Saltar al contenido principal
Español

Cómo configurar un hotspot WiFi para su empresa

Esta guía autorizada proporciona a los líderes de TI, arquitectos de red y directores de operaciones de recintos un modelo práctico e independiente del proveedor para implementar hotspots de WiFi para invitados seguros, conformes a la normativa y que impulsan el negocio. Cubre decisiones de arquitectura críticas —desde la segmentación de VLAN y la configuración del Captive Portal hasta la conformidad con la GDPR y el modelado de tráfico— y demuestra cómo transformar la infraestructura de red de un centro de costes a una plataforma de analítica generadora de ingresos utilizando las capacidades de analítica y Guest WiFi de Purple.

📖 9 min de lectura📝 2,133 palabras🔧 3 ejemplos prácticos3 preguntas de práctica📚 9 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Bienvenido de nuevo al Enterprise Networking Briefing. Soy su presentador, y hoy nos enfrentamos a un despliegue que casi todo gestor de TI y operador de recintos tiene que afrontar en algún momento: la configuración de un hotspot de WiFi empresarial con un Captive Portal. Si gestiona la infraestructura de una cadena de tiendas, un grupo hotelero o un gran recinto público, sabe que el WiFi para invitados ya no es un simple detalle de cortesía. Es un activo operativo fundamental. Pero la brecha entre un router de consumo doméstico enchufado a la pared y un hotspot seguro, conforme a la normativa y de nivel empresarial es enorme. Hoy vamos a salvar esa distancia. Analizaremos la arquitectura, los mandatos de seguridad y cómo transformar esa red en un activo empresarial tangible. Sumerjámonos en el análisis técnico detallado. Cuando hablamos de desplegar un hotspot WiFi gestionado, el primer principio es el aislamiento. Su red de invitados debe estar segregada de raíz de su entorno corporativo. Esto lo conseguimos mediante VLAN, es decir, redes de área local virtuales. El tráfico corporativo, los sistemas de punto de venta y los servidores de oficina deben estar en la VLAN 10. El tráfico de invitados, en la VLAN 20. Esta segmentación no es opcional. Si procesa pagos, es un requisito estricto para cumplir con PCI DSS. Una brecha en la red de invitados nunca debe tener una ruta de acceso al entorno de datos de tarjetas de pago. Entonces, ¿cómo se conecta realmente un usuario? Ahí es donde entra en juego el Captive Portal. Cuando un dispositivo de invitado se asocia con su punto de acceso, el AP le asigna una dirección IP a través de DHCP. Pero en esta fase, el firewall bloquea todo el tráfico de internet saliente. Cuando el usuario abre un navegador, la red intercepta su petición HTTP, normalmente mediante redirección DNS, y lo redirige al servidor del Captive Portal. Esta es la página de bienvenida (splash page). Es la puerta de acceso. Aquí, el usuario se autentica. Puede utilizar una dirección de correo electrónico, un inicio de sesión social o un proveedor de identidad fluido como OpenRoaming. Una vez que se autentica y acepta los términos del servicio, el servidor del Captive Portal indica al firewall o al controlador de LAN inalámbrica que autorice esa dirección MAC o IP específica. Las reglas del firewall se actualizan dinámicamente y se concede acceso a internet al usuario. Ahora hablemos de la capa de hardware. Para despliegues empresariales, necesita puntos de acceso gestionados, normalmente 802.11ax o WiFi 6. Estos deben ser compatibles con PoE (Power over Ethernet), lo que le permite tirar un solo cable tanto para datos como para alimentación desde su switch gestionado. Necesitará un UTM, es decir, un firewall de gestión unificada de amenazas, para gestionar el enrutamiento, la seguridad y el modelado de tráfico (traffic shaping). Y el modelado de tráfico es crucial. Debe implementar la limitación de ancho de banda. Si tiene un enlace de subida de 1 Gigabit y 500 invitados, no puede permitir que un solo usuario consuma 800 Megabits reproduciendo vídeo en 4K. Implemente límites de ancho de banda por usuario, por ejemplo, 5 Megabits por segundo de bajada y 2 Megabits por segundo de subida, para garantizar una experiencia consistente para todos. Pasemos a las recomendaciones de implementación y a los errores más comunes. El mayor error que vemos es la mala colocación de los puntos de acceso. No oculte los puntos de acceso por encima de placas de techo metálicas o detrás de gruesos pilares de hormigón. El diseño inalámbrico requiere un estudio de cobertura (site survey) adecuado. Debe tener en cuenta la atenuación, que es la pérdida de intensidad de la señal a través de barreras físicas. Otro error importante es ignorar el cumplimiento normativo. Si opera en el Reino Unido o la UE, el GDPR es innegociable. Su Captive Portal debe obtener explícitamente el consentimiento si recopila datos con fines de marketing. No puede marcar previamente la casilla de consentimiento. Además, debe conservar los registros de sesión, incluidos los registros de direcciones MAC, las marcas de tiempo y las asignaciones de IP, para cumplir con los requisitos de las fuerzas de seguridad locales en caso de que se produzcan actividades ilícitas en su red. Esto nos lleva al valor empresarial. Un punto de acceso desplegado correctamente no es solo un centro de costes de TI. Plataformas como el Guest WiFi de Purple transforman esta infraestructura en un motor de analítica. Cuando los usuarios inician sesión, usted recopila datos de primera mano. Conoce los tiempos de permanencia, las tasas de retorno y los patrones de afluencia. Estos datos pueden enviarse directamente a su CRM para activar campañas de marketing automatizadas. Por ejemplo, si un cliente no ha visitado su tienda en 30 días, el sistema puede enviarle automáticamente un código de descuento por correo electrónico. Pasemos a una sesión rápida de preguntas y respuestas basada en las dudas que recibimos habitualmente de los directores de TI. Pregunta uno: ¿Podemos usar simplemente una clave precompartida, como una contraseña estándar, en lugar de un Captive Portal? Respuesta: Puede, pero no debería. Una clave precompartida ofrece una visibilidad nula sobre quién está en su red, no ofrece protección legal a través de una Política de Uso Aceptable y elimina por completo su capacidad para recopilar datos de primera mano. Utilice un Captive Portal. Pregunta dos: ¿Qué ocurre con la aleatorización de direcciones MAC en los smartphones modernos? Respuesta: iOS y Android ahora aleatorizan las direcciones MAC para proteger la privacidad del usuario. Esto significa que no puede confiar únicamente en las direcciones MAC para el seguimiento de usuarios a largo plazo. Su estrategia de Captive Portal debe pivotar hacia la autenticación basada en la identidad, solicitando al usuario que inicie sesión a través de correo electrónico o cuentas de redes sociales, para que pueda realizar el seguimiento del perfil de usuario en lugar de la dirección de hardware. En resumen: Primero, segmente su red mediante VLAN. Segundo, utilice un Captive Portal que cumpla la normativa para gestionar el acceso y recopilar datos. Tercero, implemente la regulación de tráfico para proteger el ancho de banda. Y cuarto, asegúrese de que la ubicación de sus puntos de acceso se base en un estudio de cobertura profesional. Configurar un punto de acceso WiFi para empresas es un proyecto de infraestructura estratégico. Si se hace bien, protege sus activos corporativos, deleita a sus clientes invitados y proporciona datos de gran valor a sus equipos de marketing. Gracias por asistir a esta sesión informativa. Hasta la próxima, mantenga sus redes seguras y su latencia baja.

header_image.png

Resumen ejecutivo

Para los espacios empresariales —ya sean cadenas de retail, grupos hoteleros, centros de conferencias o grandes instalaciones del sector público—, el WiFi para invitados ha evolucionado de ser un servicio discrecional a convertirse en un punto de contacto digital fundamental. Los clientes y visitantes esperan ahora una conectividad rápida y fiable como estándar básico. Sin embargo, la brecha operativa y legal entre un router de gama doméstica y un punto de acceso empresarial correctamente desplegado es sustancial. Una red mal implementada expone los activos corporativos a ataques de movimiento lateral, genera responsabilidades en virtud del GDPR y la Ley de Abuso Informático (Computer Misuse Act), y desaprovecha la oportunidad de capturar valiosos datos de primera mano (first-party data).

Esta guía proporciona un modelo práctico e independiente de proveedores para responsables de TI y arquitectos de redes encargados de desplegar o actualizar un servicio de WiFi público. Detallamos la arquitectura técnica necesaria para ofrecer un punto de acceso seguro y segmentado, con especial atención al diseño de VLAN, los flujos de autenticación de Captive Portal, la gestión del ancho de banda y los mandatos de cumplimiento, incluidos GDPR, PCI DSS e IEEE 802.1X. También analizamos cómo la integración de una plataforma gestionada como Guest WiFi transforma la conectividad básica en información procesable con WiFi Analytics , lo que permite a los operadores de los espacios comprender los patrones de afluencia, medir el tiempo de permanencia y generar un ROI de marketing medible.

Inmersión técnica: arquitectura y segmentación

El principio fundamental de cualquier despliegue de puntos de acceso empresariales es el aislamiento. El tráfico de los invitados debe estar separado criptográfica y lógicamente de los datos corporativos en cada capa de la pila de red. No aplicar esta separación es el error más común y de mayores consecuencias en los despliegues de WiFi público.

Segmentación de red mediante VLAN

Desplegar una red plana donde los invitados y los sistemas de punto de venta (POS) comparten la misma subred es un fallo de seguridad catastrófico. Los despliegues empresariales utilizan redes de área local virtuales (VLAN) para segmentar el tráfico a nivel de switch gestionado, imponiendo límites lógicos independientemente de la topología física.

Un despliegue multi-tenant estándar normalmente definirá como mínimo dos VLAN:

VLAN Propósito ID típico Política de enrutamiento
Corporativa Dispositivos del personal, terminales POS, servidores de back-office VLAN 10 Acceso interno total
Invitados Solo acceso a Internet público VLAN 20 Solo Internet; sin rutas internas
IoT/Edificio CCTV, HVAC, control de accesos VLAN 30 Aislado; sin Internet

El tráfico en la VLAN de invitados se enruta directamente a internet a través de un cortafuegos de Gestión Unificada de Amenazas (UTM), con Listas de Control de Acceso (ACL) estrictas configuradas para descartar cualquier paquete con destino a subredes internas. Esta segmentación es un control obligatorio bajo el Requisito 1.3 de PCI DSS, que exige que los entornos de datos de titulares de tarjetas estén aislados de las redes no confiables. Para los operadores de Retail y Hospitality que ejecutan terminales de pago en la misma infraestructura física, esto es innegociable.

El flujo de autenticación de Captive Portal

Cuando un dispositivo de invitado se asocia con un punto de acceso (AP), recibe una dirección IP a través de DHCP. En esta etapa, el cortafuegos bloquea todo el tráfico de internet saliente. El proceso completo de autenticación se realiza de la siguiente manera:

  1. Asociación: El dispositivo se conecta al SSID abierto (o a un SSID de OpenRoaming seguro mediante 802.1X/EAP).
  2. Asignación de DHCP: El servidor DHCP de la VLAN de invitados asigna una dirección IP, una puerta de enlace predeterminada y un servidor DNS.
  3. Intercepción: Cuando el dispositivo intenta realizar una solicitud HTTP (o el sistema operativo activa una sonda de Captive Portal a través de una URL conocida), la red intercepta la solicitud mediante redirección de DNS y dirige al usuario al servidor de Captive Portal.
  4. Autenticación: Al usuario se le presenta una página de bienvenida (splash page) personalizada. Se autentica mediante correo electrónico, inicio de sesión social (OAuth), OTP por SMS o un proveedor de identidad fluido como OpenRoaming.
  5. Captura de consentimiento: Se presenta al usuario la Política de Uso Aceptable (AUP) y, si se recopilan datos para marketing, una casilla de verificación de consentimiento explícito (opt-in).
  6. Señal de autorización: El servidor del portal se comunica con el controlador de LAN inalámbrica o el cortafuegos a través de RADIUS o una API REST, autorizando la dirección MAC o IP del dispositivo para el acceso a internet.
  7. Acceso concedido: Las reglas del cortafuegos se actualizan dinámicamente y el usuario es redirigido a su destino previsto.

architecture_overview.png

Para entornos que requieren autenticación basada en certificados de nivel empresarial para los dispositivos del personal junto con el portal de invitados, consulte nuestra guía sobre Cómo configurar WiFi empresarial en iOS y macOS con 802.1X (también disponible en portugués: Como Configurar WiFi Corporativo em iOS e macOS com 802.1X ).

Estándares inalámbricos y planificación de frecuencias

Las implementaciones empresariales deben estandarizarse en puntos de acceso 802.11ax (WiFi 6) o 802.11be (WiFi 7). WiFi 6 introduce OFDMA (Acceso múltiple por división de frecuencias ortogonales), que mejora drásticamente el rendimiento en entornos de alta densidad al permitir que un solo AP atienda a múltiples clientes de forma simultánea en subcanales, en lugar de hacerlo secuencialmente. Esto es especialmente crítico en instalaciones del sector sanitario , centros de conferencias y despliegues en estadios, donde cientos de dispositivos pueden asociarse a un solo AP durante los periodos de máxima actividad.

La asignación de bandas de frecuencia debe seguir estos principios. La banda de 2,4 GHz ofrece mayor alcance y mejor penetración a través de las paredes, lo que la hace adecuada para dispositivos antiguos y grandes áreas abiertas. Sin embargo, solo dispone de tres canales que no se solapan (1, 6, 11), lo que la hace muy susceptible a la interferencia de canal compartido en despliegues densos. La banda de 5 GHz ofrece más de 24 canales que no se solapan y un rendimiento significativamente mayor, pero con un alcance reducido. Los controladores inalámbricos empresariales modernos son compatibles con Band Steering, que fomenta activamente que los dispositivos de doble banda compatibles se conecten a la banda de 5 GHz, liberando el espectro de 2,4 GHz para los clientes antiguos.

Guía de implementación: hardware, configuración y despliegue

Paso 1: Dimensionamiento del ISP y del enlace ascendente

Antes de seleccionar el hardware, calcule el ancho de banda de enlace ascendente necesario. Una estimación conservadora para una red de invitados de uso general es de 1 a 2 Mbps por usuario simultáneo. Para un recinto que prevea 300 invitados simultáneos, se recomienda una conexión de fibra simétrica de al menos 500 Mbps, y una conexión de 1 Gbps proporcionará margen de crecimiento. Para los centros de transporte o los grandes recintos de eventos, se debe considerar el uso de múltiples enlaces ascendentes agregados o la redundancia mediante SD-WAN.

Paso 2: Selección y ubicación de los puntos de acceso

Utilice puntos de acceso gestionados 802.11ax de proveedores empresariales. Estos AP deben ser compatibles con PoE+ (Power over Ethernet Plus, IEEE 802.3at), lo que permite que un único cable Cat6 transporte tanto datos como energía desde el switch gestionado hasta el AP. Esto elimina la necesidad de tomas de corriente locales en cada ubicación de AP, lo que reduce drásticamente los costes de instalación.

La ubicación de los AP debe determinarse mediante un estudio de cobertura de RF profesional (site survey), no mediante conjeturas. El estudio debe tener en cuenta:

  • Atenuación: pérdida de señal a través de paredes de hormigón, estanterías metálicas y mamparas de cristal.
  • Solapamiento de cobertura: los AP deben solaparse aproximadamente entre un 15 % y un 20 % para garantizar una itinerancia fluida (roaming) sin zonas sin cobertura.
  • Planificación de capacidad: las zonas de alta densidad (salas de conferencias, zonas de restauración, vestíbulos) requieren más AP con menor potencia de transmisión para atender a muchos clientes a corta distancia, en lugar de menos AP con alta potencia.

Paso 3: Configuración de switches gestionados y VLAN

Implemente un switch gestionado de Capa 2/3 con suficiente presupuesto PoE+ para alimentar todos los AP. Configure el etiquetado VLAN 802.1Q en todos los puertos de enlace ascendente y trunk de AP. Los puertos de acceso que conecten con terminales TPV o estaciones de trabajo del personal deben asignarse a la VLAN corporativa como miembros no etiquetados. Los puertos de AP deben configurarse como puertos trunk que transporten todas las VLAN requeridas, con el controlador inalámbrico asignando cada SSID a su VLAN correspondiente.

Step 4: Firewall y modelado de tráfico

El firewall UTM es el punto de aplicación para todas las políticas de seguridad y ancho de banda. Las configuraciones clave incluyen:

  • Reglas de enrutamiento de VLAN: Permitir el acceso de la VLAN de invitados a internet; denegar el acceso de la VLAN de invitados a todas las subredes internas.
  • Límites de ancho de banda por usuario: Implemente políticas de modelado de tráfico para limitar el rendimiento individual. Un punto de partida estándar es 5 Mbps de bajada / 2 Mbps de subida por usuario. Esto evita que un solo usuario que reproduzca vídeo en 4K degrade la experiencia de los demás invitados.
  • Control de aplicaciones: Bloquee los protocolos de intercambio de archivos P2P (BitTorrent, eDonkey) y otras aplicaciones ilícitas o de gran ancho de banda a nivel de firewall.
  • Filtrado DNS: Implemente un filtrado de contenido basado en DNS para bloquear el acceso a dominios maliciosos, sitios de phishing y categorías de contenido inapropiado. Para obtener una guía detallada sobre esta capa, consulte Proteja su red con un DNS sólido y seguridad .

Step 5: Configuración del Captive Portal

El Captive Portal es el componente más visible del despliegue y el principal mecanismo de captura de datos. Al configurar el portal, asegúrese de que:

  • La página de inicio (splash page) se sirva a través de HTTPS con un certificado SSL válido y de confianza pública para evitar advertencias de seguridad del navegador.
  • Las opciones de autenticación incluyan como mínimo correo electrónico/contraseña y el inicio de sesión social (Google, Facebook, Apple) para maximizar las tasas de conversión.
  • La AUP (Política de uso aceptable) se muestre claramente y requiera una aceptación explícita antes de conceder el acceso.
  • El consentimiento de GDPR para comunicaciones de marketing se capture a través de una casilla de verificación de suscripción voluntaria independiente y desmarcada.
  • Los intervalos de tiempo de espera de sesión y de autenticación estén configurados para equilibrar la comodidad del usuario con la seguridad.

Buenas prácticas y cumplimiento normativo

compliance_checklist.png

GDPR y privacidad de datos

Si recopila datos de usuarios con fines de marketing, el consentimiento explícito e informado es obligatorio según el GDPR del Reino Unido y el GDPR de la UE. Los requisitos legales son claros: se prohíben las casillas de consentimiento marcadas previamente; el consentimiento debe ser libre, específico, informado e inequívoco; y los usuarios deben poder retirar el consentimiento con la misma facilidad con la que lo dieron. Su Captive Portal debe indicar claramente qué datos se recopilan, la base jurídica del tratamiento, cómo se utilizarán y durante cuánto tiempo se conservarán.

En el Reino Unido, la Ley de Regulación de los Poderes de Investigación (RIPA) y la legislación asociada pueden exigir a los operadores de los establecimientos que conserven los registros de conexión (incluidas las direcciones MAC, las marcas de tiempo y las asignaciones de IP) para ayudar a las fuerzas del orden en caso de actividad ilegal en la red. Consulte a su asesor legal para determinar las obligaciones específicas de retención aplicables a su organización y jurisdicción.

Estándares de cifrado y WPA3

Para cualquier SSID que utilice una clave precompartida (por ejemplo, una red para el personal), exija WPA3-Personal (SAE) en lugar de WPA2. WPA3 elimina la vulnerabilidad a los ataques de diccionario sin conexión inherente al protocolo de enlace de 4 vías de WPA2. Para las redes de personal corporativo que utilizan autenticación basada en certificados 802.1X, WPA3-Enterprise con modo de 192 bits proporciona el mayor nivel de seguridad. Para obtener más información sobre cómo proteger las capas física y lógica de su infraestructura inalámbrica, consulte Seguridad de los puntos de acceso: Su guía empresarial para 2026 .

Abordar la aleatorización de direcciones MAC

Los dispositivos iOS (desde iOS 14) y Android (desde Android 10) modernos utilizan la aleatorización de MAC por defecto, generando una dirección MAC aleatoria única para cada red WiFi. Esto significa que las direcciones MAC ya no pueden utilizarse de forma fiable para identificar a los visitantes recurrentes ni para crear perfiles de usuario a largo plazo. La respuesta arquitectónica correcta es exigir una autenticación basada en la identidad en el Captive Portal —requiriendo que los usuarios inicien sesión a través del correo electrónico o una cuenta social— para que el perfil de usuario, y no el identificador de hardware, se convierta en la entidad de seguimiento persistente.

Resolución de problemas y mitigación de riesgos

Incluso las redes bien diseñadas experimentan problemas operativos. La siguiente tabla resume los modos de fallo más comunes y sus mitigaciones recomendadas.

Modo de fallo Causa raíz Mitigación
Agotamiento de DHCP Subred demasiado pequeña o tiempo de concesión demasiado largo para el volumen de afluencia Utilizar una subred /22 o mayor; reducir el tiempo de concesión a 30-60 minutos
Interferencia de cocanal Varios puntos de acceso en el mismo canal en áreas de cobertura superpuestas Habilitar la asignación dinámica de canales en el controlador inalámbrico
Errores de SSL del Captive Portal Certificado no válido o autofirmado en el servidor del portal Implementar un certificado de CA público válido; usar Let's Encrypt
Roaming lento Los puntos de acceso no comparten los datos de asociación de clientes Habilitar 802.11r (Fast BSS Transition) en el controlador inalámbrico
Saturación del ancho de banda No se ha configurado la regulación de tráfico por usuario Implementar políticas de QoS por usuario en el firewall
Movimiento lateral de red de invitados a corporativa Red plana o ACL mal configuradas Auditar las ACL de la VLAN; realizar pruebas de penetración en la VLAN de invitados

ROI e impacto empresarial

Un punto de acceso correctamente implementado va más allá de su función como infraestructura de TI: se convierte en un motor de datos de origen (first-party) y en un canal de marketing directo. Los argumentos comerciales para invertir en una plataforma de WiFi para invitados gestionada son convincentes en todos los sectores.

En el sector de Hostelería , los datos de WiFi de invitados permiten a los hoteles entender qué servicios utilizan los huéspedes antes y después de conectarse, personalizar las comunicaciones durante la estancia y fomentar la repetición de reservas mediante campañas automatizadas posteriores a la estancia. Un hotel de 300 habitaciones que capta 200 suscripciones de correo electrónico al día crea una base de datos de marketing de 70 000 contactos registrados al año, lo que constituye un activo de CRM muy importante.

En el sector del Retail , el análisis de WiFi ofrece mapas de calor de afluencia, tiempo de permanencia por zona y tasas de repetición de visitas, datos que antes solo estaban disponibles a través de costosas encuestas manuales. Los comercios pueden utilizar estos datos para optimizar la distribución de las tiendas, medir el impacto de los expositores promocionales y activar campañas de fidelización cuando un cliente conocido entra en el establecimiento.

Para el sector público y los operadores de Transporte , la propuesta de valor es la eficiencia operativa: comprender los periodos de mayor congestión, optimizar la dotación de personal y ofrecer servicios digitales accesibles a ciudadanos y pasajeros.

Plataformas como Guest WiFi y WiFi Analytics de Purple proporcionan la capa de infraestructura gestionada que conecta la red básica con estos resultados de negocio. Como demuestra la expansión estratégica de Purple —incluyendo los movimientos recientes hacia nuevos sectores verticales, tal y como se destaca en el anuncio de la incorporación del vicepresidente de Educación, Tim Peers, al equipo —, el valor de los espacios conectados inteligentes se está expandiendo rápidamente en todos los sectores de la economía.

La transición de una conexión a internet básica a una red inteligente basada en datos es la característica definitoria de un despliegue de WiFi empresarial moderno. El coste de la infraestructura es en gran medida fijo; la inversión incremental en una capa de plataforma gestionada ofrece un retorno compuesto a medida que la base de datos de marketing crece y los flujos de trabajo de automatización maduran.

Definiciones clave

Captive Portal

Una página web que el usuario de una red de acceso público está obligado a ver y con la que debe interactuar antes de que se le conceda acceso a Internet. Intercepta el tráfico HTTP mediante redirección DNS y presenta una página de inicio (splash page) para la autenticación y la captura del consentimiento.

El mecanismo principal para hacer cumplir las Políticas de Uso Aceptable, autenticar a los usuarios y capturar datos de marketing de origen (first-party) en redes WiFi de invitados.

VLAN (Virtual Local Area Network)

Una subred lógica que agrupa una colección de dispositivos de diferentes LAN físicas, aplicada a nivel de switch gestionado mediante el etiquetado 802.1Q.

Esencial para aislar el tráfico WiFi de invitados de las redes corporativas confidenciales. Un control obligatorio para el cumplimiento de PCI DSS en cualquier establecimiento que procese datos de tarjetas de pago.

Traffic Shaping (QoS)

El control del tráfico de red para optimizar o garantizar el rendimiento limitando el ancho de banda disponible para usuarios individuales o tipos de aplicaciones.

Se utiliza para evitar que un número reducido de usuarios intensivos consuma la mayor parte del ancho de banda de subida disponible, garantizando una experiencia de partida constante para todos los invitados concurrentes.

MAC Randomization

Una función de privacidad en los sistemas operativos modernos (iOS 14+, Android 10+) que genera una dirección MAC aleatoria única al conectarse a diferentes redes WiFi, lo que evita el seguimiento persistente basado en hardware.

Obliga a los operadores de los establecimientos a utilizar inicios de sesión basados en la identidad del Captive Portal en lugar del seguimiento de direcciones de hardware para identificar y volver a captar a los visitantes recurrentes.

DHCP Exhaustion

Una condición de fallo de red en la que el servidor DHCP ha asignado todas las direcciones IP disponibles en su grupo configurado, lo que impide que los nuevos dispositivos obtengan una dirección IP y se conecten a la red.

Un fallo común y fácilmente evitable en establecimientos con gran afluencia de público que cuentan con subredes infradimensionadas o tiempos de concesión DHCP excesivamente largos.

Band Steering

Una función del controlador inalámbrico que detecta dispositivos cliente con capacidad de doble banda y los anima activamente o los obliga a conectarse a la banda de 5 GHz en lugar de a la banda de 2,4 GHz, que está más congestionada.

Mejora el rendimiento general de la red en despliegues de alta densidad al distribuir a los clientes a lo largo del espectro disponible y reducir la interferencia de cocanal en la banda de 2,4 GHz.

OpenRoaming

Un estándar de la federación de la Wireless Broadband Alliance (WBA) que permite conexiones WiFi automáticas y seguras en las redes participantes mediante la autenticación 802.1X/EAP, sin necesidad de que los usuarios interactúen con un Captive Portal.

Ofrece una experiencia de conectividad fluida, similar a la de la red móvil, para los usuarios de los proveedores de identidad participantes. Purple opera como proveedor de identidad dentro de la federación OpenRoaming bajo su licencia Connect.

PCI DSS (Payment Card Industry Data Security Standard)

Un conjunto de normas de seguridad impuestas por las principales redes de tarjetas (Visa, Mastercard, Amex) que exige a cualquier organización que acepte, procese, almacene o transmita datos de tarjetas de pago mantener un entorno de red seguro y segmentado.

Directamente relevante para cualquier despliegue de WiFi en comercios minoristas o de hostelería donde los terminales de pago comparten la infraestructura de red física con los puntos de acceso de invitados. El requisito 1.3 exige un aislamiento estricto del entorno de datos de los titulares de tarjetas de las redes no fiables.

UTM Firewall (Unified Threat Management)

Un dispositivo de seguridad de red que combina múltiples funciones de seguridad (incluida la inspección de paquetes con estado, la prevención de intrusiones, el control de aplicaciones, el filtrado DNS y la VPN) en una única plataforma gestionada.

El punto de aplicación central para las reglas de enrutamiento VLAN, las políticas de ancho de banda por usuario y el filtrado de contenidos en un despliegue de WiFi de invitados empresarial.

Ejemplos prácticos

A 200-room hotel is upgrading its guest WiFi. During peak evening hours, guests complain about slow speeds and dropped connections, despite the hotel having a 1 Gbps symmetric fiber uplink. Investigation reveals the current setup uses a single flat /24 subnet for both staff and guests, with no traffic shaping configured. The hotel also wants to start capturing guest email addresses for a post-stay marketing programme.

Phase 1 — Network Redesign:

  1. Implement VLAN segmentation. Move all staff devices, POS terminals, and the property management system to VLAN 10 (/24 subnet). Move guests to VLAN 20 with a /22 subnet (1,022 usable IPs) to accommodate peak occupancy with multiple devices per guest.
  2. Configure the UTM firewall with strict ACLs: Guest VLAN 20 has internet access only; all routes to VLAN 10 are explicitly denied.

Phase 2 — Performance Optimisation: 3. Configure per-user bandwidth limits of 10 Mbps down / 5 Mbps up on the firewall. This ensures the 1 Gbps pipe is distributed fairly among 400+ concurrent devices. 4. Enable Band Steering on the wireless controller to push capable devices to the less congested 5 GHz band. 5. Reduce DHCP lease time from the default 24 hours to 2 hours to prevent IP exhaustion during peak check-in periods.

Phase 3 — Captive Portal and Data Capture: 6. Deploy a branded captive portal (e.g., via Purple Guest WiFi) requiring email authentication. 7. Configure the splash page with an explicit, un-ticked GDPR opt-in checkbox for the post-stay marketing programme. 8. Integrate the portal's API with the hotel's CRM to sync authenticated guest profiles and trigger automated post-stay email sequences.

Comentario del examinador: The flat /24 subnet was causing two compounding issues: a security vulnerability (guests could potentially enumerate and attack staff devices on the same subnet) and DHCP exhaustion (only 254 IPs available for potentially 400+ guest devices across a 200-room hotel). The solution correctly addresses the logical architecture, bandwidth management, and the marketing data capture objective simultaneously. The GDPR opt-in configuration is critical—pre-ticking the box would render the consent legally invalid.

Un hotel de 200 habitaciones va a actualizar su WiFi para huéspedes. Durante las horas punta de la tarde, los huéspedes se quejan de velocidades lentas y caídas de conexión, a pesar de que el hotel dispone de un enlace ascendente de fibra simétrica de 1 Gbps. La investigación revela que la configuración actual utiliza una única subred plana /24 tanto para el personal como para los huéspedes, sin configurar ninguna priorización de tráfico. El hotel también desea empezar a recopilar direcciones de correo electrónico de los huéspedes para un programa de marketing posterior a la estancia.

Fase 1 — Rediseño de la red:

  1. Implementar la segmentación por VLAN. Mover todos los dispositivos del personal, los terminales TPV y el sistema de gestión hotelera a la VLAN 10 (subred /24). Mover a los huéspedes a la VLAN 20 con una subred /22 (1.022 IP utilizables) para dar cabida a la ocupación máxima con múltiples dispositivos por huésped.
  2. Configurar el firewall UTM con ACL estrictas: la VLAN de huéspedes 20 solo tiene acceso a Internet; todas las rutas hacia la VLAN 10 se deniegan explícitamente.

Fase 2 — Optimización del rendimiento: 3. Configurar límites de ancho de banda por usuario de 10 Mbps de bajada / 5 Mbps de subida en el firewall. Esto garantiza que la línea de 1 Gbps se distribuya de forma equitativa entre más de 400 dispositivos simultáneos. 4. Habilitar Band Steering en el controlador inalámbrico para dirigir los dispositivos compatibles a la banda de 5 GHz, que está menos congestionada. 5. Reducir el tiempo de concesión (lease time) de DHCP de las 24 horas predeterminadas a 2 horas para evitar el agotamiento de direcciones IP durante los periodos de mayor afluencia de registros.

Fase 3 — Captive Portal y captura de datos: 6. Implementar un Captive Portal personalizado (por ejemplo, a través de Purple Guest WiFi) que requiera autenticación por correo electrónico. 7. Configurar la página de inicio con una casilla de verificación de consentimiento de GDPR explícita y sin marcar para el programa de marketing posterior a la estancia. 8. Integrar la API del portal con el CRM del hotel para sincronizar los perfiles de huéspedes autenticados y activar secuencias automatizadas de correo electrónico tras la estancia.

Comentario del examinador: La subred plana /24 estaba causando dos problemas acumulativos: una vulnerabilidad de seguridad (los huéspedes podían potencialmente enumerar y atacar los dispositivos del personal en la misma subred) y el agotamiento de DHCP (solo 254 IP disponibles para potencialmente más de 400 dispositivos de huéspedes en un hotel de 200 habitaciones). La solución aborda correctamente y de forma simultánea la arquitectura lógica, la gestión del ancho de banda y el objetivo de captura de datos de marketing. La configuración del consentimiento de GDPR es fundamental: marcar previamente la casilla invalidaría legalmente el consentimiento.

Una cadena de tiendas de retail con 50 establecimientos quiere utilizar su WiFi gratuito para huéspedes para crear su base de datos de marketing. Actualmente utilizan una clave precompartida WPA2 (contraseña impresa en los recibos) en todas las tiendas y no tienen ninguna visibilidad sobre quién se conecta ni cuánto tiempo se queda. El equipo de marketing quiere enviar correos electrónicos promocionales semanales a los usuarios de WiFi, y al equipo de TI le preocupa el cumplimiento de la normativa PCI DSS, dado que los terminales de pago están en los mismos switches físicos.

Paso 1 — Eliminar la clave precompartida: Transicionar el SSID de invitados a una red abierta (sin contraseña) que redirija inmediatamente a un Captive Portal. Esto elimina la vulnerabilidad de la clave compartida y permite la autenticación por usuario.

Paso 2 — Segmentación de VLAN para PCI DSS: Crear una VLAN de huéspedes dedicada (por ejemplo, VLAN 20) en todos los switches gestionados. Asignar los terminales TPV a la VLAN corporativa existente (VLAN 10). Configurar ACL en el firewall para forzar un aislamiento estricto entre las dos VLAN. Documentar esta segmentación como parte del diagrama de red para PCI DSS.

Paso 3 — Captive Portal con consentimiento conforme a GDPR: Desplegar una plataforma de Captive Portal gestionada. Configurar la página de inicio para requerir autenticación a través de correo electrónico, Google o Facebook. Incluir una casilla de verificación de consentimiento claramente redactada y sin marcar: "Acepto recibir correos electrónicos promocionales de [Nombre de la marca]. Puedo darme de baja en cualquier momento".

Paso 4 — Integración con CRM y automatización: Conectar la API del portal al CRM del minorista (por ejemplo, Salesforce, Klaviyo). Sincronizar los perfiles de usuario autenticados, las marcas de tiempo de las visitas y los datos de ubicación de las tiendas. Configurar un correo electrónico de bienvenida automatizado que se active con la primera conexión, y una campaña de reactivación que se active cuando un usuario conocido no se haya conectado en 30 días.

Comentario del examinador: Este escenario ilustra el doble valor de un Captive Portal: resuelve un problema de cumplimiento (segmentación PCI DSS) y crea un activo empresarial (base de datos de marketing) simultáneamente. La idea clave es que la autenticación basada en la identidad a través del portal supera el problema de la aleatorización de direcciones MAC: aunque el dispositivo de un huésped presente una dirección MAC diferente en su siguiente visita, su inicio de sesión por correo electrónico vincula la sesión al mismo perfil de usuario, lo que permite un seguimiento preciso de las visitas recurrentes.

Preguntas de práctica

Q1. Su equipo de marketing quiere recopilar direcciones de correo electrónico de los invitados a través del nuevo punto de acceso WiFi. Sugieren configurar el tiempo de arrendamiento de DHCP en 24 horas para que los invitados no tengan que iniciar sesión repetidamente durante el día. Su establecimiento recibe 3.000 visitantes únicos al día. Su subred de invitados es una /23 (510 IP utilizables). ¿Cuál es el fallo de diseño en esta solicitud y cómo lo resuelve cumpliendo al mismo tiempo el requisito del equipo de marketing?

Sugerencia: Considere la relación entre el número de visitantes diarios, el tamaño de la subred y la duración del arrendamiento. Luego, piense en cómo separar el problema de la capa de red del de la capa de aplicación.

Ver respuesta modelo

El fallo de diseño es que un tiempo de arrendamiento de 24 horas en una subred /23 con 3.000 visitantes diarios provocará un rápido agotamiento del DHCP. Una vez que se hayan conectado 510 dispositivos, ningún dispositivo nuevo recibirá una dirección IP durante un máximo de 24 horas. La solución consta de dos partes: en primer lugar, ampliar la subred a por lo menos una /21 (2.046 IP) para dar cabida al pico de dispositivos concurrentes. En segundo lugar, reducir el tiempo de arrendamiento de DHCP a 30-60 minutos para reciclar las direcciones IP a medida que los invitados abandonen el establecimiento. Para satisfacer el requisito del equipo de marketing de que los invitados no tengan que volver a autenticarse repetidamente, configure el controlador del Captive Portal para que recuerde las direcciones MAC autenticadas (o tokens de identidad de usuario) durante 24 horas. Esto permite que un dispositivo que regresa obtenga una nueva IP a través de DHCP pero evite la splash page, ofreciendo la experiencia fluida que desea el equipo de marketing sin comprometer la red.

Q2. Un cliente de comercio minorista desea implementar un Captive Portal pero le preocupa el coste de sustituir sus actuales conmutadores no gestionados. Pregunta si puede ejecutar la red WiFi de invitados en los mismos conmutadores físicos no gestionados que sus terminales de punto de venta, utilizando simplemente un SSID diferente para la red de invitados.

Sugerencia: La aplicación de VLAN requiere hardware de conmutador gestionado. Considere qué sucede con el tráfico en un conmutador no gestionado.

Ver respuesta modelo

Esta configuración no es aceptable desde el punto de vista de la seguridad o el cumplimiento normativo. Los conmutadores no gestionados no admiten el etiquetado de VLAN 802.1Q, lo que significa que todo el tráfico del conmutador —independientemente del SSID— se encuentra en el mismo dominio de difusión. Un dispositivo invitado en el SSID de "invitados" podría llegar a los terminales de punto de venta en el mismo conmutador, lo que infringe el requisito 1.3 de PCI DSS. El cliente debe sustituir los conmutadores no gestionados por conmutadores gestionados de Capa 2 que admitan el etiquetado de VLAN 802.1Q. El coste de capital de los conmutadores gestionados es modesto en comparación con la exposición al riesgo de una vulneración de PCI DSS o las multas asociadas con una filtración de datos.

Q3. Está desplegando puntos de acceso en un centro de conferencias de alta densidad que alberga eventos con hasta 1.500 usuarios de WiFi concurrentes. Detecta una latencia y una pérdida de paquetes significativas en el espectro de 2,4 GHz durante los eventos, a pesar de que el espectro de 5 GHz parece estar infrautilizado. ¿Cómo debería configurar el controlador inalámbrico para solucionar esto y qué consideración de hardware adicional debería tener en cuenta?

Sugerencia: Pense en cómo desplazar los dispositivos compatibles fuera de la banda de frecuencia congestionada y considere la relación entre la potencia de transmisión del AP y la densidad de clientes.

Ver respuesta modelo

Habilite Band Steering en el controlador inalámbrico. Esta función detecta si un dispositivo cliente es capaz de conectarse a la banda de 5 GHz y fomenta u obliga activamente al dispositivo a asociarse allí, liberando la banda de 2,4 GHz para dispositivos heredados. Además, reduzca la potencia de transmisión en todos los AP. Aunque parezca contradictorio, en despliegues de alta densidad, una menor potencia de transmisión mejora el rendimiento al reducir la interferencia de canal compartido entre AP adyacentes y fomentar que los clientes se asocien al AP más cercano en lugar de a uno lejano con una señal potente. Considere desplegar más AP con menor potencia en lugar de menos AP con alta potencia. Habilite también 802.11r (Fast BSS Transition) para permitir un roaming fluido a medida que los usuarios se desplazan por las instalaciones.

Continúe leyendo esta serie

Cómo configurar un Captive Portal en Starlink: guía para establecimientos remotos y marítimos

Esta guía detalla cómo omitir el hardware nativo de Starlink e integrar un Captive Portal gestionado en la nube utilizando equipos de enrutamiento empresariales. Aprenderá a superar la limitación de CGNAT, aplicar la segmentación de VLAN, gestionar las limitaciones de ancho de banda satelital y garantizar el cumplimiento normativo.

Leer la guía →

Mejores prácticas de Captive Portal: diseño para una alta conversión y cumplimiento normativo

Esta guía técnica ofrece a los responsables de TI, arquitectos de redes y directores de operaciones de establecimientos un plan completo para implementar Captive Portals que equilibren la seguridad de la red con una alta conversión de usuarios. Abarca toda la arquitectura, desde la segmentación de VLAN y la autenticación RADIUS hasta el diseño de consentimiento en conformidad con el GDPR y la selección del método de autenticación. Basada en la experiencia operativa de Purple en más de 80 000 establecimientos y 440 millones de inicios de sesión en 2024, cada recomendación se fundamenta en datos reales de implementación.

Leer la guía →

Cómo optimizar los captive portals para una máxima seguridad de red y conversión de usuarios

Esta guía proporciona un esquema técnico completo para optimizar los captive portals en entornos empresariales, abarcando la arquitectura de segmentación de red, la selección del método de autenticación, el diseño de consentimiento conforme a la GDPR y la optimización de la conversión. Está dirigida a responsables de TI, arquitectos de red y CTO de hoteles, cadenas de tiendas, estadios y organizaciones del sector público que necesitan equilibrar la seguridad de la red con la captura de datos de primera mano. Purple opera la infraestructura de captive portals en más de 80.000 establecimientos con 440 millones de inicios de sesión en 2024, y los marcos de trabajo aquí presentados reflejan esa experiencia operativa.

Leer la guía →