Saltar al contenido principal
Español

Cómo Passpoint (Hotspot 2.0) transforma la experiencia de Wi-Fi para invitados

Una guía de referencia técnica completa que detalla cómo los protocolos Passpoint (Hotspot 2.0) y 802.11u reemplazan los Captive Portals tradicionales con un roaming de Wi-Fi seguro, fluido y similar al celular. Proporciona a los líderes de TI descripciones arquitectónicas, marcos de implementación y el caso de negocio para adoptar la autenticación basada en credenciales para resolver los desafíos de aleatorización de MAC y mejorar la experiencia del invitado.

📖 6 min de lectura📝 1,359 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Cómo Passpoint transforma la experiencia de Wi-Fi para invitados Un informe técnico de Purple — Aproximadamente 10 minutos --- INTRODUCCIÓN Y CONTEXTO — aproximadamente 1 minuto Bienvenido a la serie de informes técnicos de Purple. Voy a pasar los próximos diez minutos guiándole a través de algo que, francamente, debería haber reemplazado al Captive Portal hace años: Passpoint, también conocido como Hotspot 2.0. Si gestiona la infraestructura de Wi-Fi en un grupo hotelero, una red de tiendas minoristas, un estadio o cualquier establecimiento donde los invitados se conectan repetidamente, es casi seguro que se ha topado con la misma barrera: invitados que se quejan de tener que iniciar sesión cada vez, su servicio de soporte de TI recibiendo llamadas sobre un Wi-Fi que "antes funcionaba" y una creciente conciencia de que la aleatorización de direcciones MAC de iOS 14 y Android 10 ha roto silenciosamente su lógica de reautenticación. Passpoint es la respuesta a todos esos problemas. Pero no es un interruptor mágico: es un protocolo diseñado correctamente que requiere un despliegue deliberado. Así que entremos en materia. --- ANÁLISIS TÉCNICO DETALLADO — aproximadamente 5 minutos Comencemos con el problema principal que resuelve Passpoint, que los ingenieros llaman el problema de selección de red. En el Wi-Fi tradicional, su dispositivo busca un SSID conocido (un nombre de red) y, si lo reconoce, se conecta. Eso es simple, pero es frágil. Requiere una conexión previa, no le dice nada sobre el estado de seguridad de la red y no admite el roaming entre establecimientos. Cada vez que un invitado entra en su hotel, su dispositivo debe ser dirigido manualmente a su red, luego interceptado por un Captive Portal y después autenticado a través de un formulario web. Eso es fricción. Y en 2026, la fricción es una desventaja competitiva. Passpoint cambia el paradigma por completo. En lugar de buscar un nombre de red, el dispositivo busca una red que admita sus credenciales. Antes de intentar conectarse, el dispositivo pregunta al punto de acceso: "¿Admite mi proveedor de identidad?". Si la respuesta es sí, la autenticación se realiza automáticamente. Sin página de inicio de sesión. Sin solicitud de contraseña. Sin selección manual. Es el modelo de roaming celular, aplicado al Wi-Fi. El mecanismo que hace esto posible se llama Generic Advertisement Service (GAS), combinado con el Access Network Query Protocol, o ANQP. Cuando un punto de acceso habilitado para Passpoint transmite su baliza, incluye lo que se llama un elemento de interconexión, esencialmente una bandera que dice "hablo 802.11u", que es la enmienda IEEE que sustenta todo esto. Su dispositivo ve esa bandera, envía una solicitud GAS y, dentro de esa solicitud, una consulta ANQP pregunta: "¿Qué Roaming Consortium Organisational Identifiers admite?". El punto de acceso responde. Si hay una coincidencia con un perfil que ya está en el dispositivo, comienza el saludo de autenticación completo de WPA2 o WPA3 Enterprise. Esa autenticación utiliza IEEE 802.1X (el mismo estándar de control de acceso basado en puertos que se utiliza en las redes cableadas empresariales) combinado con un método EAP. Los más comunes son EAP-TLS, que utiliza certificados; EAP-TTLS, que tuneliza el nombre de usuario y la contraseña de forma segura; y EAP-SIM o EAP-AKA para la autenticación basada en SIM de operadores móviles. El resultado es una sesión mutuamente autenticada y totalmente cifrada. El dispositivo demuestra su identidad a la red y la red demuestra su identidad al dispositivo. Esa autenticación mutua es lo que evita los ataques de gemelo malvado y los ataques de intermediario que plagan los entornos de Wi-Fi abiertos. Ahora, un término que escuchará junto con Passpoint es OpenRoaming, el marco de federación de la Wireless Broadband Alliance. Aquí está la distinción que importa: Passpoint es el vehículo. OpenRoaming es el sistema de autopistas. Passpoint define cómo un dispositivo descubre y se autentica en una red. OpenRoaming define el ecosistema de confianza que permite a un proveedor de identidad (por ejemplo, Google, Samsung o un operador móvil) y a un proveedor de acceso (su hotel, su estadio, su red de tiendas) confiar en las credenciales del otro sin un acuerdo bilateral entre cada par. OpenRoaming utiliza un modelo PKI de estrella con túneles RadSec (eso es RADIUS sobre TLS) para realizar el proxy de las solicitudes de autenticación a través de la federación. El OI clave de Roaming Consortium para OpenRoaming libre de liquidación es 5A-03-BA. También querrá transmitir el OI heredado de Cisco, 00-40-96, para la compatibilidad con dispositivos más antiguos y perfiles de Samsung OneUI. Desde la perspectiva del cumplimiento de la seguridad, Passpoint es una actualización significativa. WPA3-Enterprise utiliza el modo de seguridad de 192 bits y exige el secreto hacia adelante: cada sesión utiliza claves de cifrado únicas, por lo que comprometer una sesión no expone el tráfico histórico. Para las organizaciones sujetas a PCI DSS (particularmente los entornos minoristas que procesan pagos con tarjeta) o las obligaciones de GDPR en torno a los datos personales, la autenticación basada en certificados de Passpoint significa que no está recopilando credenciales a través de un formulario web, lo que reduce sustancialmente su área de superficie de manejo de datos. Y luego está la aleatorización de direcciones MAC. Los dispositivos iOS y Android modernos aleatorizan su dirección MAC por defecto. Esto rompe los flujos tradicionales de reautenticación de los Captive Portals: el dispositivo parece nuevo en cada visita. Passpoint es inmune a esto. La autenticación se basa en credenciales, no en la MAC. Su invitado recurrente se conecta sin problemas en cada visita, independientemente de cuál sea la dirección MAC de su dispositivo ese día. Esto también tiene una implicación significativa para sus análisis de Wi-Fi: si está utilizando la plataforma de análisis de Purple, la autenticación basada en credenciales restaura la precisión de los datos de sus visitantes recurrentes. --- RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES — aproximadamente 2 minutos Permítame darle el panorama práctico del despliegue. Los requisitos de infraestructura son más complejos que los de un Captive Portal, pero están al alcance de cualquier organización que ejecute hardware de clase empresarial. Necesita puntos de acceso certificados para Passpoint; la mayoría de los AP empresariales de Cisco, Aruba, Ruckus y Ubiquiti admiten esto hoy en día. Necesita un servidor RADIUS con soporte EAP, infraestructura AAA para la gestión de credenciales e, idealmente, un servidor OSU (Online Sign-Up) para el aprovisionamiento de perfiles en autoservicio. El trabajo de configuración se centra en cuatro elementos: sus ajustes de ANQP, que definen lo que el AP anuncia antes de la asociación; sus Roaming Consortium OIs; sus definiciones de reino NAI, que indican a los dispositivos qué métodos EAP admite; y la información de su establecimiento, que los dispositivos utilizan para mostrar el contexto sobre la red. Mi recomendación más sólida para la mayoría de los establecimientos es una estrategia de doble SSID. Ejecute un SSID de Passpoint para invitados recurrentes y usuarios registrados, y mantenga un SSID con Captive Portal para los visitantes de primera vez. Utilice el Captive Portal como un embudo de incorporación: presente la opción de instalar un perfil de Passpoint al final del flujo de autenticación de la primera visita. Este modelo de incorporación progresiva le ofrece lo mejor de ambos mundos: un primer acceso sencillo y visitas de regreso fluidas. Ahora, los errores comunes. El fallo de despliegue más común que veo es tratar a Passpoint como un reemplazo directo de los Captive Portals sin construir el proceso de incorporación. Si los invitados no saben cómo instalar un perfil, o si el flujo de OSU es engorroso, la adopción se estanca. Invierta en la experiencia de aprovisionamiento. El segundo error es la gestión de certificados. Si está utilizando EAP-TLS con certificados de dispositivo, necesita un ciclo de vida de PKI sólido. Los certificados caducados romperán silenciosamente la autenticación para los dispositivos afectados, y su servicio de soporte será el último en enterarse. Automatice la renovación de certificados y supervise la caducidad de forma proactiva. Tercero: no descuide el soporte para dispositivos heredados. Passpoint requiere iOS 7 o posterior, Android 6 o posterior, y Windows 10 o posterior. Eso cubre la gran mayoría de los dispositivos modernos, pero los dispositivos IoT y algunos equipos corporativos más antiguos necesitarán rutas de acceso alternativas. --- PREGUNTAS Y RESPUESTAS RÁPIDAS — aproximadamente 1 minuto ¿Funciona Passpoint con los puntos de acceso existentes? Si son hardware de clase empresarial de los últimos cinco años, casi con seguridad sí; busque la certificación Passpoint de Wi-Fi Alliance en la hoja de especificaciones. ¿Puedo seguir recopilando datos de los invitados con Passpoint? Sí, pero el mecanismo cambia. La recopilación de datos ocurre en el momento del aprovisionamiento del perfil (en el flujo de OSU o en el registro basado en la aplicación) en lugar de en cada inicio de sesión. Esto es en realidad más respetuoso con el GDPR, ya que el consentimiento se captura una vez, de forma explícita. ¿Qué pasa con los establecimientos que quieren páginas de bienvenida personalizadas? Las conexiones de Passpoint son invisibles por diseño, por lo que las páginas de bienvenida tradicionales no se aplican. Sin embargo, puede activar notificaciones en la aplicación o mensajes push después de la conexión si tiene una integración con una aplicación de fidelización. Algunos operadores utilizan un modelo híbrido donde la primera visita sigue pasando por un portal personalizado antes del registro en Passpoint. ¿Es gratis unirse a OpenRoaming? El nivel libre de liquidación de OpenRoaming, que utiliza el OI 5A-03-BA, está disponible sin coste a través de la Wireless Broadband Alliance. Los niveles comerciales con funciones de análisis y monetización están disponibles a través de los miembros de la WBA. --- RESUMEN Y PRÓXIMOS PASOS — aproximadamente 1 minuto Para resumir: Passpoint no es una tecnología del futuro; es un protocolo maduro basado en estándares que ya está desplegado en los principales aeropuertos, cadenas hoteleras y estadios a nivel mundial. La pregunta para su organización no es si adoptarlo, sino cuándo y cómo. Si dirige un grupo hotelero, una cadena minorista o un gran establecimiento con visitantes recurrentes, el caso de ROI es claro: menor carga para el servicio de soporte, mayor satisfacción de los invitados, mitigación de riesgos de cumplimiento y datos analíticos precisos que no se ven afectados por la aleatorización de MAC. Sus próximos pasos son sencillos. Primero, audite su infraestructura actual de AP para verificar la certificación Passpoint. Segundo, evalúe su infraestructura RADIUS y determine si necesita un servidor OSU para el aprovisionamiento en autoservicio. Tercero, diseñe su estrategia de doble SSID y el proceso de incorporación. Y cuarto, si está considerando la federación de OpenRoaming, póngase en contacto con la Wireless Broadband Alliance o con un proveedor de plataforma como Purple que pueda encargarse de la integración de la federación en su nombre. Este es el informe técnico de Purple sobre Passpoint y Hotspot 2.0. Para obtener la guía escrita completa, los diagramas de arquitectura y ejemplos de despliegue prácticos, visite purple.ai. Gracias por escuchar.

header_image.png

Resumen Ejecutivo

Para los recintos empresariales modernos, la fricción es una desventaja competitiva. Los Captive Portals tradicionales, aunque en su día fueron el estándar para el acceso a redes de invitados, representan ahora un cuello de botella operativo importante y una fuente de frustración persistente para el usuario. Passpoint, también conocido como Hotspot 2.0, transforma fundamentalmente este paradigma al sustituir la autenticación manual basada en web por un roaming fluido, similar al de la red móvil. Al aprovechar el estándar IEEE 802.11u y el cifrado WPA3-Enterprise, Passpoint permite que los dispositivos de los invitados descubran, se autentiquen y se conecten a las redes Wi-Fi empresariales de forma automática y segura.

Para los responsables de TI en sectores como la Hostelería , el Comercio minorista y los grandes recintos públicos, la transición a Passpoint ya no es opcional. La aleatorización de direcciones MAC implementada por defecto en los dispositivos modernos con iOS y Android ha roto eficazmente la lógica de reautenticación de los Captive Portals heredados, lo que significa que los invitados que regresan aparecen como dispositivos nuevos en cada visita. Passpoint soluciona esto autenticando el perfil de credenciales del usuario en lugar de su dirección de hardware. Esta guía detalla la arquitectura técnica de Passpoint, el impacto empresarial de su despliegue y un marco de implementación independiente del proveedor diseñado para mejorar la experiencia de Guest WiFi y, al mismo tiempo, reducir la carga de trabajo del servicio de soporte técnico.

Análisis Técnico Detallado

El problema de la selección de red y el estándar 802.11u

En los despliegues de Wi-Fi heredados, los dispositivos dependen de un mecanismo fundamentalmente frágil para la selección de red: la búsqueda de Service Set Identifiers (SSIDs) conocidos. Este enfoque requiere que el usuario se haya conectado previamente a la red o que la seleccione manualmente de una lista. No proporciona visibilidad previa a la asociación sobre el estado de seguridad de la red, los requisitos de autenticación o la disponibilidad de internet ascendente. Passpoint aborda esta limitación mediante la enmienda IEEE 802.11u, que introduce la interoperabilidad con redes externas (Interworking with External Networks).

En lugar de buscar SSIDs de forma pasiva, un dispositivo habilitado para Passpoint consulta activamente la infraestructura de red antes de intentar la asociación. Cuando un punto de acceso emite su baliza (beacon), incluye un elemento de interoperabilidad (Interworking Element), que es un indicador de compatibilidad con 802.11u. El dispositivo cliente detecta este indicador e inicia una solicitud de Servicio de Anuncio Genérico (GAS). Dentro de esta solicitud se encapsula una consulta del Protocolo de Consulta de Red de Acceso (ANQP). El dispositivo pregunta a la infraestructura: "¿Qué Identificadores Organizativos (OIs) de Consorcios de Roaming admites?". Si la respuesta del punto de acceso coincide con un perfil de credenciales almacenado en el dispositivo, se procede a la autenticación automática.

passpoint_architecture_overview.png

Arquitectura de Autenticación y Seguridad

Passpoint exige una seguridad de nivel empresarial, eliminando por completo la fase de "red abierta" inherente a los despliegues de Captive Portals. La autenticación se gestiona mediante el control de acceso a la red basado en puertos IEEE 802.1X, combinado con un método de Protocolo de Autenticación Extensible (EAP). Los métodos más comunes en los despliegues empresariales son EAP-TLS (que se basa en certificados de cliente y servidor), EAP-TTLS (credenciales tunelizadas) y EAP-SIM/AKA (para escenarios de descarga de tráfico móvil).

Esta arquitectura proporciona autenticación mutua. El dispositivo demuestra criptográficamente su identidad a la red y, lo que es crucial, la red demuestra su identidad al dispositivo. Esta verificación mutua es la defensa principal contra los puntos de acceso gemelos maliciosos (evil twins) y los intentos de interceptación de intermediarios (man-in-the-middle). Además, Passpoint exige el cifrado WPA2-Enterprise o WPA3-Enterprise. WPA3-Enterprise introduce un modo de seguridad de 192 bits y exige el secreto perfecto hacia adelante (forward secrecy), lo que garantiza que incluso si las claves de sesión se ven comprometidas en el futuro, el tráfico histórico permanecerá cifrado.

La Federación OpenRoaming

Mientras que Passpoint define el mecanismo técnico para el descubrimiento y la autenticación, OpenRoaming proporciona el marco de confianza. Desarrollado por la Wireless Broadband Alliance (WBA), OpenRoaming es una federación global que permite a los proveedores de identidad (como los operadores de redes móviles, Google o Apple) y a los proveedores de acceso (como hoteles, estadios y cadenas de tiendas) confiar en las credenciales de los demás sin necesidad de acuerdos bilaterales entre cada entidad.

OpenRoaming funciona con un modelo de infraestructura de clave pública (PKI) de estrella (hub-and-spoke). Las solicitudes de autenticación se transmiten a través de la federación mediante túneles RadSec (RADIUS sobre TLS). Al emitir el identificador OpenRoaming OI (5A-03-BA) libre de cargos de liquidación, un recinto empresarial puede proporcionar de forma instantánea un acceso Wi-Fi seguro y fluido a millones de usuarios en todo el mundo que ya disponen de un perfil de identidad compatible en sus dispositivos.

Guía de Implementación

El despliegue de Passpoint requiere una base de infraestructura más sofisticada que una red abierta tradicional, pero los componentes son estándar dentro de los entornos empresariales modernos.

Requisitos Previos de la Infraestructura

  1. Puntos de acceso certificados para Passpoint: La infraestructura inalámbrica debe ser compatible con las especificaciones 802.11u y Hotspot 2.0. La gran mayoría de los puntos de acceso empresariales fabricados en los últimos cinco años por proveedores como Cisco, Aruba y Ruckus cumplen con este requisito.
  2. Infraestructura RADIUS/AAA: Un servidor RADIUS robusto capaz de gestionar la autenticación EAP y de enrutar las solicitudes a los almacenes de identidad correspondientes. Si se participa en OpenRoaming, el servidor RADIUSrver debe soportar RadSec para un proxy seguro.
  3. Servidor de registro en línea (OSU): Para entornos que emiten sus propias credenciales (en lugar de depender únicamente de identidades federadas), un servidor OSU proporciona el mecanismo para aprovisionar de forma segura perfiles Passpoint en los dispositivos de los invitados.

La estrategia de doble SSID

El modelo de despliegue más eficaz para los establecimientos que realizan la transición a Passpoint es la estrategia de doble SSID. Este enfoque mantiene un SSID tradicional con Captive Portal para el registro inicial, al tiempo que proporciona un SSID Passpoint para conexiones posteriores fluidas.

Cuando un invitado se conecta al SSID con Captive Portal por primera vez, completa el flujo de autenticación estándar (por ejemplo, aceptar los términos y condiciones, proporcionar una dirección de correo electrónico). Tras una autenticación correcta, el portal presenta la opción de descargar un perfil Passpoint. Una vez instalado, el dispositivo preferirá automáticamente el SSID seguro de Passpoint en todas las visitas futuras. Este modelo de registro progresivo garantiza la accesibilidad para los dispositivos heredados, al tiempo que migra a la mayoría de los usuarios a la red Passpoint segura y sin fricciones.

passpoint_vs_captive_portal_comparison.png

Buenas prácticas

Al diseñar una arquitectura Passpoint, los responsables de TI deben adherirse a varias buenas prácticas fundamentales para garantizar la estabilidad operativa y la seguridad.

En primer lugar, la gestión del ciclo de vida de los certificados es primordial. Si se utiliza EAP-TLS, la expiración de los certificados de cliente o servidor provocará fallos de autenticación silenciosos que son difíciles de diagnosticar para los servicios de soporte de primera línea. Implemente protocolos automatizados de renovación de certificados y una monitorización proactiva. Como se destaca en nuestra guía sobre Evaluación de la postura del dispositivo para el control de acceso a la red , una visibilidad sólida de los endpoints es esencial cuando se gestiona el acceso basado en certificados.

En segundo lugar, garantice la compatibilidad con dispositivos heredados. Aunque iOS 7+, Android 6+ y Windows 10+ son compatibles de forma nativa con Passpoint, es posible que algunos dispositivos IoT, hardware heredado y dispositivos estrictamente gestionados por empresas carezcan de soporte. La estrategia de doble SSID mitiga este riesgo al proporcionar un método de acceso alternativo.

En tercer lugar, al configurar los elementos ANQP, asegúrese de que la Información del establecimiento sea precisa y descriptiva. El sistema operativo del dispositivo cliente suele mostrar estos metadatos para proporcionar contexto sobre la red a la que se une el usuario.

Resolución de problemas y mitigación de riesgos

La complejidad de Passpoint introduce dominios de fallo específicos que difieren de los despliegues de Captive Portal.

Modo de fallo 1: Tiempo de espera agotado o inaccesibilidad de RADIUS Si el servidor RADIUS local no puede comunicarse con el proveedor de identidad ascendente (especialmente en escenarios federados de OpenRoaming), el protocolo de enlace EAP agotará el tiempo de espera. Mitigación: Implemente una infraestructura RADIUS redundante y garantice una monitorización sólida de los túneles RadSec. Revise nuestra documentación técnica sobre RadSec : Sécurisation du trafic d'authentification RADIUS avec TLS para obtener orientación sobre la configuración.

Modo de fallo 2: Fallos en el aprovisionamiento de perfiles Los usuarios pueden encontrar errores al intentar descargar el perfil Passpoint desde el servidor OSU, a menudo debido a las limitaciones del navegador del Captive Portal en los dispositivos móviles. Mitigación: Diseñe el flujo del Captive Portal para salir del mini-navegador del asistente de red cautiva (CNA) e ir al navegador nativo del sistema del dispositivo antes de iniciar la descarga del perfil.

Modo de fallo 3: Impacto de la aleatorización de direcciones MAC en las analíticas Aunque Passpoint resuelve la interrupción de la autenticación causada por la aleatorización de direcciones MAC, las plataformas de análisis heredadas que dependen únicamente de las direcciones MAC seguirán reportando recuentos de visitantes inexactos. Mitigación: Integre los registros de autenticación RADIUS con su plataforma de WiFi Analytics . Al realizar el seguimiento de identificadores de credenciales únicos (como la Identidad de usuario facturable o la NAI anonimizada) en lugar de las direcciones MAC, los establecimientos pueden restablecer métricas precisas de afluencia y fidelidad.

ROI e impacto empresarial

El caso de negocio para el despliegue de Passpoint se basa en tres pilares medibles: eficiencia operativa, reducción de riesgos y experiencia del usuario.

Desde el punto de vista operativo, la eliminación de la fricción del Captive Portal se correlaciona directamente con una reducción de los tickets de soporte de TI relacionados con la conectividad Wi-Fi. En grandes entornos de Sanidad o Transporte , esto representa un ahorro de costes significativo.

En cuanto a la mitigación de riesgos, el cambio de redes abiertas al cifrado WPA3-Enterprise reduce sustancialmente la responsabilidad del establecimiento. Para los entornos de retail sujetos a PCI DSS, la reducción de la superficie de manejo de datos (al eliminar la recopilación de credenciales basada en web) simplifica las auditorías de cumplimiento.

Finalmente, la mejora de la experiencia del usuario es profunda. En el sector de la hostelería, los estudios demuestran sistemáticamente que un Wi-Fi fluido y fiable es uno de los principales factores de satisfacción de los huéspedes y de repetición de reservas. Al implementar Passpoint, los establecimientos ofrecen una experiencia de conectividad que refleja la fiabilidad de las redes móviles, transformando el Wi-Fi de un servicio frustrante en una comodidad transparente y de primera categoría.

deployment_decision_framework.png

Definiciones clave

IEEE 802.11u

La enmienda del estándar de redes inalámbricas que permite la interconexión con redes externas, lo que permite a los dispositivos consultar a los AP antes de asociarse.

Al configurar controladores inalámbricos, los ingenieros deben habilitar 802.11u para permitir que los dispositivos descubran las capacidades de Passpoint.

ANQP (Access Network Query Protocol)

Un protocolo de consulta y respuesta utilizado por los dispositivos para descubrir servicios de red, acuerdos de roaming e información del establecimiento antes de conectarse.

Los equipos de TI configuran perfiles ANQP en el controlador inalámbrico para transmitir sus Roaming Consortium OIs y NAI Realms compatibles.

Roaming Consortium OI

Un identificador organizativo transmitido por el punto de acceso que indica qué proveedores de identidad o federaciones admite la red.

Si una empresa se une a OpenRoaming, debe asegurarse de que sus AP transmitan el OI de OpenRoaming específico (5A-03-BA).

OSU (Online Sign-Up)

Un proceso estandarizado e infraestructura de servidor para aprovisionar de forma segura credenciales y certificados de Passpoint en el dispositivo de un usuario.

Al crear un flujo de incorporación de autoservicio para un programa de fidelización, los desarrolladores se integrarán con un servidor OSU para enviar el perfil al dispositivo.

RadSec

Un protocolo que encapsula el tráfico de autenticación RADIUS dentro de un túnel TLS para garantizar una transmisión segura a través de redes no confiables.

Requerido al realizar el proxy de solicitudes de autenticación desde un establecimiento local a un nodo de OpenRoaming basado en la nube.

NAI Realm

Reino de Identificador de Acceso a la Red; indica el dominio del usuario y los métodos específicos de autenticación EAP admitidos por la red.

Configurado junto con ANQP para indicar a los dispositivos cliente si la red requiere EAP-TLS, EAP-TTLS o EAP-SIM.

EAP-TLS

Protocolo de autenticación extensible - Seguridad de la capa de transporte; un método de autenticación altamente seguro que requiere certificados tanto del cliente como del servidor.

A menudo se utiliza en despliegues de Wi-Fi para empleados de empresas donde el departamento de TI puede enviar certificados a dispositivos gestionados a través de MDM.

MAC Address Randomisation

Una función de privacidad en los sistemas operativos móviles modernos que genera una dirección de hardware falsa y temporal para cada conexión de red Wi-Fi.

El principal catalizador que aleja a los establecimientos de los Captive Portals, ya que rompe la capacidad de reconocer a los visitantes recurrentes en función de su hardware.

Ejemplos prácticos

¿Una cadena de hoteles empresarial de 400 habitaciones está experimentando un alto volumen de tickets de soporte de huéspedes recurrentes que se quejan de que deben conectarse manualmente al Wi-Fi en el vestíbulo, el restaurante y sus habitaciones, a pesar de haberse conectado previamente. El hotel utiliza actualmente un SSID abierto tradicional con un Captive Portal. ¿Cómo debería resolver esto el arquitecto de red?

El arquitecto debe implementar una estrategia de Dual-SSID. Primero, desplegar un SSID seguro de Passpoint que transmita el Roaming Consortium OI específico del hotel. Segundo, modificar el Captive Portal existente en el SSID abierto para que sirva como un embudo de incorporación. Cuando un huésped inicia sesión a través del portal, se le solicita que descargue un perfil de configuración de Passpoint en su dispositivo. Una vez instalado, el dispositivo se autenticará de forma automática y segura a través de 802.1X/EAP en el SSID de Passpoint a medida que se desplaza entre el vestíbulo, el restaurante y la habitación, eliminando la autenticación manual repetida.

Comentario del examinador: Este enfoque aborda directamente la fricción causada por la aleatorización de direcciones MAC que rompe la persistencia de la sesión del Captive Portal. Al utilizar el Captive Portal para aprovisionar el perfil, el hotel garantiza una transición fluida para los usuarios mientras mantiene una ruta de acceso para los dispositivos heredados que no son compatibles con Passpoint.

Una cadena minorista nacional quiere ofrecer Wi-Fi seguro y fluido en sus 500 ubicaciones para impulsar la interacción con su aplicación de fidelización. Sin embargo, gestionar certificados personalizados o credenciales individuales para millones de clientes potenciales se considera inviable desde el punto de vista operativo. ¿Cuál es la arquitectura de despliegue recomendada?

El minorista debe desplegar Passpoint y federarse con OpenRoaming. Al configurar sus puntos de acceso para transmitir el OI de OpenRoaming libre de liquidación (5A-03-BA) y establecer túneles RadSec desde su infraestructura RADIUS a un nodo de OpenRoaming, el minorista permite que cualquier cliente con un perfil de proveedor de identidad compatible (como un dispositivo Samsung moderno o un perfil de operador móvil) se conecte automáticamente. El minorista puede entonces integrar esto con su aplicación de fidelización para activar notificaciones push tras una asociación de red exitosa.

Comentario del examinador: La federación a través de OpenRoaming es la solución óptima para escalar. Descarga la carga de la gestión de identidades y el aprovisionamiento de credenciales en proveedores de identidad establecidos, lo que permite al minorista centrarse en la capa de acceso y en los análisis de interacción resultantes.

Preguntas de práctica

Q1. El director de TI de un hospital quiere desplegar Passpoint para garantizar que los dispositivos móviles de los médicos se conecten de forma segura a la red clínica, mientras que los pacientes se conectan a una red de invitados independiente. Los médicos utilizan dispositivos personales no gestionados (BYOD). ¿Qué método EAP y estrategia de aprovisionamiento debería recomendar el arquitecto?

Sugerencia: Considere el equilibrio entre la seguridad y la sobrecarga operativa de gestionar certificados en dispositivos personales no gestionados.

Ver respuesta modelo

El arquitecto debería recomendar EAP-TTLS con un flujo de aprovisionamiento de servidor de registro en línea (OSU). EAP-TLS requiere certificados de cliente, que son difíciles de desplegar y gestionar operativamente en dispositivos BYOD no gestionados. EAP-TTLS permite a los médicos autenticarse de forma segura utilizando sus credenciales existentes de Active Directory/LDAP (usuario y contraseña) tunelizadas dentro de una sesión TLS segura. El servidor OSU puede proporcionar un portal de autoservicio donde los médicos inician sesión una vez para descargar el perfil, lo que permite la conexión automática a partir de entonces.

Q2. Durante un piloto de despliegue de Passpoint, los dispositivos Android se autentican y conectan correctamente, pero los dispositivos iOS fallan durante el saludo EAP. Los registros de RADIUS muestran errores de 'CA desconocida'. ¿Cuál es la causa y la solución más probable?

Sugerencia: El iOS de Apple tiene requisitos estrictos con respecto a la cadena de confianza para los certificados de servidor RADIUS.

Ver respuesta modelo

La causa más probable es que el servidor RADIUS esté utilizando un certificado autofirmado o un certificado emitido por una Autoridad de Certificación (CA) privada interna en la que los dispositivos iOS no confían de forma inherente. Los dispositivos Android a veces permiten a los usuarios omitir o ignorar la validación del certificado (aunque esto es una mala práctica de seguridad), mientras que iOS la exige estrictamente para los perfiles de Passpoint. La solución es reemplazar el certificado del servidor RADIUS por uno emitido por una CA comercial de confianza pública (por ejemplo, DigiCert, Let's Encrypt), o asegurarse de que el certificado raíz de la CA privada esté explícitamente incluido dentro del perfil de configuración de Passpoint enviado a los dispositivos iOS.

Q3. Un estadio ha implementado OpenRoaming. Un usuario con un perfil de OpenRoaming de Google válido entra al recinto, pero su dispositivo no intenta conectarse automáticamente. ¿Qué configuración específica en el controlador de LAN inalámbrica del estadio debe verificar primero el ingeniero de red?

Sugerencia: ¿Cómo sabe el dispositivo que el punto de acceso admite la federación OpenRoaming antes de intentar conectarse?

Ver respuesta modelo

El ingeniero debe verificar la configuración de ANQP, específicamente comprobando que los puntos de acceso estén transmitiendo el Roaming Consortium Organisational Identifier (OI) correcto para OpenRoaming, que es 5A-03-BA. Si este OI no se incluye en la baliza del AP o en la respuesta GAS, el dispositivo no reconocerá la red como participante de OpenRoaming y no intentará autenticarse.

Continúe leyendo esta serie

Cómo configurar un Captive Portal en Starlink: guía para establecimientos remotos y marítimos

Esta guía detalla cómo omitir el hardware nativo de Starlink e integrar un Captive Portal gestionado en la nube utilizando equipos de enrutamiento empresariales. Aprenderá a superar la limitación de CGNAT, aplicar la segmentación de VLAN, gestionar las limitaciones de ancho de banda satelital y garantizar el cumplimiento normativo.

Leer la guía →

Mejores prácticas de Captive Portal: diseño para una alta conversión y cumplimiento normativo

Esta guía técnica ofrece a los responsables de TI, arquitectos de redes y directores de operaciones de establecimientos un plan completo para implementar Captive Portals que equilibren la seguridad de la red con una alta conversión de usuarios. Abarca toda la arquitectura, desde la segmentación de VLAN y la autenticación RADIUS hasta el diseño de consentimiento en conformidad con el GDPR y la selección del método de autenticación. Basada en la experiencia operativa de Purple en más de 80 000 establecimientos y 440 millones de inicios de sesión en 2024, cada recomendación se fundamenta en datos reales de implementación.

Leer la guía →

Cómo optimizar los captive portals para una máxima seguridad de red y conversión de usuarios

Esta guía proporciona un esquema técnico completo para optimizar los captive portals en entornos empresariales, abarcando la arquitectura de segmentación de red, la selección del método de autenticación, el diseño de consentimiento conforme a la GDPR y la optimización de la conversión. Está dirigida a responsables de TI, arquitectos de red y CTO de hoteles, cadenas de tiendas, estadios y organizaciones del sector público que necesitan equilibrar la seguridad de la red con la captura de datos de primera mano. Purple opera la infraestructura de captive portals en más de 80.000 establecimientos con 440 millones de inicios de sesión en 2024, y los marcos de trabajo aquí presentados reflejan esa experiencia operativa.

Leer la guía →