Server RADIUS: una guía completa para empresas

Esta guía proporciona a directores de TI, arquitectos de redes y directores de tecnología una referencia técnica definitiva sobre la autenticación de server RADIUS para WiFi empresarial. Abarca el marco AAA, la arquitectura 802.1X, la selección del método EAP, las ventajas y desventajas de la implementación en la nube frente a la local, y la asignación dinámica de VLAN. Los operadores de recintos en los sectores de hotelería, comercio minorista, eventos y el sector público encontrarán orientación de implementación práctica, casos de estudio del mundo real y los marcos de decisión necesarios para migrar de claves precompartidas inseguras a una arquitectura de control de acceso a la red segura y basada en la identidad.

📖 9 min de lectura📝 2,075 palabras🔧 2 ejemplos resueltos❓ 4 preguntas de práctica📚 10 definiciones clave

Escucha esta guía

Ver transcripción del podcast

Le damos la bienvenida al Technical Briefing de Purple. Soy su anfitrión y durante los próximos diez minutos abordaremos una de las decisiones de infraestructura más importantes para cualquier equipo de TI empresarial: la autenticación de servidor RADIUS. Si es gerente de TI, arquitecto de redes o un CTO responsable del WiFi en un hotel, una cadena de tiendas, un estadio o un centro de convenciones, este informe es para usted. Iremos directo al grano, explicaremos la arquitectura de forma clara y le brindaremos la información práctica que necesita para tomar decisiones fundamentadas este trimestre.

Comencemos con el panorama general. ¿Por qué es importante todo esto?

Si todavía opera el WiFi para invitados o personal con una sola contraseña compartida, es decir, una clave previamente compartida (Pre-Shared Key), está expuesto a un riesgo de seguridad significativo y creciente. Esa contraseña se comparte, se escribe en recibos, se le toma foto en pizarrones y se reenvía a través de aplicaciones de mensajería. Una vez que se divulga, pierde visibilidad sobre quién está en su red, la capacidad de revocar el acceso a un solo usuario sin interrumpir a los demás y el historial de auditoría si algo sale mal. Para las organizaciones sujetas a PCI DSS, GDPR o HIPAA, esto no es solo un problema técnico. Es una responsabilidad de cumplimiento.

El servidor RADIUS es la solución en la que la industria ha coincidido para abordar este problema. Así que comprendamos exactamente qué es y cómo funciona.

RADIUS significa Remote Authentication Dial-In User Service. El nombre es un legado histórico de los inicios del internet de marcado telefónico, pero el protocolo ha evolucionado significativamente y sigue siendo la columna vertebral del control de acceso a redes empresariales en la actualidad. En esencia, un servidor RADIUS es un sistema centralizado que gestiona el acceso a la red mediante un marco de trabajo llamado AAA: autenticación, autorización y contabilidad (Authentication, Authorisation, and Accounting). Estos tres pilares son la base de todo lo que analizaremos hoy.

La autenticación es el primer pilar: verificar quién es alguien. La autorización es el segundo: determinar qué se les permite hacer. Y la contabilidad (Accounting) es el tercero: registrar lo que realmente hicieron.

Exploremos cada uno de ellos.

Autenticación. Cuando un usuario intenta conectarse a una red WiFi protegida con WPA2-Enterprise o WPA3-Enterprise, su dispositivo, al que llamamos suplicante (Supplicant), envía una solicitud de conexión al punto de acceso inalámbrico. El punto de acceso, al que llamamos autenticador (Authenticator), no toma la decisión de autenticación por sí mismo. Actúa como un enlace (relay), reenviando la solicitud al servidor RADIUS. Luego, el servidor valida la identidad del usuario con una fuente de identidad configurada. Esta podría ser Microsoft Entra ID, Okta, Google Workspace o una base de datos de usuarios local. La fuente de identidad es la única fuente de verdad para determinar quién tiene permitido ingresar a su red.

Autorización. Una vez que el usuario es autenticado, el servidor RADIUS no solo dice que sí y se hace a un lado. También le dice al punto de acceso exactamente qué hacer con este usuario. Envía de vuelta un conjunto de atributos, esencialmente instrucciones, que definen la experiencia de red del usuario. El más importante de estos suele ser la asignación de VLAN. El servidor RADIUS podría decir: este usuario es miembro del grupo de personal corporativo, asígnalo a la VLAN diez, que tiene acceso a servidores de archivos e impresoras internos. O: este usuario es un invitado, asígnalo a la VLAN veinte, que solo tiene acceso a internet y está completamente aislada de la red corporativa. Esta asignación dinámica de VLAN es una de las funciones más potentes de un servidor RADIUS, y es el mecanismo que permite una segmentación de red adecuada.

Contabilidad. El tercer pilar a menudo se pasa por alto, pero es críticamente importante para el cumplimiento y las operaciones. A medida que avanza la sesión de un usuario, el servidor RADIUS registra información clave: la hora en que se conectó, la hora en que se desconectó, la duración total de la sesión, la cantidad de datos que transfirió y la dirección MAC de su dispositivo. Esto crea un registro de auditoría detallado para cada conexión en su red. Bajo la versión cuatro de PCI DSS, este tipo de registro no es opcional. Es un requisito estricto. Y en caso de un incidente de seguridad, estos registros son invaluables para la investigación forense.

Ahora, hablemos del estándar técnico que hace que todo esto funcione: IEEE 802.1X.

802.1X es el estándar que define el control de acceso a la red basado en puertos. Es el protocolo que permite a un punto de acceso bloquear todo el tráfico de red de un dispositivo hasta que el servidor RADIUS haya confirmado que el dispositivo está autorizado. La comunicación entre el dispositivo del usuario y el punto de acceso utiliza un protocolo llamado EAP, el Protocolo de Autenticación Extensible. EAP es esencialmente un marco de trabajo que admite múltiples métodos de autenticación.

Los tres métodos EAP más comunes en WiFi empresarial son: PEAP, que significa Protocolo de Autenticación Extensible Protegido; EAP-TTLS; y EAP-TLS.

PEAP y EAP-TTLS son métodos basados en credenciales. Crean un túnel cifrado entre el dispositivo y el servidor RADIUS, y luego el nombre de usuario y la contraseña del usuario se verifican dentro de ese túnel. Son relativamente fáciles de implementar y funcionan bien en entornos donde aún no está listo para una infraestructura completa de certificados.

EAP-TLS es el estándar de oro. Está basado en certificados, lo que significa que tanto el servidor como el dispositivo cliente presentan certificados digitales para autenticarse mutuamente. No hay ninguna contraseña de por medio. Esto elimina por completo el riesgo de robo de credenciales, ataques de phishing y ataques de intermediario (man-in-the-middle). Para dispositivos corporativos, EAP-TLS es el método de autenticación hacia el que debería apuntar.

Ahora hablemos de los modelos de implementación. Cuando se trata del servidor RADIUS, tiene dos opciones principales: local (on-premises) y alojado en la nube.RADIUS local, utilizando plataformas como FreeRADIUS o Microsoft Network Policy Server, le brinda un control total sobre la infraestructura. Para un único recinto de gran tamaño, como un estadio o un hospital, esta puede ser la decisión correcta. Las solicitudes de autenticación viajan a través de la red local, ofreciéndole tiempos de respuesta de menos de un milisegundo. Y si su directorio de identidad es un Active Directory local que no se puede exponer a Internet por motivos de cumplimiento, un servidor RADIUS local suele ser su única opción viable.

Sin embargo, para las organizaciones con múltiples sedes, RADIUS local introduce una sobrecarga operativa significativa. Implica gestionar instancias de servidor independientes en cada ubicación, gestionar las renovaciones de certificados de forma manual y lidiar con las consecuencias cuando algo sale mal a las dos de la mañana.

Cloud RADIUS cambia esto por completo. La infraestructura se aloja de forma global en múltiples zonas de disponibilidad. Cuando un usuario se conecta en una sucursal, la solicitud se enruta al nodo perimetral de la nube más cercano. La alta disponibilidad está integrada de forma predeterminada. Y la rotación de certificados está automatizada, lo que elimina la causa más común de interrupciones de autenticación en las implementaciones locales.

Para organizaciones con múltiples sedes y proveedores de identidad nativos de la nube como Microsoft Entra ID, Okta o Google Workspace, Cloud RADIUS es casi siempre la opción operativamente superior. El Cloud RADIUS de Purple se integra directamente con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. Esto significa que puede realizar la implementación en toda su infraestructura de hardware sin tener que reemplazar un solo punto de acceso.

Permítame compartir dos escenarios del mundo real para concretar esto.

El primero es un grupo hotelero europeo con 45 propiedades en seis países. El equipo de TI ejecutaba FreeRADIUS en máquinas virtuales en cada propiedad, es decir, 45 instancias independientes para parchar, monitorear y mantener. Cuando venció un certificado en una de las propiedades, causó una interrupción completa del WiFi para huéspedes durante una conferencia importante. Migraron a un servicio de Cloud RADIUS, centralizando la gestión de políticas y eliminando el mantenimiento por sitio. El equipo de tres ingenieros recuperó aproximadamente el 40 por ciento del tiempo que antes dedicaba al mantenimiento de RADIUS.

El segundo escenario es un estadio deportivo nacional con 68,000 asientos. El equipo de TI tenía requisitos estrictos en torno a la soberanía de los datos. Todos los registros de autenticación debían permanecer en territorio del Reino Unido. Implementaron un clúster RADIUS local dual en configuración activo-activo, con un clúster secundario en una instalación de coubicación a 20 millas de distancia. Esto les otorgó control local, autenticación de menos de un milisegundo y la capacidad de gestionar picos de tráfico sin depender de la conectividad a Internet.

Estos dos escenarios ilustran el marco de decisión claramente. Elija Cloud RADIUS cuando tenga una huella multisitio distribuida, proveedores de identidad nativos de la nube y un equipo de TI central pequeño. Elija local (on-premises) cuando tenga una sola ubicación grande con requisitos estrictos de soberanía de datos o un entorno de seguridad aislado (air-gapped).

Ahora, algunas preguntas rápidas que escuchamos con más frecuencia.

Primero: ¿cuál es la diferencia entre un servidor RADIUS y un Captive Portal? Un Captive Portal es la página de inicio de sesión que ven los invitados al conectarse. Funciona con RADIUS. El portal es la interfaz de usuario; el servidor RADIUS es el motor de back-end.

Segundo: ¿puedo usar RADIUS para redes cableadas? Absolutamente. El estándar 802.1X se aplica por igual a redes Ethernet cableadas y a redes inalámbricas.

Tercero: ¿qué pasa si mi proveedor de Cloud RADIUS tiene una interrupción? Los proveedores de renombre publican acuerdos de nivel de servicio del 99.99 por ciento de tiempo de actividad, respaldados por redundancia multirregión. Siempre configure sus puntos de acceso con una política de respaldo, ya sea acceso abierto a una VLAN restringida o credenciales almacenadas localmente en caché, para manejar el escenario de manera adecuada.

Cuarto: ¿cómo interactúa RADIUS con el WiFi de invitados? Para los establecimientos que ofrecen WiFi a los visitantes, integrar su infraestructura de servidor RADIUS con una solución de Captive Portal crea un modelo de acceso multinivel. El personal y los dispositivos corporativos se autentican de forma silenciosa a través de 802.1X, mientras que los invitados son dirigidos a un portal personalizado para el registro. La plataforma de Purple luego captura datos de primera mano y proporciona análisis sobre el comportamiento de los visitantes, transformando su red de un centro de costos a un activo de inteligencia empresarial.

En resumen, el servidor RADIUS es el protocolo centralizado que impulsa la seguridad WiFi empresarial. Implementa el marco AAA para brindarle un control detallado sobre quién puede acceder a su red, qué puede hacer y un historial de auditoría completo de su actividad. Para operadores de establecimientos, hoteleros, minoristas y organizaciones del sector público, implementar un servidor RADIUS es el paso fundamental para construir una infraestructura WiFi segura, compatible y administrada profesionalmente.

Su siguiente paso es claro. Si todavía utiliza claves precompartidas, comience a planificar su migración hoy mismo. Revise su hardware actual para verificar la compatibilidad con WPA3-Enterprise, evalúe sus opciones de integración de directorios de identidad y explore una plataforma de Cloud RADIUS que pueda escalar con su organización.

Para obtener más guías técnicas y recursos de implementación, visítenos en purple dot ai. Hasta la próxima, manténgase seguro.

Puntos clave

✓El servidor RADIUS es el estándar de la industria para el control de acceso a redes empresariales, reemplazando las claves precompartidas inseguras con autenticación basada en identidad a través del framework AAA.
✓La asignación dinámica de VLAN es el mecanismo que impone la segmentación de red, un control obligatorio para el cumplimiento de PCI DSS en entornos minoristas y de hospitalidad.
✓EAP-TLS es el método de autenticación de referencia absoluta, eliminando por completo las contraseñas mediante la validación mutua de certificados entre el cliente y el servidor.
✓Cloud RADIUS es operativamente superior para ubicaciones multisitio con equipos de TI centrales pequeños, ofreciendo rotación automatizada de certificados, alta disponibilidad integrada y gestión de políticas centralizada.
✓El servidor RADIUS on-premises sigue siendo la opción correcta para recintos grandes únicos con requisitos de soberanía de datos, entornos aislados físicamente (air-gapped) o directorios on-premises heredados.
✓La expiración de certificados es la principal causa de interrupciones de RADIUS on-premises; configure alertas de monitoreo a los 60, 30 y 7 días antes de la expiración.
✓Cloud RADIUS de Purple se integra con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet en más de 80,000 ubicaciones activas con un 99.999% de tiempo de actividad.

Resumen ejecutivo

Para los gerentes de TI, arquitectos de red y Directores de Tecnología (CTO) que operan en los sectores de hospitalidad , retail , transporte y grandes recintos públicos, proteger el acceso inalámbrico es un requisito operativo fundamental, no una actualización opcional. Confiar en una clave precompartida (PSK) para el acceso a WiFi es un riesgo de seguridad significativo. Una sola credencial comprometida expone a toda la red, y revocar el acceso requiere cambiar la contraseña de cada dispositivo en la propiedad. Implementar la autenticación 802.1X a través de una arquitectura de servidor RADIUS (Remote Authentication Dial-In User Service) elimina este problema. Cada usuario se autentica individualmente, el acceso se puede revocar de forma instantánea y la segmentación de red se aplica de manera dinámica.

El servidor RADIUS implementa el marco de trabajo AAA: Autenticación, Autorización y Contabilidad (Accounting). Valida las identidades frente a directorios como Microsoft Entra ID, Okta o Google Workspace, asigna a los usuarios al segmento de red correcto mediante la asignación dinámica de VLAN y mantiene un registro de auditoría detallado de cada sesión. Para las organizaciones sujetas a PCI DSS, GDPR o Cyber Essentials, este registro de auditoría no es opcional. Es un requisito estricto de cumplimiento. El servidor Cloud RADIUS de Purple protege al personal y a los dispositivos corporativos mediante la autenticación 802.1X basada en certificados, integrándose con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet en más de 80,000 recintos activos.

Análisis técnico profundo: arquitectura de servidor RADIUS

El estándar IEEE 802.1X define el control de acceso a la red basado en puertos (PNAC). En un contexto inalámbrico, involucra tres roles principales que trabajan en conjunto para proteger el extremo de la red.

Rol	Componente	Responsabilidad
Suplicante	Dispositivo cliente (laptop, smartphone)	Presenta credenciales para solicitar acceso a la red
Autenticador	Punto de acceso WiFi o controlador	Aplica el control de acceso; retransmite mensajes EAP
Servidor de autenticación	Servidor RADIUS	Valida credenciales; devuelve aceptación o rechazo y atributos de política

Cuando un suplicante se asocia con un punto de acceso, el AP bloquea todo el tráfico de datos excepto los mensajes del Protocolo de Autenticación Extensible (EAP). El AP encapsula estos mensajes EAP en paquetes RADIUS y los reenvía al servidor RADIUS a través del puerto UDP 1812. El servidor verifica las credenciales con un directorio back-end y devuelve un mensaje Access-Accept o Access-Reject. Si se acepta, el AP desbloquea el puerto y el tráfico del cliente fluye libremente.

El framework AAA en la práctica

La autenticación es el primer pilar: verificar la identidad de alguien. Cuando un dispositivo se conecta a un SSID WPA3-Enterprise, el servidor RADIUS comprueba las credenciales o el certificado presentados con la fuente de identidad configurada. Microsoft Entra ID, Okta y Google Workspace son los proveedores de identidad en la nube canónicos que se integran directamente con las plataformas Cloud RADIUS modernas.

La autorización es el segundo pilar: determinar qué puede hacer el usuario autenticado. El servidor RADIUS devuelve los atributos de RADIUS al punto de acceso, siendo el más crítico el ID de VLAN. Un miembro del equipo de finanzas aterriza en la VLAN 10 con acceso a los sistemas internos. Un contratista aterriza en la VLAN 20 con acceso exclusivo a internet. Un invitado aterriza en la VLAN 30, aislado de todos los recursos corporativos. Esta asignación dinámica de VLAN es el mecanismo que permite una segmentación de red adecuada, un control obligatorio para el cumplimiento de PCI DSS en entornos de retail .

La contabilidad (Accounting) es el tercer pilar: registrar lo que realmente sucedió. El servidor RADIUS registra las horas de inicio y finalización de la sesión, la duración de la sesión, los datos transferidos y la dirección MAC de cada dispositivo. Según PCI DSS v4.0, este registro es un requisito estricto. En caso de un incidente de seguridad, estos registros son la base de cualquier investigación forense.

Selección del método EAP

La seguridad de la implementación de su servidor RADIUS depende en gran medida del método EAP seleccionado. Los tres métodos más comunes en WiFi empresarial son PEAP, EAP-TTLS y EAP-TLS.

PEAP-MSCHAPv2 es el método más implementado. Crea un túnel TLS cifrado utilizando un certificado del lado del servidor, dentro del cual el usuario se autentica con un nombre de usuario y contraseña. Es relativamente sencillo de implementar porque solo necesita administrar un certificado: el del servidor. Sin embargo, si los dispositivos cliente no están configurados explícitamente para validar el certificado del servidor, son vulnerables a ataques de puntos de acceso no autorizados. Un atacante puede presentar un certificado fraudulento y capturar credenciales. Esta es una amenaza real documentada, no teórica. Aplique una validación estricta de certificados a través de Objetos de Directiva de Grupo (GPO) o perfiles de MDM sin excepción.

EAP-TLS es el estándar de oro. Requiere certificados digitales tanto en el servidor RADIUS como en cada dispositivo cliente, eliminando las contraseñas por completo. Incluso si un atacante captura el intercambio de autenticación completo, no hay credenciales que extraer. La contrapartida es la carga administrativa: la implementación y gestión de certificados de cliente requiere una Infraestructura de Clave Pública (PKI) y una plataforma MDM como Microsoft Intune o Jamf. Para los dispositivos corporativos, EAP-TLS es el método de autenticación hacia el que debería avanzar. El Cloud RADIUS de Purple es compatible con EAP-TLS de forma nativa, con gestión automatizada del ciclo de vida de los certificados.

Guía de implementación: cloud vs. local

Al implementar una arquitectura de servidor RADIUS, los equipos de TI deben elegir entre una implementación alojada en la nube y una local. Esta es la decisión arquitectónica más importante del proyecto.

RADIUS local, utilizando plataformas como FreeRADIUS o Microsoft Network Policy Server (NPS), le brinda un control total sobre la infraestructura. Para un solo sitio de gran tamaño (un estadio, un hospital o una instalación gubernamental), esta puede ser la opción correcta. Las solicitudes de autenticación viajan a través de la LAN local, lo que ofrece tiempos de respuesta de menos de un milisegundo. Si su directorio de identidad es un Active Directory local que no se puede exponer a Internet por razones de soberanía de datos, un servidor RADIUS local suele ser su única opción viable.

Sin embargo, para organizaciones con múltiples sitios, el RADIUS local introduce una sobrecarga operativa significativa. Tendrá que administrar instancias de servidor independientes en cada ubicación, gestionar las renovaciones de certificados manualmente y responder a las interrupciones a las dos de la mañana cuando caduque un certificado. Para una cadena minorista con 50 ubicaciones, eso significa 50 instancias de RADIUS independientes para parchear, monitorear y mantener.

Cloud RADIUS cambia esto por completo. La infraestructura se aloja globalmente en múltiples zonas de disponibilidad. Cuando un usuario se conecta en una sucursal, la solicitud se enruta al nodo de borde de la nube más cercano. La alta disponibilidad está integrada de forma predeterminada. La rotación de certificados está automatizada, lo que elimina la causa más común de interrupciones de autenticación en las implementaciones locales. Para organizaciones con múltiples sitios que cuentan con proveedores de identidad nativos de la nube como Microsoft Entra ID, Okta o Google Workspace, Cloud RADIUS es casi siempre la opción operativamente superior.

El Cloud RADIUS de Purple se integra directamente con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. Realice la implementación en toda su infraestructura de hardware sin reemplazar un solo punto de acceso.

Implementación paso a paso

Paso 1: Elija su modelo de implementación. Audite tres factores: su proveedor de identidad actual y si es nativo de la nube; la resiliencia de su WAN en cada sitio; y la capacidad de su equipo para gestionar el mantenimiento continuo. Estos tres factores determinan si la nube o la opción local es el camino correcto.

Paso 2: Integre su origen de identidad. Conecte su servidor RADIUS al directorio de identidad de su organización. La mayoría de las plataformas Cloud RADIUS admiten la integración directa con Microsoft Entra ID, Okta y Google Workspace a través de LDAP o SAML. Para Active Directory local, use LDAP a través de un conector seguro.

Paso 3: Configura el hardware de tu red. Crea un nuevo SSID configurado para WPA2-Enterprise o WPA3-Enterprise y apúntalo a tu server RADIUS. Configura el secreto compartido: la contraseña que cifra la comunicación entre el punto de acceso y el server RADIUS. Este secreto compartido debe coincidir exactamente en ambos lados. Una discrepancia es una de las causas más comunes de fallas de autenticación durante la implementación inicial.

Paso 4: Define políticas de autorización. Vincula los grupos de usuarios de tu directorio de identidad con las políticas de red. El personal obtiene acceso completo en la VLAN 10. Los invitados obtienen acceso exclusivo a internet en la VLAN 20. Los dispositivos IoT obtienen una VLAN restringida con reglas de firewall que bloquean el movimiento lateral.

Paso 5: Incorpora a tus usuarios. Para el personal corporativo, implementa perfiles de WiFi a través de tu plataforma MDM. Para los invitados, utiliza un Captive Portal. La plataforma de Guest WiFi de Purple automatiza el flujo de incorporación de invitados, admitiendo el inicio de sesión con redes sociales, formularios de registro y códigos de cupón. El personal y los dispositivos corporativos se autentican de forma silenciosa a través de 802.1X, mientras que los invitados son dirigidos a un portal personalizado: un modelo de acceso por niveles que ofrece tanto seguridad como WiFi Analytics .

Para profundizar en la arquitectura de SSID en redes de invitados, personal e IoT, consulta Tres SSIDs para gobernarlos a todos: invitados, Passpoint e IoT WiFi .

Mejores prácticas

Exige una validación estricta de certificados en cada dispositivo cliente. Utiliza Objetos de Directiva de Grupo para dispositivos Windows y perfiles MDM para macOS y dispositivos móviles. El perfil debe especificar exactamente en qué Autoridad de Certificación confiar y cuál es el nombre de servidor esperado. No dejes que el usuario configure esto manualmente. No aplicar esto es el principal vector de ataque para el robo de credenciales en implementaciones PEAP.

Implementa al menos dos instancias de server RADIUS. Configura todos los puntos de acceso para que se transfieran al secundario si el primario deja de estar disponible. Para Cloud RADIUS, esta redundancia está integrada y es gestionada por el proveedor. Para las instalaciones locales, implementa un clúster activo-activo en dos ubicaciones separadas geográficamente.

Utiliza MAC Authentication Bypass (MAB) para dispositivos IoT sin pantalla. Las impresoras, sensores y señalización digital no pueden presentar credenciales 802.1X. MAB permite la autenticación basada en la dirección MAC. Debido a que las direcciones MAC se pueden suplantar fácilmente, siempre asocia los dispositivos autenticados por MAB con una VLAN restrictiva y reglas de firewall que bloqueen el acceso a los recursos corporativos.

Rota los secretos compartidos periódicamente. El secreto compartido entre tus puntos de acceso y tu server RADIUS debe ser largo, aleatorio y rotarse periódicamente. Un secreto compartido débil o predeterminado debilita toda la cadena de autenticación.

Valide la segmentación con pruebas de penetración. La configuración por sí sola no es evidencia. Encargue una prueba de penetración que incluya explícitamente el entorno inalámbrico y la validación de la segmentación de VLAN. Un evaluador debe intentar activamente acceder a los recursos corporativos desde la VLAN de invitados y documentar que cada intento está bloqueado. Esta es la evidencia que su Evaluador de Seguridad Calificado de PCI DSS necesita.

Resolución de problemas y mitigación de riesgos

Los modos de falla más comunes en las implementaciones de servidores RADIUS se dividen en cuatro categorías.

Discrepancia de secreto compartido. Si el secreto compartido configurado en el punto de acceso no coincide con el secreto en el servidor RADIUS, cada intento de autenticación fallará de forma silenciosa. Siempre copie y pegue los secretos compartidos en lugar de escribirlos manualmente. Verifique la configuración en ambos lados antes de realizar la prueba.

Vencimiento del certificado. En implementaciones locales, si el certificado del servidor expira, cada dispositivo cliente rechazará la conexión. Esto provoca una interrupción completa de la autenticación sin una degradación gradual. Los proveedores de Cloud RADIUS automatizan la rotación de certificados, eliminando este riesgo. Para implementaciones locales, configure alertas de monitoreo a los 60, 30 y siete días antes del vencimiento.

Validación de certificado de cliente no obligatoria. Si los clientes PEAP no están configurados para validar el certificado del servidor, se conectarán a cualquier servidor RADIUS que responda, incluidos los puntos de acceso no autorizados. Obligue la validación de certificados a través de perfiles GPO o MDM en cada dispositivo administrado.

Dependencia de WAN para Cloud RADIUS. Cloud RADIUS depende completamente del enlace WAN en cada sitio. Si la conexión a internet se cae, la autenticación falla. Implemente una estrategia de supervivencia local: configure los puntos de acceso para almacenar en caché las credenciales del personal crítico, o utilice SD-WAN para garantizar la alta disponibilidad del enlace de internet. Siempre configure una política de respaldo, ya sea acceso abierto a una VLAN restringida o credenciales almacenadas localmente en caché.

ROI e impacto empresarial

Implementar una arquitectura de servidor RADIUS transforma la red inalámbrica de una vulnerabilidad a un activo administrado y seguro con beneficios operativos medibles.

Para un grupo hotelero europeo con 45 propiedades, la migración de 45 instancias locales de FreeRADIUS a Cloud RADIUS recuperó aproximadamente el 40% del tiempo de mantenimiento del equipo de TI central (datos internos de Purple). Esa es capacidad de ingeniería redireccionada de mantener las operaciones básicas a iniciativas estratégicas.

Para una cadena de tiendas de retail que se prepara para una auditoría de PCI DSS, la segmentación de red adecuada mediante la asignación dinámica de VLAN elimina por completo la red WiFi de invitados del alcance del Entorno de Datos de Tarjetahabientes. Plataformas como Guest WiFi de Purple operan en la VLAN orientada a los invitados, completamente aislada del tráfico de pagos. La plataforma de analíticos queda fuera del alcance de PCI, y la empresa conserva la libertad de implementar herramientas de generación de ingresos (analíticos de invitados, programas de lealtad, interacción con el cliente) de manera segura y confiable.

Para las organizaciones con más de 10 sitios y menos de cinco ingenieros de redes, el gasto operativo predecible de Cloud RADIUS suele ofrecer un retorno de inversión positivo en un plazo de 18 meses en comparación con el mantenimiento de la infraestructura local (datos internos de Purple). La adquisición de hardware, la energía, el enfriamiento y el tiempo de ingeniería para las implementaciones locales a escala superan constantemente el costo de suscripción de un servicio administrado de Cloud RADIUS.

Purple opera en más de 80,000 establecimientos activos con un tiempo de actividad del 99.999%, certificación ISO 27001, cumplimiento de GDPR y CCPA, y certificación Cyber Essentials. Para los equipos de TI que necesitan demostrar la debida diligencia ante su junta directiva o auditores, estas certificaciones brindan la validación de terceros que una implementación local auto-administrada no puede ofrecer.

Para obtener una comparación detallada de Cloud RADIUS de Purple frente a otras plataformas, consulte la comparación de funciones y coimplementación de Aruba ClearPass vs. Purple WiFi .

Definiciones clave

Server RADIUS

Remote Authentication Dial-In User Service. Un servidor de protocolo de red que proporciona una administración centralizada de Autenticación, Autorización y Contabilización (AAA) para el acceso a la red. Definido en RFC 2865 y ampliado por RFC posteriores.

El motor principal que valida las credenciales de usuario con un directorio y dicta las políticas de acceso a la red. Toda implementación de WiFi empresarial que utilice 802.1X requiere un server RADIUS.

802.1X

Un estándar de IEEE para el control de acceso a la red basado en puertos que proporciona un mecanismo de autenticación para los dispositivos que desean conectarse a una LAN o WLAN. Define los roles de Suplicante, Autenticador y Servidor de Autenticación.

El estándar que los puntos de acceso utilizan para comunicarse con el servidor RADIUS. Sin 802.1X, no existe un mecanismo para bloquear dispositivos no autenticados en el extremo de la red.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Un método de autenticación que requiere certificados digitales tanto en el dispositivo cliente como en el servidor RADIUS. Proporciona autenticación mutua sin necesidad de contraseña.

El estándar de oro para autenticar dispositivos corporativos. Elimina el robo de credenciales y los ataques de phishing. Requiere una plataforma PKI y MDM para implementar certificados de cliente a escala.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol con Microsoft Challenge Handshake Authentication Protocol versión 2. Utiliza un certificado TLS del lado del servidor para crear un túnel cifrado, dentro del cual el usuario se autentica con un nombre de usuario y contraseña.

El método de autenticación de WiFi empresarial más común. Es seguro solo cuando los clientes están configurados explícitamente para validar el certificado del servidor mediante perfiles GPO o MDM.

Asignación dinámica de VLAN

El proceso mediante el cual un servidor RADIUS indica a un punto de acceso que coloque a un usuario autenticado en una Red de Área Local Virtual (VLAN) específica en función de su identidad y pertenencia a un grupo en el directorio.

El mecanismo que impone la segmentación de la red. Es esencial para el cumplimiento de PCI DSS en el comercio minorista y la hotelería. Permite que un solo SSID sirva al personal, contratistas, invitados y dispositivos IoT en segmentos de red separados.

Marco de trabajo AAA

Autenticación, Autorización y Contabilización. El marco de tres pilares implementado por el servidor RADIUS para administrar el acceso a la red. La Autenticación verifica la identidad, la Autorización determina el nivel de acceso y la Contabilización registra la actividad de la sesión.

La base conceptual de todas las implementaciones de servidores RADIUS. PCI DSS v4.0 requiere que se implementen los tres pilares para las redes que manejan datos de pago.

Suplicante

El dispositivo cliente (laptop, smartphone, sensor IoT) que solicita acceso a la red presentando credenciales o un certificado al Autenticador.

El endpoint que debe satisfacer el desafío de autenticación del servidor RADIUS. Comprender qué componente está fallando es la base de un diagnóstico eficaz.

Captive Portal

Una página web con la que los usuarios deben interactuar antes de que se les conceda acceso a una red WiFi pública. Gestiona la experiencia de incorporación del usuario, mientras que el servidor RADIUS administra la autenticación de back-end y la aplicación de políticas de sesión.

Se utiliza para la incorporación de invitados en entornos de hotelería, comercio minorista y recintos. Funciona en conjunto con el servidor RADIUS: el portal es la interfaz de usuario y el servidor RADIUS es el motor de back-end.

Bypass de Autenticación MAC (MAB)

Un mecanismo que permite que los dispositivos sin capacidades 802.1X (impresoras, sensores IoT, señalización digital) se autentiquen en función de su dirección MAC en lugar de credenciales o certificados.

Requerido para dispositivos sin interfaz de usuario que no pueden ejecutar un suplicante 802.1X. Dado que las direcciones MAC se pueden suplantar fácilmente, los dispositivos autenticados por MAB siempre deben colocarse en una VLAN altamente restringida.

Secreto compartido

Una contraseña que cifra la comunicación entre un punto de acceso (cliente RADIUS) y el servidor RADIUS. Debe configurarse de forma idéntica en ambos lados y renovarse periódicamente.

Una discrepancia en el secreto compartido es una de las causas más comunes de fallas de autenticación durante la implementación inicial. Siempre copie y pegue en lugar de escribir manualmente.

Ejemplos resueltos

Un hotel de 200 habitaciones necesita proteger los dispositivos del personal mediante 802.1X y, al mismo tiempo, proporcionar un acceso WiFi para invitados de forma aislada. El sistema de gestión de la propiedad se ejecuta en los dispositivos del personal y no debe ser accesible desde la red de invitados. El hotel forma parte de un grupo de 45 propiedades gestionado por un equipo de TI central de tres personas.

Implementar Cloud RADIUS de Purple integrado con Microsoft Entra ID. Configurar un SSID para el personal usando WPA3-Enterprise con EAP-TLS, implementando certificados de cliente en todos los dispositivos del personal a través de Microsoft Intune. Configurar el server RADIUS para asignar dinámicamente los dispositivos del personal a la VLAN 10, que tiene acceso al sistema de gestión de la propiedad y a las impresoras internas. Implementar un SSID de invitados independiente usando WPA2-Personal con un Captive Portal para el registro, asignado a la VLAN 20 con acceso exclusivo a Internet y reglas de firewall estrictas que bloqueen todo el tráfico hacia la VLAN 10. Cloud RADIUS gestiona las 45 propiedades desde un único panel de administración, con una rotación de certificados automatizada que elimina la sobrecarga de mantenimiento por sitio que anteriormente consumía el 40% del tiempo del equipo.

Comentario del examinador: Este escenario ilustra el valor fundamental de Cloud RADIUS para el sector hotelero multisitio. El server RADIUS gestiona la autenticación del personal a través de EAP-TLS, proporcionando la seguridad más sólida disponible para los dispositivos que acceden a sistemas operativos confidenciales. El Captive Portal gestiona el registro de invitados por separado, y el aislamiento de VLAN garantiza que la red de invitados quede fuera del alcance de PCI DSS. El modelo de implementación en la nube es el factor decisivo para un equipo de tres personas que gestiona 45 propiedades; una implementación local requeriría mantener 45 instancias independientes.

Una cadena de tiendas minoristas con 50 sucursales experimenta interrupciones frecuentes de autenticación causadas por certificados vencidos en sus servidores FreeRADIUS locales. Las tabletas de punto de venta se autentican mediante 802.1X y cada interrupción impide que el personal procese pagos hasta que el certificado se renueve manualmente. El director de TI desea eliminar este modo de falla antes del próximo período de mayores ventas.

Migrar de las 50 instancias de FreeRADIUS locales a una plataforma Cloud RADIUS centralizada. Integrar Cloud RADIUS con el directorio corporativo de Okta. Actualizar las configuraciones de los puntos de acceso en las 50 ubicaciones para que apunten a los nuevos endpoints de Cloud RADIUS. Configurar la asignación dinámica de VLAN para colocar las tabletas de punto de venta en la VLAN 10 (red de pagos) y los dispositivos del personal en la VLAN 20 (red corporativa). El proveedor de la nube gestiona de forma automática toda la rotación de certificados del servidor. Validar la segmentación de VLAN entre la red de pagos y la red WiFi de invitados con una prueba de penetración antes del próximo ciclo de auditoría.

Comentario del examinador: La causa principal de las interrupciones es la gestión manual de certificados en 50 instancias locales independientes, un riesgo operativo clásico para las infraestructuras de TI distribuidas del comercio minorista. Cloud RADIUS elimina esto al automatizar la gestión del ciclo de vida de los certificados. La migración también centraliza la gestión de políticas, lo que significa que un cambio de política se implementa en las 50 ubicaciones simultáneamente en lugar de requerir actualizaciones manuales en cada sitio. La recomendación de la prueba de penetración aborda el requisito de PCI DSS de validar la segmentación, no solo de configurarla.

Preguntas de práctica

Q1. Un punto de venta minorista se está preparando para una auditoría de PCI DSS v4.0. Actualmente operan un único SSID con una clave precompartida tanto para las tabletas POS del personal como para el acceso de invitados. El Asesor de Seguridad Calificado ha marcado esto como un hallazgo crítico. ¿Cuál es el cambio arquitectónico inmediato requerido y qué función de servidor RADIUS es fundamental para la remediación?

Sugerencia: Concéntrese en la segmentación de red y en la función específica de RADIUS que la aplica de forma dinámica.

Ver respuesta modelo

El establecimiento debe implementar un servidor RADIUS para aplicar la autenticación 802.1X y reemplazar la PSK compartida. La característica central es la asignación dinámica de VLAN: el servidor RADIUS debe configurarse para colocar las tabletas POS en una VLAN de pago y a los invitados en una VLAN aislada solo para internet, con reglas de firewall estrictas que impidan cualquier cruce de tráfico entre ellas. El SSID de invitados debe usar un Captive Portal para el onboarding. La segmentación debe validarse con una prueba de penetración, no solo con una revisión de configuración, para cumplir con el Requisito 11 de PCI DSS.

Q2. Una empresa con 30 sucursales está decidiendo entre Cloud RADIUS y un servidor RADIUS de manera local. Tienen un equipo de TI central pequeño de cuatro ingenieros, utilizan Okta para la gestión de identidades y no tienen requisitos de soberanía de datos. ¿Qué modelo de implementación se recomienda y cuál es la principal justificación operativa?

Sugerencia: Evalúe los costos operativos de mantenimiento de administrar 30 instancias independientes frente a un servicio en la nube centralizado.

Ver respuesta modelo

Se recomienda encarecidamente Cloud RADIUS. Con 30 sitios y cuatro ingenieros, implementar y mantener 30 instancias locales de servidor RADIUS consumiría una parte desproporcionada de la capacidad del equipo. Cloud RADIUS se integra de forma nativa con Okta, automatiza la rotación de certificados y proporciona alta disponibilidad integrada sin requerir que el equipo administre la infraestructura subyacente. La ausencia de requisitos de soberanía de datos elimina la principal justificación de la implementación local. El equipo debe configurar los puntos de acceso con una política de respaldo para manejar la dependencia de la WAN de manera adecuada.

Q3. Durante una implementación de PEAP-MSCHAPv2, los usuarios informan advertencias de certificados de seguridad en sus dispositivos al conectarse al SSID corporativo de WiFi. Algunos usuarios ignoran las advertencias y se conectan de todos modos. ¿Cuál es el riesgo de seguridad y qué paso de configuración se omitió?

Sugerencia: Considere qué sucede cuando un cliente no valida el certificado del servidor y cómo un atacante podría explotar esto.

Ver respuesta modelo

El riesgo de seguridad es un ataque de punto de acceso no autorizado. Sin una validación de certificado obligatoria, el dispositivo de un cliente se conectará a cualquier servidor RADIUS que responda, incluido uno operado por un atacante. El atacante presenta un certificado fraudulento, el usuario ignora la advertencia y el atacante captura el nombre de usuario y la contraseña dentro del túnel PEAP. El paso de configuración omitido es la implementación de perfiles MDM (para macOS e iOS/Android) y Objetos de Directiva de Grupo (para Windows) que especifiquen explícitamente la Autoridad de Certificación de confianza y el nombre de servidor esperado. Nunca se debe dejar que los usuarios tomen decisiones de confianza de certificados de forma manual.

Q4. Un estadio con 68,000 asientos necesita autenticar los dispositivos del personal durante un evento importante donde 40,000 dispositivos pueden intentar conectarse dentro de un periodo de 30 minutos. El equipo de TI tiene requisitos estrictos de soberanía de datos: todos los registros de autenticación deben permanecer en suelo del Reino Unido. ¿Qué modelo de implementación se recomienda y qué arquitectura específica aborda el requisito de ráfagas de tráfico?

Sugerencia: Considere las ventajas de latencia y rendimiento de la autenticación local frente a las solicitudes enrutadas por la nube bajo condiciones de ráfagas de tráfico.

Ver respuesta modelo

Se recomienda un servidor RADIUS on-premises debido al requisito de soberanía de datos y a la extrema carga de autenticación en ráfagas. La arquitectura recomendada es un clúster RADIUS on-premises dual en configuración activo-activo, con un clúster secundario en una instalación de co-ubicación dentro de Reino Unido. La autenticación local ofrece tiempos de respuesta inferiores a un milisegundo y elimina la dependencia de la WAN que crearía un cuello de botella durante los eventos de ráfaga. El clúster activo-activo proporciona redundancia sin depender de la conectividad a internet. Los registros de autenticación permanecen en suelo de Reino Unido, cumpliendo con el requisito de soberanía de datos.

Continúe leyendo esta serie

Aruba ClearPass vs. Purple WiFi: Comparando Funciones y Co-implementación

Una guía técnica exhaustiva que detalla la arquitectura de co-implementación de Aruba ClearPass y Purple WiFi. Cubre la configuración del proxy RADIUS, la asignación dinámica de VLAN y las mejores prácticas para ofrecer redes de invitados seguras y basadas en analíticas junto con el NAC empresarial.

Cisco ISE vs. Purple WiFi: How They Compare and Work Together

Esta guía explica cómo Cisco ISE y Purple WiFi desempeñan funciones distintas pero complementarias en las redes empresariales. Detalla cómo utilizar Cisco ISE para un acceso corporativo seguro 802.1X, al tiempo que se aprovecha Purple para ofrecer WiFi para invitados que cumpla con el GDPR, análisis de marketing e integración con CRM.

EAP-TLS vs EAP-TTLS: ¿Qué protocolo de WiFi basado en certificados debería elegir?

Esta guía proporciona una comparación definitiva frente a frente de EAP-TLS y EAP-TTLS para la autenticación WiFi empresarial bajo IEEE 802.1X. Explica la diferencia de arquitectura entre la autenticación de certificados mutua y el túnel de certificados solo de servidor, y ofrece a los administradores de TI, arquitectos de red y CISOs un marco de decisión claro basado en las capacidades de gestión de dispositivos y los requisitos de cumplimiento. Purple admite las rutas de autenticación EAP-TLS y EAP-TTLS para WiFi del personal, y esta guía ayuda a las organizaciones a comprender los compromisos de infraestructura antes de comprometerse con cualquiera de los dos enfoques.