Saltar al contenido principal
Español

Configuración de la redirección del Captive Portal en controladores de red empresariales

Esta guía de referencia detalla la arquitectura técnica y los pasos de configuración específicos de cada fabricante necesarios para implementar la redirección del captive portal en controladores de red empresariales. Proporciona directrices prácticas para que los equipos de TI configuren walled gardens, integren la autenticación RADIUS y garanticen el cumplimiento de las normativas GDPR y PCI DSS.

📖 6 min de lectura📝 1,397 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Bienvenido a la sesión informativa técnica de Purple. Soy su anfitrión y, en los próximos diez minutos, entraremos de lleno en uno de los temas más buscados y menos documentados de la WiFi empresarial: la configuración de la redirección de Captive Portal en controladores de red. Si alguna vez ha buscado "configurar controlador portal cautivo" y no ha encontrado nada, esta es la sesión informativa que necesitaba. Cubriremos todo el panorama: la arquitectura técnica, los pasos de configuración controlador por controlador, los requisitos de cumplimiento y los errores del mundo real que dificultan el trabajo incluso a los equipos de red experimentados. Comencemos. Un Captive Portal es el mecanismo que intercepta la primera solicitud HTTP o HTTPS de un dispositivo invitado tras conectarse a su red WiFi, y la redirecciona a una página de inicio de sesión personalizada antes de permitir el acceso a internet. Esa página de inicio de sesión puede solicitar un inicio de sesión social, el envío de un formulario, una simple aceptación de términos mediante un clic o una verificación de credenciales basada en RADIUS. La redirección en sí se gestiona a nivel de controlador, no en el punto de acceso ni en el cortafuegos. El controlador intercepta el tráfico del cliente no autenticado, aplica una lista de control de acceso de preautenticación (lo que llamamos un "walled garden") y dirige el navegador del cliente a la URL de su portal. ¿Por qué es esto importante a nivel comercial? Por tres razones. Primero, por cumplimiento normativo. Bajo el GDPR, está obligado a obtener un consentimiento explícito e informado antes de recopilar datos personales de los visitantes. Un Captive Portal correctamente configurado es su mecanismo de consentimiento. Sin él, estará recopilando datos sin una base legal, lo que representa un riesgo regulatorio. Segundo, por seguridad. Un SSID abierto sin autenticación es un riesgo de seguridad. La redirección de Captive Portal, combinada con la segmentación de VLAN y un servidor RADIUS, le ofrece trazabilidad por sesión. Sabrá quién se ha conectado, cuándo y desde qué dispositivo. Tercero, por inteligencia de negocio. Cada sesión autenticada es un punto de datos de origen (first-party data). Purple procesa 440 millones de inicios de sesión al año en 80 000 establecimientos. Esos datos (tiempo de permanencia, frecuencia de visitas, señales demográficas) solo están disponibles si su Captive Portal está correctamente configurado para capturarlos y transmitirlos. Ahora, permítame guiarle a través del flujo de redirección, paso a paso. Paso uno: un dispositivo invitado se asocia con su SSID de invitados. El controlador le asigna una dirección IP a través de DHCP, pero lo coloca en un estado restringido de preautenticación. Se bloquea todo el tráfico, excepto el DNS y los dominios del "walled garden" que haya permitido explícitamente. Paso dos: el invitado abre un navegador. Su solicitud HTTP llega al controlador. El controlador la intercepta y emite una redirección 302 a la URL de su portal. Este es el mecanismo de redirección principal. Paso tres: el navegador del invitado carga su página de inicio de sesión, alojada en el propio controlador o, lo que es más habitual en implementaciones empresariales, en una plataforma en la nube externa como Purple. Paso cuatro: el invitado se autentica, ya sea mediante inicio de sesión social, un formulario o credenciales. El portal envía una señal de autorización de vuelta al controlador, normalmente a través de un mensaje RADIUS Access-Accept o una omisión de autorización por MAC. Paso cinco: el controlador pasa al cliente de la VLAN de preautenticación a la VLAN de postautenticación, elimina la regla de redirección y concede acceso a internet. Este flujo de cinco pasos es consistente en todas las principales plataformas de controladores. Lo que varía es cómo se configura cada paso en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi y los demás. Repasemos las principales plataformas. Cisco Meraki. Meraki utiliza una página de inicio (splash page) personalizada que se configura por completo a través del panel de control (Dashboard) de Meraki; no hay CLI. Dirígete a Wireless, luego a Access Control, selecciona tu SSID de invitados, establece la splash page en "Sign-on with my RADIUS server" o "Click-through" y, a continuación, introduce la URL de tu portal externo en el campo Custom Splash URL. El walled garden se configura en la sección Advanced Splash Settings: aquí debes añadir las direcciones IP de tu servidor del portal para que el invitado pueda acceder a la splash page antes de autenticarse. Los detalles del servidor RADIUS se introducen en la sección RADIUS: autenticación en el puerto 1812, contabilidad (accounting) en el puerto 1813. HPE Aruba. En ArubaOS, se configura un perfil de Captive Portal en la sección AAA, especificando la URL de inicio de sesión, el grupo de servidores que apunta a tu servidor RADIUS y la URL de redirección. Luego, aplicas ese perfil a tu SSID a través del perfil de AP virtual. El rol de preautenticación (lo que Aruba denomina el rol "logon") contiene la ACL que permite DNS, DHCP y el acceso al rango de IP del servidor de tu portal. Tras la autenticación, el controlador asigna el rol "authenticated", que permite un acceso total a internet. Ruckus SmartZone utiliza un tipo de WLAN Hotspot para los despliegues de Captive Portal. En la configuración de WLAN, establece el tipo de WLAN en Hotspot y, a continuación, configura la URL del portal, el servidor RADIUS para la autenticación y la contabilidad (accounting), y las entradas del walled garden. La interfaz Northbound Portal Interface gestiona el flujo de autorización MAC entre el portal y el controlador. Juniper Mist utiliza un enfoque nativo de la nube. En Network, luego en WLANs, crea una WLAN de invitados y establece el tipo de portal en "External Captive Portal". Introduce la URL de tu portal y configura los detalles del servidor RADIUS. Mist pasa la MAC del cliente, la MAC del AP y el nombre del SSID como parámetros de URL al portal. Ubiquiti UniFi. En el UniFi Network Controller, dirígete a Settings, luego a WiFi, selecciona tu red de invitados y, en Advanced Options, establece la Guest Policy para habilitar el portal hotspot. Establece el tipo de portal en "External" e introduce la URL de tu portal. Configura el servidor RADIUS en Profiles, luego en RADIUS. El walled garden es el elemento que se configura de forma incorrecta con más frecuencia en los despliegues de Captive Portal. Si esto falla, tus invitados verán un error de navegador en lugar de tu splash page. El walled garden debe permitir, como mínimo: las direcciones IP o el dominio del servidor de su portal, las direcciones IP de su servidor RADIUS, la resolución DNS en el puerto 53 y DHCP en los puertos 67 y 68. Si su portal carga recursos desde una CDN (fuentes, imágenes, JavaScript), esos dominios de CDN también deben estar en el walled garden. Para implementaciones de Purple, proporcionamos los rangos de IP y dominios específicos que se deben incluir en la lista de permitidos durante la incorporación. El modo de fallo más común es un portal que carga el marco HTML pero no puede renderizar imágenes ni ejecutar JavaScript porque faltan los dominios de la CDN en el walled garden. Aquí dominan dos normas de cumplimiento: GDPR y PCI DSS. Bajo GDPR, su Captive Portal debe presentar un mecanismo de consentimiento claro y específico antes de recopilar datos personales. Esto significa casillas de verificación independientes y sin marcar para el acceso a WiFi y el consentimiento de marketing. No puede agruparlos. El registro de consentimiento debe almacenarse y poder recuperarse para fines de auditoría. La plataforma de Purple gestiona esto automáticamente, almacenando los registros de consentimiento para cada sesión autenticada. Bajo PCI DSS, si su establecimiento procesa pagos con tarjeta, su red WiFi para invitados debe estar aislada de su entorno de tarjetas de pago. Esto significa una VLAN de invitados dedicada con reglas de firewall que impidan cualquier enrutamiento entre el segmento de invitados y su red de TPV. La versión 4.0 de PCI DSS, que pasó a ser obligatoria en marzo de 2024, requiere pruebas de segmentación de red al menos cada seis meses. Permítame presentarle dos escenarios concretos. Escenario uno: un hotel de 350 habitaciones que utiliza Cisco Meraki. El hotel desea sustituir un portal básico de un solo clic por una experiencia de invitado personalizada que recopile direcciones de correo electrónico para su programa de fidelización. La configuración: cree un SSID de invitados dedicado en una VLAN independiente solo con acceso a internet. Configure la página de bienvenida (splash page) de Meraki para que apunte a la URL del portal de Purple. Configure la autenticación RADIUS utilizando los detalles del servidor RADIUS de Purple. Configure el walled garden con los rangos de IP de Purple. En el panel de control de Purple, cree una página de bienvenida personalizada con un formulario que recopile nombre, correo electrónico y número de habitación, con casillas de verificación explícitas de consentimiento de GDPR. Conecte el conector CRM de Purple con la plataforma de marketing del hotel. Premier Inn implementó este modelo en todas sus instalaciones y observó un aumento medible en las tasas de reserva directa de los huéspedes captados a través de WiFi. Segundo escenario: una cadena de retail regional con 40 tiendas que utilizan HPE Aruba. El minorista necesita una experiencia de WiFi para invitados consistente en todos los centros, con analítica de afluencia para comparar el rendimiento de las tiendas. Implemente Aruba Central para gestionar los 40 centros desde un único panel. Configure una plantilla WLAN para invitados con un Captive Portal externo que apunte a Purple. Aplique la plantilla en todos los centros utilizando la función de políticas de grupo de Aruba Central. En Purple, configure una única plantilla de portal que se aplique a todos los establecimientos, con paneles de analítica individuales para cada uno. El walled garden y la configuración de RADIUS se definen una vez en la plantilla y se propagan automáticamente. Resultado: el equipo de TI gestiona 40 centros desde una sola consola. El equipo de marketing obtiene datos de afluencia por tienda, análisis del tiempo de permanencia y tasas de visitas recurrentes, todo desde un único panel de Purple. Cuatro errores comunes que veo con frecuencia. Primero: fallos de interceptación HTTPS. Los navegadores y sistemas operativos móviles modernos utilizan sondas HTTPS para detectar captive portals. Si su controlador no puede interceptar el tráfico HTTPS (lo que requiere un certificado válido para el dominio de redirección), la sonda falla de forma silenciosa y el invitado no ve ninguna redirección. La solución: configure la interfaz virtual de su controlador con un certificado de confianza o utilice sondas solo HTTP en su SSID de invitados. Segundo: fugas de DNS. Si su ACL de preautenticación permite un DNS sin restricciones, los invitados pueden utilizar túneles DNS para eludir el Captive Portal por completo. Restrinja el DNS únicamente a su resolutor designado. Tercero: desajustes en el tiempo de espera de la sesión. Si el tiempo de espera de la sesión de su controlador es más corto que la validez del token de sesión de su portal, los invitados serán redireccionados de vuelta al portal a mitad de la sesión. Alinee estos valores: normalmente 24 horas para hostelería y ocho horas para retail. Cuarto: falta de registro de actividad. El registro de actividad de RADIUS (los mensajes Accounting-Start y Accounting-Stop) es la forma en que su portal sabe que una sesión ha finalizado. Sin la contabilidad configurada, los registros de sesión de su portal serán inexactos y su analítica no será fiable. Preguntas rápidas, respuestas rápidas. ¿Puedo utilizar un portal externo con cualquier controlador? Sí, siempre que el controlador admita la redirección a un Captive Portal externo, algo que hacen todas las plataformas que hemos analizado. ¿Necesito un servidor RADIUS para ejecutar un Captive Portal? No siempre. Los portales sencillos de un solo clic pueden utilizar la omisión de autorización por MAC sin necesidad de un servidor RADIUS completo. Sin embargo, para portales basados en credenciales o inicio de sesión con redes sociales, RADIUS es el mecanismo estándar. ¿Funciona el Captive Portal con WPA3? Sí. WPA3 se encarga de la capa de cifrado inalámbrico. El Captive Portal se encarga de la capa de autenticación. Funcionan de forma independiente y son totalmente compatibles. ¿Cómo se integra Purple con mi controlador existente? Purple actúa como el servidor del portal externo. Debe apuntar la URL de splash de su controlador al endpoint del portal de Purple, configurar el walled garden con los rangos de IP de Purple y configurar RADIUS utilizando los detalles del servidor de Purple. El proceso de integración es el mismo independientemente de si utiliza Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist o Ubiquiti UniFi. En resumen. La redirección del Captive Portal se configura a nivel de controlador, no en el punto de acceso. Los componentes principales son: la URL de splash que apunta a su portal, el walled garden que permite el acceso al servidor de su portal, RADIUS para autenticación y registro (accounting), y la segmentación de VLAN para el aislamiento de la red. Los pasos de configuración varían según el proveedor, pero la arquitectura es consistente. Para cumplir con las normativas, su portal debe implementar la captura de consentimiento conforme a GDPR y la segmentación de red conforme a PCI DSS. WPA3 es el estándar actual para el cifrado inalámbrico y debería ser su especificación de referencia en cualquier nueva implementación. Purple se integra de forma nativa con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. Con presencia en 80 000 establecimientos y 440 millones de inicios de sesión en 2024, la plataforma es agnóstica respecto al hardware por diseño: su elección de controlador no limita su capacidad para capturar datos de invitados de primera mano o realizar analíticas. Su siguiente paso: revise la configuración actual de su controlador comparándola con la lista de verificación del walled garden y de registro RADIUS de esta guía. Si va a implementar una nueva red WiFi para invitados, comience con los pasos de configuración específicos del proveedor para su plataforma de controlador y conecte Purple como su portal externo. Gracias por su atención. Esta ha sido la sesión informativa técnica de Purple.

header_image.png

Resumen ejecutivo

Configurar un redireccionamiento de Captive Portal en un controlador de red enterprise es un requisito fundamental para ofrecer un WiFi de invitados seguro y conforme a la normativa. Cuando se configura correctamente, el controlador intercepta el tráfico de clientes no autenticados y emite una redirección HTTP 302 a un portal externo, lo que permite la autenticación, la captura del consentimiento y la segmentación de la red. Si se configura incorrectamente, se producen fallos de conexión silenciosos, advertencias de seguridad en el navegador y riesgos de cumplimiento.

Esta guía proporciona la arquitectura técnica y los pasos de configuración específicos del proveedor necesarios para implementar portales cautivos externos en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist y Ubiquiti UniFi. Detallamos la mecánica del flujo de redirección, los requisitos precisos para la configuración del walled garden y la integración de RADIUS para la autenticación y la contabilidad. Al seguir estos pasos, se garantiza que la red de invitados cumpla con los requisitos de segmentación de PCI DSS, capture el consentimiento explícito de GDPR y dirija de forma segura los datos de origen a plataformas como Purple.

Análisis técnico detallado

El mecanismo de redireccionamiento de Captive Portal funciona a nivel de controlador de red. Se basa en una secuencia específica de cambios en el estado de la red para interceptar, autenticar y autorizar un dispositivo cliente.

architecture_overview.png

El flujo de redirección

  1. Asociación y DHCP: Un dispositivo de invitado se asocia al SSID de invitados. El controlador asigna una dirección IP a través de DHCP, pero coloca al cliente en un estado restringido de autenticación previa (a menudo asignado a una VLAN o rol de autenticación previa específico).
  2. Aplicación del Walled Garden: En este estado de autenticación previa, se descarta todo el tráfico saliente, excepto el DNS (puerto 53), DHCP (puertos 67 y 68) y el tráfico destinado a direcciones IP o dominios específicos definidos en la lista de control de acceso (ACL). Esta ACL se conoce como walled garden.
  3. Interceptación y redirección: Cuando el invitado abre un navegador e inicia una solicitud HTTP, el controlador intercepta la solicitud. En lugar de enrutar el tráfico a internet, el controlador responde con un código de estado HTTP 302 Found, lo que redirige el navegador a la URL de su Captive Portal externo. Los sistemas operativos modernos utilizan sondas HTTPS automáticas (como el Captive Network Assistant de Apple) para detectar esta redirección e iniciar un pseudonavegador.4. Autenticación: el invitado interactúa con la splash page alojada en el portal externo (por ejemplo, Purple). Esto puede implicar un inicio de sesión social, el envío de un formulario o un simple clic para continuar. Una vez completado, el portal se comunica con el controlador para autorizar la sesión.
  4. Autorización y Contabilidad (Accounting): la señal de autorización se envía normalmente a través de un mensaje RADIUS Access-Accept o mediante una API específica del proveedor. El controlador recibe esta señal, pasa al cliente al estado de post-autenticación (a menudo una VLAN diferente), elimina la regla de redirección y concede acceso a internet. A continuación, el controlador envía un mensaje RADIUS Accounting-Start para registrar la duración de la sesión y el uso de datos.

Guía de implementación

La arquitectura fundamental es coherente entre los distintos proveedores, pero la sintaxis de configuración varía significativamente. A continuación se detallan los pasos para las principales plataformas empresariales.

vendor_comparison_chart.png

Cisco Meraki

Cisco Meraki configura los portales cautivos íntegramente a través del panel de control de Meraki.

  1. Vaya a Wireless > Access Control y seleccione su SSID de invitados.
  2. En Splash page, seleccione Sign-on with my RADIUS server (para acceso basado en credenciales) o Click-through.
  3. En el campo Custom Splash URL, introduzca la URL de su portal externo proporcionada por Purple.
  4. En RADIUS, introduzca las direcciones IP de los servidores RADIUS principal y secundario tanto para la autenticación (puerto 1812) como para la contabilidad (puerto 1813), junto con el secreto compartido (shared secret).
  5. Desplácese hasta Advanced Splash Settings para configurar el walled garden. Añada las direcciones IP o dominios de su servidor de portal y de cualquier CDN requerida.

HPE Aruba

La configuración de Aruba implica definir un perfil de Captive Portal y aplicarlo a un rol.

  1. En ArubaOS, vaya a Configuration > Authentication > L3 Authentication.
  2. Cree un nuevo Captive Portal Authentication Profile. Introduzca la Login URL que apunta a su splash page de Purple.
  3. Cree un Server Group que contenga sus servidores RADIUS y asígnelo al perfil de Captive Portal.
  4. Vaya a Configuration > Security > Roles. Edite el rol de pre-autenticación (a menudo llamado logon). Asegúrese de que la ACL permita el tráfico DHCP, DNS y HTTP/HTTPS hacia las direcciones IP de su walled garden, y aplique el perfil de Captive Portal a todo el resto del tráfico HTTP.
  5. Asigne el rol logon como rol inicial en su perfil AAA para el SSID de invitados.

Ruckus SmartZone

Ruckus utiliza un tipo de WLAN específico para despliegues de puntos de acceso.

  1. Navegue a WLANs y cree una nueva WLAN. Establezca el WLAN Type en Hotspot (WISPr).
  2. En Authentication Options, seleccione External RADIUS Server e introduzca los datos de su servidor tanto para la autenticación como para el registro de conexiones (accounting).
  3. En Hotspot Portal, seleccione External e introduzca la URL de su portal.
  4. Configure el Walled Garden añadiendo las direcciones IP o dominios necesarios.
  5. Ruckus depende de su Northbound Portal Interface (NPI) para gestionar el flujo de autorización, lo que requiere configurar los ajustes de NPI para permitir la comunicación desde el servidor de su portal.

Ubiquiti UniFi

UniFi proporciona una interfaz sencilla para portales externos.

  1. En el UniFi Network Controller, vaya a Settings > WiFi y seleccione su red de invitados.
  2. En Advanced Options, habilite la Guest Policy.
  3. Vaya a Settings > Guest Control. En Portal Type, seleccione External Portal Server e introduzca la URL de su portal.
  4. En Access Control, añada las direcciones IP requeridas a la lista Pre-Authorization Access (el walled garden).
  5. Configure los detalles del servidor RADIUS en Profiles > RADIUS y aplique el perfil a la red de invitados.

Best Practices

1. Configuración de Walled Garden

El walled garden es el punto de fallo más crítico en los despliegues de Captive Portal. Si el walled garden está incompleto, el navegador del invitado no podrá cargar la página de bienvenida (splash page), lo que provocará una pantalla en blanco o un error de tiempo de espera agotado (timeout).

Debe permitir explícitamente el acceso a:

  • Las direcciones IP o dominios del servidor de portal principal.
  • Las direcciones IP del servidor RADIUS.
  • Cualquier red de distribución de contenido (CDN) utilizada por el portal para cargar fuentes, imágenes o JavaScript.
  • Dominios de proveedores de identidad si se utiliza el inicio de sesión social (por ejemplo, facebook.com, google.com).

2. Segmentación de red para PCI DSS

Si su establecimiento procesa pagos con tarjeta, el cumplimiento de PCI DSS exige un aislamiento estricto de la red de invitados con respecto al entorno de datos de los titulares de tarjetas. No confíe únicamente en la separación por SSID. Debe configurar una VLAN de invitados dedicada a nivel de controlador o conmutador, con reglas de firewall que denieguen explícitamente el enrutamiento entre la VLAN de invitados y cualquier red corporativa interna o de punto de venta (POS).

3. RADIUS Accounting

Configure siempre RADIUS accounting. Aunque la omisión de autorización MAC puede conceder acceso, se requiere RADIUS accounting (mensajes Accounting-Start y Accounting-Stop) para realizar un seguimiento preciso de la duración de la sesión y el uso de datos. Sin el registro de conexiones (accounting), su plataforma de analítica informará de tiempos de permanencia y recuentos de usuarios simultáneos inexactos.

Resolución de problemas y mitigación de riesgos

Fallos de interceptación HTTPS

Los sistemas operativos modernos utilizan sondeos HTTPS para detectar captive portals. Si el controlador intercepta una solicitud HTTPS pero presenta un certificado SSL no válido o no confiable para el redireccionamiento, el navegador mostrará una advertencia de seguridad grave (por ejemplo, "La conexión no es privada") y bloqueará el redireccionamiento. Para mitigar esto, asegúrese de que su controlador esté provisto de un certificado SSL válido y de confianza pública para su interfaz virtual, o configure el controlador para que solo intercepte el tráfico HTTP para el redireccionamiento inicial.

Filtración de DNS

Si la ACL de preautenticación permite un tráfico DNS saliente sin restricciones, los usuarios avanzados pueden utilizar túneles DNS para eludir el captive portal y acceder a internet sin autenticarse. Mitigue esto restringiendo el tráfico DNS saliente en el rol de preautenticación solo a sus resolutores DNS designados, bloqueando todo el demás tráfico del puerto 53.

Discrepancias en el tiempo de espera de la sesión

Si el tiempo de espera de la sesión configurado en el controlador inalámbrico es más corto que el período de validez de la sesión definido en el portal externo, los invitados se desconectarán abruptamente y se verán obligados a volver a autenticarse. Asegúrese de que el tiempo de espera por inactividad del controlador y el tiempo de espera absoluto de la sesión se alineen con la experiencia de usuario prevista para los invitados (por ejemplo, 24 horas para entornos de hostelería, 8 horas para comercio minorista).

ROI e impacto empresarial

La implementación de un captive portal configurado correctamente transforma el WiFi de invitados de un coste operativo en un activo estratégico. Al integrar los controladores empresariales con una capa de inteligencia como Purple, los establecimientos pueden capturar el consentimiento explícito de GDPR y recopilar valiosos datos de primera mano.

Purple procesa 440 millones de inicios de sesión al año en 80.000 establecimientos. Estos datos se envían directamente a las plataformas CRM, lo que permite realizar campañas de marketing dirigidas basadas en visitas físicas reales. Por ejemplo, los operadores de comercio minorista pueden medir la afluencia y las tasas de visitas repetidas, mientras que los establecimientos de hostelería pueden impulsar las reservas directas interactuando con los huéspedes después de su estancia. El ROI se mide en un aumento del valor de vida del cliente, una mayor eficiencia operativa a través de análisis de afluencia precisos y la mitigación del riesgo regulatorio mediante la gestión automatizada del cumplimiento.

Definiciones clave

Captive Portal

Una página web que intercepta el tráfico de red no autenticado y requiere la interacción del usuario (como aceptar las condiciones o proporcionar credenciales) antes de conceder acceso a Internet.

Se utiliza en redes empresariales para aplicar políticas de seguridad, recopilar datos de origen y garantizar el cumplimiento normativo.

Walled Garden

Una lista de control de acceso (ACL) aplicada a clientes no autenticados, que permite el acceso únicamente a direcciones IP o dominios específicos necesarios para cargar el captive portal.

Es fundamental para garantizar que la página de inicio se cargue correctamente; si faltan dominios CDN en el walled garden, el portal no se mostrará adecuadamente.

RADIUS

Remote Authentication Dial-In User Service. Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA).

Utilizado por los controladores de red para verificar las credenciales de los invitados con una base de datos externa y registrar las métricas de la sesión.

VLAN Segmentation

La práctica de dividir una red física en varias redes lógicas para aislar el tráfico.

Obligatorio para el cumplimiento de PCI DSS para garantizar que el tráfico WiFi de invitados no pueda enrutarse a entornos de tarjetas de pago.

Redirección HTTP 302

Un código de estado de respuesta HTTP estándar que indica que el recurso solicitado se ha trasladado temporalmente a una URL diferente.

El mecanismo utilizado por los controladores de red para interceptar la solicitud web inicial de un invitado y redirigir su navegador a la página de inicio.

IEEE 802.1X

Un estándar IEEE para el control de acceso a redes basado en puertos, que requiere que los dispositivos se autentiquen antes de obtener acceso a la red.

Proporciona seguridad de nivel empresarial al garantizar que cada conexión se autentique de forma individual, a menudo respaldada por un servidor RADIUS.

WPA3-Enterprise

El último protocolo de seguridad Wi-Fi, que proporciona un cifrado robusto y requiere autenticación 802.1X.

Recomendado para implementaciones empresariales seguras para proteger contra ataques de diccionario fuera de línea y garantizar la confidencialidad de los datos.

MAC Authorisation Bypass (MAB)

Un método para otorgar acceso a la red basado en la dirección MAC del dispositivo cliente en lugar de requerir credenciales de usuario explícitas.

A menudo se utiliza en Captive Portals de tipo "click-through" donde el portal registra la dirección MAC después de que el usuario acepta los términos de servicio.

Ejemplos prácticos

Un hotel de 350 habitaciones necesita implantar un portal de WiFi para invitados con la imagen de su marca que recopile direcciones de correo electrónico para su programa de fidelización, garantizando el cumplimiento del GDPR e aislando el tráfico de invitados de la red corporativa.

El equipo de TI despliega puntos de acceso Cisco Meraki y configura un SSID de invitados dedicado en la VLAN 100. En el panel de control de Meraki, configuran la página de inicio en "Iniciar sesión con mi servidor RADIUS" e introducen la URL del portal de Purple. Configuran el walled garden para incluir los rangos de IP de Purple y los dominios de la CDN. Se aplican reglas de firewall a la VLAN 100, denegando el enrutamiento a la VLAN corporativa para garantizar el cumplimiento de PCI DSS. En la plataforma Purple, se crea un portal personalizado con un formulario de captura de datos y casillas de verificación explícitas para el consentimiento del GDPR. El conector CRM de Purple se configura para sincronizar los correos electrónicos capturados directamente con la plataforma de marketing del hotel.

Comentario del examinador: Este enfoque aborda correctamente tanto los requisitos técnicos como los comerciales. La segmentación por VLAN garantiza la seguridad y el cumplimiento normativo, mientras que la integración con Purple proporciona la captura de consentimiento necesaria y la sincronización con el CRM. El uso de RADIUS garantiza un seguimiento preciso de las sesiones.

Una cadena de tiendas minoristas regional con 40 establecimientos requiere una experiencia de WiFi de invitados uniforme en todos sus centros, con una gestión centralizada y análisis de afluencia a nivel de tienda.

El minorista despliega puntos de acceso HPE Aruba gestionados a través de Aruba Central. Se crea una plantilla única de WLAN de invitados con un captive portal externo que apunta a Purple. El rol de autenticación previa se configura con las ACL de walled garden necesarias. Esta plantilla se aplica en los 40 centros utilizando la política de grupo de Aruba Central. En Purple, se despliega un diseño de portal unificado, con paneles de análisis configurados para segmentar los datos por ubicación de tienda individual.

Comentario del examinador: El uso de la configuración basada en plantillas de Aruba Central elimina la disparidad de configuración entre las 40 tiendas. La integración con Purple permite al equipo de marketing comparar las métricas de afluencia y tiempo de permanencia de toda la red desde una única interfaz, lo que demuestra el valor de una capa de inteligencia independiente del hardware.

Preguntas de práctica

Q1. Un establecimiento informa que los clientes que se conectan al WiFi ven una pantalla en blanco en lugar de la página de inicio de sesión de la marca. El portal utiliza fuentes personalizadas alojadas en Google Fonts. ¿Cuál es el error de configuración más probable?

Sugerencia: Considere qué tráfico se permite antes de que un usuario se autentique.

Ver respuesta modelo

El walled garden está incompleto. Los dominios CDN de Google Fonts no se han añadido a la ACL previa a la autenticación. El controlador está bloqueando la solicitud para cargar las fuentes, lo que provoca que falle la representación de la página.

Q2. Para cumplir con PCI DSS, un responsable de TI crea un nuevo SSID llamado 'Guest_WiFi' en la misma subred que la red corporativa. ¿Es esto suficiente?

Sugerencia: PCI DSS requiere el aislamiento del entorno de datos de los titulares de tarjetas.

Ver respuesta modelo

No. Crear un SSID independiente en la misma subred no proporciona aislamiento de red. La red de invitados debe colocarse en una VLAN dedicada con reglas de firewall que denieguen explícitamente el enrutamiento a las redes corporativas o de TPV.

Q3. Una cadena de tiendas nota que su panel de analíticas muestra 1.000 autenticaciones al día, pero la métrica de tiempo de permanencia medio falta o es cero. ¿Qué paso de configuración se ha omitido?

Sugerencia: ¿Qué protocolo es responsable de realizar el seguimiento de la duración de la sesión?

Ver respuesta modelo

No se ha configurado la contabilidad RADIUS (RADIUS Accounting) en el controlador. Sin los mensajes de Accounting-Start y Accounting-Stop, la plataforma de analíticas no puede calcular la duración de las sesiones.

Continúe leyendo esta serie

Cómo configurar un Captive Portal en Starlink: guía para establecimientos remotos y marítimos

Esta guía detalla cómo omitir el hardware nativo de Starlink e integrar un Captive Portal gestionado en la nube utilizando equipos de enrutamiento empresariales. Aprenderá a superar la limitación de CGNAT, aplicar la segmentación de VLAN, gestionar las limitaciones de ancho de banda satelital y garantizar el cumplimiento normativo.

Leer la guía →

Mejores prácticas de Captive Portal: diseño para una alta conversión y cumplimiento normativo

Esta guía técnica ofrece a los responsables de TI, arquitectos de redes y directores de operaciones de establecimientos un plan completo para implementar Captive Portals que equilibren la seguridad de la red con una alta conversión de usuarios. Abarca toda la arquitectura, desde la segmentación de VLAN y la autenticación RADIUS hasta el diseño de consentimiento en conformidad con el GDPR y la selección del método de autenticación. Basada en la experiencia operativa de Purple en más de 80 000 establecimientos y 440 millones de inicios de sesión en 2024, cada recomendación se fundamenta en datos reales de implementación.

Leer la guía →

Cómo optimizar los captive portals para una máxima seguridad de red y conversión de usuarios

Esta guía proporciona un esquema técnico completo para optimizar los captive portals en entornos empresariales, abarcando la arquitectura de segmentación de red, la selección del método de autenticación, el diseño de consentimiento conforme a la GDPR y la optimización de la conversión. Está dirigida a responsables de TI, arquitectos de red y CTO de hoteles, cadenas de tiendas, estadios y organizaciones del sector público que necesitan equilibrar la seguridad de la red con la captura de datos de primera mano. Purple opera la infraestructura de captive portals en más de 80.000 establecimientos con 440 millones de inicios de sesión en 2024, y los marcos de trabajo aquí presentados reflejan esa experiencia operativa.

Leer la guía →