Skip to main content
Español
Precios

WiFi para invitados en aeropuertos: itinerancia, tránsito y rendimiento

Esta guía de referencia técnica proporciona a profesionales de TI sénior y arquitectos de red estrategias prácticas para diseñar e implementar WiFi para invitados de alto rendimiento en aeropuertos. Cubre la itinerancia fluida entre terminales, el aprovisionamiento de rendimiento por zona, la segmentación segura para los inquilinos de concesiones y la implementación de Passpoint (Hotspot 2.0) para una conectividad sin fricciones. Al tratar la red inalámbrica como un activo estratégico, los operadores aeroportuarios pueden mejorar la satisfacción del pasajero, garantizar el cumplimiento e impulsar ingresos no aeronáuticos medibles.

📖 11 min de lectura📝 2,562 palabras🔧 2 ejemplos4 preguntas📚 9 términos clave

🎧 Escuchar esta guía

Ver transcripción
Welcome to this executive briefing on network design. I'm your host, and today we're diving deep into a critical infrastructure challenge: Guest WiFi for Airports. Specifically, we'll be looking at roaming, transit, and throughput. If you're an IT director or network architect at a major transport hub, you know that airport WiFi is a completely different beast compared to standard enterprise deployments. We're talking about millions of transient users, wildly varying dwell times, and the need to support a complex ecosystem of stakeholders — from passengers and airline staff to retail concession tenants. It's not just about providing internet access anymore; it's about enabling a seamless passenger journey and driving non-aeronautical revenue. Let's start with the technical deep-dive, focusing first on roaming and seamless re-connect. Picture a passenger arriving at the airport. They connect in the check-in hall, move through security, walk down a long concourse, and finally sit at their gate. In a poorly designed network, they're forced to re-authenticate at every boundary. This is unacceptable. The solution here is a combination of Passpoint — also known as Hotspot 2.0 — and IEEE 802.11r. Passpoint is the game-changer. It allows devices to automatically discover and authenticate to the network without user intervention. It uses credentials provided by a mobile network operator or an identity provider — like Purple. This gives you that cellular-like, frictionless roaming experience across the entire airport footprint. Now, when you combine Passpoint with 802.11r — Fast BSS Transition — you're pre-calculating and distributing the cryptographic keys among the access points. This reduces the handoff time to milliseconds. So, if a passenger is on a VoIP call while riding the terminal transit train, the connection doesn't drop. Furthermore, implementing profile-based authentication, where a user's device is associated with their profile, allows for automatic re-connection on subsequent visits. This is huge for frequent flyers and aligns perfectly with Purple's role as a free identity provider under the Connect licence. Next, let's talk about throughput provisioning by zone. An airport is not a homogenous space. You can't just blanket the terminal with access points and call it a day. You have to design for density and dwell time. Take the gate holding areas. These are high-density, high-dwell-time zones. Passengers are sitting there for an hour, streaming video or downloading content before their flight. You need to provision at least 150 megabits per second per gate. This requires high-density Wi-Fi 6 or 6E deployments, often using directional antennas to minimise co-channel interference. Contrast that with the concourse walkways. These are transit zones. Dwell time is low. Passengers are just walking through, maybe checking notifications. Provisioning 50 megabits per second per 100 metres is usually sufficient here. Then you have the retail concession zones. These require segmented access for point-of-sale systems and customer engagement. And the check-in halls, which see bursty traffic as large groups arrive simultaneously. Your architecture must dynamically handle these varying demands. Speaking of retail concessions, let's touch on network segmentation. Airports are landlords. You have dozens, maybe hundreds, of retail and food and beverage tenants. Providing secure, segmented network access for them is an operational imperative. You achieve this through distinct Virtual Local Area Networks — VLANs — isolating tenant traffic from guest and core airport operations. For retail tenants, PCI DSS compliance is mandatory. This means robust firewall rules, intrusion prevention systems, and regular vulnerability scanning. Centralised management via a cloud controller is essential here, allowing your IT team to enforce security policies while giving tenants the connectivity they need. Now, let's move on to implementation recommendations and common pitfalls. The biggest pitfall is failing to account for the physical environment. Airports have a lot of metal, glass, and high ceilings. A predictive site survey is not enough; you need active, on-site RF planning. Another pitfall is a poorly designed captive portal. If your portal is heavy, slow to load, or doesn't play well with Apple's Captive Network Assistant, your abandonment rate will skyrocket. Keep it lightweight, and use it strategically to capture first-party data for your CRM. This is where platforms like Purple's WiFi Analytics really shine, turning a cost centre into a revenue generator through targeted advertising and retail media monetisation. Let's do a quick rapid-fire Q and A based on common client questions. Question one: Can retail tenants just use the guest WiFi for their point-of-sale systems to save money? Answer: Absolutely not. That violates PCI DSS and introduces massive security risks. They need a dedicated, segmented VLAN. Question two: How do we solve poor performance in the gate areas? Answer: It's usually co-channel interference. You need to move away from omnidirectional antennas and use directional antennas to create specific micro-cells, limiting signal overlap. Question three: What's the quickest win for improving passenger satisfaction with WiFi? Answer: Implement profile-based authentication so returning passengers connect automatically. Combine that with a lightweight, mobile-optimised captive portal for first-time users, and you'll see abandonment rates drop significantly. To summarise: Seamless roaming is non-negotiable — use Passpoint and 802.11r. Provision your throughput dynamically based on zone density and dwell time. Enforce strict network segmentation for your concession tenants. Deploy Wi-Fi 6 or 6E to handle the density. And finally, treat your WiFi network as a strategic asset. By capturing first-party data and leveraging location analytics, you can drive operational efficiency and unlock significant non-aeronautical revenue. For your next steps, I'd recommend starting with a comprehensive RF site survey, reviewing your current authentication architecture against the Passpoint standard, and evaluating a platform like Purple to manage guest onboarding, analytics, and compliance in a single solution. Thank you for listening. If you're looking to upgrade your venue's infrastructure, I highly recommend reviewing the full technical guide accompanying this briefing. Until next time.

header_image.png

Resumen Ejecutivo

Diseñar el WiFi para invitados en aeropuertos es categóricamente diferente de una implementación empresarial estándar. Con decenas de millones de usuarios transitorios anualmente, tiempos de permanencia variables en las diferentes zonas y la necesidad de soportar un entorno complejo con múltiples partes interesadas —pasajeros, personal de aerolíneas, inquilinos de concesiones minoristas y sistemas operativos— la arquitectura de red debe ser robusta, escalable y rigurosamente segmentada. Esta guía detalla los requisitos técnicos para implementar WiFi para invitados en aeropuertos a gran escala, centrándose en los mecanismos de itinerancia, las consideraciones de tránsito y el aprovisionamiento de rendimiento por zona. Exploramos cómo los estándares modernos, incluyendo Passpoint (Hotspot 2.0), IEEE 802.11r y WPA3, pueden optimizar la experiencia del usuario al tiempo que proporcionan la postura de seguridad requerida para el cumplimiento de PCI DSS y GDPR. Al implementar estas estrategias, los directores de TI pueden transformar su infraestructura inalámbrica de un centro de costes de servicios públicos en una plataforma estratégica que mejora la satisfacción del pasajero, apoya la eficiencia operativa e impulsa ingresos no aeronáuticos a través de WiFi Analytics .

Análisis Técnico Detallado

El Espacio Problemático del WiFi en Aeropuertos

El WiFi en aeropuertos se encuentra en la intersección de tres demandas contrapuestas: rendimiento de alta densidad, movilidad fluida y seguridad multi-inquilino. Un importante centro internacional puede ver de 50.000 a 100.000 dispositivos concurrentes durante los períodos pico, distribuidos en salas de facturación, colas de seguridad, pasillos comerciales, salas VIP y zonas de espera de puertas de embarque —cada una con perfiles de tráfico y características de tiempo de permanencia fundamentalmente diferentes. La red debe manejar todo esto mientras mantiene una estricta separación lógica entre el tráfico de invitados, los sistemas operativos de las aerolíneas, las redes POS de los inquilinos minoristas y los sistemas de gestión de edificios.

El modo de fallo más comúnmente encontrado en las implementaciones aeroportuarias heredadas es una arquitectura plana, basada en SSID, diseñada para la cobertura en lugar de la capacidad. Cuando el volumen de pasajeros creció y el número de dispositivos por persona aumentó —el viajero promedio de hoy lleva 3,5 dispositivos conectados— estas redes se saturaron, y el ciclo de reautenticación del Captive Portal se convirtió en una fuente persistente de quejas de los pasajeros.

Itinerancia y Reconexión Fluida

La itinerancia fluida es el desafío técnico definitorio del WiFi en aeropuertos. Un pasajero que llega a la sala de facturación, pasa por seguridad, atraviesa un pasillo comercial y aborda un tren de tránsito hacia una terminal satélite espera que su conexión persista en todo momento. En una red mal diseñada, cada límite de zona activa un ciclo completo de reautenticación, interrumpiendo las sesiones activas y degradando la experiencia.

La arquitectura de la solución se basa en dos estándares complementarios que trabajan en conjunto.

Passpoint (Hotspot 2.0 / IEEE 802.11u) permite a los dispositivos descubrir y autenticarse automáticamente en la red utilizando credenciales proporcionadas por un operador de red móvil (MNO) o un proveedor de identidad de terceros. En lugar de presentar una lista de SSIDs y requerir una selección manual, los dispositivos habilitados para Passpoint consultan el Servicio de Anuncio Genérico (GAS) y el Servicio de Interconexión de la red para determinar si existe una credencial de confianza. Si es así, el dispositivo se autentica silenciosamente a través de 802.1X/EAP, omitiendo por completo el Captive Portal. Este es el mecanismo que sustenta OpenRoaming —la federación global de itinerancia que permite a los pasajeros conectarse sin problemas utilizando credenciales de proveedores participantes. Purple opera como un proveedor de identidad gratuito para OpenRoaming bajo la licencia Connect, permitiendo a los aeropuertos ofrecer esta experiencia sin requerir que los pasajeros tengan una relación MNO específica.

IEEE 802.11r (Transición Rápida de BSS) aborda el problema de la latencia en la transferencia. En una implementación estándar 802.11, moverse entre puntos de acceso requiere un handshake EAPOL completo de cuatro vías, lo que introduce una latencia de 50 a 200 ms —suficiente para cortar una llamada VoIP o interrumpir una transmisión de vídeo. 802.11r pre-distribuye la Clave Maestra Pareada (PMK) a los APs vecinos a través del Dominio de Movilidad, reduciendo el tiempo de transferencia a menos de 50 ms. Cuando se combina con 802.11k (informes de vecinos) y 802.11v (gestión de transición BSS), el dispositivo cliente es guiado proactivamente al AP óptimo antes de que la conexión se degrade, en lugar de reactivamente después de que ya se haya caído.

Para los aeropuertos que operan trenes de tránsito o transportadores de personas entre terminales, el dominio de itinerancia debe abarcar todo el campus. Esto requiere una arquitectura de controlador WLAN centralizada —ya sea local o gestionada en la nube— que mantenga un único dominio de movilidad en todas las terminales y aplique una política consistente independientemente del AP al que esté asociado el dispositivo.

Aprovisionamiento de Rendimiento por Zona

throughput_zones_chart.png

Los entornos aeroportuarios no son homogéneos, y el aprovisionamiento de rendimiento debe reflejar los perfiles de uso distintos de cada zona. Un enfoque único para todos invariablemente resulta en un sobreaprovisionamiento en áreas de baja demanda y un subaprovisionamiento severo en las zonas más importantes.

Zona Requisito de Rendimiento Pico Tipo de Tráfico Principal Densidad de AP Recomendada
Zona de Espera de Puerta 150 Mbps por puerta Streaming de vídeo, descargas grandes 1 AP por 30m²
Pasillo de Conexión 50 Mbps por 100m Sincronización en segundo plano, mensajería 1 AP por 100m²
Zona de Concesiones Minoristas 30 Mbps por unidad + POS Transacciones POS, interacción con el cliente 1 AP por 50m²
Sala VIP Ejecutiva 200 Mbps dedicados Videoconferencias, aplicaciones empresariales 1 AP por 20m²
Recogida de Equipajes 40 Mbps Mensajería, notificaciones de vuelos 1 AP por 80m²
Sala de Facturación 80 Mbps (en ráfagas) Incorporación inicial, mensajeríaenvejecimiento 1 AP por 60m²

Las zonas de espera de las puertas de embarque son las más exigentes. Los pasajeros suelen permanecer entre 45 y 90 minutos y presentan el mayor consumo de ancho de banda por dispositivo. La implementación de APs 802.11ax (Wi-Fi 6) con antenas direccionales —orientadas a cubrir la zona de asientos en lugar de la puerta adyacente— es esencial para gestionar la interferencia cocanal en estos entornos densos. La capacidad OFDMA (Orthogonal Frequency Division Multiple Access) de Wi-Fi 6 permite que un único AP atienda simultáneamente a múltiples clientes en diferentes subcanales, mejorando drásticamente la eficiencia espectral en comparación con 802.11ac.

Para los aeropuertos que planifican mejoras de infraestructura, Wi-Fi 6E —que añade la banda de 6 GHz— proporciona un aumento significativo de la capacidad en las zonas más congestionadas. La banda de 6 GHz no está actualmente sobrecargada por dispositivos heredados, lo que significa que todos los clientes que operan en esa banda son compatibles con Wi-Fi 6E y pueden aprovechar al máximo los anchos de canal más amplios (hasta 160 MHz).

Segmentación de red y arquitectura para inquilinos de concesiones

architecture_overview.png

La naturaleza multiinquilino de un aeropuerto crea un requisito complejo de segmentación de red. La arquitectura debe soportar simultáneamente:

  • WiFi público para invitados para pasajeros, con incorporación a través de captive portal y captura de datos compatible con GDPR
  • Redes operacionales de aerolíneas para sistemas de check-in, lectores de puertas de embarque y dispositivos de personal de tierra
  • Redes de inquilinos de concesiones minoristas con aislamiento de POS compatible con PCI DSS
  • Redes operacionales de la autoridad aeroportuaria para seguridad, gestión de edificios y personal
  • Sistemas IoT y de edificios para CCTV, sensores ambientales y pantallas de orientación

Cada una de estas clases de tráfico debe aislarse lógicamente mediante VLANs dedicadas, con un enrutamiento inter-VLAN estrictamente controlado por la política del firewall. La VLAN de guest WiFi debe configurarse con el aislamiento de cliente habilitado, lo que evita la comunicación directa entre dispositivos y reduce la superficie de ataque.

Para los inquilinos de concesiones minoristas, la arquitectura recomendada es la asignación dinámica de VLAN a través de 802.1X/RADIUS. Los dispositivos de cada inquilino se autentican contra un servidor RADIUS centralizado, que devuelve la asignación de VLAN apropiada basada en las credenciales del dispositivo. Esto permite al equipo de TI del aeropuerto gestionar todo el acceso a la red de los inquilinos desde un único plano de control, sin requerir la proliferación de SSID por inquilino, lo que degrada el rendimiento de RF al consumir tiempo de aire con tramas de baliza.

El cumplimiento de PCI DSS para las redes POS de los inquilinos requiere la implementación de los siguientes controles: segmentación de red verificada mediante pruebas de penetración, sistemas de prevención de intrusiones inalámbricas (WIPS) para detectar y contener APs no autorizados, transmisión cifrada de datos de titulares de tarjetas (TLS 1.2 mínimo) y escaneo trimestral de vulnerabilidades del segmento de red. El controlador WLAN centralizado proporciona la capacidad WIPS, clasificando y conteniendo automáticamente los dispositivos no autorizados sin intervención manual.

El papel de Passpoint en el contexto aeroportuario

Passpoint merece una atención específica porque su propuesta de valor en un contexto aeroportuario va más allá de la simple comodidad de incorporación. Para un operador aeroportuario, Passpoint habilita tres capacidades estratégicamente importantes.

Primero, permite asociaciones de descarga de operadores. Los OMR pagan a los aeropuertos para descargar el tráfico de datos móviles a la red WiFi a través de Passpoint, creando un flujo de ingresos directo de la inversión en infraestructura. Esto es particularmente valioso en áreas con poca penetración celular, como terminales subterráneas o edificios fuertemente blindados.

Segundo, permite la reautenticación sin interrupciones para los pasajeros que regresan. Un viajero frecuente que se conectó en su última visita y aceptó un perfil Passpoint se conectará automáticamente en cada visita posterior, sin necesidad de interacción con el portal. Esto mejora drásticamente la experiencia para los pasajeros más valiosos del aeropuerto.

Tercero, proporciona una base estándar para la federación de identidades. A medida que los aeropuertos participan en redes globales OpenRoaming, los pasajeros que llegan de lugares asociados —hoteles, centros de conferencias, otros aeropuertos— pueden conectarse automáticamente utilizando sus credenciales existentes. Esta es la dirección en la que se mueve la industria, y los aeropuertos que implementan Passpoint hoy se están posicionando para este estado futuro.

Guía de implementación

La implementación de una red WiFi robusta en un aeropuerto requiere un enfoque por fases que equilibre los requisitos técnicos con las limitaciones operativas de un entorno aeroportuario en vivo. El tiempo de inactividad no es una opción; todo el trabajo de infraestructura debe planificarse en torno a los horarios operativos.

Fase 1 — Evaluación y planificación (Semanas 1–6)

Realice un estudio de sitio RF exhaustivo utilizando tanto modelado predictivo (Ekahau, AirMagnet) como medición activa. El estudio predictivo identifica la ubicación óptima de los APs basándose en los planos arquitectónicos; el estudio activo valida el modelo frente a las condiciones del mundo real. Preste especial atención a las áreas con alto contenido metálico (estructuras de acero, aeronaves visibles a través de las ventanas) y grandes particiones de vidrio, que crean entornos complejos de trayectos múltiples. Simultáneamente, audite la infraestructura cableada existente para identificar los switches que requieren una actualización a Multi-Gigabit Ethernet y PoE++ para soportar APs de alto rendimiento.

Fase 2 — Actualización de la infraestructura central (Semanas 7–16)

Actualice la red troncal cableada para soportar el tráfico inalámbrico previsto. Esto incluye la implementación de Multi-Gigabit Ethernet (2.5 o 5 Gbps) en las ubicaciones de los APs en zonas de alta densidad, asegurando que el tejido de conmutación central pueda manejar el rendimiento inalámbrico agregado, y la implementación de un controlador WLAN centralizado con capacidad suficiente para todo el parque de APs. Para aeropuertos grandes con múltiples terminales, una arquitectura gestionada en la nube simplifica la gestión y proporciona la redundancia geográfica necesaria para una alta disponibilidad.

Fase 3 — Despliegue inalámbricoplegación y segmentación (Semanas 17-28)

Despliegue APs Wi-Fi 6/6E según el plan de RF, configurando OFDMA, MU-MIMO y BSS Colouring para maximizar la eficiencia espectral. Implemente la arquitectura de segmentación de VLAN, configurando RADIUS para la asignación dinámica de VLAN y desplegando políticas de firewall para aplicar controles de acceso entre VLAN. Habilite WIPS en el controlador WLAN y configure políticas de contención de APs no autorizados.

Fase 4 — Autenticación e integración de análisis (Semanas 29-36)

Despliegue el captive portal e intégrelo con una plataforma de gestión de Guest WiFi . Configure perfiles Passpoint e intégrelos con OpenRoaming si corresponde. Implemente la plataforma de análisis para comenzar a capturar datos de tiempo de permanencia, métricas de ocupación de zonas y recuentos de dispositivos. Asegure el cumplimiento de GDPR implementando la gestión de consentimientos, políticas de retención de datos y la capacidad de procesar solicitudes de acceso de los interesados.

Mejores prácticas

Adopte Wi-Fi 6/6E como estándar de referencia. Las capacidades de alta densidad de 802.11ax no son opcionales en un despliegue aeroportuario moderno. OFDMA, MU-MIMO y Target Wake Time (TWT) ofrecen colectivamente un cambio radical en el rendimiento bajo carga en comparación con 802.11ac. Para nuevos despliegues, Wi-Fi 6E debería ser la especificación predeterminada, con Wi-Fi 6 como el estándar mínimo aceptable para los programas de actualización de AP.

Implemente WPA3 en todos los segmentos de red. WPA3-Enterprise (utilizando el modo de 192 bits para redes operativas) y WPA3-Personal (utilizando SAE) proporcionan una seguridad significativamente más fuerte que WPA2. Para redes de invitados donde no se requiere autenticación, Enhanced Open (OWE) proporciona cifrado de datos no autenticado, protegiendo a los pasajeros de la escucha pasiva en redes abiertas, una mejora de seguridad significativa sin impacto en la experiencia del usuario.

Diseño para fallos. En un entorno aeroportuario en vivo, los fallos de los AP no deben crear lagunas de cobertura. Despliegue APs con suficiente solapamiento (15-20%) para que el controlador WLAN pueda aumentar automáticamente la potencia de transmisión en los APs vecinos para compensar una unidad fallida. Asegúrese de que el propio controlador WLAN esté desplegado en una configuración de alta disponibilidad con conmutación por error automática.

Aproveche SD-WAN para entornos multi-terminal. Para aeropuertos con múltiples terminales o instalaciones distribuidas conectadas a través de enlaces WAN, SD-WAN proporciona enrutamiento de tráfico consciente de la aplicación, resiliencia mejorada y aplicación centralizada de políticas de seguridad. Consulte Los beneficios clave de SD-WAN para empresas modernas para un análisis detallado de los beneficios operativos.

Trate los análisis como un entregable principal. Los datos generados por una red WiFi aeroportuaria bien instrumentada —tiempos de permanencia, ocupación de zonas, tasas de visitantes recurrentes, demografía de dispositivos— tienen un valor operativo y comercial significativo. Integre WiFi Analytics desde el primer día y establezca procesos internos claros para utilizar estos datos para informar las operaciones de la terminal, las negociaciones con los inquilinos minoristas y las iniciativas de marketing.

Resolución de problemas y mitigación de riesgos

Interferencia co-canal (CCI). La causa más común de bajo rendimiento en despliegues de alta densidad. Mitigue mediante una planificación cuidadosa de canales (utilizando canales no superpuestos en la banda de 2.4 GHz y aprovechando la mayor disponibilidad de canales en 5 GHz y 6 GHz), Dynamic Radio Management (DRM/RRM) en el controlador WLAN y antenas direccionales en áreas de planta abierta. Evite la tentación de maximizar la potencia de transmisión; una menor potencia con mayor densidad de AP casi siempre supera a los despliegues de alta potencia y baja densidad en entornos aeroportuarios.

Abandono del Captive Portal. Un captive portal mal diseñado es un riesgo operativo significativo. Los modos de fallo clave incluyen: páginas demasiado pesadas para cargar en redes congestionadas, incompatibilidad con el Captive Network Assistant (CNA) de Apple o la función de inicio de sesión de red de Android, y formularios de registro excesivamente complejos. Mitigue manteniendo la página del portal por debajo de 200KB, probando con el CNA y los equivalentes de Android, y minimizando el número de campos obligatorios. Implemente la autenticación basada en perfiles para que los usuarios recurrentes eviten el portal por completo.

Puntos de acceso no autorizados (Rogue Access Points). Los APs no autorizados desplegados por inquilinos, pasajeros o actores maliciosos son una amenaza persistente. Pueden interrumpir la red legítima a través de interferencias de RF y suponer un riesgo de seguridad al capturar credenciales. WIPS —desplegado como una característica del controlador WLAN centralizado— proporciona monitoreo continuo y contención automática de dispositivos no autorizados. Asegúrese de que las políticas de WIPS estén configuradas para contener, no solo detectar, los APs no autorizados.

Cumplimiento de GDPR y privacidad de datos. La captura de datos de pasajeros a través del captive portal crea obligaciones bajo GDPR (y legislación equivalente en otras jurisdicciones). Asegúrese de que el aviso de privacidad sea claro y accesible, el consentimiento sea granular y libremente otorgado, los datos se almacenen de forma segura y solo para el propósito declarado, y existan mecanismos para que los pasajeros ejerzan sus derechos como interesados. Involucre a su Delegado de Protección de Datos (DPO) durante la fase de diseño, no después del despliegue.

ROI e impacto empresarial

El caso de negocio para el WiFi aeroportuario de nivel empresarial se extiende mucho más allá de la satisfacción del pasajero. Un despliegue bien instrumentado ofrece retornos medibles en múltiples dimensiones.

Experiencia del pasajero y puntuaciones ASQ. Las encuestas de calidad del servicio aeroportuario (ASQ) identifican consistentemente la calidad del WiFi como uno de los cinco principales impulsores de la satisfacción del pasajero. Los aeropuertos que invierten en conectividad fluida y de alto rendimiento ven mejoras medibles en sus clasificaciones ASQ, lo que influye directamente en las decisiones de rutas aéreas y en las negociaciones de contratos de concesión de terminales.

Ingresos no aeronáuticos. La red WiFi proporciona una plataforma para la monetización de medios minoristas, entregando publicidad dirigida y basada en la ubicación a los pasajeros según su posición en la terminal y su tiempo de permanencia. Con las redes de medios minoristas generando ingresos significativos para los operadores de recintos en Retail y los sectores de Hostelería , los aeropuertos reconocen cada vez más el potencial comercial de su infraestructura WiFi.

Ingresos por descarga de operador. Los acuerdos de descarga de operador habilitados para Passpoint con los MNOs crean un flujo de ingresos directo a partir de la inversión en infraestructura. La economía varía según el mercado, pero en aeropuertos de alto tráfico, los acuerdos de descarga de operador pueden contribuir significativamente a la ecuación del coste total de propiedad.

Eficiencia Operativa. El análisis de ubicación derivado de la red WiFi permite la optimización basada en datos de las operaciones de la terminal: niveles de personal en los puntos de control de seguridad, gestión de colas en el check-in y decisiones de ubicación de inquilinos minoristas. Estas mejoras operativas tienen un impacto directo en la base de costes del aeropuerto y en los ingresos por pasajero.

Valor del Activo de Datos. Los datos de primera parte capturados a través del captive portal —con el consentimiento adecuado— construyen una base de datos CRM de perfiles de pasajeros verificados. Este activo tiene un valor significativo para el marketing directo, la integración de programas de fidelización y las asociaciones comerciales con aerolíneas e inquilinos minoristas. Para los aeropuertos del sector de Transporte , esta capacidad de datos es cada vez más un diferenciador competitivo.

Términos clave y definiciones

Passpoint (Hotspot 2.0 / IEEE 802.11u)

A Wi-Fi Alliance certification programme that enables devices to automatically discover and authenticate to Wi-Fi networks using pre-provisioned credentials, without requiring user interaction with a captive portal. Authentication is performed via 802.1X/EAP, providing enterprise-grade security.

Essential for delivering a seamless, cellular-like roaming experience across large airport footprints and enabling carrier offload partnerships with MNOs.

IEEE 802.11r (Fast BSS Transition)

An amendment to the IEEE 802.11 standard that reduces the latency of access point handoffs by pre-distributing cryptographic keys (PMK) to neighbouring APs within a mobility domain, reducing handoff time from 200ms+ to under 50ms.

Critical for maintaining VoIP calls and active application sessions as passengers move between APs or terminals, particularly on transit trains.

OpenRoaming

A global Wi-Fi roaming federation operated by the Wireless Broadband Alliance (WBA) that enables automatic, secure connectivity across participating venues and networks using Passpoint credentials. Participants include MNOs, identity providers, and venue operators.

Allows passengers to connect automatically at participating airports using credentials from their home network or identity provider, with no manual interaction required.

OFDMA (Orthogonal Frequency Division Multiple Access)

A multi-user version of OFDM that subdivides a Wi-Fi channel into smaller sub-channels (Resource Units), allowing a single AP to simultaneously serve multiple clients on different sub-channels within a single transmission.

A key Wi-Fi 6 feature that significantly improves spectral efficiency in high-density environments like gate holding areas, where many clients are active simultaneously.

Dynamic VLAN Assignment

A network access control mechanism where the VLAN a device is placed into is determined dynamically by a RADIUS server at authentication time, based on the device's credentials, rather than being statically configured on the switch port or SSID.

The recommended approach for managing concession tenant network access, allowing centralised policy control without per-tenant SSID proliferation.

WIPS (Wireless Intrusion Prevention System)

A network security component that continuously monitors the radio spectrum for unauthorised access points and client devices, and can automatically take countermeasures (containment) to prevent them from operating.

Mandatory for PCI DSS compliance in environments with retail tenant POS systems, and essential for maintaining overall network security in a public venue.

BSS Colouring (IEEE 802.11ax)

A mechanism introduced in Wi-Fi 6 that assigns a colour identifier to each Basic Service Set (BSS), allowing APs to distinguish between overlapping transmissions from their own network and those from neighbouring networks, reducing unnecessary backoff and improving spectral reuse.

Particularly valuable in dense airport deployments where multiple APs are operating in close proximity, improving overall network throughput.

Dwell Time

The duration a passenger spends within a specific zone of the airport, measured from entry to exit. Dwell time varies significantly by zone: typically 45–90 minutes at gates, under 5 minutes in concourse walkways.

The primary input variable for throughput provisioning decisions. High dwell time zones require higher per-device bandwidth allocation and more robust AP density.

Enhanced Open (OWE / Opportunistic Wireless Encryption)

A Wi-Fi Alliance security protocol that provides data encryption for open (unauthenticated) Wi-Fi networks without requiring a password or user interaction. Each client session uses a unique encryption key.

The recommended security standard for public guest WiFi networks, protecting passengers from passive eavesdropping without adding friction to the connection process.

Casos de éxito

A major international airport with three terminals connected by an automated people mover is experiencing significant passenger complaints. Users report that their WiFi connection drops every time they board the transit train between terminals, forcing them to re-authenticate via the captive portal on arrival. The existing network uses a legacy controller-based architecture with per-terminal WLAN controllers and no inter-controller roaming domain.

The root cause is the absence of a unified roaming domain spanning all three terminals. The remediation requires: (1) Migrating to a single centralised WLAN controller — either on-premises or cloud-managed — that manages all APs across all three terminals within a single mobility domain. (2) Enabling IEEE 802.11r (Fast BSS Transition) across all APs, ensuring the PMK is distributed to all APs within the mobility domain so handoffs complete in under 50ms. (3) Deploying Passpoint profiles to eliminate captive portal re-authentication for returning users. (4) Ensuring AP coverage is continuous along the transit train route, with overlapping cells (15–20%) to guarantee signal availability throughout the journey. (5) Enabling 802.11k and 802.11v to proactively guide client devices to the optimal AP as they move, rather than waiting for the connection to degrade before initiating a handoff.

Notas de implementación: This scenario illustrates the most common architectural failure in multi-terminal airport deployments: treating each terminal as an independent network rather than as a zone within a single campus network. The solution is straightforward but requires a controller migration, which must be planned carefully in a live airport environment. The key insight is that 802.11r alone is insufficient without a unified mobility domain — the PMK distribution mechanism only works when all APs are managed by the same controller or controller cluster.

An airport operator is planning a major retail concession expansion, adding 40 new food and beverage and retail units to a newly constructed pier. Each tenant requires WiFi for cloud-based POS systems, staff devices, and customer-facing digital signage. The airport IT team wants to use the existing wireless infrastructure being deployed for passenger guest WiFi, rather than deploying a separate network for tenants.

The shared infrastructure approach is viable and cost-effective, provided the segmentation architecture is correctly implemented. The recommended design uses dynamic VLAN assignment via 802.1X/RADIUS: (1) Each tenant is provisioned with a unique set of credentials in the RADIUS server. When a tenant device authenticates, the RADIUS server returns a VLAN assignment attribute, placing the device in the tenant's dedicated VLAN. (2) Each tenant VLAN is isolated from the guest WiFi VLAN and the airport operational network via firewall ACLs. Internet access is provided via a shared uplink, but inter-VLAN routing is blocked. (3) For PCI DSS compliance, the tenant VLANs are scoped as the Cardholder Data Environment (CDE). Firewall rules restrict inbound and outbound traffic to only what is required for POS operation. WIPS is enabled to detect and contain rogue APs within the tenant zones. (4) A dedicated SSID for tenant devices is configured with WPA3-Enterprise, ensuring all traffic is encrypted. The SSID is hidden to prevent passenger devices from attempting to connect. (5) The airport IT team retains centralised management of all tenant network access, with the ability to revoke or modify access for individual tenants without physical intervention.

Notas de implementación: This scenario highlights the operational and commercial benefits of a shared infrastructure model for concession tenants. The critical design decision is the use of dynamic VLAN assignment rather than per-tenant SSIDs — the latter approach would require deploying up to 40 additional SSIDs, each consuming airtime with beacon frames and degrading RF performance for all users. The RADIUS-based approach scales to any number of tenants without RF impact. The PCI DSS scoping is also important: by correctly defining the CDE boundary, the airport limits the scope of its compliance obligations to the tenant VLANs rather than the entire network.

Análisis de escenarios

Q1. An airport IT director is reviewing complaints about poor WiFi performance in the international departure lounge. The lounge has 12 access points deployed across 1,200m², all using 802.11ac with omnidirectional antennas and maximum transmit power. Peak occupancy is 400 passengers. What is the most likely root cause of the performance issues, and what remediation steps would you recommend?

💡 Sugerencia:Consider the relationship between transmit power, cell size, and co-channel interference in a high-density environment.

Mostrar enfoque recomendado

The most likely root cause is co-channel interference (CCI) caused by the combination of high transmit power and omnidirectional antennas. At maximum power, each AP's cell extends far beyond its intended coverage area, causing significant overlap with neighbouring APs on the same channel. This forces devices to defer transmission, reducing effective throughput. The remediation steps are: (1) Reduce transmit power on all APs to create tighter, more defined cells. (2) Replace omnidirectional antennas with directional antennas oriented toward the seating areas. (3) Enable Dynamic Radio Management (RRM) on the WLAN controller to automatically optimise channel and power assignments. (4) Upgrade APs to Wi-Fi 6 (802.11ax) to leverage OFDMA and BSS Colouring, which significantly improve performance under high-density conditions. (5) Consider increasing AP density (adding 4–6 additional APs) rather than increasing power on existing APs.

Q2. A retail concession tenant at an airport has requested permission to deploy their own wireless access point in their unit, citing poor signal from the airport's infrastructure. How should the IT team respond, and what is the correct technical resolution?

💡 Sugerencia:Consider both the security implications and the RF impact of an unauthorised AP deployment.

Mostrar enfoque recomendado

The IT team must deny the request to deploy an unauthorised AP. An unmanaged AP introduces two critical risks: (1) Security risk — the AP would not be subject to the airport's security policies, WIPS monitoring, or PCI DSS controls, creating a potential attack vector. (2) RF interference — an unmanaged AP operating on an uncoordinated channel would interfere with the managed network, degrading performance for all users in the vicinity. The correct resolution is to investigate the root cause of the poor signal in the tenant's unit. This may require a targeted RF survey to identify coverage gaps or interference sources. The remediation should involve deploying an additional managed AP — or repositioning an existing one — to provide adequate coverage in the tenant's zone, with the tenant's devices assigned to their dedicated VLAN via dynamic VLAN assignment.

Q3. An airport is planning to deploy Passpoint for the first time. The IT director wants to understand what infrastructure changes are required and what the passenger experience will look like for both first-time and returning visitors.

💡 Sugerencia:Think through the end-to-end journey for both a new and a returning passenger, and the infrastructure components required to support each.

Mostrar enfoque recomendado

Infrastructure requirements for Passpoint deployment include: (1) WLAN controller and APs that support 802.11u (GAS/ANQP) and 802.1X/EAP. (2) A RADIUS server configured to handle EAP authentication for Passpoint credentials. (3) An identity provider relationship — either with an MNO for carrier credentials or with a platform like Purple for OpenRoaming. (4) Passpoint profile provisioning capability, typically delivered via the captive portal or an MDM system. For a first-time visitor: they connect to the open guest SSID, are redirected to the captive portal, register and accept terms, and are then provisioned with a Passpoint profile on their device. They experience the portal once. For a returning visitor: their device detects the Passpoint network via 802.11u GAS queries, authenticates silently via 802.1X/EAP using the stored profile, and connects without any portal interaction. For a visitor with MNO credentials in an OpenRoaming-enabled network: their device connects automatically on first visit, with no portal interaction at all.

Q4. An airport operator is negotiating a new five-year WiFi infrastructure contract. The vendor is proposing a flat per-AP licensing model regardless of zone type. What counter-proposal should the IT director make, and what data should they use to support it?

💡 Sugerencia:Consider the significant variation in AP capability requirements and management complexity across different airport zones.

Mostrar enfoque recomendado

The IT director should counter-propose a tiered licensing model that reflects the different capability requirements and management overhead of APs in different zones. High-density zones (gates, lounges) require Wi-Fi 6/6E APs with advanced features (OFDMA, MU-MIMO, WIPS), higher management overhead, and more frequent capacity reviews — these should command a higher per-AP cost. Low-density transit zones (walkways, baggage reclaim) can be served by lower-specification APs with simpler management requirements. Supporting data should include: the RF site survey results showing the density differential between zones, the throughput provisioning model demonstrating the capability gap between zone types, and a total cost of ownership analysis showing that a flat model either over-pays for low-density APs or under-provisions high-density zones. The director should also negotiate SLA terms that differentiate by zone criticality — gate zones should have a higher availability SLA than walkway zones.

Conclusiones clave

  • Seamless roaming is the baseline expectation: deploy Passpoint (Hotspot 2.0) and IEEE 802.11r to eliminate re-authentication as passengers move between terminals and zones.
  • Provision throughput dynamically by zone: gate holding areas require 150 Mbps per gate; concourse walkways need only 50 Mbps per 100m. Design for density and dwell time, not square footage.
  • Strict VLAN segmentation is non-negotiable: retail concession tenants must be isolated from guest and operational traffic, with PCI DSS controls applied to all POS network segments.
  • Wi-Fi 6 (802.11ax) is the minimum viable standard for new airport deployments; Wi-Fi 6E should be the target specification for high-density zones.
  • Passpoint enables three strategic capabilities: carrier offload revenue, seamless re-authentication for frequent flyers, and participation in global OpenRoaming federations.
  • Treat the WiFi network as a revenue platform: location analytics, retail media monetisation, and first-party data capture can generate measurable non-aeronautical revenue.
  • GDPR and PCI DSS compliance must be designed in from the start — not retrofitted. Engage your DPO and security team during the architecture phase.
Sobre nosotros
Empleo
Informe B Corp
Planes
Funciones de WiFi para invitados
Precios de WiFi para invitados
Servicios profesionales
Reservar una demo
Políticas
Legal
Política de privacidad
Términos de uso
Mis datos
Política de cookies
SLA estándar
Soporte y asesoramiento
Calculadora de ROI
Calculadora de precios
Soporte de Purple
WhatsApp
© 2026 Purple. Todos los derechos reservados.
Gestionar preferencias de cookies