. Fortinet admite explícitamente los modos de seguridad WPA3-SAE y de transición WPA3-SAE en sus perfiles MPSK. Se puede crear un perfil MPSK con claves WPA3-SAE, asignarlas a un VAP y habilitar la asignación dinámica de VLAN.

Ubiquiti UniFi (Private PSK) Ubiquiti UniFi lo llama Claves Precompartidas Privadas. La implementación es solo local; las claves se almacenan en el controlador UniFi Network. Se pueden asignar diferentes VLANNs por clave. Sin embargo, UniFi Private PSK solo funciona en redes WPA2 en las bandas de 2.4 GHz y 5 GHz. WPA3 y 6 GHz no son compatibles.

Guía de Implementación

Al implementar PSK por dispositivo, siga estos pasos para garantizar una arquitectura segura y escalable.

Audite el panorama de sus dispositivos: Identifique qué dispositivos son compatibles con WPA3 y cuáles dependen de WPA2. Los dispositivos IoT heredados probablemente requerirán WPA2 en el futuro previsible.
Seleccione la estrategia de SSID adecuada: Para un entorno mixto, implemente un diseño de SSID híbrido. Mantenga un SSID WPA2-Personal con PSK por dispositivo para IoT heredado y dispositivos de invitados. Implemente un SSID WPA3-Enterprise para los dispositivos administrados del personal.
Implemente el modo de transición con cuidado: Si utiliza el modo de transición WPA3 en su SSID de invitados principal, asegúrese de que sus puntos de acceso y servidores RADIUS estén configurados correctamente para manejar los flujos de autenticación mixtos.
Integre la gestión de identidades: No gestione las claves de forma manual. Integre el aprovisionamiento de sus claves con su flujo de trabajo de gestión de dispositivos o con un proveedor de identidad como Microsoft Entra ID o Okta.
Configure VLANs dinámicas: Asocie cada PSK por dispositivo a una VLAN específica para aplicar la segmentación de red. Esto es fundamental para aislar los dispositivos IoT del tráfico de invitados.

Mejores Prácticas

Aplique la gestión del ciclo de vida: El PSK por dispositivo requiere una gestión estricta del ciclo de vida. Debe contar con un proceso para revocar claves cuando los dispositivos se dejen de usar para evitar la proliferación descontrolada de claves.
Utilice 802.1X para endpoints administrados: Para las laptops corporativas y los dispositivos del personal, migre a WPA3-Enterprise con EAP-TLS. Proporciona una seguridad más sólida y compatibilidad nativa con modelos de zero-trust.
Pruebe las actualizaciones de WPA3: Nunca habilite WPA3 en un SSID con PSK por dispositivo existente sin realizar pruebas previas en un sitio piloto. Verifique las versiones de firmware y la compatibilidad del servidor RADIUS.
Aproveche Purple para la identidad: Integre Purple para gestionar la capa de identidad. Purple funciona como una superposición en la nube, proporcionando autenticación, captura de datos y gestión de consentimiento, y envía la asignación de VLAN adecuada a su hardware a través de RADIUS. Consulte Enterprise WiFi Security: A Complete Guide for 2026 para obtener más detalles.

Resolución de Problemas y Mitigación de Riesgos

Clientes que no se pueden conectar en WPA3: Si los dispositivos heredados no logran conectarse a un SSID en modo de transición WPA3, a menudo se debe a controladores inalámbricos incompatibles. Asegúrese de que los controladores del cliente estén actualizados. Si el problema persiste, mueva los dispositivos heredados a un SSID dedicado exclusivo para WPA2.
Tiempos de espera de RADIUS agotados: Si el punto de acceso agota el tiempo de espera esperando la clave por dispositivo del servidor RADIUS, verifique la ruta de la red y asegúrese de que el servidor RADIUS esté dimensionado para manejar la carga de autenticación.
Fallos en la asignación de VLAN: Si un dispositivo se conecta pero recibe la dirección IP incorrecta, verifique el mapeo de VLAN en el mensaje Access-Accept de RADIUS y asegúrese de que la VLAN exista en el punto de acceso y en el puerto del switch.

ROI e Impacto Comercial

La implementación de PSK por dispositivo ofrece un valor comercial medible al reducir los tickets de soporte y mejorar la seguridad.

Menor carga de trabajo para el Helpdesk: La automatización del aprovisionamiento y la revocación de claves elimina los restablecimientos manuales de contraseñas.
Mejora de la postura de seguridad: Aislar los dispositivos en VLANs separadas según su clave única reduce el radio de impacto de un dispositivo comprometido.
Mayor visibilidad: Las claves por dispositivo brindan una visibilidad detallada del uso de la red, lo que le permite identificar a los acaparadores de ancho de banda y optimizar la planificación de la capacidad.

Definiciones clave

Per-Device PSK

Un mecanismo de seguridad que asigna una Pre-Shared Key única a cada dispositivo o usuario en un solo SSID, lo que permite la revocación individual y la asignación dinámica de políticas.

Se utiliza cuando los equipos de TI necesitan visibilidad y control por dispositivo sin tener que implementar una autenticación 802.1X completa.

WPA3-SAE

Simultaneous Authentication of Equals. El protocolo seguro de establecimiento de claves utilizado en WPA3-Personal, que reemplaza el handshake de cuatro vías de WPA2.

Relevante al actualizar a WPA3 o implementar redes de 6 GHz, ya que cambia fundamentalmente la forma en que se autentican las contraseñas.

Transition Mode

Una configuración de modo mixto donde un SSID anuncia soporte tanto para WPA2-PSK como para WPA3-SAE, lo que permite que los clientes heredados y modernos se conecten al mismo nombre de red.

El enfoque estándar para migrar redes existentes a WPA3 sin dejar desamparados a los dispositivos heredados.

MAC Binding

El proceso de asociar una per-device PSK específica con la dirección MAC de hardware de un dispositivo específico, evitando que la clave se use en otro dispositivo.

Se utiliza para evitar el uso compartido de credenciales y garantizar un control de acceso estricto para los dispositivos IoT.

Dynamic VLAN Assignment

La capacidad de asignar un dispositivo a una VLAN específica en función de sus credenciales de autenticación (como su per-device PSK), en lugar del SSID al que se conecta.

Esencial para la segmentación de red, lo que permite a TI aislar el tráfico de invitados del tráfico corporativo en el mismo punto de acceso.

iPSK

Identity Pre-Shared Key. La implementación de Cisco Meraki de per-device PSK.

Se encuentra al administrar redes inalámbricas de Cisco Meraki.

DPSK

Dynamic Pre-Shared Key. La implementación de Ruckus de per-device PSK, siendo DPSK3 la versión compatible con WPA3.

Se encuentra al administrar redes inalámbricas de Ruckus.

MPSK

Multiple Pre-Shared Key. El término utilizado por HPE Aruba y Fortinet para sus implementaciones de per-device PSK.

Se encuentra al administrar redes inalámbricas de HPE Aruba o Fortinet.

Ejemplos resueltos

Un hotel de 200 habitaciones necesita proporcionar WiFi de invitados seguro y aislar las smart TVs de cada habitación. Actualmente utilizan una única contraseña WPA2-Personal para todos los huéspedes y dispositivos.

Implemente per-device PSK utilizando un backend RADIUS. Integre Purple para capturar los datos de los huéspedes y emitir una PSK única a cada huésped al registrarse. Para las smart TVs, genere una PSK única para cada TV y asóciela a una VLAN de IoT dedicada. Configure las PSK de invitados para que se asocien a una VLAN de invitados independiente con el aislamiento de clientes activado.

Comentario del examinador: Este enfoque protege la red al aislar los dispositivos IoT del tráfico de invitados. El uso de Purple automatiza el aprovisionamiento de claves de invitados, reduciendo los tickets de soporte técnico, mientras que la VLAN de IoT dedicada garantiza que los huéspedes no puedan acceder a las smart TVs.

Un campus universitario se está actualizando a Wi-Fi 6E y debe admitir WPA3 en la banda de 6 GHz, pero tienen miles de dispositivos IoT heredados que solo admiten WPA2.

Implemente un diseño de SSID híbrido. Cree un SSID WPA3-Enterprise para las laptops y smartphones de estudiantes y personal, utilizando 802.1X para la autenticación. Cree un SSID WPA2-Personal independiente con per-device PSK en las bandas de 2.4 GHz y 5 GHz específicamente para los dispositivos IoT heredados.

Comentario del examinador: Este diseño cumple con el requisito de WPA3 para la banda de 6 GHz al tiempo que mantiene la compatibilidad con los dispositivos heredados. Evita las complejidades del modo de transición WPA3 y proporciona una ruta de migración clara a 802.1X para los endpoints administrados.

Preguntas de práctica

Q1. Está implementando puntos de acceso Wi-Fi 6E y necesita admitir clientes de 6 GHz. Su red de 5 GHz existente utiliza iPSK para dispositivos IoT. ¿Puede extender la configuración de iPSK a la banda de 6 GHz?

Sugerencia: Considere los protocolos de seguridad obligatorios para la banda de 6 GHz.

Ver respuesta modelo

No. La banda de 6 GHz exige WPA3, y WPA3-SAE no admite de forma nativa per-device PSK (iPSK). Debe mantener los dispositivos IoT en un SSID WPA2 de 2.4/5 GHz o migrarlos a 802.1X si es compatible.

Q2. Una cadena de tiendas minoristas utiliza Aruba MPSK para asignar claves únicas a las terminales de punto de venta. Quieren actualizar su SSID principal a WPA3 para una mejor seguridad. ¿Cuál es el enfoque recomendado?

Sugerencia: Aruba MPSK requiere el handshake de cuatro vías de WPA2.

Ver respuesta modelo

Habilite el modo de transición WPA3 (modo mixto WPA2/WPA3) en el SSID. Las terminales de punto de venta continuarán conectándose usando WPA2 y MPSK, mientras que los dispositivos más nuevos podrán conectarse usando WPA3-SAE con una contraseña compartida.

Q3. Usted administra una red Ruckus y desea implementar per-device PSK para clientes WPA3. ¿Qué configuración específica se requiere?

Sugerencia: Considere la extensión patentada que ofrece Ruckus y sus requisitos de backend.

Ver respuesta modelo

Debe implementar Ruckus DPSK3. Esto requiere puntos de acceso Wi-Fi 6 o más nuevos con firmware 7.0 o posterior, configurar el SSID para el modo mixto WPA2/WPA3 y usar Ruckus Cloudpath como servidor RADIUS.

Continúe leyendo esta serie

Captive Portal Authentication Methods Compared

Esta guía de referencia técnica autorizada evalúa las ventajas y desventajas arquitectónicas, operativas y de cumplimiento de cinco métodos principales de autenticación de Captive Portal. Proporciona a los arquitectos de red, directores de TI y gerentes de marketing los datos cuantitativos y los marcos de decisión necesarios para equilibrar la fricción del registro de invitados con los requisitos de recopilación de datos en los establecimientos empresariales.

¿Qué es la autenticación por dirección MAC? Cuándo usarla y cuándo evitarla

Esta guía de referencia técnica autorizada cubre la autenticación por dirección MAC en entornos de WiFi empresariales: cómo funciona la autenticación MAC basada en RADIUS en la Capa 2, sus vulnerabilidades de seguridad inherentes (incluyendo el spoofing de MAC y el impacto de la aleatorización de MAC a nivel de sistema operativo) y los contextos operativos precisos donde sigue siendo una herramienta válida para gestionar dispositivos IoT y headless. Proporciona orientación de implementación práctica para gerentes de TI y arquitectos de redes en sectores como hotelería, retail, salud y espacios públicos, con ejemplos prácticos del mundo real, marcos de decisión y contexto de integración para la plataforma de analítica y WiFi de invitados de Purple.

Cómo configurar WiFi empresarial en iOS y macOS con 802.1X

Esta guía autorizada proporciona a los líderes de TI de nivel sénior pasos prácticos para implementar WiFi empresarial 802.1X en dispositivos iOS y macOS. Cubre la autenticación basada en certificados (EAP-TLS), perfiles de configuración de MDM e integración de arquitectura para proteger las redes corporativas al tiempo que se admiten iniciativas BYOD.