Hay dos modos básicos: pre-admisión (el dispositivo no se conecta hasta validarse) y post-admisión (se conecta pero se le aplica política según resultados). La mayoría de organizaciones grandes operan híbrido.
Qué es NAC
NAC (Network Access Control) es el conjunto de tecnologías y políticas que controlan qué dispositivos y usuarios pueden conectarse a una red corporativa, en qué condiciones y con qué nivel de acceso. Verifica tres cosas antes de permitir la conexión: identidad del usuario, identidad del dispositivo y postura de seguridad del propio dispositivo (antivirus al día, parches aplicados, cifrado de disco activo, ausencia de software prohibido). Si una de las tres falla, el NAC puede denegar el acceso, conducirlo a una VLAN de cuarentena o aplicar restricciones específicas.
Por qué importa
Las redes corporativas modernas ya no son perímetros bien definidos: tienen empleados con portátiles propios, contratistas con dispositivos sin gestionar, equipos IoT que entran por wifi, impresoras conectadas, móviles personales. Cualquiera de ellos puede ser el primer paso de un atacante que ya consiguió acceso físico, credenciales filtradas o un dispositivo comprometido. Un NAC bien implantado convierte el "estás dentro de la red, ya casi todo te abre" en "estás dentro de la red, pero solo accedes a lo que se ajusta a tu identidad, tu dispositivo y tu postura". Bajo Zero Trust, NAC es una de las piezas operativas; bajo ENS, NIS2 e ISO 27001 contribuye a cumplir requisitos de control de acceso y segmentación.
Puntos clave
802.1X es el protocolo estándar para autenticar dispositivos en la red cableada y wifi. Es la base técnica más extendida para NAC, junto con RADIUS para autorización centralizada.
NAC + segmentación de red son la combinación natural: NAC clasifica el dispositivo y le coloca en la VLAN o microsegmento adecuado. Sin segmentación, NAC solo decide "sí o no" en la puerta.
Un NAC mal calibrado bloquea dispositivos legítimos (impresoras, equipos médicos, IoT industrial) y se acaba desactivando. El piloto controlado y la clasificación previa del inventario son lo que hace la diferencia entre éxito y fracaso operativo.
Ejemplo: dispositivo BYOD entra a la red wifi corporativa
Un comercial conecta su portátil personal al wifi corporativo. El NAC interroga al dispositivo: ¿quién es el usuario? Autenticación correcta vía 802.1X contra Active Directory. ¿Qué dispositivo es? El agente NAC reconoce que es un equipo no gestionado por la organización. ¿Cuál es su postura? Antivirus desactivado, sistema operativo sin parches recientes. La política dice: usuario legítimo, dispositivo no gestionado, postura insuficiente → conduce a una VLAN aislada con acceso solo a Internet, sin acceso a recursos internos. El usuario recibe una página que explica por qué y cómo regularizar el dispositivo. Sin NAC, el portátil habría tenido acceso a la red corporativa al mismo nivel que un equipo corporativo gestionado.
Errores habituales
- Activar NAC en modo bloqueo desde el día uno sin haber clasificado el inventario. Una impresora industrial sin perfil de NAC entra en cuarentena, deja de funcionar y arruina la operación del equipo de soporte.
- No incluir IoT y OT en el alcance. Los dispositivos industriales, médicos o de instalaciones son los más invasivos cuando los compromete un atacante, y precisamente los que más cuesta integrar.
- Confundir NAC con firewall. El firewall filtra tráfico entre zonas; el NAC decide si te dejamos llegar a una zona. Son complementarios.
- Tratar NAC como proyecto único en lugar de capacidad permanente. NAC requiere mantenimiento continuo: nuevos perfiles de dispositivo, ajuste de políticas, integración con nuevas categorías de assets.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿NAC y firewall son lo mismo?
No. El firewall filtra paquetes entre zonas de red según reglas (origen, destino, puerto, protocolo). El NAC decide qué dispositivos y usuarios pueden conectarse a una zona en primer lugar, en función de identidad y postura. Trabajan juntos en arquitecturas modernas.
¿Es viable NAC en una organización mediana?
Sí, especialmente para entornos con BYOD, IoT o muchos contratistas. Existen soluciones SaaS y on-premise dimensionadas para PYMEs grandes y enterprise. El reto rara vez es licencia: es clasificar el inventario, formar al equipo de red y calibrar políticas sin generar disrupciones.
¿NAC sirve para cumplimiento ENS, NIS2 o ISO 27001?
Sí, contribuye a varios controles: identificación de dispositivos, control de acceso lógico, segmentación, gestión de configuración. Por sí solo no cumple ningún marco, pero es una de las piezas técnicas que un auditor espera ver en categorías Media o Alta del ENS, y en organizaciones bajo NIS2 con exposición material.