¿Qué es la autenticación PEAP? Cómo PEAP protege su WiFi

Esta guía autorizada desglosa la autenticación PEAP para redes WiFi empresariales, detallando su arquitectura, limitaciones de seguridad en comparación con EAP-TLS y estrategias prácticas de implementación. Diseñada para gerentes de TI y arquitectos de redes, ofrece información práctica sobre cuándo sigue siendo adecuado PEAP-MSCHAPv2 y cómo protegerlo contra las amenazas modernas.

📖 5 min de lectura📝 1,239 palabras🔧 2 ejemplos resueltos❓ 3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast

What Is PEAP Authentication? How PEAP Secures Your WiFi. A Purple Enterprise WiFi Intelligence Briefing.

Welcome. If you're responsible for network security at a hotel group, a retail estate, a stadium, or a public-sector organisation, this briefing is for you. Over the next ten minutes, we're going to cover PEAP authentication — what it actually is, how it works under the hood, where it fits in your security architecture, and critically, when it's the right call versus when you should be looking at something stronger. Let's get into it.

Section one: Context and why this matters right now.

Most enterprise WiFi deployments today still rely on one of two authentication models. You've either got a pre-shared key — a single password shared across the organisation — or you've got 802.1X, which is the IEEE standard for port-based network access control. PEAP sits firmly in the 802.1X camp, and it's by far the most widely deployed EAP method in corporate and institutional environments globally.

The reason PEAP became so dominant is straightforward: it solved a real operational problem. Before PEAP, deploying certificate-based WiFi authentication meant issuing client certificates to every device — every laptop, every phone, every tablet. For an organisation with five hundred employees and a BYOD policy, that's a PKI deployment headache that most IT teams simply didn't have the budget or the time for. PEAP offered a middle path: strong server-side authentication via TLS, with username and password credentials on the client side. No client certificates required.

That compromise made PEAP the de facto standard for enterprise WiFi authentication through the 2000s and 2010s, and it remains extremely common today. Understanding its architecture — and its limitations — is essential for anyone making infrastructure decisions in 2024 and beyond.

Section two: Technical deep-dive.

Let's walk through exactly what happens when a device authenticates via PEAP. The process has two distinct phases, and understanding both is critical.

The three actors in this exchange are: the supplicant — that's the client device, whether it's a laptop, a smartphone, or an IoT terminal; the authenticator — typically the wireless access point or the wireless LAN controller; and the authentication server — almost always a RADIUS server, such as Microsoft NPS, FreeRADIUS, or a cloud-hosted RADIUS service.

Phase one is TLS tunnel establishment. When the supplicant attempts to connect, the authenticator doesn't grant access immediately. Instead, it initiates an EAP exchange over the local network — this is EAPOL, EAP over LAN. The authenticator forwards this to the RADIUS server, which presents its server-side TLS certificate to the client. The client validates that certificate against its trusted certificate store. If validation succeeds, a TLS tunnel is established between the client and the RADIUS server. This tunnel is encrypted — typically TLS 1.2 or 1.3 in modern deployments.

Phase two is inner authentication. Inside that encrypted tunnel, the actual credentials are exchanged. In the most common deployment — PEAP-MSCHAPv2 — the client sends a username and password using the Microsoft Challenge Handshake Authentication Protocol version 2. The RADIUS server validates those credentials against its identity store, which might be Active Directory, LDAP, or a cloud identity provider. If the credentials check out, the RADIUS server sends an Access-Accept message back through the authenticator, and the client is granted network access.

The key security property here is that the MSCHAPv2 exchange happens inside the TLS tunnel. An attacker passively monitoring the wireless channel cannot see the credentials in transit. That's the core value proposition of PEAP.

Now, where does PEAP-MSCHAPv2 fall short? There are two significant issues that any security-conscious architect needs to understand.

First: server certificate validation. PEAP only requires the server to present a certificate — it does not require the client to present one. This creates a well-documented attack vector. If a client device is misconfigured to accept any certificate — or to accept certificates from any CA — an attacker can stand up a rogue access point, present a fraudulent certificate, and intercept the MSCHAPv2 handshake. Tools like hostapd-wpe have made this attack trivially accessible. The mitigation is rigorous supplicant configuration: enforce server certificate validation, pin the expected CA, and specify the server's common name. This is non-negotiable in any serious deployment.

Second: MSCHAPv2 is an older protocol with known weaknesses. The 2012 research by Moxie Marlinspike demonstrated that MSCHAPv2 challenge-response pairs can be cracked offline with sufficient compute. If an attacker does capture the inner authentication exchange — for example through the rogue AP attack described above — they can attempt to recover the plaintext password offline. The strength of your password policy therefore directly affects your exposure. Long, complex, randomly generated passwords significantly reduce this risk.

Compare this to EAP-TLS, where both the server and the client present certificates. There are no passwords to steal. The attack surface is dramatically reduced. The trade-off is operational complexity: you need a PKI, you need to issue and manage client certificates, and you need a mechanism to distribute them to every device. For organisations with a mature MDM deployment and a well-managed PKI, EAP-TLS is the gold standard. For everyone else, PEAP-MSCHAPv2 with rigorous configuration remains a defensible and practical choice.

Section three: Implementation recommendations and pitfalls.

Let me give you the practical deployment guidance. These are the things that separate a secure PEAP deployment from a vulnerable one.

Number one: enforce server certificate validation on every supplicant. This is the single most important configuration item. In Windows, this is the "Validate server certificate" checkbox in the wireless network profile. In iOS and Android, it's the CA certificate field in the EAP configuration. If this is not configured, your PEAP deployment is vulnerable to rogue AP attacks regardless of how well everything else is set up.

Number two: deploy via MDM or GPO, not manual configuration. Manual configuration by end users is unreliable. Users will click through certificate warnings. They will misconfigure the CA field. Push your wireless profiles via Microsoft Intune, Jamf, or Group Policy. This ensures consistent, policy-compliant supplicant configuration across your estate.

Number three: use TLS 1.2 as a minimum on your RADIUS server. Disable TLS 1.0 and 1.1. Most modern RADIUS implementations support this, but it's worth verifying — particularly on older on-premises deployments.

Number four: integrate with your identity provider. PEAP-MSCHAPv2 authenticates against a credential store. That store should be your authoritative identity provider — Active Directory, Azure AD via NPS extension, or a cloud RADIUS service with LDAP integration. This means that when an employee leaves, disabling their account immediately revokes their WiFi access. No shared secrets to rotate, no manual deprovisioning.

Number five: consider your guest network separately. PEAP is an enterprise authentication method. For guest WiFi — where you're onboarding visitors, customers, or event attendees — you need a different approach. Platforms like Purple provide a purpose-built guest WiFi layer that handles captive portal authentication, data capture, and analytics without requiring RADIUS infrastructure on the guest SSID. Keep your enterprise SSID on 802.1X with PEAP, and your guest SSID on a separate, isolated network with appropriate onboarding.

Number six: plan for certificate rotation. Your RADIUS server certificate will expire. When it does, every client that has pinned that certificate will fail to authenticate until the new certificate is distributed. Build certificate renewal into your operational calendar — at least 90 days before expiry — and test the rotation process in a staging environment before rolling it out to production.

The most common failure modes I see in the field are: certificate validation not enforced, leading to rogue AP vulnerability; RADIUS server certificates that expire without warning, causing widespread authentication failures; and MSCHAPv2 inner authentication exposed because the RADIUS server is accessible from the wrong network segment. All three are avoidable with proper planning.

Section four: Rapid-fire questions.

Can PEAP work with cloud identity providers like Azure AD? Yes. Microsoft's NPS extension for Azure AD MFA allows you to proxy PEAP authentication through Azure AD, enabling multi-factor authentication on your WiFi. Alternatively, cloud RADIUS services like Cisco ISE, Aruba ClearPass, or JumpCloud RADIUS can integrate directly with Azure AD or Okta.

Is PEAP compliant with PCI DSS? PEAP-MSCHAPv2 can be used in PCI DSS environments, but you need to ensure server certificate validation is enforced, TLS 1.2 or higher is in use, and the RADIUS server is properly segmented. PCI DSS 4.0 tightens requirements around network access controls — review the relevant requirements with your QSA.

Should I migrate from PEAP to EAP-TLS? If you have a mature MDM deployment and the operational capacity to manage a PKI, yes — EAP-TLS is the stronger choice. If you're managing a mixed estate with personal devices, legacy hardware, or limited MDM coverage, PEAP-MSCHAPv2 with rigorous configuration remains appropriate. This is a risk-based decision, not a binary one.

What about WPA3-Enterprise? WPA3-Enterprise mandates 192-bit security mode for high-security environments, but it still supports EAP methods including PEAP. WPA3 improves the over-the-air encryption but does not change the EAP authentication exchange itself.

Section five: Summary and next steps.

To bring this together: PEAP is a two-phase authentication protocol that wraps inner credentials — typically MSCHAPv2 — inside a TLS tunnel. It's the most widely deployed 802.1X EAP method because it eliminates the need for client certificates while still providing strong server authentication. Its primary vulnerability is rogue AP attacks enabled by misconfigured supplicants that don't validate the server certificate. Mitigate this through MDM-enforced wireless profiles, CA pinning, and server name validation.

For most enterprise WiFi deployments — corporate offices, hotel back-of-house networks, retail staff networks — PEAP-MSCHAPv2 with proper configuration is a sound, defensible choice. For high-security environments, regulated industries, or organisations with mature PKI infrastructure, EAP-TLS provides meaningfully stronger security and should be the target architecture.

If you're also running guest WiFi alongside your enterprise network — and most of you are — remember that PEAP is not the right tool for guest onboarding. Look at platforms like Purple, which provide purpose-built guest WiFi authentication with analytics, data capture, and marketing integration, keeping your guest and enterprise traffic properly separated and your compliance posture intact.

For further reading, check out Purple's guides on RADIUS server architecture and enterprise WiFi authentication. Links are in the show notes.

Thanks for listening. This has been a Purple Enterprise WiFi Intelligence Briefing.

Puntos clave

✓PEAP encapsula el vulnerable intercambio de credenciales MSCHAPv2 dentro de un túnel TLS seguro.
✓Proporciona una sólida autenticación de servidor sin la carga administrativa de implementar certificados de cliente.
✓No exigir la validación del certificado del servidor en los dispositivos cliente es la vulnerabilidad más crítica en las implementaciones de PEAP.
✓Los perfiles inalámbricos deben implementarse a través de MDM o GPO para evitar que los usuarios omitan las advertencias de seguridad.
✓Aunque PEAP es muy eficaz para dispositivos gestionados, EAP-TLS sigue siendo el estándar de oro para entornos de alta seguridad.
✓El WiFi de invitados debe aislarse de la infraestructura 802.1X empresarial mediante soluciones de Captive Portal dedicadas.
✓El monitoreo automatizado del certificado del servidor RADIUS es esencial para evitar interrupciones en toda la red.

Resumen Ejecutivo

Protected Extensible Authentication Protocol (PEAP) sigue siendo el método de autenticación 802.1X más implementado en los entornos empresariales actuales. Desarrollado conjuntamente por Cisco, Microsoft y RSA Security, PEAP fue diseñado para resolver un desafío operativo específico: cómo lograr una autenticación de servidor sólida basada en certificados sin la abrumadora carga administrativa de implementar certificados de cliente en cada dispositivo de la red.

Para los directores de TI y arquitectos de redes que gestionan infraestructuras complejas, ya sea en Retail , Sector salud o grandes oficinas corporativas, PEAP-MSCHAPv2 ofrece un punto medio pragmático entre la inseguridad de las claves precompartidas (PSK) y la complejidad de implementación de EAP-TLS. Sin embargo, esta conveniencia conlleva compensaciones de seguridad inherentes. A medida que los ataques de puntos de acceso no autorizados se vuelven cada vez más sofisticados, las implementaciones de PEAP mal configuradas presentan una vulnerabilidad crítica.

Esta guía proporciona una inmersión técnica profunda y completa en la arquitectura de PEAP, su mecánica operativa y los estándares de configuración obligatorios requeridos para protegerla en las redes empresariales modernas.

Inmersión técnica profunda: La arquitectura de PEAP

Para comprender PEAP, debemos examinar su proceso de autenticación de dos fases. PEAP opera estableciendo un túnel externo seguro antes de intercambiar cualquier dato de credenciales confidenciales en el túnel interno.

Fase 1: Establecimiento del túnel TLS

Cuando un suplicante (dispositivo cliente) intenta conectarse a la red, el autenticador (normalmente un punto de acceso inalámbrico) bloquea todo el tráfico excepto las tramas de Extensible Authentication Protocol over LAN (EAPOL). El autenticador reenvía estas tramas al servidor de autenticación, que suele ser un servidor RADIUS. Para una comprensión más amplia de esta infraestructura, consulte nuestra guía sobre ¿Qué es RADIUS? Cómo los servidores RADIUS protegen las redes WiFi .

Durante la Fase 1, el servidor RADIUS presenta su certificado digital al suplicante. El suplicante valida este certificado contra sus Autoridades de Certificación (CA) raíz de confianza. Si la validación es exitosa, se establece un túnel TLS (Transport Layer Security) entre el suplicante y el servidor RADIUS. Este túnel cifrado protege todas las comunicaciones posteriores de la escucha en el medio inalámbrico.

Fase 2: Autenticación interna

Una vez establecido el túnel TLS, la autenticación real del usuario se lleva a cabo dentro de este canal seguro. El protocolo de autenticación interna más común es MSCHAPv2 (Microsoft Challenge Handshake Authentication Protocol versión 2).

Dentro del túnel, el suplicante envía las credenciales del usuario (nombre de usuario y contraseña) al servidor RADIUS. El servidor verifica estas credenciales contra un almacén de identidades, como Active Directory o un directorio LDAP. Si las credenciales son válidas, el servidor RADIUS envía un mensaje de Access-Accept de vuelta al autenticador y se le otorga acceso a la red al cliente.

La premisa de seguridad crítica de PEAP es que el vulnerable intercambio MSCHAPv2 está completamente encapsulado dentro del túnel TLS cifrado, protegiéndolo de la interceptación pasiva.

Guía de implementación: Cómo proteger PEAP-MSCHAPv2

Aunque PEAP es altamente funcional, su configuración predeterminada en muchos sistemas operativos cliente lo deja vulnerable a ataques sofisticados. Implementar PEAP de forma segura requiere una adhesión rigurosa a los siguientes estándares de implementación.

1. Validación obligatoria del certificado del servidor

La vulnerabilidad más significativa en una implementación de PEAP es la falta de obligatoriedad en la validación del certificado del servidor en el lado del cliente. Debido a que PEAP no requiere un certificado de cliente, el suplicante debe estar absolutamente seguro de que se está comunicando con el servidor RADIUS legítimo antes de transmitir las credenciales.

Si un dispositivo cliente está configurado para confiar en cualquier certificado, un atacante puede implementar un punto de acceso no autorizado, presentar un certificado fraudulento e interceptar el saludo MSCHAPv2. Herramientas como hostapd-wpe automatizan este ataque.

Acción de implementación: Los equipos de TI deben configurar todos los dispositivos empresariales para validar estrictamente el certificado del servidor. Esto implica vincular la CA raíz específica que emitió el certificado del servidor RADIUS y definir explícitamente el Common Name (CN) o Subject Alternative Name (SAN) esperado del servidor.

2. Perfiles inalámbricos impuestos por MDM

Depender de que los usuarios finales configuren manualmente los ajustes de 802.1X es un camino garantizado al fracaso. Los usuarios con frecuencia hacen clic para omitir las advertencias de certificado, lo que compromete la integridad del túnel TLS.

Acción de implementación: Los perfiles de red inalámbrica deben enviarse a todos los dispositivos corporativos a través de plataformas de Mobile Device Management (MDM) (por ejemplo, Microsoft Intune, Jamf) o Directivas de Grupo (GPO). Estos perfiles deben restringir los ajustes de EAP, evitando que los usuarios alteren los requisitos de validación de certificados.

3. Depreciación de protocolos heredados

Las versiones anteriores de TLS contienen vulnerabilidades criptográficas conocidas. Las implementaciones de PEAP deben exigir estándares de cifrado modernos.

Acción de implementación: Configure el servidor RADIUS para rechazar conexiones TLS 1.0 y TLS 1.1. Exija TLS 1.2 como mínimo absoluto, prefiriendo TLS 1.3 cuando la base de clientes lo admita.

Mejores prácticas: Segmentación estratégica de la red

Un error arquitectónico común es intentar utilizar PEAP para todo el acceso inalámbrico, incluidas las redes de invitados y BYOD. PEAP está diseñado para dispositivos empresariales gestionados que se autentican contra un directorio central.

Aislamiento del acceso de invitados

Para dispositivos no corporativos, PEAP es la herramienta incorrecta. Intentar gestionar las credenciales de invitados en un RADIUS el directorio crea una sobrecarga administrativa innecesaria e introduce riesgos de seguridad.

Los establecimientos en Hospitalidad y Transporte deben implementar una solución de Guest WiFi dedicada. Plataformas como Purple proporcionan un inicio de sesión seguro basado en Captive Portal que opera de manera completamente independiente de la infraestructura 802.1X empresarial. Esto garantiza que el tráfico de invitados esté aislado, al mismo tiempo que permite una valiosa captura de datos a través de Analíticas de WiFi .

El papel de EAP-TLS

Al evaluar PEAP, los arquitectos de red también deben considerar EAP-TLS. EAP-TLS proporciona autenticación mutua: tanto el servidor como el cliente deben presentar certificados válidos. Esto elimina por completo la dependencia de las contraseñas, haciendo que los ataques de robo de credenciales queden obsoletos.

Aunque EAP-TLS ofrece una seguridad superior, requiere una infraestructura de clave pública (PKI) robusta para emitir y gestionar certificados de cliente. Para entornos altamente regulados, EAP-TLS es la arquitectura objetivo. Para las organizaciones que carecen de madurez en PKI, una implementación de PEAP-MSCHAPv2 estrictamente configurada sigue siendo una opción defendible.

Resolución de problemas y mitigación de riesgos

Incluso las implementaciones de PEAP bien diseñadas pueden experimentar fallas operativas. Comprender los modos de falla comunes es esencial para una resolución rápida.

La crisis del vencimiento de certificados

El evento más disruptivo en un entorno PEAP es el vencimiento no gestionado del certificado del servidor RADIUS. Cuando el certificado expira, todos los clientes que exigen validación interrumpirán inmediatamente la conexión, lo que provocará una interrupción en toda la red.

Mitigación: Implemente un monitoreo automatizado para el certificado del servidor RADIUS. Establezca un procedimiento operativo estándar para renovar e implementar el nuevo certificado al menos 30 días antes de su vencimiento. Si utiliza una CA interna, asegúrese de monitorear la propia jerarquía de la CA.

Política de contraseñas y descifrado sin conexión

Aunque el túnel TLS protege el intercambio MSCHAPv2 en tránsito, si un atacante ejecuta con éxito un ataque de punto de acceso no autorizado (rogue AP) debido a clientes mal configurados, capturará los pares de desafío-respuesta. Las investigaciones han demostrado que los hashes de MSCHAPv2 se pueden descifrar sin conexión.

Mitigación: La complejidad de la contraseña de usuario subyacente es la última línea de defensa. Implemente políticas de contraseñas estrictas (requisitos de longitud mínima, reglas de complejidad y rotación regular) para aumentar el costo computacional del descifrado sin conexión.

ROI e impacto empresarial

La transición de PSK a una implementación de PEAP 802.1X gestionada adecuadamente ofrece un valor empresarial medible en varias dimensiones.

Reducción de la sobrecarga administrativa: Integrar la autenticación de WiFi directamente con el proveedor de identidad corporativo (por ejemplo, Active Directory) automatiza el alta y baja de usuarios. Cuando un empleado se va, deshabilitar su cuenta de directorio revoca inmediatamente el acceso a la red, eliminando la necesidad de rotar una contraseña compartida.
Auditabilidad mejorada: 802.1X proporciona visibilidad detallada a nivel de usuario sobre el acceso a la red. Los equipos de TI pueden rastrear de manera definitiva la actividad de la red hasta individuos específicos, un requisito crítico para marcos de cumplimiento como PCI DSS y GDPR.
Mitigación de riesgos: Al alejarse de las claves compartidas, las organizaciones reducen significativamente el riesgo de acceso no autorizado por parte de ex-empleados o actores maliciosos, protegiendo la propiedad intelectual y los datos corporativos confidenciales.

Para las organizaciones que buscan optimizar su arquitectura de red más amplia junto con su seguridad inalámbrica, se recomienda ampliamente explorar soluciones WAN modernas. Obtenga más información sobre Los beneficios principales de SD WAN para las empresas modernas .

Definiciones clave

PEAP (Protected Extensible Authentication Protocol)

Un protocolo de autenticación 802.1X que encapsula un método de autenticación interno (generalmente MSCHAPv2) dentro de un túnel TLS seguro.

El estándar dominante para la autenticación WiFi empresarial debido a su equilibrio entre seguridad y facilidad de implementación.

802.1X

El estándar IEEE para el Control de Acceso a la Red basado en puertos, que proporciona un mecanismo de autenticación a los dispositivos que desean conectarse a una LAN o WLAN.

El marco fundamental dentro del cual operan protocolos como PEAP y EAP-TLS.

EAPOL (EAP over LAN)

El protocolo utilizado para encapsular mensajes EAP sobre una red de área local, empleado durante las etapas iniciales de la autenticación 802.1X.

El mecanismo mediante el cual el cliente y el punto de acceso se comunican antes de que el puerto de red se abra por completo.

Supplicant

El dispositivo cliente (laptop, smartphone) que solicita acceso a la red.

El endpoint que debe configurarse correctamente para validar el certificado del servidor en una implementación de PEAP.

Authenticator

El dispositivo de red (punto de acceso o switch) que facilita el proceso de autenticación entre el suplicante y el servidor RADIUS.

El punto de control que bloquea el tráfico hasta que la autenticación sea exitosa.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que proporciona una gestión centralizada de Autenticación, Autorización y Contabilidad (AAA).

El servidor que valida las credenciales del usuario y emite la decisión final de aceptación o rechazo.

MSCHAPv2

Un protocolo de autenticación de desafío-respuesta desarrollado por Microsoft, comúnmente utilizado como el método de autenticación interno dentro de PEAP.

El protocolo que realmente verifica el nombre de usuario y la contraseña, pero requiere la protección del túnel TLS de PEAP debido a debilidades criptográficas.

EAP-TLS

Un método EAP que requiere autenticación mutua mediante certificados digitales tanto en el cliente como en el servidor.

La alternativa altamente segura a PEAP, que requiere una implementación de PKI pero elimina las vulnerabilidades basadas en contraseñas.

Ejemplos resueltos

Un hotel de lujo de 300 habitaciones necesita proteger la red WiFi de su personal operativo. Actualmente, utilizan una única contraseña WPA2-Personal que no se ha cambiado en tres años debido a la interrupción operativa que causaría actualizar todas las terminales de punto de venta y las tablets del personal. ¿Cómo deberían implementar PEAP para resolver esto?

El hotel debe implementar una arquitectura 802.1X utilizando PEAP-MSCHAPv2, integrando su controlador de LAN inalámbrica con su Active Directory central a través de un servidor RADIUS (por ejemplo, Microsoft NPS). Deben utilizar su plataforma MDM para enviar un perfil inalámbrico estandarizado a todas las tablets del personal y terminales de punto de venta. Este perfil debe exigir explícitamente la validación del certificado del servidor, vinculando la CA que emitió el certificado del servidor NPS. El personal se autenticará con sus credenciales individuales de AD.

Comentario del examinador: Este enfoque elimina la vulnerabilidad de una clave compartida estática. Al vincular la autenticación a AD, la baja del personal revoca de inmediato su acceso a la red WiFi. El uso de MDM para exigir la validación de certificados evita los ataques de AP no autorizados (rogue AP), que representan un alto riesgo en entornos de hospitalidad abiertos al público.

Una gran cadena de tiendas de retail está distribuyendo laptops corporativas a los gerentes de tienda en 500 ubicaciones. Quieren utilizar PEAP-MSCHAPv2, pero les preocupa la carga administrativa de gestionar certificados RADIUS en tantos sitios.

En lugar de implementar servidores RADIUS locales en cada tienda, la empresa de retail debería utilizar una solución RADIUS alojada en la nube e integrada con su proveedor de identidad en la nube (por ejemplo, Azure AD u Okta). Los puntos de acceso en las 500 ubicaciones apuntarán a los endpoints de RADIUS en la nube. Se utiliza un único certificado público de confianza global en el servidor RADIUS en la nube, y el payload de MDM implementado en las laptops vincula este certificado público específico.

Comentario del examinador: Centralizar la infraestructura RADIUS reduce drásticamente los costos de gestión. El uso de un certificado público simplifica la cadena de confianza en los dispositivos cliente, siempre que el perfil de MDM vincule estrictamente el certificado esperado para evitar la interceptación.

Preguntas de práctica

Q1. Está auditando la red WiFi de un hospital. Utilizan PEAP-MSCHAPv2 para los dispositivos del personal. Durante su revisión, nota que el perfil de MDM enviado a los iPads no tiene marcada la opción 'Validar certificado del servidor'. ¿Cuál es el riesgo inmediato?

Sugerencia: Considere qué sucede si un atacante configura un dispositivo que transmite el SSID del hospital.

Ver respuesta modelo

El riesgo inmediato es un ataque de punto de acceso no autorizado (Rogue AP o Evil Twin). Debido a que los iPads no están validando el certificado del servidor, intentarán autenticarse con cualquier AP que transmita el SSID correcto. Un atacante puede interceptar el saludo (handshake) MSCHAPv2 e intentar descifrar las contraseñas del personal fuera de línea, lo que provocaría el compromiso de las credenciales.

Q2. El departamento de TI de una universidad planea migrar la red de estudiantes de una clave precompartida (PSK) a 802.1X. Quieren utilizar EAP-TLS para obtener la máxima seguridad, pero se enfrentan a la resistencia del equipo de soporte (helpdesk). ¿Por qué PEAP-MSCHAPv2 podría ser una opción más práctica en este escenario?

Sugerencia: Considere el modelo de propiedad de los dispositivos en un entorno universitario.

Ver respuesta modelo

En una universidad, los dispositivos no están gestionados (BYOD). Implementar EAP-TLS requiere emitir e instalar un certificado de cliente único en la laptop, teléfono y tablet personal de cada estudiante. Esto representa una enorme carga de soporte para el helpdesk. PEAP-MSCHAPv2 solo requiere que los estudiantes ingresen su nombre de usuario y contraseña universitarios existentes, lo que facilita significativamente la incorporación (onboarding) y, al mismo tiempo, ofrece una mejora de seguridad importante en comparación con PSK.

Q3. El certificado del servidor RADIUS de su organización vencerá en 14 días. Fue emitido por una CA pública. ¿Qué pasos debe seguir para garantizar que no haya interrupciones en la red inalámbrica PEAP-MSCHAPv2?

Sugerencia: Piense en lo que los suplicantes están configurados actualmente para confiar.

Ver respuesta modelo

Debe adquirir el nuevo certificado de la CA pública e instalarlo en el servidor RADIUS. De manera crucial, debe revisar los perfiles inalámbricos de MDM. Si los perfiles están vinculados al certificado antiguo específico, deben actualizarse para confiar en el nuevo certificado antes de que expire el anterior. Si los perfiles solo vinculan la CA raíz (Root CA) y el nuevo certificado es emitido por la misma CA raíz, la transición debería ser fluida, pero debe probarse.

Continúe leyendo esta serie

Per-Device PSK by Vendor: iPSK, DPSK, MPSK and PPSK Compared (and WPA3 Support)

Una comparación exhaustiva de las implementaciones de PSK por dispositivo en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet y Ubiquiti UniFi. Conozca cómo WPA3-SAE afecta las estrategias de claves por dispositivo y cuándo implementar modos de transición en lugar de migrar a 802.1X.

Captive Portal Authentication Methods Compared

Esta guía de referencia técnica autorizada evalúa las ventajas y desventajas arquitectónicas, operativas y de cumplimiento de cinco métodos principales de autenticación de Captive Portal. Proporciona a arquitectos de red, directores de TI y gerentes de marketing los datos cuantitativos y los marcos de decisión necesarios para equilibrar la fricción en el registro de invitados con los requisitos de recopilación de datos en entornos empresariales.

What Is MAC Address Authentication? When to Use It and When to Avoid It

Esta guía técnica de referencia autorizada cubre la autenticación por dirección MAC en entornos WiFi empresariales: cómo funciona la autenticación MAC basada en RADIUS en la Capa 2, sus vulnerabilidades de seguridad inherentes (incluyendo la suplantación de MAC y el impacto de la aleatorización de MAC a nivel de sistema operativo), y los contextos operativos precisos donde sigue siendo una herramienta válida para gestionar dispositivos IoT y sin interfaz. Proporciona una guía de implementación práctica para gerentes de TI y arquitectos de red en hostelería, comercio minorista, atención médica y recintos del sector público, con ejemplos prácticos del mundo real, marcos de decisión y contexto de integración para la plataforma de WiFi para invitados y análisis de Purple.