Saltar al contenido principal
Español

¿Qué es el filtrado de direcciones MAC? Por qué está obsoleto para 2026

Por Marketing Team
20 May 2026
What Is MAC Address Filtering? Why It's Obsolete for 2026

La mayoría de los consejos sobre qué es el filtrado MAC todavía lo tratan como una configuración de seguridad WiFi sensata. Eso está desactualizado.

El filtrado MAC no es un control de seguridad moderno. Es una lista de dispositivos. Su router o punto de acceso comprueba un identificador de hardware y luego decide si ese dispositivo entra en la red. Eso tenía sentido cuando las redes inalámbricas eran más pequeñas, el número de dispositivos era menor y la mayoría de los administradores intentaban evitar conexiones casuales y cercanas en lugar de gestionar a la plantilla, invitados, contratistas, inquilinos y endpoints no gestionados al mismo tiempo.

En las redes empresariales actuales, ese modelo se desmorona rápidamente. El identificador en el que se basa no es secreto, se puede imitar y, a menudo, no se mantiene estable en los dispositivos modernos. Además, el trabajo de administración crece exactamente en la dirección equivocada. Cada teléfono nuevo, portátil reemplazado, adaptador cambiado o dispositivo de invitado convierte un "control sencillo" en un mantenimiento de lista manual.

Por eso, la mayoría de los diseños inalámbricos serios ahora vinculan el acceso a la identidad, certificados, SSO o políticas basadas en roles, no a una dirección de hardware mutable. El filtrado MAC todavía existe en los productos porque algunos casos extremos aún lo necesitan. Pero tratarlo como un control principal para redes WiFi de empresas, hostelería, comercio minorista o sector sanitario es un hábito del pasado, no una opción de diseño sólida.

¿Sigue siendo relevante el filtrado de direcciones MAC en 2026?

Si alguien le dice que el filtrado MAC es una forma sólida de proteger el WiFi, póngalo en duda de inmediato.

En la práctica inalámbrica del Reino Unido, el filtrado de direcciones MAC se entiende mejor como una lista de control de acceso para dispositivos en lugar de un control de seguridad sólido. Un router o punto de acceso comprueba la dirección MAC de un dispositivo cuando intenta unirse a una red WiFi y, a continuación, permite o bloquea la conexión basándose en una lista de permitidos o de bloqueados. El problema es sencillo. La dirección MAC no es secreta, se envía en texto plano durante la asociación WiFi y se puede suplantar, por lo que el control ayuda con la admisión básica de dispositivos en lugar de con el cifrado o la garantía de identidad real, como se explica en este resumen del filtrado MAC .

Ese único punto cambia la forma en que debería pensar sobre esta función. Es más parecido a una lista de papel en la puerta que a un sistema de acreditación de confianza. Si el identificador se puede observar y copiar, la red no está verificando quién es el usuario. Solo está comprobando si la etiqueta presentada coincide con una de la lista.

Dónde sigue encajando

Todavía existen casos limitados en los que el filtrado MAC puede ser útil:

  • Configuraciones estáticas pequeñas donde la población de dispositivos rara vez cambia
  • Control de admisión básico para endpoints antiguos que no pueden realizar una autenticación más sólida
  • Comodidad administrativa cuando se desea mantener las conexiones accidentales o casuales fuera de una red local

Esos son casos de uso limitados, no una estrategia de seguridad amplia.

El filtrado MAC puede reducir el acceso casual. No puede sustituir a la autenticación moderna.

Dónde no encaja

Para el WiFi de invitados, redes de personal, espacios de trabajo compartidos, recintos y sitios multi-inquilino, el filtrado MAC es la herramienta principal incorrecta. No demuestra la identidad del usuario, no reemplaza la autenticación cifrada y crea fricción cada vez que cambian los dispositivos.

Para los estándares de 2026, la pregunta no es si el filtrado MAC existe. Existe. La pregunta clave es si debería estar en el centro del diseño de su acceso. Para la mayoría de las redes empresariales, la respuesta es no.

Cómo funciona realmente el filtrado de direcciones MAC

La forma más clara de explicar el filtrado MAC es pensar en el portero de un club nocturno que utiliza una lista de invitados de papel.

Un dispositivo intenta unirse al WiFi. El punto de acceso ve su dirección MAC y la comprueba con una lista almacenada. Si la dirección está aprobada, el dispositivo entra. Si está en la lista de denegación, o no está en la lista de permitidos, el dispositivo es rechazado.

Una infografía comparativa que muestra los pros y los contras de utilizar el filtrado de direcciones MAC para la seguridad de la red.

Qué es una dirección MAC

Una dirección MAC es un identificador de hardware asociado con una interfaz de red. En el control de acceso WiFi, funciona como una etiqueta de dispositivo, no como una credencial secreta.

Esa distinción es importante. El punto de acceso no está pidiendo al dispositivo que demuestre una confianza profunda. Está comparando un identificador visible con una regla local.

Los dos modos comunes

La mayoría de los routers y puntos de acceso admiten dos estilos generales de filtrado MAC:

  • Modo lista de permitidos
    Solo se permite la conexión a las direcciones MAC que figuran en la lista. Esta es la opción más estricta y común cuando los administradores utilizan el filtrado MAC de forma deliberada.

  • Modo lista de bloqueo
    Se deniegan las direcciones MAC conocidas, mientras que se permite el acceso a todas las demás. Esto es más fácil de gestionar en algunos escenarios ad hoc, pero es un control más débil porque el valor predeterminado sigue estando abierto a dispositivos desconocidos.

Qué ocurre durante la conexión

El proceso real es sencillo:

  1. Un cliente inicia la asociación con la red WiFi.
  2. El AP lee la dirección MAC del cliente presentada durante ese proceso.
  3. El AP comprueba su política local para ver si la dirección está permitida o denegada.
  4. El AP permite o bloquea el acceso según el resultado de esa coincidencia.

Ese es todo el mecanismo. No hay magia detrás de él.

Qué es lo que no hace

El filtrado MAC a menudo recibe crédito por protecciones que no proporciona.

No cifra el tráfico. No verifica a la persona que utiliza el dispositivo. No garantiza la postura del dispositivo, el estado de cumplimiento ni la pertenencia al directorio. No resuelve la incorporación de invitados. No crea un registro de identidad útil para las decisiones de acceso del personal.

Regla práctica: Trate el filtrado MAC como lógica de admisión de dispositivos, no como autenticación.

Por eso se recomiendan desde hace tiempo métodos más robustos como WPA2 o WPA3 para la seguridad inalámbrica real en la misma explicación sobre filtrado MAC centrada en el Reino Unido. Una vez que se ve como una lista de invitados de papel en lugar de un sistema de confianza, el resto de sus ventajas e inconvenientes resulta mucho más fácil de valorar.

Pros y contras prácticos para su red

El mejor argumento en contra del filtrado MAC en entornos empresariales no suele ser la seguridad teórica. Son las operaciones.

Una función puede ser técnicamente válida y, aun así, ser la respuesta incorrecta porque el coste de administración nunca cesa. El filtrado MAC pertenece a esa categoría. Cada dispositivo permitido debe ser identificado, introducido y mantenido en una lista de permitidos o de bloqueados. Si se sustituye un ordenador portátil, cambia un adaptador WiFi o un usuario trae un teléfono nuevo, la lista requiere atención.

A comparison chart showing the practical advantages and disadvantages of managing network infrastructure.

Las pocas ventajas

El filtrado MAC tiene algunos puntos fuertes prácticos.

  • Concepto sencillo
    Los administradores júnior y los directivos no especializados suelen entenderlo rápidamente. Un dispositivo está en la lista o no lo está.

  • Útil para entornos pequeños y estáticos
    Si dispone de un puñado de dispositivos fijos y casi no hay rotación, puede resultar manejable.

  • Adecuado para excepciones de políticas limitadas
    Algunos terminales heredados todavía necesitan un control complementario cuando no se dispone de métodos más robustos.

Los problemas operativos de mayor envergadura

Los problemas empiezan cuando la red refleja la vida real.

Las directrices de los proveedores exigen que los administradores identifiquen previamente la dirección MAC de cada cliente y la añadan a la lista de permitidos o de bloqueados. Por esa razón, la función solo resulta práctica cuando la población de dispositivos es pequeña y estática, tal como se indica en las directrices de filtrado MAC de Belkin .

Esto es lo que significa en la administración del día a día:

  • La rotación de personal genera rotación de tickets
    Las nuevas incorporaciones, las bajas, las sustituciones y los trabajadores temporales provocan cambios en las listas.
  • BYOD se convierte en un trabajo de hojas de cálculo
    Los teléfonos, las tabletas y los ordenadores portátiles personales multiplican la carga de mantenimiento.
  • El acceso de invitados se vuelve inviable
    Un hotel, clínica o tienda no puede registrar previamente y de forma manual los dispositivos temporales uno por uno.
  • Los cambios de hardware interrumpen el acceso
    Un usuario cambia de dispositivo y, de repente, "el WiFi no funciona", cuando el verdadero problema es una política obsoleta.

Si su método de acceso requiere una edición manual constante para mantener a los usuarios comunes conectados, no está escalando. Se está descontrolando.

Por qué el acceso basado en la identidad escala mejor

Por el contrario, los sistemas de acceso modernos vinculan la admisión al usuario, certificado o estado del directorio en lugar de a un identificador de hardware que puede cambiar. Eso significa que la incorporación, la revocación y los cambios de rol siguen a los sistemas de identidad como Microsoft Entra ID, Google Workspace u Okta en lugar de a inventarios de dispositivos escritos a mano.

Para entornos empresariales con múltiples dispositivos, la regla de diseño es sencilla, tal como indica la misma guía de proveedores sobre listas de permitidos y bloqueados . Utilice el filtrado MAC solo como una política complementaria para terminales heredados, y prefiera controles más sólidos para invitados, personal y entornos compartidos.

Por qué el filtrado MAC falla como herramienta de seguridad

Los inconvenientes operativos son molestos. Las debilidades de seguridad son aún peores.

El filtrado MAC falla como herramienta de seguridad principal porque confía en un valor que los atacantes pueden imitar y que los dispositivos modernos cambian cada vez más a propósito. Esa combinación lo hace débil tanto contra el abuso activo como contra el comportamiento ordinario de los dispositivos.

Un diagrama que ilustra cómo se puede eludir el filtrado de direcciones MAC mediante atacantes que suplantan direcciones MAC de dispositivos legítimos.

La suplantación es la vía directa para eludirlo

Una dirección MAC se puede suplantar (spoofing). En la práctica, esto significa que un dispositivo puede presentar una dirección MAC diferente a la asignada de fábrica. Si un atacante descubre una dirección aprobada, el filtro puede aceptar al impostor porque la red está comprobando la etiqueta, no verificando la identidad real.

Para las redes, el filtrado MAC es débil como control independiente porque las direcciones MAC se pueden suplantar, lo que hace que este enfoque sea más fácil de eludir que los métodos de acceso basados en claves de paso o certificados, como se explica en la discusión de Portnox sobre el filtrado de direcciones MAC en 2026 .

Esa debilidad es aún más crítica en entornos que requieren auditabilidad. Un establecimiento o empresa no solo quiere "un dispositivo conocido conectado". Quiere saber qué invitado, empleado, contratista o inquilino accedió a qué red y bajo qué política.

La aleatorización rompe el modelo desde el otro extremo

Los dispositivos modernos también aleatorizan las direcciones MAC por motivos de privacidad. Esto significa que el identificador del que depende su filtro puede no permanecer estable como asumían los diseños de WiFi más antiguos.

Esto no es un error. Es una función de privacidad. Los fabricantes de dispositivos la introdujeron para dificultar el rastreo pasivo. Esto es positivo para los usuarios, pero debilita cualquier modelo de acceso basado en la idea de que una dirección de hardware es un anclaje de identidad duradero.

Si trabaja con teléfonos y portátiles actuales, entender cómo afectan las direcciones MAC aleatorias a las operaciones de WiFi forma ya parte de la administración inalámbrica básica.

Por qué se desmorona el argumento de la seguridad

Si se juntan estas dos realidades, el filtrado MAC pierde credibilidad rápidamente:

  • Si la dirección MAC es visible, no es secreta
  • Si la dirección MAC se puede copiar, no es confiable
  • Si la dirección MAC cambia por privacidad, no es estable
  • Si no es secreta, confiable ni estable, no puede ser su principal indicador de identidad

La seguridad que depende de una etiqueta de dispositivo cambiante siempre será frágil.

Es por eso que el filtrado MAC a menudo crea una falsa sensación de control. Puede detener algunos intentos de conexión esporádicos, pero no se sostiene como una barrera seria para redes WiFi corporativas, de invitados o de acceso compartido.

Alternativas modernas para un acceso seguro a la red

Un diseño mejor empieza por cambiar la pregunta. No se pregunte "¿En qué dirección de hardware debo confiar?", sino "¿Cómo debe este usuario o dispositivo demostrar quién es y qué acceso debe derivarse de ello?".

Ese cambio conduce al acceso basado en la identidad. En lugar de perseguir etiquetas de dispositivos, se autentica a las personas y a los endpoints gestionados mediante métodos diseñados para las redes modernas.

WPA3-Enterprise y 802.1X para el acceso del personal

Para la red WiFi de los empleados, WPA3-Enterprise con 802.1X es la dirección estándar. El acceso se vincula a las credenciales de usuario, a certificados o a ambos, a menudo respaldados por sistemas de directorio y SSO como Entra ID, Okta o Google Workspace.

Esto resuelve varios problemas que el filtrado MAC nunca podría solucionar:

  • El acceso sigue a la identidad del usuario
  • La revocación se produce cuando cambia el estado del directorio
  • La política puede variar según el rol, el grupo, el tipo de dispositivo o la ubicación
  • Los registros de auditoría son mucho más significativos que "dirección MAC detectada en el SSID"

OpenRoaming y Passpoint para WiFi de invitados y pública

La red WiFi para invitados necesita tanto seguridad como comodidad. Los portales cautivos tradicionales y las contraseñas compartidas generan fricciones. El filtrado MAC es aún menos adecuado porque los dispositivos de los invitados son transitorios y a menudo tienen la privacidad aleatorizada.

OpenRoaming y Passpoint llevan la experiencia un paso más allá. Los usuarios se autentican una vez a través de un flujo de identidad de confianza y luego se conectan de forma segura y automática en los entornos participantes. Esto proporciona a los establecimientos una conectividad cifrada desde el primer paquete sin depender de una lógica de direcciones de hardware inestable.

Para los equipos que evalúan enfoques más amplios de soluciones de control de acceso a la red , esta es la principal línea divisoria. Los controles de listas de dispositivos son estáticos. El registro basado en la identidad es dinámico y se basa en políticas.

iPSK para dispositivos heredados y sin interfaz

Algunos dispositivos todavía no son compatibles con 802.1X. Las impresoras, los sensores, los escáneres, las unidades de señalización y ciertos terminales IoT suelen entrar en esa categoría.

Ahí es donde ayudan las Claves Precompartidas Individuales ( iPSK ). En lugar de una única contraseña compartida para todo, cada dispositivo o clase de dispositivos recibe su propia credencial y política. Esto ofrece un aislamiento, una revocación y un control operativo mucho mejores que una lista de permitidos de MAC.

Comparativa de métodos de control de acceso

Función Filtrado de direcciones MAC WPA3-Enterprise (802.1X) OpenRoaming/Passpoint PSK Individual (iPSK)
Modelo de confianza principal Dirección del dispositivo Identidad del usuario o dispositivo Identidad federada o de plataforma Credencial por dispositivo o por política
Adecuado para WiFi de empleados Poco adecuado Muy adecuado Limitado Útil para dispositivos sin 802.1X
Adecuado para WiFi de invitados Mal adecuado Normalmente no es el modelo para invitados Muy adecuado Limitado
Gestiona bien la rotación de dispositivos No Mejor que las listas MAC
Admite un control de políticas más estricto Limitado
Funciona bien con dispositivos con privacidad aleatoria Mal Mejor Mejor Mejor
Carga administrativa Mantenimiento manual de listas Gestión de identidad centralizada Registro centralizado Gestionado por dispositivo o política

Un camino de migración práctico

Si va a sustituir el filtrado MAC en un entorno real, no piense en términos absolutos. Piense por categoría de usuario y dispositivo:

  1. El personal y los contratistas pasan a 802.1X con autenticación respaldada por directorio.
  2. Los invitados y los usuarios públicos pasan a un registro al estilo de Passpoint o OpenRoaming.
  3. Los dispositivos heredados y sin interfaz pasan a iPSK o a alternativas basadas en certificados cuando sea posible.
  4. Los terminales antiguos excepcionales pueden mantener temporalmente las reglas basadas en MAC, pero solo como complemento.

Un ejemplo en este ámbito es Purple, que admite el acceso de invitados y personal basado en la identidad, OpenRoaming y Passpoint, además de opciones como iPSK para entornos heredados. Ese es el tipo de solución adecuado que debe evaluar cuando su red se ha quedado pequeña para las listas de dispositivos.

Guía práctica para hostelería, comercio minorista y sector sanitario

Los diferentes sectores se topan con los mismos límites de filtrado MAC por motivos distintos. Los hoteles tienen problemas con la rotación de huéspedes. Los comercios minoristas necesitan segmentar el tráfico de clientes, del personal y operativo. Las organizaciones sanitarias necesitan una mayor seguridad sobre quién y qué se conecta.

Un centro de servicio moderno y multiusos que muestra a empleados ayudando a clientes en entornos de comercio minorista, hostelería y sector sanitario.

Históricamente, el filtrado MAC surgió como un hito temprano en el control de acceso WiFi antes de que la autenticación cifrada moderna se convirtiera en un estándar. Tenía sentido cuando las redes inalámbricas eran más sencillas y pequeñas. Sin embargo, en la década de 2010, los expertos en seguridad ya señalaban sus límites porque las direcciones MAC se pueden cambiar manualmente, razón por la cual las redes actuales de empresas y recintos del Reino Unido generalmente lo consideran complementario, como se señala en la explicación de Smallstep sobre las limitaciones del filtrado MAC .

Hostelería

Los hoteles, restaurantes, bares y recintos de eventos no pueden gestionar el acceso de invitados con una lista MAC predefinida. La base de usuarios es transitoria, los dispositivos no están gestionados y la carga de soporte sería constante.

Un modelo mejor sería el siguiente:

  • Acceso de invitados a través de Passpoint o una incorporación similar sin contraseña
  • Acceso del personal a través de una identidad respaldada por 802.1X y SSO
  • Dispositivos de administración separados con políticas basadas en roles o iPSK cuando sea necesario

Si todavía ve el filtrado MAC en el sector de la hostelería, suele estar vinculado a una excepción heredada muy concreta y no al diseño principal de la red.

Comercio minorista

Las redes de comercios minoristas necesitan una separación clara. Los puntos de venta, los dispositivos de inventario portátiles, los móviles del personal, la señalización digital y el WiFi para clientes no deben estar detrás de una lista de dispositivos que simula ser una política de acceso.

Utilice la identidad y la segmentación en su lugar:

  • Las identidades del personal se asocian a las redes del personal
  • Los dispositivos operativos obtienen un acceso estrictamente acotado
  • El tráfico de los clientes permanece aislado de los sistemas internos

El filtrado MAC puede parecer tentador para terminales fijos, pero los enfoques respaldados por certificados o iPSK son más fáciles de gestionar y de revocar de forma limpia.

Sector sanitario

Los entornos sanitarios son los que menos toleran una identidad débil. Los flujos de trabajo clínicos, los dispositivos compartidos, el personal en itinerancia y los sistemas sensibles exigen controles más estrictos que las comprobaciones de direcciones de hardware.

En el sector sanitario, "dispositivo conocido" no es lo mismo que "usuario autorizado bajo la política adecuada".

Ese es el principio de diseño clave. Si una tablet de planta se sustituye, se presta o se reconfigura, el filtrado MAC ofrece muy poca información sobre si se debe confiar en la conexión. El acceso respaldado por la identidad y la política de dispositivos segmentados son opciones mucho más seguras.

Ir más allá de las listas de dispositivos hacia la seguridad basada en la identidad

El filtrado MAC no es inútil. Sencillamente, ya no es suficiente como respuesta principal.

Surgió en una etapa anterior de la administración de WiFi, cuando las redes eran más pequeñas y el modelo de amenazas era más sencillo. Los entornos actuales son móviles, compartidos, concienciados con la privacidad y con una gran carga de políticas. Un control basado en identificadores fijos de dispositivos no puede seguir el ritmo de esa realidad.

La lección más general también se aplica fuera de las redes. Los equipos de instalaciones han aprendido lo mismo en el acceso físico. Los sistemas más antiguos dependían de listas estáticas y credenciales compartidas, mientras que las plataformas más nuevas utilizan la identidad, la automatización y las políticas. Si desea un ejemplo ajeno a las redes, esta guía sobre soluciones de control de acceso automatizado para gimnasios muestra el mismo cambio de las reglas de admisión manuales a un control de acceso más inteligente.

Para el WiFi, el principio de diseño moderno es sencillo. Confíe en la identidad, no en una etiqueta de hardware mutable. Utilice métodos que puedan probar quién es una persona o un dispositivo gestionado, aplique las políticas de forma coherente y revoque el acceso limpiamente cuando cambie el estado. Si está revisando su hoja de ruta inalámbrica, esta perspectiva más amplia sobre redes inalámbricas seguras es el lugar adecuado para empezar.

El resultado práctico es una mayor seguridad y menos problemas de administración. Dedicará menos tiempo a editar listas y más a aplicar políticas reales al personal, invitados, inquilinos y dispositivos.

Si va a sustituir el filtrado MAC por un modelo de acceso más moderno, Purple es una plataforma a tener en cuenta para el acceso de invitados sin contraseña, la autenticación del personal vinculada a proveedores de identidad, la compatibilidad con OpenRoaming y Passpoint, y las opciones de políticas para dispositivos heredados.

Explore the products, solutions, and industries that turn this insight into measurable outcomes.

También podría interesarte

Guest WiFi splash page on mobile and tablet devices

Cómo causar una excelente primera impresión con su WiFi de invitados (y mantener la coherencia de su marca)

Su portal cautivo es uno de los espacios de marca más visibles que posee. Descubra por qué esa primera pantalla es tan importante y cómo la IA puede ayudarle a causar una excelente impresión en todo momento.

Three WiFi SSIDs - an open guest portal network, a WPA2/3-Enterprise network for staff and secure guests, and an xPSK network for tills, screens, printers and IoT devices

Tres SSIDs para gobernarlos a todos: el diseño de WiFi para invitados, personal e IoT

Reducir los SSIDs se ha convertido casi en un deporte habitual en el sector. Nuestra opinión: a menos que tus puntos de acceso se solapen de forma considerable, por lo general no tendrás problemas; consulta la calculadora. Pero nos gusta el orden, así que aquí tienes el diseño limpio de tres SSIDs.

A Guide to Your Network Access Control System

Una guía para tu sistema de control de acceso a la red

Descubre qué es un sistema de control de acceso a la red, cómo funciona y cómo implementarlo. Nuestra guía cubre componentes, casos de uso e integraciones modernas.

¿Todo listo para empezar?

Reserva una demo con uno de nuestros expertos para ver cómo Purple puede ayudarte a alcanzar tus objetivos de negocio.

Habla con un experto
IcBaselineArrowOutward