Saltar al contenido principal
Español

Diseño de redes WiFi para edificios de oficinas multi-inquilino

Esta guía proporciona a directores de TI, arquitectos de redes y CTO un plano neutral de proveedores para diseñar redes WiFi escalables, seguras y aisladas en edificios de oficinas multi-inquilino. Cubre la segmentación de VLAN bajo IEEE 802.1Q, la asignación dinámica de VLAN a través de 802.1X y RADIUS, la planificación de RF para entornos de alta densidad y consideraciones de conformidad con el GDPR y PCI DSS. Los operadores de recintos y gestores de edificios encontrarán orientación de arquitectura práctica, casos de estudio reales y errores de configuración que deben evitar antes del despliegue.

📖 9 min de lectura📝 2,022 palabras🔧 2 ejemplos prácticos4 preguntas de práctica📚 10 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
INFORME TÉCNICO DE PURPLE Diseño de redes WiFi para edificios de oficinas multi-inquilino Transcripción completa [SECCIÓN 1: INTRODUCCIÓN Y CONTEXTO - 1 MINUTO] Le damos la bienvenida al Informe Técnico de Purple. Soy arquitecto principal de soluciones en Purple y hoy nos vamos a adentrar en uno de los escenarios de despliegue más exigentes a nivel técnico en el ámbito de las redes empresariales: el diseño de redes WiFi para edificios de oficinas multi-inquilino. Tanto si es responsable de una torre comercial de categoría A con quince inquilinos independientes, como de un desarrollo de uso mixto que combina espacio comercial y de oficinas, o de un campus de coworking flexible, el reto es fundamentalmente el mismo. Debe ofrecer conectividad fiable, segura y aislada a múltiples organizaciones independientes sobre una única red física compartida. Y debe hacerlo de forma que cumpla los requisitos de conformidad normativa, reduzca al mínimo las incidencias de soporte y no requiera un ingeniero a tiempo completo para su mantenimiento. Entremos en detalle en la arquitectura técnica. [SECCIÓN 2: INMERSIÓN TÉCNICA - 5 MINUTOS] La base de cualquier diseño de WiFi multi-inquilino es la segmentación de red. El mecanismo principal para lograrlo es el etiquetado VLAN, estandarizado bajo IEEE 802.1Q. El concepto es sencillo: se asigna a cada inquilino, o a cada clase de tráfico, una LAN virtual distinta. El tráfico en la VLAN 10 no puede alcanzar el tráfico en la VLAN 20 a menos que se permita explícitamente mediante una política de firewall. Ese aislamiento lógico es su primera línea de defensa. Ahora bien, aquí es donde los arquitectos suelen cometer su primer error. Confunden la segmentación VLAN con la seguridad. Las VLAN proporcionan aislamiento, no seguridad. Sigue necesitando políticas de firewall entre las VLAN. Sigue necesitando listas de control de acceso. Y sigue necesitando pensar detenidamente qué enrutamiento inter-VLAN permite. Un puerto de enlace troncal mal configurado puede desmoronar todo su modelo de segmentación en cuestión de segundos. En un edificio de oficinas multi-inquilino, normalmente se dispone de una infraestructura física compartida: cableado, estructura de switches y puntos de acceso que dan servicio a múltiples inquilinos. Los puntos de acceso transmiten múltiples SSID, cada uno de ellos asignado a una VLAN diferente. El inquilino A se conecta a su SSID, su tráfico se etiqueta con la VLAN 10 en el punto de acceso, atraviesa la estructura de switches compartida en un puerto de enlace troncal y llega a la capa de distribución, donde se enruta a la subred aislada del inquilino A. El tráfico del inquilino B sigue la misma ruta física pero queda completamente aislado en la Capa 2. Históricamente, los ingenieros de redes segmentaban los entornos creando un SSID exclusivo para cada inquilino. Sin embargo, la proliferación de SSID es nefasta para el rendimiento. Cada SSID que se transmite debe enviar tramas de gestión, denominadas balizas (beacons), a la velocidad de datos obligatoria básica más baja. Si transmite seis o siete SSID en un punto de acceso, puede consumir fácilmente entre el veinte y el treinta por ciento de su tiempo de transmisión inalámbrica disponible solo en costes indirectos de gestión. Y eso antes de que se transmita un solo byte de datos reales de usuario. El estándar empresarial moderno es la asignación dinámica de VLAN. En lugar de múltiples SSIDs, se emite un único SSID seguro utilizando la autenticación IEEE 802.1X. Cuando un usuario se conecta, su dispositivo intercambia credenciales con un servidor RADIUS. El servidor RADIUS autentica al usuario y envía un mensaje Access-Accept de vuelta al punto de acceso. Lo crucial es que este mensaje incluye atributos específicos del estándar IETF: Tunnel-Type, Tunnel-Medium-Type y Tunnel-Private-Group-ID, que contiene el VLAN ID específico para la organización de ese usuario. El punto de acceso recibe estos atributos y redirige dinámicamente el tráfico de ese usuario directamente a su VLAN dedicada. Un ejecutivo corporativo y un dispositivo IoT pueden conectarse exactamente al mismo SSID, pero su tráfico está completamente aislado en la Capa 2. Para la autenticación, WPA3-Enterprise es ahora el estándar de cifrado recomendado. Proporciona un modo de seguridad de 192 bits y elimina las vulnerabilidades asociadas con el acuerdo de cuatro vías (four-way handshake) de WPA2. Los proveedores de identidad como Microsoft Entra ID, Okta o Google Workspace se integran con su infraestructura RADIUS para gestionar las credenciales de forma centralizada. Hablemos ahora de la planificación de radiofrecuencia (RF), porque aquí es donde los despliegues de oficinas multi-inquilino se vuelven realmente complejos. Cuando se tienen varios inquilinos en espacios adyacentes, se genera un entorno de RF de alta densidad. La interferencia de canal compartido es su enemigo. Necesita un ejercicio de planificación de RF adecuado antes del despliegue: un estudio activo del sitio (active site survey) que mapee la propagación de la señal, identifique las fuentes de interferencia y defina su estrategia de asignación de canales. La banda de 2.4 GHz ofrece tres canales que no se superponen en la mayoría de los dominios reguladores: los canales 1, 6 y 11. La banda de 5 GHz ofrece una capacidad significativamente mayor. WiFi 6E amplía esto a la banda de 6 GHz, lo que proporciona un espectro limpio y prácticamente libre de interferencias de dispositivos heredados. Para los nuevos despliegues multi-inquilino, la especificación de puntos de acceso compatibles con WiFi 6E de proveedores como Cisco Meraki, HPE Aruba, Ruckus o Juniper Mist es la decisión correcta. El margen de espectro adicional ofrece grandes ventajas en entornos densos. El IoT es la otra dimensión que no se puede ignorar. En un edificio multi-inquilino moderno, existen sistemas de gestión de edificios, controladores de climatización (HVAC), iluminación inteligente, control de accesos y CCTV. Estos deben estar en su propia VLAN aislada, completamente separados tanto del tráfico de los inquilinos como del tráfico de invitados. Los dispositivos IoT son notoriamente difíciles de parchear y representan una superficie de ataque significativa. Segméntelos, monitorícelos y aplique un filtrado de salida estricto. [SECCIÓN 3: RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES - 2 MINUTOS] Permítame compartir los tres errores más comunes que veo en los despliegues multi-inquilino. El primero es una configuración insuficiente de los puertos trunk. Los arquitectos diseñan un esquema VLAN excelente y luego olvidan permitir explícitamente las VLAN correspondientes en cada enlace trunk de la ruta. El tráfico se interrumpe de forma silenciosa, los inquilinos se quejan y el equipo de soporte pasa días rastreando el problema. Documente sus configuraciones trunk meticulosamente y valídelas durante la puesta en servicio. El segundo error es la proliferación de SSID. Mantenga el número de SSID en no más de cuatro por radio. Utilice la asignación dinámica de VLAN mediante atributos RADIUS en lugar de usar SSID independientes para dar servicio a varios inquilinos. El tercer error es descuidar el plano de gestión. Su VLAN de gestión, aquella en la que se comunican sus puntos de acceso, switches y controladores, debe estar completamente aislada de todas las VLAN de inquilinos y de invitados. Si un inquilino puede acceder a su plano de gestión, tiene una vulnerabilidad de seguridad crítica. También añadiría un cuarto: descuidar la gestión del tiempo de concesión de DHCP en las VLAN de invitados. En entornos de alta rotación, los dispositivos conservan las concesiones tras desconectarse. Establezca los tiempos de concesión de la VLAN de invitados entre una y dos horas para evitar el agotamiento de las direcciones IP. [SECTION 4: RAPID-FIRE Q AND A - 1 MINUTE] Permítame responder rápidamente a algunas preguntas que surgen constantemente en estos despliegues. ¿Se necesitan puntos de acceso físicos independientes por inquilino? No. Esa es precisamente la razón de ser de la multi-tenancy basada en VLAN. Varios inquilinos comparten el mismo punto de acceso, y el aislamiento del tráfico se aplica en la capa de red. ¿Cómo se gestionan los dispositivos IoT heredados que no son compatibles con 802.1X? Utilice MAC Authentication Bypass combinado con WPA3-SAE. El servidor RADIUS identifica el dispositivo por su dirección MAC y lo asigna a una VLAN de IoT aislada. Aplique reglas de firewall estrictas a este segmento. ¿Afecta la asignación dinámica de VLAN al roaming? No si se configura correctamente. Habilite 802.11r para Fast BSS Transition y Opportunistic Key Caching. El estado de autenticación se almacena en caché en todos los puntos de acceso y los usuarios realizan el roaming de forma fluida sin retrasos por reautenticación. [SECTION 5: SUMMARY AND NEXT STEPS - 1 MINUTE] En resumen: una arquitectura WiFi multi-tenant bien diseñada para un edificio de oficinas se sustenta sobre cuatro pilares. En primer lugar, una segmentación rigurosa de las VLAN con políticas de firewall aplicadas de forma estricta entre segmentos. En segundo lugar, una gestión centralizada basada en controladores que proporcione visibilidad operativa y control de políticas a escala. En tercer lugar, una planificación de RF adecuada que tenga en cuenta el entorno físico y la densidad del despliegue. Y en cuarto lugar, un modelo de seguridad que aborde los requisitos de autenticación, cifrado, aislamiento de IoT y cumplimiento normativo desde el primer día. Las organizaciones que lo hacen bien obtienen resultados medibles: menor sobrecarga de soporte, incorporación más rápida de los inquilinos, una postura de cumplimiento demostrable para las auditorías y la capacidad de monetizar la conectividad como servicio en lugar de tratarla como un centro de costes. Si estás planificando un despliegue multi-inquilino y deseas explorar cómo la plataforma de Purple puede proporcionar analíticas, gestión de Guest WiFi y una capa de informes a nivel de inquilino sobre tu infraestructura de red, visita purple dot ai. Los recursos enlazados en la guía son un buen punto de partida. Gracias por escucharnos. Hasta la próxima.

header_image.png

Resumen ejecutivo

Para los CTO y arquitectos de red que gestionan edificios de oficinas multi-tenant, el reto está claro: ofrecer una conectividad fiable, segura y aislada a múltiples organizaciones independientes a través de una única red física compartida. Una arquitectura de red plana en un entorno multi-tenant es un riesgo crítico. Amplía el alcance de cumplimiento bajo GDPR y PCI DSS, expone a los inquilinos a amenazas de seguridad laterales y crea una carga operativa que escala de forma deficiente con el número de inquilinos.

Esta guía proporciona un modelo neutral respecto al proveedor para diseñar una arquitectura de WiFi multi-tenant. Al implementar la segmentación VLAN IEEE 802.1Q, la asignación dinámica de VLAN mediante 802.1X y una rigurosa planificación de RF, puede eliminar la proliferación de SSID, reducir la sobrecarga de tiempo de aire hasta en 20 puntos porcentuales y garantizar un aislamiento estricto de Capa 2 entre los inquilinos. Detallamos los estándares técnicos, las consideraciones de hardware para diversos proveedores, incluidos Cisco Meraki, HPE Aruba, Ruckus y Juniper Mist, y las políticas de enrutamiento necesarias para proteger su infraestructura. Realizada correctamente, esta arquitectura reduce los costes de soporte, simplifica las auditorías de cumplimiento y le permite monetizar la conectividad como un servicio.

Análisis técnico profundo

Los inconvenientes de las redes planas

Una red plana coloca todos los dispositivos, independientemente del inquilino, el tipo de tráfico o la clasificación de seguridad, en un único dominio de difusión. Cada dispositivo recibe cada paquete de difusión. Un dispositivo de invitado comprometido puede escanear y llegar a terminales de punto de venta, sistemas de gestión del edificio y estaciones de trabajo corporativas. Toda su red entra en el alcance de PCI DSS. Este no es un riesgo teórico. Es el estado predeterminado de muchos edificios multi-tenant que se cablearon antes de que la densidad inalámbrica se convirtiera en un requisito de diseño.

La solución es la segmentación lógica. No necesita una infraestructura física independiente por inquilino. Necesita una arquitectura VLAN correctamente diseñada, un firewall configurado de forma adecuada y una plataforma de gestión centralizada.

IEEE 802.1Q y etiquetado VLAN

Las redes de área local virtuales, estandarizadas bajo IEEE 802.1Q, le permiten dividir una única estructura de switch físico en múltiples redes lógicas aisladas. Cuando un cliente se conecta a un punto de acceso Wi-Fi, el AP etiqueta las tramas de datos de ese cliente con un identificador de VLAN (VID) de 12 bits. Los switches leen esta etiqueta y garantizan que el tráfico de una VLAN nunca se reenvíe a los puertos de otra VLAN a menos que un firewall lo enrute explícitamente.

Un edificio de oficinas multi-tenant estándar requiere como mínimo cuatro VLAN:

VLAN Clase de tráfico Política de enrutamiento
VLAN 10 Inquilino corporativo A Solo Internet + recursos específicos del inquilino
VLAN 20 Inquilino corporativo B Solo Internet + recursos específicos del inquilino
VLAN 30 Guest WiFi (Captive Portal) Solo Internet, sin acceso a ninguna VLAN de inquilinos
VLAN 40 IoT y BMS Solo salida a plataformas de gestión designadas

Para edificios con más inquilinos, este modelo se puede ampliar. Cada inquilino adicional recibe una VLAN dedicada y una política de firewall correspondiente. La infraestructura física sigue siendo compartida.

vlan_architecture_diagram.png

Asignación dinámica de VLAN mediante 802.1X y RADIUS

Históricamente, los ingenieros de redes creaban un SSID independiente para cada inquilino. Este enfoque degrada el rendimiento. Cada SSID transmite tramas de gestión (beacons) a la tasa de datos obligatoria básica más baja para garantizar que los dispositivos heredados puedan conectarse. Transmitir seis o siete SSIDs en un único punto de acceso puede consumir entre el 20 % y el 30 % del tiempo de transmisión inalámbrica disponible antes de que se transmita cualquier dato de usuario. En un edificio multi-inquilino denso, esto resulta inaceptable.

El estándar moderno es la asignación dinámica de VLAN. Se transmite un único SSID seguro mediante autenticación IEEE 802.1X. Cuando un usuario se conecta, su dispositivo (el suplicante) intercambia credenciales con un servidor RADIUS a través del punto de acceso (el autenticador). El servidor RADIUS valida las credenciales con un proveedor de identidad (como Microsoft Entra ID, Okta o Google Workspace) y envía un mensaje Access-Accept de vuelta al punto de acceso. Este mensaje incluye tres atributos RADIUS estándar del IETF:

  • Tunnel-Type (atributo 64): establecido en VLAN
  • Tunnel-Medium-Type (atributo 65): establecido en 802
  • Tunnel-Private-Group-ID (atributo 81): el ID de VLAN específico para la organización de ese usuario

El punto de acceso recibe estos atributos y ubica dinámicamente el tráfico del usuario en su VLAN dedicada. Un empleado del inquilino A y un empleado del inquilino B se conectan al mismo SSID. Su tráfico queda completamente aislado en la Capa 2. El switch los gestiona como si estuvieran conectados a redes físicas totalmente independientes.

Para los segmentos de invitados, el tráfico se enruta a través de una VLAN de invitados dedicada a un Captive Portal. La plataforma Guest WiFi de Purple gestiona el consentimiento conforme al GDPR, el onboarding seguro y las WiFi Analytics en un segmento aislado sin acceso de enrutamiento a las redes corporativas. Para obtener una perspectiva más amplia sobre la arquitectura de control de acceso, consulte nuestra guía sobre sistemas de control de acceso a la red .

WPA3-Enterprise y estándares de cifrado

WPA3-Enterprise es el estándar de cifrado recomendado para implementaciones multi-inquilino. Proporciona un modo de seguridad de 192 bits, elimina las vulnerabilidades en el saludo de cuatro vías de WPA2 y obliga al uso de Tramas de Gestión Protegidas (PMF) bajo IEEE 802.11w. Para entornos que manejan datos de tarjetas de pago o información corporativa confidencial, WPA3-Enterprise con EAP-TLS (autenticación mutua basada en certificados) elimina por completo las vías de robo de credenciales.

Para los segmentos de invitados donde la implementación de certificados no es práctica, WPA3-SAE (Simultaneous Authentication of Equals) proporciona secreto perfecto hacia adelante, asegurando que una clave de sesión comprometida no exponga el tráfico histórico.

Planificación de RF en entornos de alta densidad

La interferencia de canal adyacente (CCI) es la causa principal del bajo rendimiento de WiFi en edificios de oficinas multi-inquilino. Cuando los puntos de acceso adyacentes transmiten en el mismo canal de frecuencia, los dispositivos deben esperar a que el tiempo de aire esté libre antes de transmitir. En un edificio con múltiples inquilinos y una alta densidad de dispositivos, la asignación de canales no planificada crea un entorno de RF congestionado que ninguna cantidad de ancho de banda puede solucionar.

Es obligatorio realizar un estudio de cobertura de RF activo in situ antes de la implementación. Los mapas de cobertura de los proveedores son optimistas. Necesita mediciones de señal reales en el espacio físico, teniendo en cuenta los materiales de las paredes, la construcción del suelo y el entorno de RF de los edificios vecinos.

rf_planning_heatmap.png

La banda de 2.4 GHz proporciona tres canales no superpuestos (1, 6 y 11) en la mayoría de los dominios regulatorios. La banda de 5 GHz ofrece una capacidad significativamente mayor. WiFi 6E se extiende a la banda de 6 GHz, proporcionando un espectro limpio y prácticamente libre de interferencias de dispositivos heredados. Para nuevas implementaciones multi-inquilino, especificar puntos de acceso compatibles con WiFi 6E de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist o Ubiquiti UniFi proporciona el margen de espectro necesario para entornos densos.

Aislamiento de IoT

Los edificios de oficinas modernos contienen sistemas de gestión de edificios, controladores de HVAC, iluminación inteligente, control de acceso y CCTV. Estos dispositivos son notoriamente difíciles de parchear y representan una superficie de ataque significativa. Deben estar aislados en una VLAN dedicada con un filtrado de salida estricto, permitiendo la comunicación saliente únicamente hacia sus plataformas de gestión designadas. Cero acceso de enrutamiento a cualquier VLAN de inquilinos. Cero acceso de enrutamiento a la VLAN de invitados. Esto no es negociable tanto desde la perspectiva de la seguridad como del GDPR.

Guía de implementación

Paso 1: Diseñe su arquitectura lógica antes de tocar el hardware. Mapee su número de inquilinos, clases de tráfico (corporativo, invitado, IoT, pago, gestión) y asigne las VLAN. Documente su esquema de direccionamiento IP. Defina su política de enrutamiento inter-VLAN: qué puede comunicarse con qué y qué está absolutamente prohibido.

Paso 2: Realice un estudio de cobertura de RF activo in situ. No confíe en los mapas de cobertura del fabricante. Necesita mediciones de señal reales en el espacio físico para definir la ubicación de los AP y la asignación de canales.

Paso 3: Configure su firewall principal con una política de denegación por defecto (Default-Deny). Bloquee todo el enrutamiento inter-VLAN de forma predeterminada. Añada únicamente excepciones explícitas y específicas por puerto. Cada ruta inter-VLAN debe estar justificada y documentada.

Paso 4: Desactive la VLAN 1 en todos los puertos troncales. Cambie la VLAN nativa en los puertos troncales a un ID de VLAN no utilizado y no enrutable. Esto evita los ataques de salto de VLAN (VLAN hopping) que explotan la VLAN nativa por defecto.

Paso 5: Valide las configuraciones de los puertos troncales. Permita explícitamente todos los ID de VLAN requeridos en cada enlace troncal en la ruta desde el punto de acceso hasta la capa de distribución. La falta de etiquetas VLAN provoca pérdidas silenciosas de tráfico que requieren mucho tiempo de diagnóstico.

Paso 6: Implemente una gestión en la nube centralizada. Las plataformas de Cisco Meraki, HPE Aruba, Juniper Mist y Ruckus proporcionan políticas de ancho de banda por SSID, informes por cliente e integración con su infraestructura RADIUS. La carga operativa de gestionar un parque de AP distribuidos sin un controlador es insostenible a gran escala.

Paso 7: Establezca los tiempos de concesión de DHCP por segmento. VLAN corporativas: de 8 a 24 horas. VLAN de WiFi de invitados: de 1 a 2 horas. Los tiempos de concesión cortos en los segmentos de invitados evitan el agotamiento de direcciones IP en entornos de alta rotación.

Paso 8: Aísle el plano de gestión. Su VLAN de gestión debe estar completamente aislada de todas las VLAN de clientes y de invitados. Aplique ACL estrictas al tráfico de gestión. Si un cliente puede alcanzar su plano de gestión, tiene una vulnerabilidad de seguridad crítica.

Buenas prácticas

La siguiente tabla resume los estándares de configuración clave para un despliegue de WiFi multi-inquilino que cumpla con las normativas.

Control Estándar Justificación
Segmentación de VLAN IEEE 802.1Q Aislamiento de capa 2 entre clientes
Autenticación IEEE 802.1X con WPA3-Enterprise Elimina los vectores de robo de credenciales
Asignación dinámica de VLAN RADIUS con atributos de túnel Reduce el número de SSID, optimiza el tiempo de uso del canal
Incorporación de invitados Captive Portal con consentimiento de GDPR Cumplimiento normativo y recopilación de datos
Aislamiento de IoT VLAN dedicada con ACL de salida Limita la superficie de ataque de dispositivos sin parchear
Planificación de RF Estudio de cobertura activo in situ Mitiga la interferencia de canal compartido
Roaming Transición rápida de BSS 802.11r Traspaso fluido entre AP
VLAN nativa ID de VLAN no enrutable y no utilizado Previene ataques de salto de VLAN

Para despliegues en el sector de la hostelería , el aislamiento de la VLAN de invitados es fundamental. Para entornos de comercio minorista , el aislamiento de los terminales de punto de venta en una VLAN dedicada reduce directamente el alcance de la auditoría PCI DSS. Para nodos de transporte y centros de salud , se aplican los mismos principios de segmentación, prestando especial atención al volumen de conexiones concurrentes y a la diversidad de tipos de dispositivos.

Para los establecimientos que estén considerando enlaces ascendentes WAN basados en satélite, la guía de Purple sobre cómo configurar un Captive Portal en Starlink cubre las consideraciones específicas para entornos remotos y marítimos.

Resolución de problemas y mitigación de riesgos

Caídas silenciosas de tráfico. El modo de fallo más común en despliegues multiinquilino. Causado por la falta de etiquetas VLAN en los puertos troncales. Un usuario se autentica con éxito a través de 802.1X, el servidor RADIUS lo asigna a la VLAN 40, pero la VLAN 40 no está permitida en el puerto troncal. El tráfico se cae. El usuario no recibe ninguna dirección IP. Documente minuciosamente las configuraciones troncales y valídelas durante la puesta en marcha.

Proliferación de SSID. Cada SSID que emite consume tiempo de transmisión para las tramas de baliza (beacon frames). En un entorno denso, emitir ocho o diez SSIDs por AP degrada el rendimiento para todos. Mantenga el recuento de SSID a no más de cuatro por radio. Utilice la asignación dinámica de VLAN mediante atributos RADIUS en lugar de SSIDs separados para dar servicio a múltiples inquilinos.

Exposición del plano de gestión. Si su VLAN de gestión no está aislada, un inquilino que obtenga acceso a ella puede modificar las configuraciones de los AP, interrumpir el servicio o interceptar el tráfico de gestión. Utilice la gestión fuera de banda (out-of-band) siempre que sea posible. Aplique ACL estrictas a todas las interfaces de gestión.

Proliferación de dispositivos IoT. Los operadores de edificios suelen añadir dispositivos IoT sin informar al equipo de red. Implemente políticas de control de acceso a la red (NAC) que requieran una autorización explícita antes de que cualquier dispositivo nuevo reciba una dirección IP en la VLAN de IoT.

Agotamiento de DHCP en VLANs de invitados. En entornos de alta rotación, los dispositivos mantienen las concesiones de DHCP después de desconectarse. Una subred /24 proporciona 254 direcciones. En un centro de conferencias o espacio de coworking concurrido, esto se agota rápidamente. Establezca tiempos de concesión de 1 a 2 horas y dimensione la subred de su VLAN de invitados para dar cabida a los picos de recuento de dispositivos simultáneos.

ROI e impacto empresarial

Una arquitectura WiFi multiinquilino correctamente segmentada ofrece resultados medibles en tres dimensiones.

Reducción de costes de cumplimiento. El aislamiento de los terminales de punto de venta (POS) y de pago en una VLAN dedicada con controles estrictos de cortafuegos reduce el alcance de la auditoría PCI DSS en aproximadamente un 70%, según los datos de despliegue propios de Purple. Esto reduce directamente los costes anuales de auditoría y el tiempo del equipo de TI necesario para la documentación de cumplimiento.

Eficiencia operativa. La gestión centralizada en la nube reduce el OpEx asociado a la gestión de un parque de AP distribuidos. El aprovisionamiento sin intervención (zero-touch), la aplicación de políticas globales y los informes por inquilino eliminan la necesidad de realizar cambios de configuración in situ. La incorporación de nuevos inquilinos se reduce de días a horas.

Generación de ingresos. Una red segura y de alto rendimiento permite a los operadores de edificios monetizar la conectividad como servicio. Los paquetes de ancho de banda por niveles, los SLA por inquilino y la información basada en analíticas transforman el WiFi de un centro de costes a una línea de ingresos. Purple opera en más de 80.000 espacios activos y ha procesado 440 millones de inicios de sesión en 2024 (datos internos de Purple, 2024), proporcionando la infraestructura analítica para respaldar este modelo a escala.

Para obtener más información sobre cómo la conectividad WiFi apoya los objetivos más amplios de inclusión digital, consulte nuestro artículo sobre el World WiFi Day 2026 . Para obtener una guía introductoria sobre las consideraciones de arquitectura WAN relevantes para despliegues multisitio, consulte nuestra guía de definición de ordenador WAN .

Definiciones clave

IEEE 802.1Q

El estándar de red que define el etiquetado de VLAN para tramas Ethernet. Añade una etiqueta de 4 bytes a cada trama que contiene un identificador de VLAN (VID) de 12 bits, lo que permite a los switches mantener múltiples dominios de difusión aislados sobre una infraestructura física compartida.

El protocolo fundamental para la segmentación de redes multi-tenant. Todos los switches empresariales y puntos de acceso son compatibles con 802.1Q. Sin él, el aislamiento lógico entre inquilinos es imposible.

Dynamic VLAN Assignment

Un método mediante el cual un servidor RADIUS asigna una VLAN específica a un usuario o dispositivo tras una autenticación de 802.1X exitosa, utilizando atributos RADIUS IETF (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) para indicar al punto de acceso en qué VLAN debe colocar al usuario.

El enfoque estándar para dar servicio a múltiples inquilinos desde un único SSID. Elimina la proliferación de SSID y preserva el tiempo de aire inalámbrico, manteniendo un aislamiento completo de Capa 2 entre inquilinos.

IEEE 802.1X

El estándar IEEE para el control de acceso a redes basado en puertos (PNAC). Define un modelo de autenticación de tres partes: el suplicante (dispositivo cliente), el autenticador (punto de acceso o switch) y el servidor de autenticación (RADIUS). El autenticador bloquea todo el tráfico hasta que el suplicante se autentica.

El marco de autenticación utilizado para aplicar Dynamic VLAN Assignment. Obligatorio para despliegues WPA3-Enterprise. Se integra con proveedores de identidad como Microsoft Entra ID, Okta y Google Workspace.

RADIUS

Remote Authentication Dial-In User Service. Un protocolo de red que proporciona una gestión centralizada de Autenticación, Autorización y Contabilidad (AAA). En despliegues de WiFi, el servidor RADIUS valida las credenciales del usuario y devuelve los atributos de asignación de VLAN al punto de acceso.

La infraestructura de servidores que aplica Dynamic VLAN Assignment. Puede desplegarse de forma local o como un servicio en la nube. Se integra con proveedores de identidad a través de LDAP, SAML o SCIM.

Co-channel interference (CCI)

Interferencia causada cuando dos o más puntos de acceso transmiten en el mismo canal de frecuencia dentro del alcance mutuo. Los dispositivos deben esperar a que el tiempo de aire esté libre antes de transmitir, lo que reduce el rendimiento efectivo para todos los usuarios de ese canal.

La causa principal del bajo rendimiento de la red WiFi en edificios densos con múltiples inquilinos. Se mitiga mediante estudios activos de RF in situ y una asignación cuidadosa de canales en las bandas de 2.4 GHz, 5 GHz y 6 GHz.

Native VLAN

La VLAN en un puerto troncal 802.1Q que transporta tráfico sin etiquetar. Por defecto, la mayoría de los switches utilizan la VLAN 1 como VLAN nativa, lo que crea un vector de ataque muy conocido para el salto de VLAN.

Un riesgo de seguridad que debe abordarse en cada despliegue multi-tenant. Cambie la VLAN nativa en todos los puertos troncales a un ID de VLAN no utilizado y no enrutable para evitar ataques de salto de VLAN (VLAN hopping).

Captive Portal

Una página web con la que un usuario debe interactuar antes de que se le conceda acceso a la red. En despliegues WiFi, el usuario se conecta a un SSID abierto o WPA2-Personal, es redirigido a una página de inicio para su autenticación o aceptación de términos, y luego se le concede acceso exclusivo a internet en una VLAN aislada.

El mecanismo de incorporación estándar para los segmentos de WiFi de invitados. Permite la recopilación de consentimiento de conformidad con la GDPR, la verificación de identidad y la analítica. Debe desplegarse en una VLAN con acceso de enrutamiento cero a las redes corporativas o de inquilinos.

WPA3-Enterprise

El último protocolo de seguridad WiFi para redes empresariales, estandarizado por la Wi-Fi Alliance. Proporciona una fuerza criptográfica de 192 bits (suite CNSA), requiere autenticación 802.1X, exige marcos de gestión protegidos (PMF) bajo IEEE 802.11w y elimina las vulnerabilidades en el acuerdo de cuatro vías (four-way handshake) de WPA2.

El estándar de cifrado recomendado para segmentos WiFi corporativos multi-tenant. Obligatorio para entornos que manejan datos de tarjetas de pago o información corporativa confidencial. Soportado por los principales proveedores de AP empresariales.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Un método de autenticación 802.1X basado en certificados que requiere que tanto el cliente como el servidor RADIUS presenten certificados digitales X.509, proporcionando autenticación mutua y eliminando el robo de credenciales basado en contraseñas.

El método de autenticación 802.1X más seguro. Se utiliza en entornos multi-tenant de alta seguridad donde el robo de credenciales es una preocupación primordial. Requiere una infraestructura de clave pública (PKI) para emitir y gestionar certificados de cliente.

MAC Authentication Bypass (MAB)

Un método de autenticación de respaldo que utiliza la dirección MAC de un dispositivo como su identidad cuando el dispositivo no es compatible con 802.1X. El servidor RADIUS busca la dirección MAC y asigna el dispositivo a una VLAN predefinida.

Utilizado para dispositivos IoT, impresoras y otros equipos que no pueden realizar la autenticación 802.1X. Dado que las direcciones MAC se pueden falsificar, MAB siempre debe combinarse con reglas de firewall estrictas en la VLAN asignada.

Ejemplos prácticos

Un grupo hotelero con 12 propiedades y 350 habitaciones necesita asegurar su red. Actualmente, los smartphones de los huéspedes, los portátiles del personal, los terminales POS y los sistemas de gestión del edificio comparten una única red plana. El equipo de TI dedica 40 horas al mes a la documentación de conformidad con PCI DSS porque toda la red está incluida en el alcance. El CTO desea reducir los costes de conformidad y mejorar la seguridad antes de la próxima auditoría.

Desplegar una arquitectura de cuatro VLAN utilizando IEEE 802.1Q en las 12 propiedades a través de una plataforma de gestión en la nube centralizada. Asigne las VLAN de la siguiente manera: VLAN 10 para Staff Corporate (autenticación 802.1X, enrutada a recursos internos e internet), VLAN 20 para Guest WiFi (Captive Portal, solo internet), VLAN 30 para terminales POS (autenticación 802.1X, enrutada únicamente a los puntos de conexión del procesador de pagos) y VLAN 40 para IoT y BMS (MAC Authentication Bypass, salida únicamente a la plataforma de gestión de BMS). Configure una política de cortafuegos de denegación predeterminada (Default-Deny) entre todas las VLAN. Integre la plataforma Guest WiFi de Purple en la VLAN 20 para la gestión de consentimientos y analíticas de conformidad con el GDPR. Valide las configuraciones de los puertos troncales en cada conmutador del trayecto durante la puesta en marcha.

Comentario del examinador: Este enfoque reduce el alcance de la auditoría de PCI DSS en aproximadamente un 70% al aislar el segmento POS. La estricta política del cortafuegos impide el movimiento lateral desde un dispositivo de huésped comprometido hacia la infraestructura de pagos. El equipo de TI recupera las 40 horas mensuales que antes dedicaba a la documentación de conformidad. La plataforma de gestión en la nube centralizada permite aplicar políticas de forma coherente en las 12 propiedades sin necesidad de realizar visitas presenciales.

Un operador de coworking gestiona un edificio de oficinas de 15 plantas con 40 empresas miembro independientes. Cada empresa necesita su propia red WiFi aislada. La arquitectura actual emite un SSID independiente por empresa, lo que resulta en 40 SSID por planta. El rendimiento de la red WiFi es deficiente en todo el edificio a pesar de disponer de un enlace ascendente de fibra de 10 Gbps. El equipo de red desea resolver los problemas de rendimiento sin sustituir el hardware.

Consolidar en un único SSID seguro utilizando WPA3-Enterprise y autenticación IEEE 802.1X. Desplegar un servidor RADIUS integrado con el proveedor de identidades del edificio (Microsoft Entra ID u Okta). Configurar el servidor RADIUS para que devuelva los atributos de asignación dinámica de VLAN (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) para cada usuario autenticado, ubicándolo en la VLAN dedicada de su empresa. Mantener un SSID de Guest WiFi independiente con un Captive Portal para el acceso de visitantes. Esto reduce el número de SSID de 40 a dos por radio. Realizar un estudio de cobertura RF activo para validar la asignación de canales y la ubicación de los puntos de acceso tras la consolidación de los SSID.

Comentario del examinador: Reducir el número de SSID de 40 a dos por radio elimina la sobrecarga de gestión de beacons que consumía entre el 20% y el 30% del tiempo de transmisión disponible. El rendimiento medio de los clientes aumenta significativamente. El enfoque de asignación dinámica de VLAN mantiene un aislamiento completo de Capa 2 entre las 40 empresas miembro sin necesidad de realizar cambios en la infraestructura física. El estudio de cobertura RF garantiza que la asignación de canales se optimice tras el cambio de configuración.

Preguntas de práctica

Q1. Está desplegando WiFi para un nuevo edificio de uso mixto con 20 inquilinos comerciales independientes en la planta baja y 10 inquilinos de oficinas en las plantas 1 a 5. El propietario del edificio quiere que cada inquilino tenga su propia red WiFi segura, además de una red Guest WiFi compartida para los visitantes. ¿Cuál es el enfoque arquitectónico más eficiente y cuál es el número máximo de SSID que debería transmitir por punto de acceso?

Sugerencia: Considere el impacto que tiene transmitir 30 SSID independientes en el tiempo de transmisión inalámbrico. Piense en cómo la asignación dinámica de VLAN puede dar servicio a múltiples inquilinos desde un único SSID.

Ver respuesta modelo

Despliegue un único SSID seguro utilizando WPA3-Enterprise y autenticación IEEE 802.1X para todos los inquilinos corporativos. Utilice un servidor RADIUS integrado con el proveedor de identidad del edificio para realizar la asignación dinámica de VLAN, colocando los dispositivos de cada inquilino en su propia VLAN aislada tras la autenticación. Despliegue un segundo SSID para Guest WiFi con un Captive Portal. Esto da como resultado dos SSID por radio, muy por debajo del máximo de cuatro SSID. Cada uno de los 30 inquilinos recibe una VLAN dedicada con una política de firewall de denegación predeterminada (Default-Deny) correspondiente. La VLAN de Guest WiFi tiene acceso de enrutamiento cero a cualquier VLAN de inquilino.

Q2. Durante una auditoría posterior al despliegue de un edificio de oficinas multiinquilino, descubre que el tráfico de la VLAN de Guest WiFi (VLAN 30) puede realizar pings correctamente a los dispositivos de la VLAN de IoT (VLAN 40). Ambas están en VLAN separadas. ¿Cuál es la causa más probable y cuál es el paso de remediación inmediato?

Sugerencia: Las VLAN separan los dominios de transmisión en la Capa 2. ¿Qué gestiona el enrutamiento de tráfico entre diferentes subredes en la Capa 3?

Ver respuesta modelo

El router principal o el firewall carecen de una política de enrutamiento inter-VLAN de denegación predeterminada (Default-Deny). Por defecto, los routers pasan el tráfico entre todas las subredes conectadas. La remediación inmediata es configurar una regla de denegación explícita en el firewall que bloquee todo el tráfico desde la VLAN 30 hacia la VLAN 40. Audite todas las demás políticas de enrutamiento inter-VLAN al mismo tiempo para confirmar que no existen otras rutas no deseadas. La solución a largo plazo es implementar una política Default-Deny en todas las VLAN, permitiendo únicamente excepciones explícitas y documentadas.

Q3. Un inquilino en un edificio de oficinas multiinquilino informa de que sus dispositivos pueden autenticarse en la red WiFi con éxito, pero nunca reciben una dirección IP y no pueden acceder a internet. Otros inquilinos en los mismos puntos de acceso funcionan con normalidad. Los registros del servidor RADIUS muestran una autenticación correcta y una asignación de VLAN 50 para el inquilino afectado. ¿Cuál es la primera configuración que debería comprobar?

Sugerencia: Piense en la ruta física que toma el tráfico etiquetado con VLAN desde el punto de acceso hasta el switch principal. ¿Qué debe estar configurado en esa ruta para que pase el tráfico de la VLAN 50?

Ver respuesta modelo

Compruebe la configuración del puerto trunk 802.1Q en el puerto del switch conectado al punto de acceso. Verifique que la VLAN 50 esté listada explícitamente como una VLAN permitida en el trunk. Si la VLAN 50 no está permitida en el trunk, el switch descarta todas las tramas etiquetadas con la VLAN 50 y el cliente nunca recibe una respuesta DHCP. Añada la VLAN 50 a la lista de VLAN permitidas del trunk y verifique que el cliente reciba una dirección IP. Confirme también que existe un direccionamiento DHCP para la subred de la VLAN 50.

Q4. El operador de un edificio quiere añadir 50 nuevos sensores de IoT para monitorizar el consumo de energía en un edificio de oficinas multiinquilino. Los sensores no admiten la autenticación 802.1X. ¿Cómo debería incorporar estos dispositivos de forma segura y qué política de firewall debería aplicarse a su VLAN?

Sugerencia: Considere el método de autenticación disponible para los dispositivos que no pueden realizar 802.1X, y las implicaciones de seguridad de dicho método.

Ver respuesta modelo

Utilice MAC Authentication Bypass (MAB) para incorporar los sensores de IoT. Registre la dirección MAC de cada sensor en el servidor RADIUS y configure el servidor para asignar las direcciones MAC autenticadas a la VLAN de IoT dedicada (por ejemplo, la VLAN 40). Debido a que las direcciones MAC se pueden suplantar, aplique reglas estrictas de firewall de salida a la VLAN 40: permita el tráfico saliente solo hacia las direcciones IP de la plataforma de gestión de energía designada, y bloquee todo el demás tráfico saliente y todo el tráfico entrante. Aplique ACL estrictas para evitar que cualquier dispositivo en la VLAN 40 inicie conexiones hacia cualquier VLAN de inquilino o hacia la VLAN de gestión.

Continúe leyendo esta serie

Mean time to innocence: cómo demostrar que no es el WiFi

El Mean time to innocence (MTTI) es la métrica fundamental que define cuánto tiempo dedican los equipos de TI a demostrar que un problema de red no es culpa suya. Esta guía detalla una metodología de observabilidad en cinco pasos para acabar con el juego de las acusaciones en entornos multi-tenant, sustituyendo los reproches por pruebas compartidas para reducir el tiempo medio de resolución (MTTR).

Leer la guía →

Requisitos legales y de cumplimiento para la infraestructura de WiFi compartido

Esta guía de referencia técnica autorizada describe los requisitos legales, normativos y de arquitectura críticos para implementar y gestionar infraestructuras de WiFi compartido. Proporciona a los responsables de TI, arquitectos de red y operadores de recintos marcos de trabajo prácticos para garantizar una sólida protección de datos, un estricto cumplimiento de la seguridad de los pagos y un aislamiento de inquilinos de alto rendimiento utilizando estándares empresariales.

Leer la guía →

Gestión de ancho de banda y calidad de servicio (QoS) en espacios de co-working

Una guía de referencia técnica autorizada para responsables de TI, arquitectos de red y directores de operaciones de instalaciones sobre la implementación de marcos sólidos de gestión de ancho de banda y calidad de servicio (QoS) en entornos de co-working. Esta guía detalla la segmentación de red, la priorización del tráfico, las configuraciones independientes del proveedor y las métricas de ROI del mundo real para ofrecer una conectividad de nivel empresarial. Cubre los estándares IEEE 802.11e/WMM, el diseño de VLAN, la limitación de velocidad por usuario y las estrategias de resolución de problemas con resultados comerciales medibles.

Leer la guía →