Saltar al contenido principal
Español

Arquitectura de WiFi para huéspedes de hotel: integración con PMS, Captive Portals y control de ancho de banda

Esta guía proporciona un marco integral para diseñar redes WiFi de hotel de nivel empresarial. Detalla los requisitos técnicos para la segmentación de VLAN, la integración con PMS a través de FIAS, el diseño de Captive Portal y el control de ancho de banda por cliente para garantizar la seguridad, el cumplimiento normativo y un rendimiento óptimo.

📖 6 min de lectura📝 1,401 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Bienvenido al Purple Technical Briefing. Hoy trataremos la arquitectura de WiFi para huéspedes de hoteles, concretamente los tres pilares que determinan si su despliegue tiene éxito o fracasa: la integración con PMS, el diseño del Captive Portal y el control de ancho de banda. Si es usted director de TI, arquitecto de red o CTO responsable de un hotel o de una cartera de propiedades, este briefing es para usted. Entraremos en detalles técnicos, pero de forma práctica. Cada punto conecta con una decisión que tendrá que tomar. Comencemos con la propia arquitectura. Una red WiFi de hotel no es un despliegue de oficina estándar. Tiene que dar servicio al menos a tres poblaciones distintas simultáneamente: huéspedes, personal y sistemas del edificio. Cada una tiene requisitos de seguridad, rendimiento y cumplimiento normativo completamente diferentes. El error fundamental que cometen la mayoría de los despliegues es tratar a las tres como una sola red. El enfoque correcto es la segmentación por VLAN (redes de área local virtuales, definidas en el estándar IEEE 802.1Q). Se crean redes lógicamente separadas sobre la misma infraestructura física. El WiFi de invitados se ubica en la VLAN 10, aislado de todo lo interno. El acceso del personal se ubica en la VLAN 20, autenticado mediante 802.1X contra su servidor RADIUS. Los dispositivos IoT (smart TVs, termostatos, cerraduras de puertas) se ubican en la VLAN 30 con reglas de firewall estrictas que limitan a qué pueden acceder. Y si tiene terminales de punto de venta en cualquier parte de la propiedad, necesitan su propia VLAN por completo, ya que la normativa PCI DSS exige que los entornos de datos de titulares de tarjetas estén aislados de cualquier otro tráfico de red. Esto no es opcional. Es un requisito básico de cumplimiento normativo. Y también es su principal defensa contra el movimiento lateral: el patrón de ataque en el que un dispositivo de huésped comprometido sondea sus sistemas internos. Ahora, pasemos a la capa inalámbrica. Si está desplegando nueva infraestructura hoy en día, debería especificar WiFi 6 (IEEE 802.11ax). En entornos de alta densidad, como salas de conferencias o grandes espacios para eventos, WiFi 6E añade la banda de 6 gigahercios, lo que le proporciona significativamente más espectro con el que trabajar. La mejora clave de rendimiento con respecto a la generación anterior es OFDMA (acceso múltiple por división de frecuencias ortogonales), que permite que un único punto de acceso atienda a múltiples clientes de forma simultánea en lugar de secuencial. En términos prácticos, se obtiene aproximadamente cuatro veces más capacidad de rendimiento por punto de acceso en comparación con WiFi 5, con una latencia mucho menor bajo carga. La ubicación de los puntos de acceso importa más de lo que la mayoría de la gente cree. El instinto es colocar los AP en los pasillos. Eso es un error. En un hotel, se busca cobertura dentro de la habitación. La mejor práctica es un AP por habitación, o como mínimo uno por cada dos habitaciones, montado en el techo o detrás de la televisión. Esto elimina el problema de la sombra del pasillo, donde la señal tiene que penetrar dos paredes para llegar al huésped. Para los espacios públicos (vestíbulos, restaurantes, salas de conferencias), encargue un estudio de cobertura de RF adecuado antes de finalizar la ubicación. Cada punto de acceso debe estar cableado. Cat 6A a cada AP, terminado en un switch PoE en cada planta. El WiFi en malla está bien para un hogar. En un hotel, se necesita un backhaul determinista y de baja latencia. Ahora hablemos de la integración con el PMS (Property Management System). Aquí es donde la arquitectura de WiFi para hoteles difiere más radicalmente de una implementación empresarial estándar. El PMS es el sistema de registro de la estancia de cada huésped. Sabe quién ha hecho el check-in, en qué habitación está, cuándo hace el check-out y qué categoría de tarifa ha reservado. Integrar su Captive Portal con el PMS permite a los huéspedes autenticarse utilizando su número de habitación y su apellido, sin contraseñas que recordar ni códigos de cupón que escribir. El Captive Portal envía una consulta API en tiempo real al PMS, valida las credenciales frente a las reservas activas y concede el acceso en un plazo de 200 a 500 milisegundos. El protocolo que sustenta la mayoría de estas integraciones es FIAS (Fidelio Interface Application Specification). Desarrollado originalmente para el PMS Fidelio, ahora Oracle Opera, FIAS se ha convertido en el estándar de facto para las interfaces de sistemas hoteleros. Más allá de la autenticación, la integración con el PMS permite la gestión automática de las sesiones. Cuando un huésped realiza el check-out, el PMS envía un evento de check-out a la plataforma de WiFi, que revoca su token de acceso de inmediato. Sin necesidad de intervención manual. El valor de los datos aquí es significativo. Cada sesión de WiFi autenticada crea un registro de huésped verificado: nombre, correo electrónico, tipo de habitación, duración de la estancia y tipo de dispositivo. Esos datos, capturados con el consentimiento explícito de la GDPR en la página de bienvenida, se convierten en un activo de marketing de primera mano. La plataforma de Purple ha procesado 440 millones de inicios de sesión en 2024 en 80.000 establecimientos. Los datos de huéspedes capturados a través de portales cautivos integrados con el PMS alcanzan sistemáticamente tasas de validación del 70 al 80 por ciento, frente al 30 o 40 por ciento de los envíos de formularios no validados. Pasemos al diseño del Captive Portal. Un Captive Portal es la pasarela de autenticación con la que se topan los huéspedes cuando se conectan por primera vez. Intercepta el tráfico HTTP y redirige el navegador a una página alojada antes de conceder acceso a internet. El mecanismo técnico funciona de la siguiente manera. El punto de acceso o controlador asigna al dispositivo del huésped una dirección IP restringida. Todas las solicitudes HTTP se redirigen a la URL del portal mediante una interceptación de DNS. El huésped se autentica. El controlador recibe una señal de autorización del servidor RADIUS. La dirección MAC del dispositivo se añade a la lista de permitidos. Se concede el acceso normal a internet. El cumplimiento de la GDPR en el Captive Portal no es negociable. Su página de bienvenida debe presentar un aviso de privacidad claro, opciones de consentimiento explícito para marketing y un mecanismo para que los huéspedes ejerzan sus derechos de datos. Fundamentalmente, el consentimiento para usar el WiFi no es lo mismo que el consentimiento para recibir correos electrónicos de marketing. Deben ser opciones de consentimiento separadas e independientes. La plataforma de Purple gestiona esto de forma nativa, con registros de consentimiento vinculados a cada perfil de usuario e historiales de auditoría disponibles para revisión regulatoria. Por seguridad, WPA3 es el estándar actual. WPA3-Personal utiliza la autenticación simultánea de iguales (SAE), lo que elimina la vulnerabilidad a los ataques de diccionario presente en WPA2-PSK. Para redes de invitados, un SSID abierto detrás de un Captive Portal con cifrado inalámbrico oportunista (OWE) proporciona cifrado sin necesidad de una clave precompartida. El aislamiento de clientes debe estar habilitado en todos los SSIDs de invitados para evitar el tráfico peer-to-peer entre los dispositivos de los invitados. Ahora, el control de ancho de banda. Este es el tercer pilar y, a menudo, es el que menos se planifica. La regla general para la planificación del ancho de banda hotelero es esta: planifique para la demanda máxima, no para la demanda media. Para un establecimiento de gama media, presupueste de 10 a 25 megabits por segundo por habitación. Para un hotel de servicio completo, de 25 a 50 megabits por segundo por habitación. Para un establecimiento de lujo o enfocado a conferencias, de 50 a 100 megabits por segundo por habitación. La limitación de velocidad por cliente evita que un solo invitado sature su enlace ascendente. En Cisco Meraki, esto se configura como un límite de ancho de banda por cliente en el SSID. En HPE Aruba, es una política de rol de usuario aplicada a través del controlador. En Juniper Mist, es una política de límite de velocidad de WLAN. El mecanismo varía según el proveedor, pero el principio es el mismo: definir un límite de bajada y de subida por dispositivo y aplicarlo a nivel de controlador. La calidad de servicio (QoS) se sitúa por encima de la limitación de velocidad. WMM, WiFi Multimedia, es el estándar 802.11e que define cuatro colas de tráfico: voz, vídeo, mejor esfuerzo (best effort) y fondo. Las llamadas de VoIP y de vídeo deben priorizarse en las colas de voz y vídeo. La navegación web y las descargas entran en la categoría de mejor esfuerzo. Configurar WMM correctamente significa que un invitado en una videollamada no sufrirá interrupciones cuando la persona de la habitación de al lado comience una descarga pesada. Permítame ahora ofrecerle las recomendaciones de implementación y los errores que debe evitar. Comience con un estudio de cobertura (site survey). Antes de tocar un solo cable, recorra el establecimiento con un analizador de espectro. Identifique las fuentes de interferencia existentes: redes vecinas, hornos microondas en la cocina, teléfonos DECT en recepción. Esto servirá de base para su plan de canales y la ubicación de los AP. En segundo lugar, diseñe su arquitectura de VLAN antes de configurar nada. Planifique: VLAN de WiFi de invitados, VLAN de personal, VLAN de IoT y sistemas del edificio, y VLAN de gestión. Documente y apruebe esto antes del despliegue. En tercer lugar, dimensione correctamente su enlace ascendente de internet. Para un hotel de 200 habitaciones con una ocupación del 80 por ciento, planificar 25 megabits por habitación en horas punta le ofrece un ancho de banda mínimo garantizado de 4 gigabits por segundo. Una línea dedicada con capacidad ampliable (burstable) es el producto adecuado en este caso, no una conexión de banda ancha estándar. Los errores comunes. El más habitual es el infraprovisionamiento del enlace ascendente y, posteriormente, culpar a la infraestructura inalámbrica cuando los huéspedes se quejan. Nueve de cada diez veces, un WiFi de hotel lento es un problema de ancho de banda de internet, no un problema de radiofrecuencia. El segundo error es implementar un Captive Portal que recopile datos pero que no tenga un flujo de trabajo de marketing posterior. Ya ha creado el activo de datos. Ahora utilícelo. Correos electrónicos previos a la estancia, encuestas posteriores a la estancia, inscripción en programas de fidelización, ofertas personalizadas durante la estancia. Preguntas rápidas. ¿Necesito WiFi 6 o me bastará con WiFi 5? Si va a implementar una nueva infraestructura hoy en día, elija siempre WiFi 6. La diferencia de coste es mínima y el margen de rendimiento es significativo. ¿Debería cobrar a los huéspedes por el WiFi? No. En 2026, el WiFi de pago para huéspedes es un lastre para la satisfacción del cliente. ¿Cómo gestiono a un huésped que se queja de que el WiFi va lento? Primero, compruebe la utilización del enlace ascendente de internet. Segundo, compruebe el recuento de asociación de los puntos de acceso. Tercero, busque puntos de acceso no autorizados o interferencias en su planificación de canales. Para terminar. La arquitectura de WiFi para huéspedes de hotel bien hecha es un activo estratégico, no un coste de servicios públicos. Las tres conclusiones clave: Uno: segmente su red desde el primer día. Huéspedes, personal e IoT en VLAN independientes, con un cortafuegos entre ellos. Dos: integre su Captive Portal con su PMS. La autenticación mediante número de habitación y apellido le proporciona datos verificados de los huéspedes y una gestión de sesiones fluida. Tres: dimensione su enlace ascendente de internet para la demanda máxima, no para la demanda media, e implemente una limitación de velocidad por cliente para proteger la experiencia de cada huésped en la red. Gracias por su atención.

header_image.png

Resumen Ejecutivo

La arquitectura de WiFi para hoteles ya no se limita a la cobertura; se trata de segmentación segura, autenticación fluida y de convertir un coste de servicio en un activo de datos estratégico. Para los responsables de TI y arquitectos de red que despliegan infraestructuras en establecimientos de Hostelería , tratar los sistemas de huéspedes, personal y del edificio como una única red plana es un punto de fallo crítico. Esta guía detalla los requisitos técnicos para un WiFi de hotel de nivel empresarial, centrándose en tres pilares fundamentales: la integración del Captive Portal con su Property Management System (PMS) a través de FIAS para una validación de huéspedes fluida, el despliegue de una segmentación VLAN robusta para cumplir con los requisitos PCI DSS y la aplicación de controles de ancho de banda por habitación para garantizar un rendimiento constante. Al alinear su estrategia de hardware —ya sea desplegando Cisco Meraki, HPE Aruba o Juniper Mist— con una autenticación inteligente de Guest WiFi , protegerá su entorno al tiempo que captura los datos de primera mano de alta calidad necesarios para impulsar la fidelización y los ingresos.

Escuche la Sesión Informativa

Análisis Técnico Detallado: Arquitectura y Segmentación

Una red de hostelería debe dar servicio simultáneamente a huéspedes, personal y tecnología operativa sin comprometer la seguridad ni el rendimiento de ningún grupo. El requisito fundamental es la separación lógica mediante redes de área local virtuales (VLAN) regidas por el estándar IEEE 802.1Q.

Debe aislar el tráfico a nivel de switch. El Guest WiFi requiere su propia VLAN, protegida por un cortafuegos que la aísle por completo de los recursos internos. El acceso del personal debe funcionar en una VLAN independiente, protegida mediante autenticación 802.1X contra un servidor RADIUS (integrándose con proveedores de identidad como Microsoft Entra ID u Okta). Una tercera VLAN debe aislar los dispositivos IoT: termostatos inteligentes, cerraduras de puertas y CCTV. Por último, cualquier sistema de punto de venta debe ubicarse en una VLAN aislada para mantener el cumplimiento de PCI DSS. Esta segmentación elimina el vector de ataque de movimiento lateral, garantizando que un dispositivo de huésped comprometido no pueda sondear sus sistemas de gestión hotelera.

Capa Inalámbrica y Ubicación de los Puntos de Acceso

Para la capa de radiofrecuencia (RF), Wi-Fi 6 (IEEE 802.11ax) es el estándar de referencia para nuevos despliegues. Introduce el acceso múltiple por división de frecuencias ortogonales (OFDMA), que permite a un único punto de acceso atender a varios clientes simultáneamente. Esto proporciona aproximadamente cuatro veces la capacidad de rendimiento de Wi-Fi 5 y reduce significativamente la latencia en entornos de alta densidad.

La ubicación física de los puntos de acceso (AP) determina el rendimiento. El modelo tradicional de desplegar AP en los pasillos obliga a las señales a atravesar gruesas puertas cortafuegos y las tuberías de los baños antes de llegar al huésped. Debe desplegar un modelo de AP en la habitación: un AP por habitación, o un AP por cada dos habitaciones como mínimo. Cada AP requiere una conexión por cable Cat 6A de vuelta a un switch PoE; el backhaul en malla (mesh) no es adecuado para entornos hoteleros empresariales.

Integración con el Sistema de Gestión Hotelera (PMS)

El PMS es la fuente central de información para las operaciones del hotel. Integrar su capa de autenticación de WiFi con el PMS transforma la experiencia del huésped y mejora radicalmente la calidad de los datos.

Autenticación a través de FIAS

Cuando un huésped se conecta a la red, se le redirige a un Captive Portal. En lugar de depender de una contraseña genérica o de un formulario de correo electrónico no verificado, la integración con el PMS permite al huésped autenticarse utilizando su apellido y número de habitación. La plataforma del Captive Portal consulta al PMS en tiempo real —normalmente utilizando el protocolo Fidelio Interface Application Specification (FIAS)— para validar las credenciales con las reservas activas. Esta validación de la API se realiza en menos de 500 milisegundos.

pms_integration_diagram.png

Gestión de Sesiones y Calidad de los Datos

Esta integración automatiza los ciclos de vida de las sesiones. Cuando un huésped realiza el checkout, el PMS activa un evento que revoca el acceso a la WiFi de inmediato. Si un huésped prolonga su estancia, la sesión de red se amplía automáticamente.

Lo que es más importante, la integración con el PMS resuelve el problema de la calidad de los datos. Los formularios estándar de captura de correo electrónico suelen registrar tasas de error del 30%. Al validar los datos con el PMS, se captura un registro de huésped verificado vinculado a datos de estancia específicos. Purple ha procesado 440 millones de inicios de sesión en 2024, y nuestros datos muestran que los Captive Portals integrados con el PMS alcanzan tasas de validación del 70% al 80%. Estos datos de origen (first-party) consentidos fluyen directamente a su CRM, lo que permite realizar WiFi Analytics segmentados y marketing posterior a la estancia.

Diseño y Seguridad del Captive Portal

El Captive Portal es su mecanismo principal para la captura de datos y el cumplimiento normativo. Funciona asignando una dirección IP restringida al dispositivo del huésped y utilizando una intercepción de DNS para redirigir el tráfico HTTP a la página de bienvenida. Una vez que el huésped se autentica y acepta las condiciones, el servidor RADIUS autoriza la dirección MAC y se concede acceso total a internet.

GDPR y consentimiento desagregado

Su Captive Portal debe presentar opciones de consentimiento explícitas y detalladas. El consentimiento para utilizar la red no puede agruparse con el consentimiento para comunicaciones de marketing. La plataforma de Purple gestiona esto de forma nativa, vinculando registros de consentimiento verificables a los perfiles de usuario individuales.

Cifrado y aislamiento de clientes

Debe habilitar el aislamiento de clientes en el SSID de invitados. Esto evita la comunicación peer-to-peer, impidiendo que el dispositivo de un invitado escanee o acceda a otro. Para el cifrado, WPA3 es el estándar. Mientras que WPA3-Enterprise protege la red del personal, las redes de invitados deben utilizar Opportunistic Wireless Encryption (OWE) donde sea compatible, proporcionando cifrado individualizado para redes abiertas sin requerir una contraseña compartida. Para obtener más detalles sobre el acceso seguro, consulte nuestra guía sobre EAP Method WiFi: A Guide to Secure Network Access .

Control de ancho de banda y QoS

La gestión del ancho de banda es el pilar final de una arquitectura estable. La causa principal de las quejas de los invitados es un enlace de subida a Internet infradimensionado.

Dimensionamiento del enlace de subida

Debe dimensionar el ancho de banda en función de la demanda máxima concurrente, no del uso medio. Las asignaciones recomendadas son:

  • Económico / Gama media: 10-25 Mbps por habitación
  • Servicio completo: 25-50 Mbps por habitación
  • Lujo / Conferencias: 50-100 Mbps por habitación

Para un establecimiento de 200 habitaciones con una ocupación del 80 %, asignar 25 Mbps por habitación requiere un enlace de subida mínimo garantizado de 4 Gbps. Es obligatorio contar con una línea dedicada de fibra.

Limitación de velocidad y política de QoS

Para evitar que un solo usuario sature el enlace de subida, debe aplicar una limitación de velocidad por cliente a nivel de controlador. Ya sea que despliegue Cisco Meraki, HPE Aruba o Ubiquiti UniFi, configure un límite estricto tanto para el tráfico de bajada como de subida por dispositivo.

Por encima de la limitación de velocidad se encuentra la Calidad de Servicio (QoS). Utilizando el estándar WMM (WiFi Multimedia), debe priorizar el tráfico en cuatro colas. Las llamadas de VoIP y vídeo requieren una prioridad alta, garantizando que la llamada de Microsoft Teams de un invitado no se vea degradada por otro invitado que esté descargando un archivo grande en la cola de mejor esfuerzo (best-effort).

bandwidth_control_chart.png

Guía de implementación

Siga esta secuencia para un despliegue exitoso:

  1. Realizar un estudio de cobertura de RF (Site Survey): Recorra el establecimiento con un analizador de espectro para identificar fuentes de interferencia antes de planificar la ubicación de los AP.
  2. Diseñar la arquitectura de VLAN: Documente sus VLAN de invitados, personal, IoT y POS. Configure reglas de firewall explícitas de denegación por defecto (default-deny) entre ellas.
  3. Dimensionar el enlace de subida: Calcule la demanda máxima basándose en la referencia de 25 Mbps por habitación y contrate una línea dedicada de fibra.
  4. Desplegar el Captive Portal: Integre el portal con su PMS. Pruebe el flujo de autenticación, la captura de consentimiento y la revocación de sesiones en dispositivos iOS, Android y Windows.
  5. Monitorizar y ajustar: Tras el despliegue, monitorice los recuentos de asociación de AP y la utilización del enlace ascendente para identificar zonas muertas o cuellos de botella en el ancho de banda.

Resolución de problemas y mitigación de riesgos

Los fallos más frecuentes en los despliegues de WiFi para hoteles se deben a una mala planificación y no a fallos de hardware.

  • La queja de "WiFi lento": Rara vez se trata de un problema de RF. En primer lugar, compruebe la utilización de su enlace ascendente a Internet. Si el circuito está saturado, ningún ajuste de los AP solucionará el problema. En segundo lugar, compruebe la distribución de clientes entre los AP; si un AP tiene 40 clientes y un AP adyacente tiene 5, la configuración de band steering requiere un ajuste.
  • La trampa del "Silo de datos": Desplegar un Captive Portal sin una integración posterior es desperdiciar la inversión. Los datos capturados al iniciar sesión deben fluir automáticamente hacia sus herramientas de automatización de marketing para impulsar los programas de fidelización de Retail u hostelería.
  • El riesgo de una red plana: No segmentar la red cableada compromete la seguridad inalámbrica. Si un huésped conecta un portátil a un puerto Ethernet expuesto en una sala de conferencias y accede a la VLAN del personal, su arquitectura ha fallado. Asegúrese de que los puertos de los conmutadores en las zonas públicas estén asignados a la VLAN de invitados o desactivados por completo.

ROI e impacto empresarial

El WiFi empresarial requiere un gasto de capital significativo, pero ofrece rendimientos medibles cuando se diseña correctamente. El ROI se materializa a través de tres canales:

  1. Eficiencia operativa: La integración con el PMS elimina la generación manual de cupones y la resolución de problemas en recepción, lo que devuelve horas de tiempo al personal cada semana.
  2. Adquisición de datos de origen (First-Party Data): Un Captive Portal autenticado crea una base de datos de perfiles de huéspedes verificados. Estos datos impulsan las campañas de reserva directa, reduciendo la dependencia de las agencias de viajes online (OTA) y sus comisiones asociadas.
  3. Satisfacción del huésped: Un WiFi fiable y de alta velocidad es uno de los principales factores para obtener opiniones positivas. Una red segmentada y correctamente dimensionada elimina las fricciones que generan comentarios negativos, lo que influye directamente en la reputación del establecimiento y en la tarifa media diaria.

Definiciones clave

VLAN (Virtual Local Area Network)

Una subred lógica que agrupa una colección de dispositivos en la misma infraestructura física, aislando su tráfico de difusión de otras VLAN.

Esencial para separar el tráfico de los huéspedes de los sistemas internos del hotel y garantizar el cumplimiento de la normativa PCI DSS.

Captive Portal

Una página web que intercepta el tráfico de red y requiere que los usuarios se autentiquen o acepten los términos antes de concederles acceso total a Internet.

El principal punto de contacto para la autenticación de huéspedes, el consentimiento de GDPR y la captura de datos de origen (first-party data).

FIAS (Fidelio Interface Application Specification)

Un protocolo universal utilizado por los sistemas de gestión hotelera (como Oracle Opera) para comunicarse en tiempo real con sistemas de terceros.

Utilizado por el Captive Portal para validar el número de habitación y el apellido de un huésped con los registros activos del PMS.

WPA3-Enterprise

El nivel más alto de seguridad WiFi, que requiere que los usuarios o dispositivos individuales se autentiquen mediante credenciales únicas a través de un servidor RADIUS (802.1X).

El estándar obligatorio para proteger las redes del personal y los dispositivos corporativos dentro del hotel.

Client Isolation

Una función del controlador inalámbrico que evita que los dispositivos conectados al mismo SSID se comuniquen directamente entre sí.

Debe estar habilitado en todas las redes de huéspedes para evitar ataques entre pares (peer-to-peer) y proteger la privacidad de los huéspedes.

Rate Limiting

La práctica de restringir el ancho de banda máximo (velocidad de subida y bajada) disponible para un dispositivo cliente individual.

Crucial para evitar que un solo huésped que descargue archivos grandes degrade la experiencia de red de todos los demás.

QoS (Quality of Service) / WMM

Mecanismos de red que priorizan ciertos tipos de tráfico (como voz o vídeo) sobre el tráfico menos sensible al tiempo (como las descargas de archivos).

Garantiza que las llamadas VoIP de los huéspedes o las herramientas de comunicación del personal funcionen de manera fiable incluso cuando la red está bajo una gran carga.

OFDMA

Acceso múltiple por división de frecuencias ortogonales; una función de Wi-Fi 6 que permite a un punto de acceso atender a múltiples clientes simultáneamente dividiendo los canales en subcanales más pequeños.

Mejora drásticamente el rendimiento y reduce la latencia en áreas de alta densidad, como salas de conferencias y vestíbulos de hoteles.

Ejemplos prácticos

Un hotel de servicio completo de 150 habitaciones experimenta quejas frecuentes de los huéspedes sobre la lentitud del WiFi durante las horas pico de la tarde (19:00 - 22:00). Actualmente, el establecimiento dispone de una conexión de banda ancha de 1 Gbps y utiliza una única red plana con una contraseña WPA2 compartida.

  1. Actualizar el enlace ascendente de Internet a una línea dedicada que proporcione al menos 3,75 Gbps (150 habitaciones * 25 Mbps). 2. Implementar la segmentación de VLAN, trasladando a los huéspedes a una VLAN 10 aislada. 3. Desplegar un Captive Portal integrado con el PMS Oracle Opera del hotel a través de FIAS, lo que permitirá a los huéspedes autenticarse con el número de habitación y el apellido. 4. Aplicar una limitación de velocidad por cliente de 25 Mbps de bajada / 10 Mbps de subida en el controlador inalámbrico para evitar que los dispositivos individuales saturen el enlace ascendente.
Comentario del examinador: Este enfoque aborda la causa raíz (saturación del enlace ascendente) al tiempo que resuelve la vulnerabilidad de seguridad de la red plana. La integración con el PMS elimina la fricción de la contraseña compartida y, al mismo tiempo, permite una valiosa captura de datos de origen.

Un complejo turístico de lujo necesita desplegar un WiFi seguro para las tabletas del personal utilizadas para las tareas de limpieza y mantenimiento, garantizando al mismo tiempo que los dispositivos de los huéspedes no puedan acceder a los sistemas de gestión del establecimiento.

Crear una VLAN de personal dedicada (VLAN 20) separada de la VLAN de huéspedes (VLAN 10). Configurar el SSID del personal para que utilice WPA3-Enterprise, autenticando las tabletas contra el servidor RADIUS corporativo mediante 802.1X. Aplicar reglas estrictas de enrutamiento inter-VLAN en el cortafuegos: denegar por defecto todo el tráfico entre la VLAN 10 y la VLAN 20, y permitir únicamente que la VLAN 20 acceda a las direcciones IP y puertos específicos requeridos por la aplicación de limpieza.

Comentario del examinador: Confiar en WPA2-PSK para los dispositivos del personal es un riesgo de seguridad si la frase de contraseña se ve comprometida. WPA3-Enterprise con 802.1X garantiza la autenticación a nivel de dispositivo, y la estricta política del cortafuegos evita físicamente el movimiento lateral desde la red de huéspedes.

Preguntas de práctica

Q1. El director de operaciones de un hotel quiere implementar una única red WiFi abierta tanto para los huéspedes como para las nuevas smart TVs de las habitaciones para "simplificar las cosas". Como arquitecto de red, ¿cómo respondería?

Sugerencia: Considere las implicaciones del movimiento lateral y el tamaño del dominio de difusión.

Ver respuesta modelo

Desaconseje este enfoque. Los dispositivos de los huéspedes y los dispositivos IoT (smart TVs) deben segmentarse en VLANs independientes. Colocarlos en la misma red abierta expone a las TVs a un acceso directo desde los dispositivos de los huéspedes, lo que genera una vulnerabilidad de seguridad importante. Además, aumenta el dominio de difusión, lo que puede degradar el rendimiento general de la red. Las TVs deben estar en una VLAN de IoT aislada (por ejemplo, VLAN 30) con reglas de firewall estrictas.

Q2. Durante el estudio de cobertura para un nuevo establecimiento de 300 habitaciones, el contratista de cableado sugiere ahorrar costes colocando un punto de acceso en el pasillo por cada cuatro habitaciones. ¿Por qué es esto problemático?

Sugerencia: Piense en la atenuación de RF y los obstáculos físicos en el entorno de un hotel.

Ver respuesta modelo

La ubicación en el pasillo es un diseño defectuoso para los hoteles. La señal de RF debe penetrar puertas cortafuegos pesadas, armarios con espejos y baños alicatados para llegar al dispositivo del huésped en la habitación, lo que provoca una atenuación severa de la señal y un rendimiento deficiente. El diseño correcto es un modelo de AP en la habitación (un AP por habitación o, como mínimo, uno cada dos habitaciones) para garantizar una cobertura con línea de visión directa o con la mínima obstrucción.

Q3. El equipo de marketing quiere suscribir automáticamente a todos los huéspedes que inicien sesión en el WiFi al boletín promocional semanal del hotel. ¿Cómo se debe configurar el Captive Portal para gestionar esto?

Sugerencia: Considere los requisitos del GDPR relativos al consentimiento vinculado.

Ver respuesta modelo

El Captive Portal debe configurarse con opciones de consentimiento explícitas y no vinculadas. Según el GDPR, el consentimiento para acceder a la red WiFi no puede estar condicionado al consentimiento para recibir comunicaciones de marketing. La página de inicio debe proporcionar una casilla de verificación independiente y desmarcada para el boletín informativo. La plataforma de Purple aplica esta separación de forma nativa, garantizando el cumplimiento normativo al tiempo que registra registros de consentimiento verificables.

Continúe leyendo esta serie

Cómo configurar un Captive Portal en Starlink: guía para establecimientos remotos y marítimos

Esta guía detalla cómo omitir el hardware nativo de Starlink e integrar un Captive Portal gestionado en la nube utilizando equipos de enrutamiento empresariales. Aprenderá a superar la limitación de CGNAT, aplicar la segmentación de VLAN, gestionar las limitaciones de ancho de banda satelital y garantizar el cumplimiento normativo.

Leer la guía →

Mejores prácticas de Captive Portal: diseño para una alta conversión y cumplimiento normativo

Esta guía técnica ofrece a los responsables de TI, arquitectos de redes y directores de operaciones de establecimientos un plan completo para implementar Captive Portals que equilibren la seguridad de la red con una alta conversión de usuarios. Abarca toda la arquitectura, desde la segmentación de VLAN y la autenticación RADIUS hasta el diseño de consentimiento en conformidad con el GDPR y la selección del método de autenticación. Basada en la experiencia operativa de Purple en más de 80 000 establecimientos y 440 millones de inicios de sesión en 2024, cada recomendación se fundamenta en datos reales de implementación.

Leer la guía →

Cómo optimizar los captive portals para una máxima seguridad de red y conversión de usuarios

Esta guía proporciona un esquema técnico completo para optimizar los captive portals en entornos empresariales, abarcando la arquitectura de segmentación de red, la selección del método de autenticación, el diseño de consentimiento conforme a la GDPR y la optimización de la conversión. Está dirigida a responsables de TI, arquitectos de red y CTO de hoteles, cadenas de tiendas, estadios y organizaciones del sector público que necesitan equilibrar la seguridad de la red con la captura de datos de primera mano. Purple opera la infraestructura de captive portals en más de 80.000 establecimientos con 440 millones de inicios de sesión en 2024, y los marcos de trabajo aquí presentados reflejan esa experiencia operativa.

Leer la guía →