El futuro de la seguridad Wi-Fi: NAC impulsado por IA y detección de amenazas

Esta guía autorizada analiza la evolución de la seguridad Wi-Fi empresarial, desde el legado de WPA2 hasta el Control de Acceso a la Red (NAC) impulsado por IA y la detección de amenazas. Diseñada para líderes de TI, ofrece estrategias de implementación prácticas para proteger entornos de alta densidad como comercios, hostelería y estadios utilizando las redes basadas en la identidad de Purple.

📖 5 min de lectura📝 1,054 palabras🔧 2 ejemplos prácticos❓ 3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast

Presentador: Hola y bienvenidos. Hoy nos adentramos en un tema crítico para cualquier líder de TI que gestione entornos de alta densidad: el futuro de la seguridad Wi-Fi, centrándonos específicamente en el Control de Acceso a la Red (NAC) impulsado por IA y la detección avanzada de amenazas. Me dirijo a directores de TI, arquitectos de red, CTO y directores de operaciones; las personas que realmente tienen que mantener seguros los estadios, las cadenas de retail y los establecimientos de hostelería, al tiempo que ofrecen una experiencia de usuario fluida. 

Empecemos por el contexto. Si todavía depende de la autenticación heredada —me refiero a WPA2 Personal, claves precompartidas estáticas o contraseñas compartidas—, su red está fundamentalmente expuesta. En un entorno empresarial en expansión, una PSK compartida significa que un dispositivo es solo una dirección MAC. No existe un vínculo criptográfico con una identidad de usuario real. Una vez que un atacante compromete esa clave compartida, tiene un punto de apoyo. Consigue acceso al dominio de difusión y, a partir de ahí, el movimiento lateral es trivial. Además, gestionar listas de permitidos de MAC o rotar claves compartidas en cientos de ubicaciones es una pesadilla operativa. Sencillamente, es insostenible.

El futuro se basa en la identidad y en la IA. Estamos pasando de defensas estáticas basadas en el perímetro a un acceso a la red de confianza cero (Zero Trust Network Access) en el extremo. 

Entremos de lleno en los detalles técnicos. ¿Cómo es realmente una arquitectura NAC moderna e impulsada por IA? 

En la base, se encuentran 802.1X y WPA3-Enterprise. Este es el pilar fundamental. En lugar de una contraseña compartida, los dispositivos utilizan EAP —el Protocolo de Autenticación Extensible— para validar las credenciales contra un servidor RADIUS o un proveedor de identidad antes de que se les conceda cualquier acceso a la red. 

Una vez autenticados, se produce la magia del direccionamiento dinámico de VLAN (Dynamic VLAN Steering). El servidor RADIUS no se limita a decir "sí" o "no". Devuelve atributos específicos. El punto de acceso o switch lee estos atributos y coloca dinámicamente el dispositivo en el segmento de red correcto. El personal va a la VLAN de personal. Los invitados van a la VLAN de invitados. Los dispositivos IoT van a una VLAN de IoT restringida. Puede transmitir un único SSID, pero segmentar el tráfico de forma segura en el backend.

Pero la autenticación es solo el primer paso. Aquí es donde entran en juego la IA y el aprendizaje automático. Un motor NAC impulsado por IA realiza un análisis continuo del comportamiento de referencia. Aprende cómo es el comportamiento "normal" para los diferentes tipos de dispositivos. Por ejemplo, un termostato inteligente solo debería comunicarse con su controlador en la nube específico. Si ese termostato inicia de repente una conexión SSH a un terminal de punto de venta, el motor de IA detecta esa anomalía en milisegundos. No espera a una auditoría manual; activa una respuesta de política automatizada, poniendo en cuarentena el dispositivo o finalizando la sesión de inmediato.

Ahora bien, ¿cómo se implementa esto realmente? Se necesita un enfoque por fases para evitar interrumpir el negocio.

La fase uno es la auditoría y segmentación de la red. Debe mapear sus SSID y diseñar un esquema de VLAN sólido. Asegúrese de que su hardware sea compatible con 802.1X y con la autorización de cambio de RADIUS (RADIUS Change of Authorization).La fase dos es Identidad y Autenticación. Deje atrás las contraseñas compartidas. Despliegue una infraestructura RADIUS nativa de la nube. Purple, por ejemplo, ofrece RADIUS-as-a-Service, lo que elimina la necesidad de servidores locales. Intégrelo con su IdP corporativo, como Microsoft Entra ID, utilizando EAP-TLS para el personal. Para los visitantes, implemente un Captive Portal seguro y conforme a la normativa.

La fase tres es la configuración del motor de políticas AI-NAC. Defina sus reglas dinámicas de direccionamiento de VLAN y habilite el análisis de tráfico mediante aprendizaje automático. Configure sus políticas de cuarentena automatizadas.

La fase cuatro es la Monitorización Continua y el Cumplimiento. Reenvíe su telemetría a un SIEM y automatice sus informes para estándares como PCI DSS y GDPR.

Hablemos de recomendaciones de implementación y errores comunes. 

En primer lugar, para los dispositivos corporativos, imponga EAP-TLS. La autenticación basada en certificados es el estándar de oro porque elimina por completo el robo de contraseñas. 

En segundo lugar, microsegmente sus dispositivos IoT. No se limite a agruparlos todos en una única VLAN de "IoT". Segméntelos por función para limitar el radio de impacto.

Ahora, un error importante: los falsos positivos. Cuando active la detección de anomalías por IA, no habilite inmediatamente la aplicación automatizada de medidas. Los modelos excesivamente agresivos pondrán en cuarentena dispositivos legítimos y provocarán tiempos de inactividad. Ejecute siempre el motor de IA en modo de "solo monitorización" durante los primeros 14 a 30 días para establecer una línea de base precisa.

Otro error común son los dispositivos heredados. ¿Qué ocurre con los escáneres de códigos de barras o las televisiones inteligentes que no son compatibles con 802.1X? Utilice Identity PSK, o iPSK. Esto asigna frases de contraseña únicas a direcciones MAC específicas, lo que le permite dirigirlos de forma segura a VLAN restringidas sin necesidad de una autenticación empresarial completa.

Hagamos una sesión rápida de preguntas y respuestas.

Pregunta: ¿Necesito reemplazar todos mis puntos de acceso para desplegar un NAC impulsado por IA?
Respuesta: Por lo general, no. Si sus puntos de acceso actuales son compatibles con 802.1X, RADIUS CoA y WPA3, puede implementar un NAC basado en la nube y análisis de IA como una capa superpuesta.

Pregunta: ¿Cómo encaja el Wi-Fi de invitados en esta arquitectura segura?
Respuesta: El Wi-Fi de invitados debe estar fuertemente segmentado. Utilice una plataforma como Purple para gestionar el Captive Portal, la verificación de identidad y el consentimiento de GDPR. El motor NAC se asegura de que los invitados autenticados se ubiquen en una VLAN aislada que solo enruta hacia internet, manteniendo sus entornos corporativos y de PCI completamente fuera de alcance.

En resumen: la seguridad Wi-Fi heredada ha muerto. El futuro exige una autenticación basada en la identidad a través de 802.1X, segmentación automatizada mediante direccionamiento dinámico de VLAN y detección continua de amenazas impulsada por IA. 

Al adoptar esta arquitectura, no solo reduce el riesgo. Reduce los gastos operativos de TI al automatizar la incorporación de usuarios. Simplifica las auditorías de cumplimiento. Y, al integrarse con plataformas como Purple, puede recopilar de forma segura información valiosa sobre los clientes para impulsar el negocio. 

¿Su siguiente paso? Auditar su segmentación de VLAN actual y evaluar su infraestructura RADIUS. Es hora de dar el paso hacia el extremo de la red. Gracias por su atención.

Conclusiones clave

✓Las contraseñas compartidas heredadas (WPA2-Personal) son insuficientes para la seguridad empresarial; el acceso basado en la identidad es el nuevo estándar.
✓802.1X y WPA3-Enterprise proporcionan la base criptográfica para un acceso a la red seguro y autenticado.
✓La asignación dinámica de VLAN automatiza la segmentación de la red, colocando los dispositivos en las zonas de seguridad adecuadas en función de su identidad.
✓El NAC impulsado por IA utiliza el aprendizaje automático para establecer líneas base de comportamiento y detectar anomalías en tiempo real.
✓Identity PSK (iPSK) cubre la brecha para los dispositivos IoT heredados que no admiten la autenticación basada en certificados.
✓Despliegue siempre la detección de amenazas por IA en modo de "solo monitorización" inicialmente para evitar falsos positivos e interrupciones operativas.
✓La integración de la autenticación segura con plataformas como Purple permite la captura de datos conforme a la normativa y valiosos análisis de marketing sin comprometer la seguridad.

Executive Summary

For IT managers and network architects managing high-density environments—such as retail chains, stadiums, and hospitality venues—the stakes for wireless security have never been higher. Legacy authentication methods like WPA2 Personal and static Pre-Shared Keys (PSKs) are fundamentally broken, offering zero visibility into device posture and exposing networks to credential sharing and lateral movement attacks.

The future of enterprise wireless security is identity-driven and AI-powered. This guide provides a technical deep-dive into deploying AI-driven Network Access Control (NAC) and continuous threat detection. By shifting to 802.1X, dynamic VLAN steering, and machine learning-based anomaly detection, IT teams can achieve zero-trust network access (ZTNA) at the edge. We will explore how platforms like Purple's Guest WiFi and WiFi Analytics integrate with these advanced security frameworks to deliver seamless, compliant, and highly secure connectivity without increasing IT overhead.

Technical Deep-Dive: The Shift to AI-Driven NAC

The Failure of Legacy Wireless Security

Traditional enterprise networks often rely on static VLAN assignments and shared credentials. In a sprawling Hospitality or Retail environment, this approach fails on three fronts:

Lack of Identity Context: A device connected via a shared PSK is just a MAC address. There is no cryptographic link to a user identity.
Vulnerability to Lateral Movement: Once an attacker compromises a shared key, they gain unfettered access to the broadcast domain.
Operational Overhead: Managing MAC allowlists and rotating keys manually across hundreds of locations is unsustainable.

AI-Driven NAC Architecture

Modern Network Access Control replaces static rules with dynamic, context-aware policies. When integrated with AI and machine learning, the NAC engine doesn't just authenticate the user; it continuously evaluates the device's behaviour.

Core Components:

802.1X / WPA3-Enterprise: The foundation of secure access. It uses EAP (Extensible Authentication Protocol) to validate credentials against a RADIUS server or Identity Provider (IdP) before granting network access.
Dynamic VLAN Steering: Upon successful authentication, the RADIUS server returns specific attributes (e.g., Filter-Id or Tunnel-Private-Group-Id). The access point or switch uses these attributes to dynamically place the device into the correct network segment (e.g., Staff, Guest, IoT). For specific vendor implementations, see our guide on How to Configure NAC Policies for VLAN Steering in Cisco Meraki .
Behavioural Baselining: Machine learning algorithms establish a baseline of normal behaviour for different device types. For instance, a smart thermostat should only communicate with its designated cloud controller.
Real-Time Threat Detection: If the thermostat suddenly initiates an SSH connection to a Point of Sale (POS) terminal, the AI engine flags this anomaly in milliseconds and triggers an automated policy response—such as quarantining the device or terminating the session.

Implementation Guide: A Phased Approach

Deploying AI-driven NAC across a distributed enterprise requires a structured approach to avoid business disruption.

Phase 1: Network Audit & Segmentation

Before implementing NAC, the underlying network architecture must support granular segmentation.

Map all existing SSIDs and VLANs.
Design a robust VLAN schema isolating Guests, Staff, IoT devices, and PCI-regulated endpoints.
Ensure existing access points and switches support 802.1X and RADIUS Change of Authorization (CoA).

Phase 2: Identity & Authentication

Move away from shared passwords to identity-based access.

Deploy a cloud-native RADIUS infrastructure (like Purple's RADIUS-as-a-Service) to eliminate on-premise hardware.
Integrate with corporate IdPs (e.g., Microsoft Entra ID, Okta) for staff authentication using EAP-TLS (certificate-based) or PEAP-MSCHAPv2.
Implement secure onboarding for visitors using a compliant Captive Portal.

Phase 3: AI-NAC Policy Engine Configuration

Enable the intelligent routing and monitoring features.

Configure RADIUS return attributes to enforce dynamic VLAN steering based on user group or device profiling.
Enable machine learning traffic analysis on the wireless controller or overlay platform.
Define automated quarantine policies for devices exhibiting high-risk behaviour (e.g., port scanning or excessive failed authentications).

Phase 4: Continuous Monitoring & Compliance

Integrate the wireless security posture with broader enterprise security operations.

Forward wireless telemetry and authentication logs to a SIEM (Security Information and Event Management) platform.
Automate compliance reporting for PCI DSS and GDPR. Purple's platform, for instance, ensures that guest data collection adheres strictly to UK GDPR and PECR frameworks.

Best Practices for Enterprise Wi-Fi Security

Enforce Certificate-Based Authentication (EAP-TLS): For staff and corporate devices, EAP-TLS is the gold standard. It eliminates credential theft because the authentication relies on a cryptographic certificate installed on the device via MDM (Mobile Device Management), rather than a password.
Leverage Identity-Based Guest Wi-Fi: For public access in Transport hubs or retail stores, use a managed captive portal that links the MAC address to a verified identity (email, SMS, or social login). This provides an audit trail and enables powerful marketing analytics.
Implement Micro-Segmentation: Do not rely on a single 'IoT' VLAN. Segment devices by function (e.g., HVAC, security cameras, digital signage) to limit the blast radius of a compromised endpoint.
Adopt WPA3: Mandate WPA3 for all new deployments. WPA3-Enterprise introduces mandatory Protected Management Frames (PMF), which defend against deauthentication attacks.

Troubleshooting & Risk Mitigation

Even with automated systems, IT teams must anticipate failure modes:

RADIUS Timeout/Failure: If the NAC engine cannot reach the cloud RADIUS server, devices will fail to authenticate. Mitigation: Implement a 'fail-open' policy for critical infrastructure on a restricted VLAN, or ensure multi-region RADIUS failover.
False Positives in Anomaly Detection: Overly aggressive AI models may quarantine legitimate devices, causing operational downtime. Mitigation: Run the AI engine in 'monitor-only' mode for the first 14-30 days to build an accurate baseline before enabling automated enforcement.
Legacy Device Incompatibility: Older IoT devices (e.g., legacy barcode scanners) may not support 802.1X. Mitigation: Use Identity PSK (iPSK) or MAC Authentication Bypass (MAB) specifically for these devices, assigning them unique passphrases and restricting their access via strict ACLs.

ROI & Business Impact

Transitioning to an AI-driven NAC architecture delivers measurable business value beyond risk reduction:

Reduced IT OpEx: Automating device onboarding and VLAN assignment significantly reduces helpdesk tickets related to Wi-Fi connectivity and password resets.
Simplified Compliance: Automated reporting and strict segmentation streamline PCI DSS audits, often reducing the scope of the audit and saving thousands in compliance costs.
Enhanced Customer Insights: By integrating secure identity validation with platforms like Purple, venues can safely gather demographic data and dwell times, driving targeted marketing campaigns while maintaining GDPR compliance.

Definiciones clave

Control de Acceso a la Red (NAC)

Una solución de seguridad que aplica políticas en los dispositivos que intentan acceder a una red, garantizando que solo se conceda acceso a los puntos finales autenticados y conformes.

Crucial para los equipos de TI que pasan de contraseñas estáticas a arquitecturas de red de confianza cero basadas en la identidad.

802.1X

Un estándar IEEE para el control de acceso a la red basado en puertos que proporciona un mecanismo de autenticación a los dispositivos que desean conectarse a una LAN o WLAN.

La base de la seguridad Wi-Fi empresarial, que requiere un servidor RADIUS para validar las credenciales antes de permitir el tráfico de red.

Direccionamiento dinámico de VLAN

El proceso de asignar automáticamente un dispositivo a una Red de Área Local Virtual (VLAN) específica en función de su identidad o rol, en lugar del SSID al que se conectó.

Permite a los recintos transmitir un único SSID segmentando de forma segura al personal, los invitados y los dispositivos IoT en el backend.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que proporciona una gestión centralizada de Autenticación, Autorización y Contabilidad (AAA) para los usuarios que se conectan y utilizan un servicio de red.

El motor del Wi-Fi empresarial, a menudo desplegado como un servicio en la nube (RADIUS-as-a-Service) para reducir la infraestructura local.

EAP-TLS

Extensible Authentication Protocol-Transport Layer Security. Un método de autenticación que utiliza certificados digitales tanto en el cliente como en el servidor para una autenticación mutua altamente segura.

El método de autenticación más seguro para dispositivos corporativos, que elimina las vulnerabilidades asociadas a las contraseñas.

Identity PSK (iPSK)

Una función que permite utilizar múltiples claves precompartidas (Pre-Shared Keys) únicas en un solo SSID, con cada clave vinculada a una dirección MAC de dispositivo y una política específicas.

Esencial para proteger dispositivos IoT sin interfaz de usuario (como impresoras o televisores inteligentes) que no admiten la autenticación 802.1X.

Establecimiento de líneas de base de comportamiento

El uso del aprendizaje automático para establecer un patrón normal de actividad de red para un dispositivo o usuario específico a lo largo del tiempo.

Permite a los sistemas de detección de amenazas basados en IA identificar anomalías, como un termostato que de repente intenta acceder a una base de datos.

Tramas de gestión protegidas (PMF)

Una función de seguridad Wi-Fi que cifra las tramas de acción de gestión, evitando que los atacantes las suplanten para desconectar a los clientes.

Obligatorio en WPA3, mitiga los ataques de desautenticación que suelen utilizar los hackers para capturar handshakes o interrumpir el servicio.

Ejemplos prácticos

Un hotel de 400 habitaciones necesita proteger su red. Actualmente, el personal, los huéspedes y las smart TV comparten la misma red WPA2-Personal con una única contraseña. ¿Cómo debería el director de TI rediseñar esta arquitectura utilizando un NAC impulsado por IA?

Implementar un servidor RADIUS en la nube y configurar los puntos de acceso para la autenticación 802.1X.
Integrar el servidor RADIUS con el Azure AD del hotel para el acceso del personal a través de PEAP o EAP-TLS.
Implementar Purple Guest WiFi con un Captive Portal para los visitantes, ubicándolos en una VLAN de invitados aislada (por ejemplo, VLAN 100) con el aislamiento de clientes activado.
Utilizar Identity PSK (iPSK) para las smart TV. El motor NAC asigna una clave precompartida única a cada televisor y los redirige automáticamente a una VLAN de IoT restringida (por ejemplo, VLAN 200) que solo puede comunicarse con el servidor de gestión de IPTV.
Activar el establecimiento de líneas base de comportamiento mediante IA para supervisar las smart TV en busca de tráfico saliente anómalo.

Comentario del examinador: Este enfoque elimina la vulnerabilidad de la contraseña compartida, segmenta el tráfico para evitar el movimiento lateral y proporciona un registro de auditoría para todas las entidades conectadas, al tiempo que da soporte a los dispositivos heredados que no son compatibles con 802.1X.

Una cadena de tiendas está implementando tabletas de punto de venta móvil (mPOS) en 50 establecimientos. ¿Cómo pueden garantizar que estos dispositivos sigan siendo seguros y cumplan con la normativa PCI DSS en la red inalámbrica?

Registrar todas las tabletas mPOS en una solución MDM y enviar certificados de cliente únicos a cada dispositivo.
Configurar la red inalámbrica para requerir WPA3-Enterprise con autenticación EAP-TLS.
Configurar el motor NAC para realizar una comprobación de estado (por ejemplo, verificar el perfil MDM y la versión del sistema operativo) durante la autenticación.
Tras una autenticación y validación de estado correctas, redirigir dinámicamente las tabletas a una VLAN PCI dedicada y altamente restringida.
Utilizar la detección de amenazas por IA para supervisar continuamente las tabletas. Si una tableta intenta conectarse a una IP externa no autorizada, el motor NAC emite automáticamente un CoA de RADIUS para poner el dispositivo en cuarentena.

Comentario del examinador: El uso de EAP-TLS elimina el riesgo de robo de credenciales. El direccionamiento dinámico de VLAN garantiza que los dispositivos estén aislados, lo que reduce el alcance de la auditoría PCI DSS. La supervisión continua por IA proporciona protección en tiempo real contra amenazas de día cero.

Preguntas de práctica

Q1. Un director de TI de un hospital está actualizando la red inalámbrica. Tienen 500 bombas de infusión heredadas que solo admiten WPA2-Personal y no se pueden actualizar para admitir 802.1X. ¿Cómo se deben proteger estos dispositivos mientras se traslada el resto de la red a WPA3-Enterprise?

Sugerencia: Considere cómo aplicar credenciales únicas a dispositivos que no admiten protocolos de autenticación empresarial.

Ver respuesta modelo

El director de TI debe implementar Identity PSK (iPSK) o MAC Authentication Bypass (MAB) para las bombas de infusión. Al asignar una frase de contraseña única a la dirección MAC de cada bomba a través del servidor NAC/RADIUS, la red puede dirigir dinámicamente estos dispositivos heredados a una VLAN de IoT médica fuertemente restringida. El resto de la red (portátiles del personal, tabletas) puede utilizar de forma segura WPA3-Enterprise con EAP-TLS en la misma infraestructura física.

Q2. Tras desplegar una solución NAC impulsada por IA, el equipo de operaciones de red recibe alertas de que varios televisores inteligentes del centro de conferencias se están poniendo en cuarentena automáticamente, lo que interrumpe un evento importante. ¿Cuál es la causa probable y cómo debe resolverse?

Sugerencia: Piense en el ciclo de vida del despliegue de la detección de anomalías mediante aprendizaje automático.

Ver respuesta modelo

La causa probable es que el motor de detección de anomalías por IA se activó en modo de "aplicación" (enforcement) antes de que tuviera tiempo de establecer una línea base de comportamiento precisa para los televisores inteligentes. Para resolver esto, el equipo de TI debe cambiar inmediatamente el motor de políticas de IA al modo de "solo monitorización", sacar los televisores de la cuarentena y permitir que el sistema aprenda los patrones de tráfico normales de los dispositivos durante un periodo de 14 a 30 días antes de volver a activar la aplicación automatizada.

Q3. Una empresa de retail quiere ofrecer WiFi de invitados gratuito en 200 tiendas y, al mismo tiempo, capturar datos de clientes para marketing. También deben asegurarse de que esta red pública no comprometa su cumplimiento de PCI DSS para los terminales de punto de venta. ¿Cuál es la arquitectura recomendada?

Sugerencia: Céntrese en la segmentación y en el papel del Captive Portal.

Ver respuesta modelo

La empresa debe desplegar una solución de Captive Portal gestionada, como Purple Guest WiFi, en un SSID abierto para gestionar el registro de usuarios, la captura de consentimiento (GDPR) y la autenticación. Fundamentalmente, la infraestructura de red subyacente debe utilizar la segmentación por VLAN. El tráfico de invitados debe colocarse en una VLAN de invitados aislada que se enrute directamente a Internet, con el aislamiento de clientes activado. Los terminales de punto de venta deben residir en una VLAN PCI completamente separada y restringida, protegida mediante 802.1X o iPSK, garantizando que la red de invitados quede totalmente fuera del alcance de la auditoría de PCI DSS.

Continúe leyendo esta serie

Cómo segregar de forma segura las redes WiFi de empleados y de invitados

Esta guía técnica autorizada proporciona a los responsables de TI estrategias prácticas para segregar de forma segura las redes WiFi de empleados, invitados e IoT utilizando VLANs y 802.1X. Detalla cómo proteger la infraestructura empresarial, mantener el cumplimiento de PCI-DSS y aprovechar los Captive Portals para capturar datos de origen.

La mejor filtración DNS: una guía completa para empresas

Esta guía de referencia técnica explica cómo la filtración DNS empresarial protege las redes públicas al bloquear dominios maliciosos en la capa de resolución - antes de que se establezca una conexión. Proporciona a los directores de TI, arquitectos de redes y equipos de operaciones de las instalaciones la arquitectura de despliegue, la configuración del firewall y el contexto de cumplimiento normativo que necesitan para proteger el WiFi de invitados en entornos de hostelería, comercio minorista y sector público. Purple Shield bloquea el malware, las botnets y el contenido inapropiado a nivel de DNS en más de 80.000 instalaciones activas.

Comprensión de Cisco SUDI: Identidad con Anclaje por Hardware en el Control de Acceso Seguro a la Red

Esta guía explica cómo Cisco SUDI proporciona una identidad con anclaje por hardware y criptográficamente segura para la infraestructura de red empresarial. Aprenda a sustituir las direcciones MAC suplantables por certificados 802.1AR inmutables para proteger el control de acceso a la red de su recinto.