MACsec · Capa 2 · Cryptolab

// 01 · EL PROBLEMA

El atacante con acceso físico

MACsec resuelve un problema que las estaciones anteriores ignoran: el atacante con acceso físico. Alguien que puede pinchar un switch en el rack, conectar un sniffer al patch panel, o tap-ear una fibra en el conducto entre dos edificios.

En entornos donde TLS y IPSec ya cifran lo que pasa por arriba, ¿por qué cifrar también capa 2? Tres razones. Primera: no todo el tráfico interno está cifrado por arriba — DHCP, LLDP, ARP, STP, Spanning-Tree, multicast del cluster, todo eso vuela en claro. Segunda: hay deployments donde un cable atraviesa infraestructura de terceros — fibra alquilada entre datacenters, conexión a un proveedor de Internet, enlace MPLS. Tercera: cumplimiento — sectores como banca, defensa o gobierno tienen requisitos explícitos de cifrado físico además de aplicación.

MACsec cifra hop-by-hop: cada switch descifra, inspecciona (puede aplicar QoS, ACLs, port-security) y vuelve a cifrar antes del siguiente hop. Es fundamentalmente distinto de los túneles end-to-end que hemos visto. Y eso tiene implicaciones cuánticas únicas.

Cada enlace tiene su propia clave (SAK). Switch B descifra, inspecciona y vuelve a cifrar antes del siguiente hop

Tres conceptos clave del estándar IEEE 802.1AE para entender el resto: SecY (Security Entity, la pieza en cada switch que cifra/descifra), CA (Connectivity Association, la relación de seguridad entre dos peers), SAK (Security Association Key, la clave simétrica que cifra los frames). El protocolo que distribuye las SAK no está en 802.1AE, sino en 802.1X — específicamente en MKA (MACsec Key Agreement). Y aquí está el corazón del problema cuántico.

// 02 · LA HISTORIA

20 años de IEEE 802.1AE

MACsec es relativamente nuevo comparado con TLS o IPSec. Su primera versión data de 2006 y durante la primera década fue casi exclusivamente algo de carrier networks. Ha sido en los últimos años cuando se ha extendido a campus enterprise.

2006

IEEE 802.1AE-2006 · MACsec original

Primera versión del estándar. Cipher suite único: GCM-AES-128. Despliegue limitado a operadores y enlaces metro Ethernet.
2010

IEEE 802.1X-2010 · MKA

Define MKA (MACsec Key Agreement) — el protocolo que distribuye las SAK. Soporta PSK estática o EAP-TLS sobre 802.1X para autenticación.
2011

802.1AEbn-2011 · GCM-AES-256

Amendment crítico para PQC: añade GCM-AES-256 como cipher suite. Esta es la pieza que hace MACsec cuántico-resistente en el plano de datos — Grover lo deja en ~128 bits efectivos, que aguanta.
2013

802.1AEbw-2013 · XPN

Extended Packet Numbering. Permite enviar más de 2³² frames con una sola SAK — necesario para enlaces 40G y 100G donde el packet number se agotaba en minutos.
2017

802.1AEcg-2017 · EDEs

Especifica Ethernet Data Encryption devices (EDEs) — equipos dedicados que añaden MACsec a redes existentes. Empuja el despliegue en campus.
2018

IEEE 802.1AE-2018 · consolidación

Versión actual del estándar. Incorpora todas las amendments anteriores. Es el documento base de cualquier deployment moderno.
2022

Juniper · QKD + MACsec

Juniper publica whitepaper validando MACsec quantum-safe con Quantum Key Distribution (QKD) integrada. Caso de uso real: enlaces DCI entre datacenters financieros.
2023

802.1AEdk-2023 · MAC Privacy Protection

Añade protección de privacidad de direcciones MAC. No relacionado con PQC pero significativo: MACsec sigue evolucionando como estándar.
2024

Cisco · PQ MACsec whitepaper

Cisco publica guía de configuración: MACsec ya es cuántico-resistente hoy mismo si configuras correctamente — PSK 256-bit + AES-CMAC KDF + GCM-AES-256. Tres líneas de configuración y problema resuelto.

// 03 · ESTADO DEL ARTE CLÁSICO

Lo que hoy se considera "bien hecho"

Una buena configuración MACsec en 2026 es relativamente simple comparada con IPSec o SD-WAN — hay menos ejes de configuración pero importan mucho los que hay.

Cipher suite

GCM-AES-XPN-256 (recomendado para enlaces >10G) o GCM-AES-256. Nunca GCM-AES-128 en infraestructura nueva.

Modo de auth

Static CAK con PSK de 256 bits para enlaces switch-switch. EAP-TLS sobre 802.1X para entornos con muchos endpoints (campus access).

PSK

256 bits con 256 bits de entropía (típicamente generada con openssl rand -hex 32). Nunca PSK derivada de password humana o reutilizada entre enlaces.

KDF (en MKA)

AES-CMAC en counter mode con clave de 256 bits. Deriva SAK, KEK e ICK a partir del CAK.

Rotación de claves

Hitless rollover con keychain — múltiples PSK pre-configuradas con tiempos de activación. Permite rotar sin downtime.

Lifetime de CAK

Limitado y monitoreado. SAK se renueva automáticamente cuando se agota el packet number. En enlaces 100G sin XPN, eso es en pocos minutos.

El detalle más importante: en MACsec hay dos rutas posibles de despliegue, y eligen casi todo el resto. Static-CAK con PSK es simple, segura y ya cuántico-resistente, pero no escala — cada enlace necesita una PSK distinta. EAP-TLS sobre 802.1X escala mediante una RADIUS/AAA con certificados, pero la autenticación inicial cae en el problema cuántico de TLS.

// 04 · LA AMENAZA CUÁNTICA

El plano de datos ya está bien. El problema es cómo llegan las claves.

Aquí está el dato más importante de toda la estación: el cifrado simétrico de MACsec con AES-256-GCM ya es cuántico-resistente. Grover lo deja en ~128 bits efectivos, suficientes para cualquier modelo realista de amenaza. La pregunta es solo: ¿cómo llegan esas claves a los peers?

✓

GCM-AES-256 (data plane)

Clave de 256 bits. Grover lo deja en ~128 bits efectivos. Aguanta perfectamente. Es uno de los pocos primitivos cripto que entró en la era cuántica ya listo.

Resiste

✓

AES-CMAC (KDF en MKA)

Si la clave de entrada es 256 bits, el KDF también es cuántico-resistente. La derivación de SAK/KEK/ICK no es problema.

Resiste

~

GCM-AES-128 (legacy)

Default en muchos despliegues antiguos. Grover lo deja en ~64 bits efectivos. Insuficiente.

Débil · Grover

✕

EAP-TLS para distribuir CAK

Si usas EAP-TLS sobre 802.1X para autenticar y derivar el CAK, heredas todo el problema cuántico de TLS — RSA, ECDSA, ECDH.

Roto · Shor (si EAP-TLS)

MACsec con PSK estática y AES-256-GCM es probablemente el deployment cripto más cuántico-seguro que tienes en tu red — sin haber hecho nada.

La razón es elegantemente simple: la PSK no se transmite. Se configura out-of-band (manualmente, via management plane, o por pre-aprovisionamiento del fabricante). Un atacante con quantum no puede recuperarla porque nunca pasó por el medio. Y de esa PSK derivan todas las demás claves vía AES-CMAC, que es simétrico y resistente.

El problema es de operativa: configurar PSK estática en cientos de enlaces es doloroso. Por eso muchos deployments usan EAP-TLS — y por eso EAP-TLS es el frente vulnerable. La paradoja: el modo más simple es el más seguro cuánticamente; el modo más escalable es el menos seguro.

// 05 · LA SOLUCIÓN PQC

Tres caminos, uno disponible hoy

Aquí MACsec se diferencia radicalmente de las estaciones anteriores. No hay que esperar a un draft IETF, ni a un vendor, ni a un upgrade de cliente. La solución más simple ya está estandarizada desde 2011.

IEEE 802.1AE-2018 + buena config

Static CAK + GCM-AES-256

disponible HOY

3 líneas de configuración en cualquier switch moderno: PSK 256-bit con entropía suficiente, AES-CMAC como KDF, GCM-AES-256 como cipher. Cuántico-resistente sin depender de nada externo. Es la recomendación oficial de Cisco y otros vendors.

vendor-specific

QKD + MACsec

enlaces premium

Quantum Key Distribution: distribución de claves vía protocolos cuánticos (BB84, E91) en lugar de cripto asimétrica. Juniper, ADVA y otros lo ofrecen para enlaces DCI críticos. Caro y limitado a fibra dedicada de pocos km, pero information-theoretically secure.

PQC EAP-TLS · investigación

EAP-TLS post-cuántico

depende de TLS

Para deployments con EAP-TLS y muchos endpoints, la solución es esperar a que TLS 1.3 con ML-KEM/ML-DSA esté plenamente desplegado en clientes y RADIUS servers. Hereda toda la migración de la estación 01.

Estado real por configuración

Static CAK · PSK 256-bit · AES-256

Cuántico-resistente HOY

Soportado en cualquier switch enterprise moderno (Cisco Catalyst, Juniper EX/QFX, Arista 7280R3, Extreme, etc.). Sin upgrade necesario en la mayoría de cajas que ya tienen MACsec. Solo cambiar configuración.

QKD · DCI premium

Disponible · costoso

Producción real en enlaces DCI de bancos y operadores. Limitación física: máximo ~100km sin repetidores cuánticos (que son investigación). Caro pero information-theoretically secure.

EAP-TLS · campus enterprise

Hereda problema de TLS

Si tu MACsec usa EAP-TLS sobre RADIUS para escalabilidad, no eres cuántico-seguro hasta que TLS 1.3 con ML-KEM esté plenamente desplegado en clientes Y servidores RADIUS. Calendario: 2026-2028.

Entonces, ¿por qué no todo el mundo lo hace?

Pregunta justa. Tres razones reales. Operativa: gestionar PSK 256-bit en cientos de enlaces requiere herramientas (keychains, automatización, IPAM extendido) que muchas organizaciones no tienen. Compliance: en sectores regulados, EAP-TLS con certificados es lo que pide el auditor — la PSK estática se ve como "menos seguro" porque no hay rotación automatizada (aunque criptográficamente sea más fuerte). Inercia: "siempre lo hemos hecho con EAP-TLS" pesa mucho. La buena noticia: cambiar es relativamente barato — la infraestructura ya lo soporta.

// 06 · CHECKLIST DE MADUREZ

Los 6 criterios de la auditoría

MACsec es la única estación donde llegar a Quantum-Safe está al alcance de cualquiera con presupuesto operativo razonable y switches modernos. Q-Day Proof requiere QKD o el ecosistema completo de EAP-TLS post-cuántico. El criterio de "vendor lock" pesa mucho menos aquí que en SD-WAN.

// MACsec · 6 CRITERIOS · 90 PTS MAX

"No lo sé" cuenta como área ciega · no penaliza, no puntúa

01. ¿Tienes MACsec desplegado en algún tramo de tu red?

Classical

Sin MACsec · capa 2 sin cifrar · 0 pts

Hybrid

MACsec en enlaces críticos (DCI, uplinks core) · 10 pts

Quantum

MACsec en core, distribución y access · 15 pts
02. ¿Qué cipher suite usa tu MACsec?

Classical

GCM-AES-128 (default) · 0 pts (débil contra Grover)

Hybrid

GCM-AES-256 sin XPN · 10 pts

Quantum

GCM-AES-XPN-256 · 15 pts
03. ¿Cómo estableces el CAK?

Classical

PSK derivada de password humana o <128 bits · 0 pts

Hybrid

EAP-TLS sobre 802.1X con RADIUS · 10 pts (escalable, vulnerable cuánticamente)

Quantum

Static CAK con PSK 256-bit · 256 bits de entropía · 15 pts
04. ¿Tienes política de rotación de PSK / CAK?

Classical

PSK fija desde el deployment · sin rotación · 0 pts

Hybrid

Rotación manual cada 6-12 meses · 10 pts

Quantum

Hitless rollover con keychain · rotación automatizada <90 días · 15 pts
05. ¿Tienes inventario de enlaces que requieren cifrado físico?

Classical

Sin inventario · MACsec se aplica donde el equipo de redes acuerda · 0 pts

Hybrid

Inventario de enlaces DCI, fibra alquilada, uplinks externos · 10 pts

Quantum

Inventario completo + threat model documentado por enlace · 15 pts
06. ¿Tienes plan PQC para enlaces que necesitan máxima seguridad a largo plazo?

Classical

Sin plan · ni siquiera tema de conversación · 0 pts

Hybrid

Plan de migración a static CAK + GCM-AES-256 con calendario · 10 pts

Q-Day Proof

Static CAK ya activo en enlaces críticos · QKD piloto en al menos un DCI · 15 pts

Mapeo a badge: 0–30 Classical · 31–55 Hybrid-Ready · 56–75 Quantum-Safe · 76–90 Q-Day Proof. La paradoja única de MACsec: llegar a Quantum-Safe es de las cosas más baratas y rápidas que puedes hacer en toda tu infraestructura criptográfica. La barrera no es técnica ni económica — es operacional y de inercia.