Wi-Fi 802.1X empresarial
Cada empleado se conecta al Wi-Fi corporativo con su usuario y contraseña (o certificado), no con una contraseña común que se comparte. Si alguien se va, su acceso se quita inmediatamente sin cambiar la contraseña a todos.
WPA2-Personal vs WPA-Enterprise
WPA2-Personal (PSK): una contraseña común para todos los que se conectan. Cuando alguien deja la empresa, tendrías que cambiar la PSK a TODOS — en la práctica nadie lo hace, y el ex-empleado mantiene acceso. WPA Enterprise (802.1X): cada empleado entra con su usuario corporativo. Trazabilidad y revocación inmediata.
Componentes de 802.1X
- Cliente: tu móvil/portátil con suplicante WPA Enterprise (todos lo soportan).
- Autenticador: el AP que actúa como portero.
- Servidor RADIUS: el que valida la credencial. Lo ponemos integrado con tu Active Directory o Microsoft Entra ID.
Métodos de autenticación
- PEAP/MSCHAPv2: usuario+contraseña corporativa. Más sencillo, menos seguro (deprecado para entornos críticos).
- EAP-TLS: certificado digital por dispositivo. Más seguro, requiere infraestructura PKI.
- EAP-TTLS: alternativa intermedia.
- Microsoft Entra ID + Intune: si ya usas M365 Business Premium, integración perfecta.
Beneficios concretos
- Trazabilidad: log de quién se conectó cuándo y desde qué MAC.
- Revocación inmediata: al deshabilitar el usuario en AD, deja de poder conectarse instantáneamente.
- VLAN dinámica: según el grupo de AD del usuario, lo metemos en una VLAN u otra.
- Cumplimiento: NIS2 y ENS recomiendan autenticación individualizada.
Casos donde 802.1X es imprescindible
Empresas con rotación
Bajas frecuentes — sin 802.1X tienes que cambiar PSK constantemente.
Cumplimiento normativo
ENS, NIS2 lo piden explícitamente o de facto.
Auditorías de seguridad
PSK compartida sale como hallazgo crítico.
Empresa con sedes
Misma autenticación en todas las sedes — empleado entra igual donde esté.
¿Tu Wi-Fi corporativo usa la misma contraseña para todos?
Implantación 802.1X con tu Active Directory existente. Auditoría inicial gratis.