No importa que el switch este bien configurado si la wifi esta expuesta a credenciales compartidas.
En empresas, WPA Personal puede funcionar en oficinas chicas, pero en redes con rotacion de personal, dispositivos BYOD y acceso remoto la diferencia de seguridad es clara: WPA Enterprise.
Que cambia con WPA Enterprise
La principal diferencia es que la autenticacion pasa de una clave global a identidad por usuario o equipo.
Con 802.1X y un servidor RADIUS:
- cada acceso se valida con credenciales unicas,
- puedes revocar acceso por usuario sin tocar toda la red,
- conservas trazabilidad por dispositivo y usuario.
Tip practico: evita compartir una sola clave en equipos administrativos o invitados; eso elimina toda la capacidad de control por perfil.
Controles que realmente agregan valor
Para que no sea solo “cambiar de protocolo” y se quede corto:
- Integracion con directorio central (AD o directorio cloud corporativo).
- Perfiles separados para invitados, colaboradores y equipos de TI.
- Segmentacion de red y ACLs para limitar alcance de cada equipo.
- MFA en credenciales administrativas que usan acceso a red.
Si el usuario de red esta fuera o viaja, esto no significa menor productividad. Significa que puedes bloquearlo de forma segura sin bloquear su trabajo.
Errores comunes
- Usar certificados auto firmados sin gestion de vida util.
- No probar plan de recuperacion de RADIUS en fallas.
- Dar por sentado que la politica de contraseñas compensa la falta de trazabilidad.
Todos esos puntos vuelven una implementacion correcta en teoria en una configuracion frágil.
Enlaces internos
Si estas migrando infraestructura, mira seguridad de la nube y medidas de seguridad en la nube para alinear controles de acceso.
Si necesitas un repaso de control de accesos y privilegios, revisa gestion de accesos y privilegios.