Saltar al contenido principal

Cómo implementar restricciones de tiempo y de ancho de banda en redes WiFi de invitados

Una guía de referencia técnica autorizada sobre cómo implementar restricciones de tiempo y de ancho de banda en redes WiFi de invitados empresariales. Esta guía proporciona planes arquitectónicos prácticos, configuraciones independientes del proveedor y casos de estudio reales para ayudar a los responsables de TI a equilibrar el rendimiento de la red, el cumplimiento de la seguridad y la experiencia del visitante.

📖 11 min de lectura📝 2,556 palabras🔧 3 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Cómo implementar restricciones de tiempo y ancho de banda en redes WiFi de invitados Una sesión informativa de Purple WiFi [INTRODUCCIÓN Y CONTEXTO — aproximadamente 1 minuto] Le damos la bienvenida a la sesión informativa de Purple WiFi. Soy su anfitrión y hoy vamos a abordar un tema que se sitúa justo en la intersección entre el rendimiento de la red, el cumplimiento normativo y la experiencia del invitado: la implementación de restricciones de tiempo y ancho de banda en el WiFi de invitados. Si gestiona un hotel, una cadena de tiendas de retail, un estadio o un centro de conferencias, esta es una de las decisiones operativas más importantes que tomará sobre su red. Si lo hace mal, limitará a sus invitados hasta la frustración o dejará su red corporativa expuesta a un consumo descontrolado de ancho de banda. Si lo hace bien, dispondrá de una capa de acceso para invitados escalable, conforme a la normativa y comercialmente inteligente. En los próximos diez minutos, analizaremos la arquitectura técnica, los pasos de implementación, casos prácticos reales de hostelería y retail, los errores habituales y cómo es un resultado excelente desde la perspectiva del impacto empresarial. Comencemos. [ANÁLISIS TÉCNICO DETALLADO — aproximadamente 5 minutos] Empecemos por lo fundamental. Cuando hablamos de restricciones de tiempo y ancho de banda en el WiFi de invitados, en realidad nos referimos a dos capas de políticas distintas pero complementarias, y comprender la diferencia es fundamental antes de tocar una sola pantalla de configuración. Las restricciones de ancho de banda regulan la velocidad de transferencia. ¿Cuántos megabits por segundo puede consumir un solo dispositivo invitado? ¿Cuánto tráfico agregado puede enviar todo el SSID de invitados a través de su enlace de subida? Estas restricciones se aplican mediante mecanismos de calidad de servicio, concretamente el estándar IEEE 802.11e, que sirve de base para WiFi Multimedia (o WMM). El estándar WMM define cuatro categorías de acceso de tráfico: voz, vídeo, mejor esfuerzo (best effort) y segundo plano (background). El tráfico de invitados casi siempre debe clasificarse como "mejor esfuerzo" o "segundo plano", garantizando que el tráfico corporativo y operativo mantenga la prioridad. Las restricciones de tiempo regulan la duración de la sesión. ¿Cuánto tiempo puede permanecer conectado un invitado antes de que se le pida que vuelva a autenticarse? Esto se aplica en la capa del Captive Portal, a través de los parámetros de tiempo de espera de la sesión, y cada vez más mediante RADIUS Change of Authorisation (CoA), que permite a su servidor de autenticación finalizar o modificar de forma dinámica una sesión sin necesidad de que el cliente se desconecte y se vuelva a conectar. Ahora, la arquitectura que hace que todo esto funcione a la perfección es la segmentación de VLAN. Su SSID de invitados debe residir en una VLAN dedicada -llamémosla VLAN 30- completamente aislada de su red corporativa en la VLAN 10 y de su red operativa en la VLAN 20. El cortafuegos se sitúa entre estos segmentos y aplica las políticas de enrutamiento inter-VLAN. El tráfico de invitados en la VLAN 30 no debe tener acceso a sus servidores internos, sistemas de punto de venta ni a ningún dispositivo de la LAN corporativa. Esto no es opcional: es un requisito de PCI-DSS versión 4.0 bajo el Requisito 1.3, que exige la segmentación de red entre los entornos de pago y cualquier red accesible a dispositivos no confiables. Hablemos de los mecanismos de aplicación reales. Existen tres enfoques principales, y el adecuado dependerá de su infraestructura. El primero es la aplicación basada en controlador. Si utiliza un controlador de LAN inalámbrica centralizado -de Cisco, HPE Aruba, Juniper Mist o similar-, puede aplicar políticas de ancho de banda por cliente y por SSID directamente en el controlador. Una configuración típica para un hotel podría establecer un límite de bajada por cliente de 25 megabits por segundo, un límite de subida de 5 megabits y un límite de SSID agregado de 500 megabits para proteger el enlace ascendente. Los tiempos de espera de la sesión se configuran en los atributos RADIUS devueltos durante la autenticación, específicamente el atributo Session-Timeout, que indica al punto de acceso exactamente cuántos segundos es válida una sesión. El segundo enfoque es la aplicación de políticas basada en cortafuegos. Plataformas como Fortinet FortiGate, Palo Alto Networks o pfSense le permiten aplicar políticas de modelado de tráfico a nivel de cortafuegos, limitadas a la VLAN de invitados. Esto es especialmente útil en entornos donde la infraestructura inalámbrica no admite de forma nativa la limitación de velocidad por cliente, o donde se necesita un control más granular sobre el tráfico de la capa de aplicación -por ejemplo, bloqueando el intercambio de archivos peer-to-peer o la transmisión de vídeo durante las horas de mayor actividad. El tercer enfoque es la aplicación gestionada en la nube. Plataformas como Purple, Cisco Meraki y Juniper Mist envían configuraciones de políticas desde un panel de control central en la nube a los puntos de acceso distribuidos. Este es el modelo preferido para despliegues multisitio -una cadena minorista con 200 tiendas, por ejemplo- porque elimina la necesidad de realizar configuraciones in situ en cada ubicación. Los cambios de política se propagan automáticamente y usted obtiene visibilidad centralizada de los patrones de uso en todo el parque de dispositivos. Ahora hablemos de la programación basada en el tiempo, que es un concepto ligeramente diferente al del tiempo de espera de la sesión. La programación significa que el propio SSID de invitados solo está activo durante unas horas definidas. Una tienda minorista podría transmitir el SSID de invitados únicamente entre las 09:00 y las 21:00, coincidiendo con el horario comercial. Fuera de ese horario, el SSID se oculta por completo, lo que reduce la superficie de ataque y elimina el riesgo de acceso no autorizado durante la noche. La mayoría de los puntos de acceso empresariales admiten de forma nativa la programación de SSID, y las plataformas gestionadas en la nube facilitan enormemente esta configuración en un gran parque de dispositivos. Otro mecanismo que merece la pena destacar son las cuotas de volumen de datos, a veces llamadas límites diarios de datos. En lugar de restringir la velocidad, se restringe el consumo total. Un invitado recibe, por ejemplo, 500 megabytes al día. Una vez consumida esa cuota, la sesión se finaliza o se limita a una velocidad muy baja - tal vez 1 megabit - suficiente para la mensajería básica pero no para el streaming. Esto es especialmente eficaz en entornos con conexiones de retorno limitadas, como hoteles remotos que dependen de conexiones de satélite o inalámbricas fijas. El estándar técnico en el que se basa todo esto es IEEE 802.1X para el control de acceso a la red basado en puertos, combinado con RADIUS para la autenticación, autorización y contabilidad. El servidor RADIUS devuelve atributos que el punto de acceso o el controlador utilizan para aplicar las políticas, como Session-Timeout, Idle-Timeout y atributos específicos del fabricante para los límites de ancho de banda. Si utiliza un despliegue de RADIUS en la nube, la plataforma de Purple se integra directamente con su infraestructura inalámbrica para entregar estos atributos de forma dinámica, en función del método de autenticación del usuario y de las políticas que haya definido. [RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES - aproximadamente 2 minutos] Bien, pasemos a la práctica. Estos son los pasos de implementación por los que guiaría a cualquier cliente. Paso uno: Defina su matriz de políticas antes de tocar cualquier hardware. Para cada tipo de espacio - hotel, tienda, estadio, centro de conferencias - defina el límite de tiempo de la sesión, el límite de ancho de banda por cliente, el límite global del SSID, la cuota diaria de datos y la ventana de programación. Documente esto. Se convertirá en su configuración de referencia y en su pista de auditoría. Paso dos: Segmente su red. Si no tiene una separación por VLAN entre el tráfico de invitados y el corporativo, detenga todo lo demás y solucione eso primero. Ninguna política de ancho de banda en el mundo compensa una red plana donde los dispositivos de los invitados pueden llegar a sus sistemas internos. Paso tres: Configure su Captive Portal con los parámetros de sesión adecuados. Establezca el atributo RADIUS Session-Timeout para que coincida con su política - por ejemplo, 7200 segundos para una sesión de dos horas. Habilite el tiempo de espera por inactividad (idle timeout) para recuperar sesiones de dispositivos que se han desconectado sin cerrar la sesión formalmente. Esto es fundamental para la gestión de la capacidad en entornos de alta densidad. Paso cuatro: Aplique límites de ancho de banda por cliente a nivel de controlador o punto de acceso. Pruebe estos límites bajo carga, no solo con un dispositivo, sino con una cantidad realista de clientes concurrentes. Un límite de 10 megabits por cliente parece generoso cuando hay 5 invitados, pero cuando hay 200 invitados en una sala de conferencias, el límite total de su SSID se convierte en la restricción principal. Paso cinco: Habilite el aislamiento de clientes en el SSID de invitados. Esto evita que los dispositivos de los invitados se comuniquen entre sí a través de la red inalámbrica, lo que elimina una clase importante de ataques de movimiento lateral. Ahora, los errores comunes. El más habitual que veo es el sobreaprovisionamiento. Los operadores establecen límites de ancho de banda generosos porque les preocupan las quejas de los invitados, y luego se sorprenden cuando un puñado de invitados que transmiten vídeo en 4K saturan el enlace de subida para todos los demás. El enfoque correcto consiste en establecer límites conservadores y supervisar los datos de uso. Si sus analíticas muestran que el 95% de los invitados consumen menos de 5 megabits, puede reducir el límite con confianza sin que ello afecte a la experiencia del invitado. El segundo error es olvidarse de la aleatorización de direcciones MAC. Los dispositivos iOS y Android modernos aleatorizan sus direcciones MAC de forma predeterminada, lo que significa que sus cuotas por dispositivo y el seguimiento de sesiones pueden no funcionar como se espera. Su Captive Portal y su infraestructura RADIUS deben realizar el seguimiento de las sesiones mediante una identidad autenticada (dirección de correo electrónico, número de teléfono o inicio de sesión social) en lugar de limitarse a la dirección MAC. El tercer error es descuidar el cumplimiento de la GDPR. Si recopila datos personales en el Captive Portal como parte de su flujo de autenticación (y debería hacerlo, por motivos de responsabilidad), necesita una base legal para ese procesamiento, un aviso de privacidad y un período de retención definido para sus registros de sesión. En virtud del artículo 5 de la GDPR, no puede conservar los datos personales más tiempo del necesario para el fin para el que se recopilaron. [PREGUNTAS Y RESPUESTAS RÁPIDAS - aproximadamente 1 minuto] Permítame repasar algunas preguntas que me hacen con frecuencia. "¿Cuál es el límite de ancho de banda adecuado para un hotel?" Para establecimientos de gama media, el punto ideal está entre 15 y 25 megabits de bajada por cliente. Los establecimientos de lujo deberían considerar 50 megabits o más, sobre todo si se promocionan como orientados a los negocios. "¿Debo utilizar límites de tiempo o cuotas de datos?" Utilice ambos. Los límites de tiempo gestionan la concurrencia de sesiones. Las cuotas de datos gestionan el abuso del ancho de banda. Resuelven problemas distintos. "¿Puedo aplicar políticas diferentes a distintos niveles de invitados?" Sí, y debería hacerlo. Un miembro de un programa de fidelización que se haya autenticado a través de su aplicación debería disfrutar de una experiencia mejor que un cliente sin registrar anónimo. Los atributos RADIUS pueden devolver diferentes perfiles de ancho de banda en función del nivel del usuario. "¿Qué pasa con WPA3?" Habilite WPA3 Opportunistic Wireless Encryption en su SSID de invitados. Proporciona cifrado por sesión sin necesidad de contraseña, que es exactamente lo que busca en una red de invitados abierta. [RESUMEN Y PRÓXIMOS PASOS - aproximadamente 1 minuto] Para terminar: implementar restricciones de tiempo y ancho de banda en la WiFi de invitados no es algo que se configure y se olvide. Es una disciplina operativa continua que se sitúa en la intersección de la ingeniería de redes, el cumplimiento normativo y la gestión de la experiencia de los invitados. Los principios fundamentales son: segmentar su red con VLANs, aplicar políticas en la capa del controlador o cortafuegos utilizando atributos RADIUS, establecer límites de ancho de banda conservadores y ajustarlos según los datos de uso, utilizar tiempos de espera de sesión del captive portal para gestionar la concurrencia, y garantizar que sus prácticas de recopilación de datos cumplan con el GDPR. Si desea profundizar en la capa de autenticación, la guía de Purple sobre cómo implementar la autenticación 802.1X con Cloud RADIUS es un excelente siguiente paso. Y si está evaluando su estrategia global de WiFi de invitados, la plataforma Purple le ofrece las herramientas de analítica y gestión de políticas para poner en práctica todo lo que hemos analizado hoy en todo su conjunto de centros. Gracias por escucharnos. Hasta la próxima.

header_image.png

Resumen Ejecutivo

Para la empresa moderna, ofrecer acceso inalámbrico a invitados ya no es un lujo: es una necesidad operativa. Sin embargo, una red de invitados no gestionada representa un vector de amenaza significativo, capaz de degradar el rendimiento de la red corporativa, exponer datos sensibles e introducir responsabilidades regulatorias. Los directores de TI, arquitectos de red y CTO deben abandonar el modelo de conectividad abierta en favor de una capa de acceso de invitados altamente estructurada y basada en políticas.

Esta guía de referencia detalla las estrategias técnicas para implementar restricciones precisas de tiempo y ancho de banda en redes WiFi de invitados. Al desplegar una segmentación lógica de red a través de redes de área local virtuales (VLAN), aprovechar marcos de calidad de servicio (QoS) de nivel empresarial e integrar un Punto de Decisión de Políticas (PDP) gestionado en la nube, las organizaciones pueden proteger las operaciones críticas para el negocio al tiempo que ofrecen una experiencia de invitado de alta calidad.

Mediante la limitación proactiva del ancho de banda, los límites de duración de las sesiones y la programación de SSID basada en el tiempo, los administradores de red pueden reducir el riesgo de que los usuarios abusivos saturen el enlace ascendente, mantener el cumplimiento de normativas como PCI-DSS v4.0 y GDPR, y abrir nuevas vías de interacción con los clientes. Ya sea que se gestione un hotel de 200 habitaciones, un estadio de alta densidad o un entorno minorista multi-sitio, el despliegue de políticas estructuradas de acceso a la red de invitados es un pilar fundamental del diseño moderno de infraestructura de red.


Análisis Técnico Detallado

La implementación de restricciones de tiempo y ancho de banda en una red WiFi de invitados requiere un conocimiento profundo de los protocolos inalámbricos y de la arquitectura de seguridad de red. Para crear una red de invitados resiliente, los administradores deben operar en múltiples capas del modelo OSI, coordinando puntos de acceso, controladores inalámbricos, cortafuegos y servidores de autenticación.

1. Gestión de Ancho de Banda y Calidad de Servicio (QoS)

Las restricciones de ancho de banda se implementan para evitar que un único cliente - o la red de invitados en su conjunto - sature el enlace ascendente WAN del recinto. Esto se logra a través de dos mecanismos principales: la limitación de velocidad (throttling del tráfico) y la priorización del tráfico.

En la capa inalámbrica, la Calidad de Servicio se rige por el estándar IEEE 802.11e, que introdujo Wi-Fi Multimedia (WMM) [1]. WMM prioriza el tráfico en cuatro categorías de acceso (AC):

  • Voz (AC_VO): Máxima prioridad, mínima latencia (por ejemplo, VoIP).
  • Vídeo (AC_VI): Prioridad alta, latencia baja (por ejemplo, streaming de vídeo).
  • Mejor Esfuerzo (AC_BE): Prioridad media, tráfico estándar (por ejemplo, navegación web).
  • Segundo Plano (AC_BK): Prioridad más baja, datos de alto rendimiento (por ejemplo, descargas de archivos).

Para las redes de invitados, todo el tráfico debe asignarse a las categorías Best Effort (AC_BE) o Background (AC_BK). Esto garantiza que el tráfico corporativo crítico, como las transacciones de punto de venta (POS) o las llamadas de VoIP corporativas, tenga prioridad sobre la navegación web de los invitados.

Para imponer límites de rendimiento estrictos, los administradores implementan el limitador de velocidad por cliente y el limitador de velocidad por SSID. Los límites por cliente restringen la velocidad máxima de bajada y subida de un dispositivo individual (por ejemplo, 10 Mbps de bajada / 2 Mbps de subida), mientras que los límites por SSID restringen el ancho de banda total asignado a toda la red de invitados (por ejemplo, 100 Mbps en total).

bandwidth_policy_architecture.png

2. Gestión de sesiones y acceso basado en tiempo

Las restricciones basadas en tiempo gestionan la concurrencia de la red y evitan el acceso no autorizado a largo plazo. Esto implica dos conceptos distintos: los tiempos de espera de sesión y la programación de SSID.

  • Tiempos de espera de sesión: se aplican mediante atributos RADIUS devueltos durante la autenticación en el Captive Portal. El servidor RADIUS envía el atributo Session-Timeout (atributo RADIUS 27) al punto de acceso (AP) o al controlador de LAN inalámbrica (WLC) [2]. Este valor, en segundos, dicta cuánto tiempo permanece activa la sesión de un cliente antes de que se requiera una nueva autenticación.
  • Tiempos de espera por inactividad: el atributo Idle-Timeout (atributo RADIUS 28) finaliza una sesión si no se detecta tráfico del cliente dentro de un intervalo específico (por ejemplo, 15 minutos). Esto es esencial en entornos de alta densidad para recuperar direcciones IP de dispositivos inactivos.
  • RADIUS Change of Authorisation (CoA): definido en RFC 5176, el CoA permite al servidor RADIUS aplicar cambios de política de forma dinámica al WLC o AP sin interrumpir el enlace inalámbrico físico [3]. Por ejemplo, si un invitado consume su límite de datos diario, el servidor RADIUS puede enviar un mensaje CoA para reducir dinámicamente el ancho de banda del cliente de 20 Mbps de bajada a 1 Mbps.

3. Segmentación de red y cumplimiento

Una regla fundamental de la arquitectura inalámbrica para invitados es el aislamiento completo de los sistemas corporativos. Esto se logra mediante la segmentación de VLAN. El tráfico de invitados debe residir en una VLAN dedicada (por ejemplo, VLAN 30), totalmente aislada de la LAN corporativa (VLAN 10) y de las redes de voz/gestión (VLAN 20).

El enrutamiento inter-VLAN debe restringirse en la capa de firewall. Una política de firewall restrictiva debe bloquear todo el tráfico de invitados a corporativo. Además, se debe habilitar el aislamiento de clientes (también conocido como bloqueo peer-to-peer) en el SSID de invitados. Esto evita que los clientes inalámbricos en la misma red de invitados se comuniquen entre sí, lo que reduce el riesgo de propagación lateral de malware o ataques man-in-the-middle (MITM).

La segmentación de red no es simplemente una buena práctica, es un requisito estricto de cumplimiento. Según el Requisito 1.3 de PCI DSS v4.0, las organizaciones deben implementar la segmentación de red para aislar el entorno de datos de titulares de tarjetas (CDE) de las redes no confiables, incluida la red WiFi de invitados [4]. No segmentar la red de invitados incluye toda la infraestructura de invitados en el alcance de la auditoría de PCI, lo que aumenta drásticamente los costes de cumplimiento y el riesgo de seguridad.

Además, las organizaciones que recopilan datos personales a través de un Captive Portal deben cumplir con el GDPR. Esto requiere establecer una base legal para la recopilación de datos, presentar un aviso de privacidad claro y aplicar límites estrictos de retención de datos en los registros de sesión.

-

Guía de implementación

La implementación de restricciones de tiempo y ancho de banda en una red de nivel empresarial requiere un proceso sistemático y neutral respecto al proveedor. A continuación, se presenta un plan de implementación paso a paso recomendado para ingenieros de red sénior.

Paso 1: Segmentación lógica de red (VLAN y DHCP)

Antes de configurar cualquier ajuste inalámbrico, establezca los límites lógicos de la red en sus conmutadores principales y en el cortafuegos.

  1. Crear la VLAN de invitados: configure una VLAN dedicada (por ejemplo, VLAN 30) en el conmutador principal y conéctela en modo troncal (trunk) a todos los puntos de acceso.
  2. Configurar el rango DHCP: configure un rango DHCP dedicado para la VLAN de invitados. Utilice tiempos de concesión cortos (por ejemplo, de 2 a 4 horas) para evitar el agotamiento de direcciones IP en entornos con una alta rotación.
  3. Habilitar DHCP snooping e inspección ARP: habilite el DHCP snooping y la inspección dinámica de ARP (DAI) en los conmutadores para evitar servidores DHCP no autorizados y ataques de suplantación de MAC (MAC spoofing).

Paso 2: Directiva de cortafuegos y modelado de tráfico (Traffic Shaping)

Configure la pasarela de seguridad para controlar el tráfico en la VLAN de invitados.

  1. Bloquear el enrutamiento inter-VLAN: cree reglas de cortafuegos que descarten explícitamente todo el tráfico originado en la VLAN de invitados (VLAN 30) con destino a cualquier subred interna (por ejemplo, VLAN 10, VLAN 20).
  2. Aplicar modelado de tráfico: cree una directiva de modelado de tráfico compartida en el cortafuegos que limite el rendimiento agregado de la interfaz de la VLAN de invitados para proteger el enlace WAN principal. Por ejemplo, en un circuito de fibra de 1 Gbps, limite la VLAN de invitados a 150 Mbps.

Paso 3: Configuración del SSID inalámbrico

Configure la red inalámbrica de invitados en su controlador de LAN inalámbrica (WLC) o en el panel de gestión en la nube.

  1. Crear el SSID de invitados: difunda un SSID dedicado (por ejemplo, "Venue Guest WiFi").
  2. Habilitar el aislamiento de clientes: active "Aislamiento de clientes" o "Bloqueo de comunicación entre pares" (Peer-to-Peer Blocking) para evitar que los dispositivos de los invitados se comuniquen entre sí.
  3. Habilitar cifrado inalámbrico oportunista (OWE) WPA3: para proporcionar confidencialidad de datos sin una clave precompartida (PSK), configure WPA3-OWE. Esto cifra de forma individual el tráfico aéreo de cada sesión de invitado.

Paso 4: Integración de RADIUS y Captive Portal

Integre su infraestructura inalámbrica con un Punto de Decisión de Directivas (PDP) centralizado, como Guest WiFi , para gestionar la autenticación y la aplicación de directivas.

  1. Configure el servidor RADIUS: apunte sus WLC/AP a la dirección IP del servidor RADIUS en la nube. Configure secretos compartidos seguros.
  2. Asigne atributos RADIUS: configure el perfil RADIUS para devolver atributos de restricción de sesión tras una autenticación correcta:
    • Session-Timeout = 7200 (impone un límite de sesión de 2 horas).
    • Idle-Timeout = 900 (impone un tiempo de espera por inactividad de 15 minutos).
  3. Configure la redirección del Captive Portal: configure ACL de preautenticación en el WLC/AP para permitir el tráfico DNS, DHCP y hacia el nombre de host del Captive Portal, mientras se redirige todo el demás tráfico HTTP/HTTPS a la página de inicio de sesión del portal.

Paso 5: Programación de SSID y rangos de tiempo

Para proteger aún más la red y reducir la superficie de ataque, configure la programación de SSID para desactivar el acceso de invitados fuera del horario comercial.

  1. Defina el horario: en el panel de control de WLC o de la nube, asigne el SSID de invitados a un perfil de tiempo (por ejemplo, de lunes a domingo, de 08:00 a 22:00).
  2. Imponga el apagado completo: asegúrese de que los AP dejen de transmitir por completo el SSID de invitados fuera de estas horas, en lugar de simplemente bloquear la asociación.

Prácticas recomendadas

Para garantizar un despliegue equilibrado que mantenga un alto rendimiento de la red sin causar molestias a los invitados, los arquitectos de red deben seguir estas prácticas recomendadas estándar del sector.

1. Asignación dinámica de ancho de banda y "Bursting"

Los límites de ancho de banda estáticos a veces pueden ofrecer una mala experiencia a los invitados durante los periodos de baja ocupación. Se recomienda encarecidamente implementar una estrategia de asignación dinámica de ancho de banda o bursting.

  • Bursting (o ráfagas): permite que un dispositivo invitado supere temporalmente su límite de ancho de banda (por ejemplo, aumentando de 10 Mbps a 30 Mbps durante los primeros 15 segundos de una descarga) para permitir la carga rápida de páginas o el almacenamiento en búfer de vídeos, antes de volver a limitarlo suavemente a la velocidad de referencia. Esto es compatible de forma nativa con controladores y plataformas avanzadas como Tanaza [5].
  • Modelado dinámico: ajusta el límite de ancho de banda agregado del SSID de invitados en función de la utilización general de la WAN. Si la red corporativa está inactiva, la red de invitados puede ampliar dinámicamente su límite máximo, contrayéndose instantáneamente cuando se producen picos de tráfico corporativo.

2. Dimensionamiento adecuado de las políticas por sector de actividad

Las restricciones de ancho de banda y de tiempo no deben ser uniformes en todos los entornos. Deben adaptarse a los tiempos de permanencia específicos y a las expectativas de los usuarios de cada sector.

time_restriction_comparison.png

  • Hostelería: los huéspedes de los hoteles esperan una conectividad de alto rendimiento para el streaming y el trabajo en remoto. Adapte las políticas para admitir al menos 25 Mbps de descarga por habitación, con duraciones de sesión más largas (por ejemplo, 24 horas) para evitar la frustración de tener que volver a autenticarse con frecuencia [6]. Para obtener información más detallada, consulte nuestra guía de Planificación de velocidad y ancho de banda de WiFi para hoteles .
  • Retail: Los tiempos de permanencia son más cortos, normalmente de 30 a 90 minutos. Implemente un tiempo de espera de sesión estricto de 90 minutos para fomentar la rotación y capture datos de marketing a través de WiFi Analytics durante la reautenticación [7].
  • Estadios y recintos: Entornos de densidad ultraalta con decenas de miles de usuarios concurrentes. La limitación de ancho de banda debe ser muy conservadora (por ejemplo, 5 Mbps de descarga) para evitar la saturación de toda la red de retorno, con duraciones de sesión adaptadas a la duración del evento [8].

3. Aprovechamiento del acceso por niveles basado en perfiles

Evite una red de invitados de "talla única". Implemente perfiles de acceso por niveles para recompensar la fidelidad y monetizar la conectividad premium:


Resolución de problemas y mitigación de riesgos

Operar una red inalámbrica de invitados con restricciones activas introduce modos de fallo específicos que los equipos de TI deben supervisar y mitigar de forma proactiva.

1. Aleatorización de direcciones MAC y seguimiento de sesiones

Los sistemas operativos móviles modernos (iOS 14+, Android 10+) emplean la aleatorización de direcciones MAC de forma predeterminada, rotando el identificador de hardware del dispositivo para proteger la privacidad del usuario.

  • Riesgo: Si su red de invitados realiza el seguimiento de los tiempos de espera de sesión o los límites de datos únicamente por dirección MAC, un dispositivo que aleatorice su MAC aparecerá como un dispositivo completamente nuevo, eludiendo sus límites de tiempo y políticas de regulación.
  • Mitigación: No confíe en las direcciones MAC para el estado de la sesión. Utilice un modelo de autenticación basado en la identidad en la capa del Captive Portal. Vincule el estado de la sesión, los límites de tiempo y los límites de datos a la identidad del usuario autenticado en la base de datos RADIUS (por ejemplo, dirección de correo electrónico, número de teléfono verificado o ID de fidelidad).

2. Agotamiento de direcciones IP en recintos de alta rotación

En recintos de gran afluencia de público, como centros de transporte o centros comerciales, los tiempos de concesión DHCP prolongados pueden agotar rápidamente el grupo de direcciones IP disponibles, impidiendo que los nuevos invitados se conecten.

  • Riesgo: Si las concesiones DHCP se establecen en las 24 horas estándar pero el tiempo medio de permanencia de los invitados es de 20 minutos, miles de direcciones IP seguirán concedidas a dispositivos que ya se han marchado, privando de IP a los usuarios activos.
  • Mitigación: Reduzca los tiempos de concesión DHCP en el ámbito de invitados a 30 o 60 minutos. Implemente una máscara de subred más grande (por ejemplo, utilice una /20 o /19 en lugar de una /24) para ampliar el grupo de direcciones IP disponibles. Si su controlador inalámbrico lo admite, habilite la opción de liberación de DHCP al desconectar.

3. Fallos de redirección del Captive Portal (DNS y SSL)

La queja más común de los huéspedes es "la página de inicio de sesión no se carga". Esto casi siempre se debe a una configuración incorrecta de DNS o a problemas con el certificado SSL.

  • Riesgo: si un dispositivo invitado no puede resolver las consultas de DNS antes de la autenticación, el Captive Portal no podrá cargarse. Además, si la redirección del Captive Portal utiliza un certificado SSL caducado o no confiable, los navegadores modernos bloquearán la redirección y mostrarán una advertencia de seguridad.
  • Mitigación: asegúrese de que la ACL de preautenticación (walled garden) permita explícitamente el tráfico DNS a resolutores públicos (por ejemplo, 1.1.1.1 o 8.8.8.8) o al DNS de la puerta de enlace local. Utilice siempre un certificado SSL/TLS válido y con confianza pública para el nombre de host de redirección de su Captive Portal. Evite los certificados autofirmados.

ROI e impacto empresarial

La implementación de restricciones estructuradas para el WiFi de invitados no es un mero ejercicio técnico; ofrece retornos financieros y operativos medibles para la empresa.

1. Control de costes de WAN y ahorro de ancho de banda

Una red de invitados no controlada obliga a la empresa a actualizar continuamente sus circuitos WAN para hacer frente a los picos de demanda. Al implementar límites de velocidad por usuario y límites agregados, las organizaciones pueden prolongar significativamente la vida útil de su conectividad a Internet existente.

  • Escenario: un hotel de tamaño mediano con un circuito de 500 Mbps sufre una latencia grave durante las horas punta de la tarde porque un grupo de huéspedes está transmitiendo vídeo 4K.
  • Solución: implementar un límite de 15 Mbps por usuario reduce la utilización máxima en un 40 %, lo que elimina la necesidad de actualizar a un costoso circuito de 1 Gbps y ahorra miles de dólares al año en costes recurrentes de ISP.

2. Mayor fiabilidad de la red operativa

En el sector minorista y la hostelería, la misma conexión física a Internet suele dar soporte tanto a los servicios de invitados como a las operaciones críticas para el negocio (como los sistemas POS, el ERP de administración y las comunicaciones del personal).

  • Impacto empresarial: implementar una segmentación de VLAN estricta y priorizar el tráfico corporativo a través de WMM garantiza que la actividad de los invitados nunca interfiera con las transacciones. Incluso cuando la red de invitados está repleta de compradores, el procesamiento de tarjetas de la tienda minorista sigue siendo instantáneo, lo que protege directamente los ingresos en el punto de venta.

3. Monetización de marketing y captura de datos de primera mano

La imposición de límites de tiempo de sesión (por ejemplo, 90 minutos) requiere que los invitados interactúen con el Captive Portal de forma recurrente. Esto crea puntos de contacto repetibles para capturar valiosos datos de primera mano, impulsar los registros de fidelidad y mostrar promociones dirigidas.

  • Captura de datos: al requerir un correo electrónico o un inicio de sesión de redes sociales para renovar una sesión, los establecimientos pueden crear una base de datos de clientes completa y conforme a las normas para las plataformas de CRM y marketing.
  • Ingresos publicitarios: los establecimientos pueden monetizar el espacio en pantalla del Captive Portal mostrando páginas de bienvenida patrocinadas o promociones de comercios locales durante el flujo de reautenticación, transformando el WiFi de invitados de un centro de costes operativos a una fuente de ingresos directa.

Referencias

[1] Estándar IEEE para tecnología de la información - Telecomunicaciones e intercambio de información entre sistemas - Especificaciones de control de acceso al medio (MAC) y capa física (PHY) de redes LAN inalámbricas. Enmienda 8: Mejoras en la calidad de servicio del control de acceso al medio (MAC). IEEE Std 802.11e-2005. [2] Rigney, C., et al. Servicio de usuario de marcación de autenticación remota (RADIUS). RFC 2865, junio de 2000. [3] Chiba, M., et al. Extensiones de autorización dinámica al servicio de usuario de marcación de autenticación remota (RADIUS). RFC 5176, enero de 2008. [4] Estándar de seguridad de datos de la industria de tarjetas de pago (PCI), requisitos y procedimientos de evaluación de seguridad, versión 4.0. PCI Security Standards Council, marzo de 2022. [5] Tanaza S.p.A. Control de ancho de banda por cliente en la plataforma en la nube de Tanaza. Documentación de Tanaza, 2018. [6] Purple.ai. Planificación de velocidad y ancho de banda de WiFi para hoteles: una guía autorizada para responsables de TI. Guías de referencia de Purple, 2024. [7] Purple.ai. Plataforma de marketing y analítica de WiFi para invitados: capitalizando las visitas físicas. Informes técnicos de Purple, 2025. [8] Cox Business. Soluciones de conectividad para estadios: despliegue inalámbrico de alta densidad. Informe técnico de Cox Communications, 2025.

Definiciones clave

IEEE 802.11e / WMM

Una enmienda al estándar IEEE 802.11 que introduce mejoras de calidad de servicio (QoS), priorizando el tráfico inalámbrico en categorías de voz, vídeo, mejor esfuerzo (best effort) y fondo.

Los equipos de TI utilizan WMM para asignar el tráfico inalámbrico de invitados a categorías de baja prioridad, lo que garantiza que las aplicaciones corporativas críticas nunca se queden sin ancho de banda.

RADIUS Attribute 27 (Session-Timeout)

Atributo RADIUS estándar devuelto por el servidor de autenticación que define el número máximo de segundos que una sesión de usuario puede permanecer activa antes de requerir una nueva autenticación.

Se encuentra al integrar captive portals con RADIUS. Se utiliza para imponer límites de tiempo estrictos en las sesiones de invitados (por ejemplo, 7200 segundos para 2 horas).

RADIUS Attribute 28 (Idle-Timeout)

Atributo RADIUS que especifica el período máximo de inactividad (en segundos) permitido para la sesión de un cliente antes de que el punto de acceso a la red termine automáticamente la conexión.

Crítico en recintos de alta densidad para recuperar direcciones IP de dispositivos que han abandonado el área sin cerrar sesión.

RADIUS Change of Authorisation (CoA)

Una extensión de protocolo (RFC 5176) que permite a un servidor RADIUS modificar dinámicamente las políticas de una sesión activa (como los límites de ancho de banda o la asignación de VLAN) sin desconectar al cliente.

Se utiliza para limitar dinámicamente el ancho de banda de un invitado en tiempo real una vez que supera su cuota de datos diaria.

Client Isolation

Una función de seguridad en los puntos de acceso inalámbricos que evita que los clientes inalámbricos asociados al mismo SSID se comuniquen entre sí.

Esencial en redes de invitados para evitar la propagación lateral de malware, el espionaje de dispositivos y los ataques locales de intermediario (man-in-the-middle).

WPA3 Opportunistic Wireless Encryption (OWE)

Un estándar certificado por la Wi-Fi Alliance que proporciona cifrado de datos individualizado para redes inalámbricas abiertas, lo que evita la escucha pasiva sin necesidad de una contraseña compartida.

La alternativa moderna a las redes de invitados completamente abiertas, que ofrece seguridad y privacidad de datos a los visitantes sin ninguna fricción en la conexión.

Tiempo de concesión DHCP

La duración durante la cual un dispositivo de red tiene asignada una dirección IP específica por parte del servidor DHCP antes de que dicha dirección se devuelva al pool o se renueve.

En redes de invitados con una alta rotación, los tiempos de concesión DHCP deben ser cortos (por ejemplo, 1 hora) para evitar el agotamiento del pool de direcciones IP.

Segmentación de red

La práctica arquitectónica de dividir una red física en múltiples subredes lógicas (VLAN), cada una aislada mediante reglas de firewall y políticas de seguridad.

Un requisito obligatorio bajo PCI DSS v4.0 para aislar la red inalámbrica de invitados no segura del Entorno de Datos de Tarjetas (CDE).

Ejemplos prácticos

Un hotel de lujo de 200 habitaciones desea implementar un modelo de WiFi de invitados estructurado por niveles. Los huéspedes estándar deben recibir una conexión gratuita y básica, suficiente para la navegación web, mientras que los miembros de programas de fidelización y los huéspedes de pago deben recibir un acceso premium de alta velocidad capaz de reproducir vídeo en 4K. El hotel utiliza Cisco Catalyst 9800 WLCs y Cisco DNA Centre.

Despliegue un único SSID de invitados configurado con 802.1X y MAC Authentication Bypass (MAB) que apunte a un servidor RADIUS centralizado (por ejemplo, Cloud RADIUS). Configure el Captive Portal para autenticar a los usuarios. Tras un inicio de sesión correcto, el servidor RADIUS evalúa el perfil del usuario:

  1. Para huéspedes estándar: el servidor RADIUS devuelve access-accept con Cisco Vendor-Specific Attributes (VSAs) para la limitación de velocidad: cisco-avpair = "subscriber:traffic-class=in direction=input action=shape rate=5000000" y cisco-avpair = "subscriber:traffic-class=out direction=output action=shape rate=1000000" (5 Mbps de bajada / 1 Mbps de subida), junto con Session-Timeout = 86400 (24 horas).
  2. Para huéspedes Premium/Fidelizados: el servidor RADIUS devuelve Cisco VSAs para la limitación de velocidad de alta velocidad: cisco-avpair = "subscriber:traffic-class=in direction=input action=shape rate=50000000" y cisco-avpair = "subscriber:traffic-class=out direction=output action=shape rate=10000000" (50 Mbps de bajada / 10 Mbps de subida), junto con Session-Timeout = 604800 (7 días). Este modelo por niveles se aplica de forma dinámica en un único SSID, lo que minimiza la sobrecarga de RF al evitar múltiples SSID de invitados.
Comentario del examinador: Este enfoque representa el estándar de oro para el WiFi de invitados empresarial. Al utilizar un único SSID y aplicar dinámicamente políticas de QoS a través de RADIUS VSAs, el arquitecto de red evita la proliferación de SSID, que degrada el rendimiento inalámbrico debido a la sobrecarga de beacons. El uso del modelado de tráfico dinámico de suscriptores de Cisco garantiza que la limitación de velocidad se realice a nivel de punto de acceso/controladora, evitando que el tráfico innecesario de invitados consuma recursos de los switches de core.

Un estadio deportivo de alta densidad con capacidad para 50.000 espectadores simultáneos necesita evitar que el WiFi de invitados sature su enlace troncal WAN de 10 Gbps durante los eventos en directo, garantizando al mismo tiempo que los espectadores puedan subir publicaciones a las redes sociales y acceder a la aplicación de pedidos móviles del estadio.

Configure una política inalámbrica de alta densidad muy estructurada en la controladora LAN inalámbrica (por ejemplo, HPE Aruba Mobility Conductor):

  1. Limitación de velocidad por SSID: establezca un límite estricto de ancho de banda por cliente de 3 Mbps de bajada y 1 Mbps de subida. Esto es suficiente para aplicaciones móviles y subidas de texto/imágenes, pero desincentiva la transmisión de vídeo de gran ancho de banda.
  2. Modelado de ancho de banda agregado: aplique un contrato de modelado de tráfico agregado en la VLAN de invitados en el firewall (por ejemplo, Fortinet FortiGate) para limitar la red de invitados completa a 2 Gbps (20% de la capacidad total de la WAN), dejando 8 Gbps para los medios de transmisión, transacciones POS y personal operativo.
  3. Acceso basado en tiempo: configure el tiempo de espera de la sesión del Captive Portal en 14.400 segundos (4 horas), coincidiendo con la duración típica de un evento deportivo. Habilite un Idle-Timeout agresivo de 600 segundos (15 minutos) para recuperar rápidamente las direcciones IP de los espectadores que abandonen el estadio antes de tiempo.
Comentario del examinador: En entornos de estadios de alta densidad, el rendimiento individual de los invitados debe sacrificarse para garantizar la disponibilidad de la red agregada. Un límite de 3 Mbps puede parecer bajo, pero en 30,000 sesiones activas representa una demanda agregada enorme. Combinar los límites por cliente con un tiempo de espera de inactividad agresivo de 15 minutos es fundamental para evitar el agotamiento del grupo DHCP, ya que los espectadores se mueven y desconectan constantemente. Establecer un límite estricto en el firewall garantiza que, incluso bajo la carga máxima de la multitud, la infraestructura operativa del estadio (como la emisión de entradas digitales y las terminales de POS) permanezca completamente inalterada.

Una cadena minorista nacional con 150 tiendas desea implementar una red WiFi de invitados que se apague automáticamente fuera del horario comercial para evitar riesgos de seguridad y el uso no autorizado de la conexión a internet de la tienda por parte de personas que merodean en el aparcamiento por la noche.

Implemente una arquitectura inalámbrica gestionada en la nube (por ejemplo, Cisco Meraki o Juniper Mist) integrada con un panel de control de políticas centralizado:

  1. Configurar la programación de SSID: En el panel de control gestionado en la nube, configure un perfil de horario para el SSID 'Store Guest'. Establezca las horas activas para que coincidan con el horario comercial de la tienda más un margen de 30 minutos (por ejemplo, de lunes a sábado de 08:30 a 21:30; domingos de 10:30 a 18:30).
  2. Forzar la supresión completa del SSID: Asegúrese de que el perfil de la nube esté configurado para desactivar por completo la transmisión de radio del SSID de invitados fuera de estas horas. Esto evita que el SSID aparezca en las listas de escaneo, eliminando el riesgo de ataques de fuerza bruta o sondeo nocturnos.
  3. Expiración de la sesión: Establezca un tiempo de espera de sesión estricto de 90 minutos (Session-Timeout = 5400) en la capa del Captive Portal. Esto coincide con el tiempo medio de permanencia en comercios minoristas e indica a los usuarios que vuelvan a autenticarse si se quedan más tiempo, lo que fomenta una participación de marketing recurrente.
Comentario del examinador: La programación de SSID es un control de seguridad muy eficaz y de bajo coste de gestión para entornos minoristas. Al desactivar por completo el SSID de invitados durante la noche, el minorista reduce drásticamente su superficie de ataque externa. El uso de una plataforma gestionada en la nube es esencial en este caso; configurar esto manualmente en 150 controladores locales sería una pesadilla operativa propensa a discrepancias en la configuración. El tiempo de espera de sesión de 90 minutos también es comercialmente inteligente, ya que se alinea con el tiempo de permanencia en las tiendas y proporciona un punto de contacto natural para la captura de datos y la interacción con el cliente.

Preguntas de práctica

Q1. Un gran centro comercial experimenta un agotamiento frecuente de direcciones IP de DHCP en su red WiFi de invitados durante las horas punta de los fines de semana. La configuración actual utiliza una subred `/24` (254 direcciones IP disponibles) con un tiempo de concesión DHCP de 24 horas. ¿Cómo debería resolver este problema el arquitecto de red sin ampliar la infraestructura de hardware?

Sugerencia: Considere la relación entre el tiempo medio de permanencia, la duración de la concesión DHCP y el tamaño de la subred lógica.

Ver respuesta modelo

El arquitecto de red debe implementar dos cambios inmediatos:

  1. Reducir el tiempo de concesión DHCP de 24 horas a 30 o 60 minutos. Dado que el tiempo medio de permanencia en un centro comercial es de 1 a 2 horas, un tiempo de concesión corto garantiza que las direcciones IP de los dispositivos que se han marchado se recuperen rápidamente y se devuelvan al pool.
  2. Ampliar el alcance de DHCP cambiando la máscara de subred de una /24 a una /21 (que proporciona 2.046 direcciones IP disponibles) o /20 (que proporciona 4.094 direcciones IP disponibles). Esto aumenta el tamaño lógico del pool de direcciones IP en la VLAN de invitados 30 sin necesidad de nuevos switches físicos ni puntos de acceso.

Q2. Un responsable de TI observa que varios usuarios de la red WiFi de invitados superan constantemente la cuota de datos diaria de 500 MB. La red utiliza el seguimiento basado en MAC para aplicar las cuotas. ¿Cómo es probable que los usuarios estén eludiendo esta restricción y cuál es la solución de nivel empresarial recomendada?

Sugerencia: Los sistemas operativos móviles modernos rotan sus identificadores físicos de forma automática.

Ver respuesta modelo

Los usuarios están eludiendo la cuota mediante la aleatorización de direcciones MAC, una función de privacidad nativa en los dispositivos modernos con iOS y Android. Al apagar y encender su conexión WiFi, o al modificar los ajustes de su dispositivo, generan una nueva dirección MAC aleatoria, que el punto de acceso de la red trata como un dispositivo totalmente nuevo con una nueva cuota de 500 MB. La solución recomendada es pasar del seguimiento de sesiones basado en MAC al seguimiento de sesiones basado en la identidad. Configure el Captive Portal para que requiera la autenticación del usuario (por ejemplo, verificación por correo electrónico, OTP por SMS o inicio de sesión a través de redes sociales). Asocie la cuota de consumo de datos con la identidad autenticada del usuario en la base de datos de políticas/RADIUS centralizada. Cuando un usuario se conecte, independientemente de la dirección MAC aleatoria que presente su dispositivo, deberá iniciar sesión y su sesión se asignará a su identidad única, aplicando el límite diario de 500 MB en todas las direcciones MAC que utilice.

Q3. Una cadena hotelera quiere asegurarse de que su red inalámbrica de invitados cumple con PCI DSS v4.0. Durante una auditoría, el QSA (Asesor de Seguridad Cualificado) descubre que el sistema de gestión hotelera (PMS) y la red WiFi de invitados están en subredes diferentes pero conectados a los mismos switches físicos sin reglas de firewall que bloqueen el tráfico entre subredes. ¿Cuál es el riesgo de cumplimiento y cómo debe remediarse?

Sugerencia: PCI DSS requiere que la segmentación lógica se aplique de forma activa, no solo que esté definida por subredes.

Ver respuesta modelo

El riesgo de cumplimiento es que la red WiFi de invitados no está segmentada del Entorno de Datos de Tarjetas (CDE) donde reside el PMS. En una red física plana con enrutamiento inter-subred habilitado y sin restricciones de firewall, cualquier dispositivo de invitado en la WiFi puede enrutar tráfico directamente al servidor PMS. Esto introduce a toda la red WiFi de invitados dentro del alcance de la auditoría de PCI-DSS, lo que representa un hallazgo crítico de incumplimiento. Para remediar esto:

  1. Aplique una segmentación estricta de VLAN en los switches. Asigne la WiFi de invitados a una VLAN dedicada (VLAN 30) y el PMS/CDE a una VLAN segura separada (VLAN 100).
  2. Implemente políticas de firewall a nivel de puerta de enlace/router. Configure Listas de Control de Acceso (ACL) explícitas o reglas de firewall que descarten todo el tráfico con origen en la VLAN 30 y destino a la VLAN 100.
  3. Habilite la inspección de estado de paquetes (stateful packet inspection) y realice pruebas de penetración periódicas para verificar que ningún dispositivo de invitado pueda establecer una conexión con ningún dispositivo dentro del CDE, excluyendo así oficialmente a la red de invitados del alcance de la auditoría de PCI-DSS.

Continúe leyendo esta serie

La guía empresarial para configurar WiFi de invitados: seguridad, segmentación y velocidad

Esta guía técnica empresarial proporciona instrucciones prácticas para directores de IT y arquitectos de redes sobre la implementación de WiFi de invitados seguro y segmentado. Cubre la arquitectura VLAN, el cifrado WPA3, la autenticación 802.1X, el cumplimiento de PCI-DSS y GDPR, y la integración de la capa de Captive Portal de Purple, que es independiente del hardware.

Leer la guía →

Cómo configurar el WiFi de invitados: La guía de segmentación de redes corporativas

Esta guía detalla la arquitectura técnica, los estándares de autenticación y la metodología de despliegue necesarios para crear una red WiFi corporativa segura y segmentada. Aprenderá a implementar el modelo de tres SSID, a desplegar 802.1X para la autenticación del personal, a configurar portales cautivos para el acceso de invitados de conformidad con el GDPR y a reducir el alcance de su PCI DSS.

Leer la guía →

Monetización del WiFi de invitados a través del análisis de datos y las splash pages

Esta guía de referencia proporciona a directores de TI, arquitectos de red y CTOs un marco técnico completo para transformar el WiFi de invitados de un centro de costes en un activo de datos de primera mano de alto rendimiento. Describe la arquitectura de red, la integración del análisis de datos, la optimización del Captive Portal y las estrategias de cumplimiento global para impulsar ingresos medibles en el establecimiento.

Leer la guía →