Resolución de problemas en WiFi pública: Solución a "Conectado, sin internet" y fallos de redirección de la página de bienvenida
Esta guía técnica de referencia autorizada explica el mecanismo subyacente de detección del Captive Portal y detalla los seis modos principales de fallo que impiden la conexión al WiFi de invitados. Proporciona a los responsables de TI y arquitectos de red un marco práctico de resolución de problemas para resolver conflictos de redirección HTTP, DNS y desafíos de aleatorización de direcciones MAC.
Escuchar esta guía
Ver transcripción del podcast
- Resumen ejecutivo
- Análisis técnico detallado: Cómo funciona realmente la detección de Captive Portal
- Resolución de problemas y mitigación de riesgos: Las 6 causas principales de fallo
- 1. Agotamiento del pool DHCP
- 2. Fallo en la interceptación de DNS
- 3. Walled Garden incompleto
- 4. Bloqueo de redirección HSTS
- 5. VPN activa en el dispositivo cliente
- 6. Persistencia de la sesión interrumpida por la aleatorización de direcciones MAC
- Guía de implementación: construcción de una arquitectura resiliente
- Retorno de la inversión (ROI) e impacto empresarial
- Podcast de informe técnico
Resumen ejecutivo

Un invitado se conecta a su WiFi, pero la página de inicio de sesión no se carga. Ven un aviso de "Conectado, sin internet" y se rinden. Para los directores de operaciones de las instalaciones y los responsables de TI, este fallo representa una degradación directa de la experiencia del invitado, un aumento de los tickets de soporte y una oportunidad perdida para recopilar datos de primera mano, lo que justifica la inversión en infraestructura inalámbrica.
Esta guía explica exactamente cómo funciona la detección de Captive Portal a nivel de sistema operativo e identifica las seis causas principales responsables de la mayoría de los fallos de conexión. Proporciona un marco de resolución de problemas práctico y neutral con respecto al proveedor para resolver el agotamiento de DHCP, fallos de interceptación de DNS, walled gardens incompletos, redirecciones HSTS bloqueadas, conflictos de VPN activas y problemas de aleatorización de direcciones MAC.
Análisis técnico detallado: Cómo funciona realmente la detección de Captive Portal
Para resolver problemas en un portal cautivo, primero debe comprender qué hace realmente un Captive Portal a nivel de red. No es simplemente una página de inicio de sesión; es un mecanismo de interceptación de tráfico a nivel de red.
Cuando un dispositivo de invitado se une a un SSID de invitado, recibe una dirección IP a través de DHCP. El sistema operativo no espera a que el usuario abra un navegador. En su lugar, un servicio del sistema en segundo plano envía inmediatamente una solicitud HTTP GET no cifrada a una URL de sondeo controlada por el proveedor. Los dispositivos Apple consultan captive.apple.com. Los dispositivos Android consultan connectivitycheck.gstatic.com. Los dispositivos Windows consultan msftconnecttest.com. Firefox consulta detectportal.firefox.com.
Si la red tiene acceso abierto a internet, estos sondeos devuelven su respuesta HTTP 200 OK esperada y el sistema operativo decide que la conexión está activa. Sin embargo, en una red de invitados, la puerta de enlace inalámbrica o el controlador intercepta este sondeo HTTP antes de que pueda llegar a internet. En lugar de la respuesta esperada, la puerta de enlace devuelve un redireccionamiento temporal HTTP 307 que apunta a la página de bienvenida del Captive Portal. El sistema operativo detecta este redireccionamiento inesperado, comprende que está detrás de un Captive Portal y abre una ventana de navegador aislada (Captive Network Assistant) para mostrar la página de inicio de sesión.

Resolución de problemas y mitigación de riesgos: Las 6 causas principales de fallo
Cuando un Captive Portal no se carga, el problema casi siempre se debe a uno de los seis modos de fallo específicos.

1. Agotamiento del pool DHCP
Este es un asesino silencioso en eventos de alta densidad. Si organiza una conferencia con 2.000 asistentes y utiliza una subred /24 estándar, solo dispondrá de 254 direcciones IP utilizables. Si el tiempo de concesión de DHCP está configurado en las 24 horas predeterminadas, su pool se agotará a los pocos minutos de abrir las puertas. Cualquier intento de conexión posterior fallará incluso antes de que comience la secuencia del Captive Portal.
Solución: Configure los tiempos de concesión de DHCP para invitados entre 15 y 30 minutos en entornos de alta rotación. Dimensione sus subredes en función del pico de usuarios concurrentes, no solo de la asistencia media. Una subred /22 proporciona 1.022 direcciones utilizables, que es el tamaño mínimo recomendado para recintos corporativos.
2. Fallo en la interceptación de DNS
La redirección del Captive Portal depende de que la pasarela intercepte una sonda HTTP. Sin embargo, esa sonda requiere primero una búsqueda DNS. Si su configuración de DNS no permite que los clientes preautenticados resuelvan nombres de dominio externos, la sonda nunca se activará.
Solución: Asegúrese de que sus políticas de firewall permitan explícitamente las consultas DNS (puerto 53) de clientes no autenticados. Realice una captura de paquetes en un dispositivo de prueba para verificar que la interceptación de DNS funciona correctamente.
3. Walled Garden incompleto
El walled garden (lista de control de acceso previa a la autenticación) define a qué dominios externos pueden acceder los invitados no autenticados. Si la página de inicio de su portal carga recursos de una CDN que no está incluida en el walled garden, la página se mostrará en blanco. Si ofrece inicios de sesión sociales a través de Google, Apple o Microsoft Entra ID, todos y cada uno de los dominios OAuth utilizados por esos proveedores deben estar en la lista blanca. Los proveedores de identidad social actualizan periódicamente sus rangos de IP de CDN y dominios de autenticación; un walled garden que funcionaba perfectamente hace seis meses puede dejar de funcionar de la noche a la mañana.
Solución: Programe auditorías trimestrales del walled garden. Siempre que su hardware lo admita, utilice la detección de dominios con comodines (wildcard), disponible de forma nativa en Cisco Meraki, HPE Aruba, Ruckus y Juniper Mist. Purple mantiene y actualiza automáticamente estas entradas del walled garden como parte de nuestro servicio gestionado en la nube.
4. Bloqueo de redirección HSTS
HTTP Strict Transport Security (HSTS) es una política de seguridad del navegador que fuerza las conexiones a dominios específicos únicamente a través de HTTPS. Si el dispositivo de un invitado intenta comunicarse con un dominio precargado con HSTS y su pasarela intenta interceptar esa solicitud HTTPS para redirigirla al portal, el navegador detecta una discrepancia de certificados. Esto muestra una advertencia de seguridad inevitable y bloquea por completo la redirección. Solución: No intente nunca realizar una interceptación HTTPS para la redirección inicial. Asegúrese de que su puerta de enlace solo redireccione sondas canario HTTP no cifradas. La solución a largo plazo basada en estándares es la norma RFC 8910, que define la Opción DHCP 114. Esta opción permite que su servidor DHCP anuncie la URL del Captive Portal directamente al dispositivo cliente, evitando por completo la necesidad de realizar una redirección HTTP. iOS 14 y Android 11 y versiones superiores son compatibles con esta función de forma nativa.
5. VPN activa en el dispositivo cliente
Una VPN cifra todo el tráfico procedente del dispositivo y lo enruta a través de un túnel externo antes de que llegue a su puerta de enlace. Su puerta de enlace nunca detecta la sonda HTTP, por lo que la secuencia de detección del Captive Portal nunca se activa. Los invitados no ven la página de inicio de sesión ni tampoco tienen acceso a Internet.
Solución: El invitado debe desactivar la VPN, conectarse al portal y, a continuación, volver a activar la VPN. Para el personal de atención al público, preguntar si el invitado está utilizando una VPN debería ser el primer paso para la resolución de problemas.
6. Persistencia de la sesión interrumpida por la aleatorización de direcciones MAC
Los dispositivos modernos con iOS y Android utilizan direcciones MAC aleatorias por defecto como función de privacidad. Cada vez que un dispositivo se conecta a una red, puede presentar una dirección MAC diferente. Dado que el estado de la sesión del Captive Portal se rastrea mediante la dirección MAC, un invitado autenticado hace una hora puede volver a encontrarse con la página de inicio de sesión después de que cambie la MAC de su dispositivo.
Solución: La solución para los invitados es desactivar la Dirección privada para su SSID específico en los ajustes de red de su dispositivo. La solución por parte del operador es implementar una autenticación basada en perfiles, como Passpoint y OpenRoaming a través de 802.1X, que realiza la autenticación en la Capa 2 utilizando credenciales en lugar de direcciones MAC, lo que hace que la aleatorización sea irrelevante.
Guía de implementación: construcción de una arquitectura resiliente
Implementar un Captive Portal bien configurado requiere decisiones de arquitectura activas.
- Verifique su walled garden antes de cada evento importante. Las entradas mínimas requeridas son: el FQDN de su portal y todos los dominios CDN asociados, las URL de detección de Captive Portal para Apple, Google, Windows y Firefox, y los dominios OAuth para cada proveedor de inicio de sesión social que admita.
- Utilice un certificado TLS de confianza pública. Los certificados autofirmados generarán advertencias en el navegador de cada dispositivo. Renueve los certificados antes de que caduquen; un certificado caducado es una de las causas más comunes de fallos repentinos del portal en todo el recinto.
- Realice las pruebas desde un estado nuevo y sin autenticar. Probar el portal desde un dispositivo previamente autenticado omitirá el portal por completo porque la sesión sigue activa. Realice siempre las pruebas desde un dispositivo nuevo, o desde un dispositivo en el que haya olvidado la red y eliminado el perfil de WiFi.
- Ajuste los tiempos de espera de inactividad. Muchos controladores tienen un tiempo de espera de inactividad predeterminado de 5 minutos, lo que resulta muy agresivo para los dispositivos móviles que entran en modo de suspensión entre interacciones. Establezca el tiempo de espera de inactividad en al menos 30 minutos para entornos de hostelería y comercio minorista.
Retorno de la inversión (ROI) e impacto empresarial
Los Captive Portals son una tecnología madura, pero presentan algunas complejidades inherentes. El objetivo estratégico es avanzar hacia una autenticación fluida y segura.
OpenRoaming, basado en Passpoint y 802.1X, ayuda a los clientes que regresan a conectarse de forma automática y segura sin ver ninguna página de inicio de sesión. Bajo nuestro plan Connect, Purple actúa como un proveedor de identidad gratuito para OpenRoaming. Espacios comerciales como Premier Inn y Manchester Airports Group ya lo están utilizando para eliminar las molestias de la reautenticación para los visitantes recurrentes, manteniendo al mismo tiempo el cumplimiento total de GDPR y la recopilación de datos de primera mano. Al reducir los fallos de conexión, puede aumentar directamente el volumen de datos de primera mano recopilados, impulsando la fidelización de los clientes y la interacción personalizada.
Podcast de informe técnico
Escuche un desglose detallado de estos pasos de resolución de problemas de la mano de nuestro Senior Solutions Architect en nuestro informe técnico de 10 minutos.
Definiciones clave
Captive Portal
Un mecanismo de interceptación de tráfico a nivel de red que restringe el acceso a internet hasta que el usuario realiza una acción requerida, como aceptar las condiciones o introducir sus credenciales en una página de bienvenida.
El método principal para que los establecimientos empresariales aseguren el acceso de invitados y capturen datos de primera mano.
Walled Garden
Una lista de control de acceso previa a la autenticación que define a qué direcciones IP externas o dominios puede acceder un dispositivo de invitado no autenticado.
Crucial para permitir el acceso a los recursos del portal, CDN y proveedores de identidad OAuth antes de que el usuario esté totalmente autenticado.
Captive Network Assistant (CNA)
Una ventana de navegador aislada (sandbox) y con funcionalidad limitada que el sistema operativo abre automáticamente cuando detecta una redirección de Captive Portal.
Esta es la interfaz donde el invitado realmente ve e interactúa con su página de inicio de sesión.
HSTS (HTTP Strict Transport Security)
Un mecanismo de política de seguridad web que ayuda a proteger los sitios web contra ataques de intermediario (man-in-the-middle) al obligar a los navegadores a interactuar con ellos únicamente a través de conexiones seguras HTTPS.
HSTS impide que las pasarelas utilicen la interceptación HTTPS para redirigir a los usuarios a un Captive Portal, lo que provoca fallos de conexión si se configura de forma incorrecta.
Agotamiento del pool DHCP
Un estado en el que un servidor DHCP ha asignado todas las direcciones IP disponibles en su subred configurada, impidiendo que nuevos dispositivos se unan a la red.
Una causa común de los errores de "Conectado, sin internet" en entornos de alta densidad como estadios o conferencias.
Aleatorización de direcciones MAC
Una función de privacidad en los sistemas operativos móviles modernos que genera una dirección MAC aleatoria para cada red WiFi, evitando el seguimiento en diferentes ubicaciones.
Esta función rompe la persistencia de la sesión en los Captive Portal, obligando a los invitados a volver a autenticarse si su dirección MAC rota.
OpenRoaming
Una federación de redes WiFi que permite a los usuarios conectarse de forma automática y segura a las redes participantes sin introducir credenciales ni interactuar con un Captive Portal.
El sucesor estratégico de los Captive Portals para visitantes recurrentes, respaldado por Purple como proveedor de identidad gratuito.
RFC 8910 (DHCP Option 114)
Un estándar que permite a un servidor DHCP proporcionar directamente la URL del Captive Portal al dispositivo cliente durante la asignación de la dirección IP.
Esto evita por completo la necesidad de redirección HTTP, resolviendo los problemas causados por HSTS y mejorando la velocidad de detección del portal.
Ejemplos prácticos
Un hotel de 350 habitaciones en el centro de Londres utiliza una única subred /24 para el WiFi de invitados. Durante una gran conferencia, llegan 400 delegados simultáneamente. A los 20 minutos, los huéspedes informan de que están conectados pero no pueden acceder al portal ni a internet.
La solución inmediata es ampliar la subred a /22, proporcionando 1.022 direcciones útiles, y reducir el tiempo de concesión DHCP de 24 horas a 8 horas. La solución a largo plazo es implementar el Captive Portal gestionado en la nube de Purple, que supervisa la utilización del pool DHCP en tiempo real y alerta al equipo de red antes de que se agote.
Una importante cadena de tiendas con 200 establecimientos utiliza el inicio de sesión social a través de Google y Facebook en su portal de invitados. Después de que Google actualizara su infraestructura de OAuth, los invitados pueden acceder a la página del portal, pero los botones de inicio de sesión social muestran pantallas en blanco.
El equipo de TI debe identificar los nuevos dominios de autenticación utilizados por Google y añadirlos al Walled Garden (lista de control de acceso previa a la autenticación). Para evitar esto en el futuro, deben utilizar entradas de dominio con comodines (por ejemplo, *.google.com) en lugar de codificar direcciones IP específicas, y revisar el Walled Garden trimestralmente.
Preguntas de práctica
Q1. El director de TI de un estadio informa que, durante el descanso, miles de aficionados intentan conectarse al WiFi de invitados. El portal se carga para algunos, pero muchos informan de que sus dispositivos se quedan atascados en "Obteniendo dirección IP" o muestran "Conectado, sin Internet" antes de que aparezca el portal. ¿Cuál es el fallo de arquitectura más probable?
Sugerencia: Considere el volumen de conexiones simultáneas frente a los recursos disponibles en el segmento de red.
Ver respuesta modelo
La red está experimentando un agotamiento del pool DHCP. Es probable que el tamaño de la subred sea demasiado pequeño (por ejemplo, una /24) para el pico de carga de usuarios simultáneos, y que el tiempo de concesión (lease time) de DHCP sea demasiado alto. El enfoque recomendado es aumentar el tamaño de la subred (por ejemplo, a una /22 o /21) y reducir el tiempo de concesión de DHCP para que coincida con el tiempo de permanencia esperado (por ejemplo, 3 horas para un estadio).
Q2. Un invitado se conecta a la red WiFi de su tienda. Su dispositivo muestra una advertencia de seguridad que indica "Su conexión no es privada" al intentar cargar un sitio web popular, y el Captive Portal nunca aparece. ¿Qué mecanismo está provocando este bloqueo?
Sugerencia: Piense en cómo gestionan los navegadores modernos las redirecciones forzadas en conexiones seguras.
Ver respuesta modelo
HSTS (HTTP Strict Transport Security) está bloqueando la redirección. El invitado intentó navegar a un dominio precargado en HSTS (a través de HTTPS), y la pasarela inalámbrica intentó interceptar esa conexión segura para redirigirla al portal. El navegador detectó la discordancia del certificado y bloqueó la conexión. La pasarela debe configurarse para interceptar únicamente sondas HTTP no cifradas.
Q3. Recientemente ha habilitado las opciones de inicio de sesión social con Google y Microsoft Entra ID en su Captive Portal. Los invitados informan de que la página del portal se carga, pero al hacer clic en los botones de inicio de sesión se produce un tiempo de espera agotado. El portal funciona perfectamente cuando se prueba en la red de personal sin restricciones del departamento de TI. ¿Qué configuración falta?
Sugerencia: Considere el estado de red del dispositivo del invitado antes de que se complete la autenticación.
Ver respuesta modelo
El Walled Garden (lista de control de acceso previa a la autenticación) está incompleto. Los dominios de autenticación OAuth y las CDN utilizadas por Google y Microsoft Entra ID no se han incluido en la lista de permitidos. Dado que el invitado no está autenticado, la pasarela bloquea el acceso a estos dominios externos, lo que provoca que el proceso de inicio de sesión social agote el tiempo de espera. El equipo de TI debe añadir entradas con comodines para estos proveedores de identidad en el Walled Garden.
Continúe leyendo esta serie
Troubleshooting Captive Portal Redirects: Resolving Guest WiFi Connection Failures
Cuando los invitados se conectan a su WiFi pero no pueden acceder a internet, la causa casi siempre es un redireccionamiento del captive portal mal configurado, no un fallo de hardware. Esta guía proporciona una referencia técnica detallada para directores de TI, arquitectos de red y CTO para diagnosticar y resolver toda la cadena de fallos: desde sondas de conectividad a nivel de sistema operativo y conflictos de certificados HSTS hasta brechas de autorización RADIUS y agotamiento de DHCP. Relaciona cada modo de fallo con una solución concreta y muestra cómo la capa en la nube agnóstica al hardware de Purple elimina estos problemas en despliegues de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks y Fortinet.
Las 10 causas principales de los tiempos de espera de DHCP en redes WiFi de alta densidad
Esta guía técnica de referencia autorizada identifica las diez causas principales de los tiempos de espera de DHCP en redes WiFi de alta densidad y proporciona estrategias de remediación prácticas e independientes del fabricante. Diseñada para directores de TI, arquitectos de redes y directores de operaciones de recintos, abarca principios de ingeniería detallados, flujos de trabajo de implementación paso a paso y resultados empresariales medibles. Aprenda a eliminar los cuellos de botella de conexión y optimice su infraestructura WiFi para ofrecer una conectividad perfecta en entornos empresariales exigentes.
Uso de la captura de paquetes (PCAP) para diagnosticar el bajo rendimiento de la red WiFi
Esta guía de referencia técnica proporciona a los responsables de TI, arquitectos de red y directores de operaciones de recintos una metodología estructurada a nivel de paquetes para diagnosticar y resolver el bajo rendimiento de las redes WiFi empresariales mediante el análisis de captura de paquetes (PCAP). Al diseccionar las tramas 802.11 sin procesar —incluidas las tasas de retransmisión, la utilización del tiempo de aire y los metadatos de la capa física—, los equipos pueden aislar con precisión los cuellos de botella de la capa de RF de los problemas de la red cableada o de las aplicaciones. Aplicable en recintos de alta densidad, como hoteles, cadenas de tiendas, estadios y centros de conferencias, esta guía ofrece flujos de trabajo de diagnóstico prácticos, casos de estudio reales y pasos de corrección de configuración para recuperar la capacidad de la red y proteger la experiencia del cliente.