El control de acceso a la red (NAC, Network Access Control) es la capa que decide qué dispositivo puede conectarse a la red corporativa y con qué privilegios, antes de que ese dispositivo alcance un solo recurso interno. Su motor técnico es el estándar IEEE 802.1X, que autentica cada equipo en el puerto de switch o en el punto de acceso wifi al que se enchufa. Dicho de otro modo: NAC es lo que convierte Zero Trust de arquitectura sobre papel en una política que se aplica de verdad sobre la LAN cableada e inalámbrica. Esta entrada explica qué es NAC, cómo funciona 802.1X, los métodos EAP, el fallback MAB, la evaluación de postura, el onboarding de invitados y BYOD, la asignación dinámica de VLAN y el panorama de fabricantes.
Lo esencial sobre NAC y 802.1X
- NAC es la disciplina de admisión: autentica, evalúa y autoriza el dispositivo antes de darle acceso a la red.
- 802.1X es el mecanismo de control de acceso basado en puerto que hace posible esa admisión.
- Intervienen tres roles: supplicant (el dispositivo), authenticator (el switch o el controlador wifi) y servidor RADIUS.
- Los métodos EAP (EAP-TLS, PEAP, TEAP) definen cómo se prueba la identidad; MAB cubre los equipos sin supplicant.
- NAC es la capa de enforcement de Zero Trust en la LAN y aporta evidencia directa para NIS2, RGPD artículo 32 y ENS.
Qué es el control de acceso a la red (NAC)
NAC responde a una pregunta que el firewall perimetral no resuelve: quién y qué hay conectado dentro de tu red. Un firewall filtra el tráfico entre zonas, pero una vez que un portátil, una impresora o un dispositivo IoT obtiene un puerto físico o una asociación wifi, ya está dentro. NAC cierra ese hueco: exige que el dispositivo demuestre su identidad y su estado de salud antes de recibir una dirección IP útil y acceso a los segmentos internos.
Un despliegue NAC maduro cubre cuatro funciones: autenticación del usuario o dispositivo, evaluación de postura (parches, antivirus, cifrado de disco), autorización en forma de VLAN, ACL o etiqueta de segmento, y visibilidad continua de lo conectado. Esa combinación evita que un equipo no gestionado o un dispositivo rogue se enchufe a una toma de sala de reuniones y quede en la misma red plana que los servidores. Es el complemento natural del bastionado de redes y sistemas, que reduce la superficie de cada equipo pero no controla quién entra por el puerto.
Cómo funciona 802.1X: supplicant, authenticator y RADIUS
IEEE 802.1X (revisión vigente 802.1X-2020) es un estándar de control de acceso a red basado en puerto. Deja el puerto en estado "no autorizado", donde solo circula tráfico de autenticación, hasta que el dispositivo prueba su identidad. Solo entonces el puerto se abre al tráfico normal. Intervienen tres roles:
- Supplicant: el software cliente del dispositivo. En Windows es Wired/WLAN AutoConfig, en Linux
wpa_supplicant, en macOS el subsistema EAPOL. Presenta las credenciales. - Authenticator: el switch de acceso o el controlador wifi (WLC). Bloquea el puerto y hace de intermediario entre supplicant y servidor. También se le llama NAS (Network Access Server).
- Servidor RADIUS: toma la decisión real. Valida credenciales contra un directorio (Active Directory, LDAP) o una PKI. Ejemplos: Cisco ISE, Aruba ClearPass, FreeRADIUS o Microsoft NPS.
El diálogo entre supplicant y authenticator viaja sobre EAPOL (EAP over LAN). El authenticator reencapsula ese EAP dentro de RADIUS (RFC 2865) hacia el servidor. La identidad, por tanto, la verifica un componente centralizado, lo que enlaza el acceso de red con tu gestión de identidades y accesos (IAM).
El flujo de autenticación
- El dispositivo se conecta al puerto o se asocia al SSID. El puerto está no autorizado.
- El authenticator envía un
EAP-Request/Identityy el supplicant responde con su identidad. - El authenticator reenvía la petición al RADIUS. Se negocia el método EAP y se establece, si aplica, un túnel TLS.
- El servidor valida credenciales o certificado y responde
Access-AcceptoAccess-Reject. - En un
Access-Accept, el RADIUS incluye los atributos de autorización: VLAN, ACL descargable (dACL) o etiqueta de segmento. - El authenticator abre el puerto en la VLAN indicada. El dispositivo obtiene DHCP y accede solo a lo que la política permite.
Métodos EAP: EAP-TLS, PEAP y TEAP
EAP (Extensible Authentication Protocol) es el marco que transporta el método concreto de autenticación, y su elección define la robustez de todo el despliegue:
- EAP-TLS: autenticación mutua con certificados X.509 en cliente y servidor. Es el método más seguro porque no depende de contraseñas, pero exige una infraestructura de clave pública (PKI) que emita y revoque certificados. Es el estándar de facto en entornos Zero Trust.
- PEAP (con MSCHAPv2): monta un túnel TLS validando solo el certificado del servidor y, dentro, autentica al usuario con credenciales de dominio. Es más fácil de desplegar, pero descansa en contraseñas y hereda su exposición a phishing y reutilización.
- TEAP (RFC 7170): EAP tunelizado moderno que permite EAP chaining, es decir, autenticar en una misma sesión la máquina y el usuario. Es clave para diferenciar un portátil corporativo con usuario válido de un equipo personal con las mismas credenciales.
La recomendación práctica: EAP-TLS o TEAP para el parque gestionado, y reservar PEAP solo donde la PKI todavía no llega.
MAB: el fallback para dispositivos sin supplicant
Impresoras, cámaras IP, teléfonos, lectores de acceso y buena parte del IoT no llevan supplicant 802.1X. Para ellos existe MAB (MAC Authentication Bypass): el switch captura la dirección MAC del dispositivo y la envía al RADIUS como identidad. Si la MAC figura en una lista autorizada, el puerto se abre.
El problema es evidente: una dirección MAC es trivialmente falsificable, un vector directo de spoofing. Por eso MAB nunca debe usarse solo. Se combina con profiling para verificar que el dispositivo se comporta de verdad como lo que dice ser, y se aísla en VLAN restringidas con ACL estrictas. Es una concesión pragmática a la realidad del parque, no una autenticación fuerte.
Profiling, postura y asignación dinámica de VLAN
Un NAC serio no se limita a decir sí o no. Añade dos capas de inteligencia y una de enforcement:
Profiling. El sistema clasifica cada dispositivo cruzando señales pasivas: huella DHCP, CDP y LLDP, consultas SNMP al switch y user-agent HTTP. Así distingue una cámara de un portátil Windows aunque ambos usen MAB, y detecta cuando una MAC autorizada de impresora empieza a comportarse como un equipo Windows, señal clásica de suplantación.
Postura (posture assessment). Antes de conceder acceso pleno, un agente (Cisco ISE Posture, ClearPass OnGuard) o una comprobación sin agente verifica el estado del endpoint: antivirus activo, parches al día, cifrado de disco. Un equipo que no cumple se deriva a una VLAN de remediación con acceso solo a servidores de actualización. Es la misma verificación de estado que exige Zero Trust, aplicada en la admisión.
Asignación dinámica de VLAN. La autorización se materializa vía atributos RADIUS estándar (RFC 3580): Tunnel-Type con valor 13 (VLAN), Tunnel-Medium-Type con valor 6 (802) y Tunnel-Private-Group-ID con el identificador de VLAN. Un mismo puerto físico coloca al invitado en una VLAN aislada, al empleado en la corporativa y a la cámara IP en la de OT, sin recablear. Sobre esa base se aplican dACL (ACL descargables por sesión) o etiquetas de segmento (TrustSec SGT) para microsegmentación fina. Cuando algo cambia a mitad de sesión, CoA (Change of Authorization, RFC 5176) ordena al switch reautenticar o poner el puerto en cuarentena sin desconectar físicamente al dispositivo.
Onboarding de invitados y BYOD
Dos flujos concentran gran parte del valor operativo de NAC:
- Invitados: portal cautivo con autoregistro o patrocinio, credenciales temporales y confinamiento a una VLAN de solo Internet, sin visibilidad de la red interna.
- BYOD: aprovisionamiento guiado que instala el perfil de red y, en despliegues EAP-TLS, emite un certificado de dispositivo por SCEP o EST. El equipo personal queda autenticado por certificado y segmentado según política, sin acceso a los recursos del parque gestionado.
Modos de despliegue: monitor, low-impact y closed
El error más caro en NAC es activar 802.1X en modo cerrado el primer día y dejar sin red a media plantilla. El despliegue realista es por fases:
- Monitor mode (open): 802.1X registra quién pasaría y quién no, pero no bloquea. Sirve para inventariar y depurar la política sin impacto.
- Low-impact mode: una ACL previa deja pasar servicios esenciales (DHCP, DNS, PXE) y se empieza a bloquear el resto.
- Closed mode: enforcement completo. Sin autenticación válida, no hay red.
Conviene acompañarlo del bastionado del propio switch (port-security, DHCP snooping, Dynamic ARP Inspection) para que la infraestructura de acceso no sea el eslabón débil.
Panorama de fabricantes: ISE, ClearPass, Forescout, FortiNAC
El mercado NAC en 2026 se reparte entre plataformas con enfoques distintos. La elección depende del stack de red existente y del grado de cobertura agentless requerido.
- Cisco ISE: la opción natural en redes Cisco. Muy potente en TrustSec (SGT), postura y CoA, con una operación exigente.
- Aruba ClearPass: independiente de fabricante, fuerte en entornos multivendor y en onboarding BYOD y de invitados.
- Forescout: su sello es la visibilidad agentless y el descubrimiento profundo de dispositivos, muy valorado con mucho IoT y OT.
- FortiNAC: integrado en el ecosistema Fortinet, atractivo cuando ya se opera FortiGate en el perímetro.
- PacketFence: alternativa open source madura con 802.1X, portal cautivo y CoA, útil para evitar licencias por endpoint.
NAC, Zero Trust y cumplimiento (NIS2, RGPD art. 32, ENS)
NAC es la pieza que aterriza Zero Trust en la capa de red: cada dispositivo se autentica y se autoriza por sesión, sin confianza implícita por estar "dentro". Ese control también produce evidencia directa para las normativas: NIS2 (artículo 21) exige control de acceso y gestión de activos; el RGPD artículo 32 pide medidas técnicas apropiadas, y saber qué se conecta a la red que trata datos personales es una de las más básicas; el ENS (RD 311/2022) recoge control de acceso (OP.ACC) y segmentación. Un NAC bien operado convierte esos requisitos en logs auditables de quién, con qué dispositivo y con qué postura accedió a cada segmento.
Preguntas frecuentes
¿Qué es NAC en redes?
NAC (Network Access Control) es el conjunto de tecnologías y políticas que controlan qué dispositivos pueden conectarse a una red y con qué nivel de acceso. Autentica el equipo, evalúa su estado de seguridad y lo autoriza a un segmento concreto antes de permitirle alcanzar recursos internos.
¿Cuál es la diferencia entre NAC y 802.1X?
802.1X es el estándar de autenticación basado en puerto que hace posible el control de acceso; NAC es la solución completa que usa 802.1X (o MAB) y le añade profiling, postura, portales de invitados, BYOD y respuesta dinámica. 802.1X es el motor, NAC es el vehículo completo.
¿Qué método EAP debería usar?
Para dispositivos gestionados, EAP-TLS con certificados, o TEAP si necesitas encadenar autenticación de máquina y usuario. PEAP-MSCHAPv2 es aceptable como transición, pero al depender de contraseñas es más débil y conviene migrarlo a certificados cuando la PKI esté disponible.
¿Cómo se autentican impresoras y dispositivos IoT sin 802.1X?
Con MAB (MAC Authentication Bypass), que autoriza el puerto según la dirección MAC. Como la MAC se puede falsificar, MAB debe combinarse siempre con profiling y con confinamiento en VLAN restringidas para limitar el riesgo.
¿NAC sustituye al firewall?
No. NAC controla la admisión a la red y su segmentación interna; el firewall filtra el tráfico entre zonas y hacia Internet. Son capas complementarias de una defensa en profundidad, no alternativas.
Recursos relacionados
- Qué es Zero Trust: arquitectura e implementación
- Qué es IAM: gestión de identidades y accesos
- Bastionado de redes y sistemas
- Qué es spoofing: tipos y prevención
- Qué es una PKI (Public Key Infrastructure)
Auditoría de acceso a red con Secra
En Secra revisamos despliegues de NAC y 802.1X con foco en lo que de verdad importa: que la política resista un ataque, no solo que "funcione". Nuestra auditoría de infraestructura incluye revisión del diseño 802.1X (métodos EAP, uso de MAB, segmentación por VLAN y ACL), pruebas de bypass en la capa de acceso, validación de la política de postura y verificación del bastionado de switches y controladores. El entregable documenta hallazgos priorizados y aporta la evidencia de control de acceso que exigen NIS2 y el artículo 32 del RGPD. Si estás desplegando 802.1X o quieres validar el que ya tienes, contacta con Secra y agendamos una sesión inicial sin compromiso.
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

