Managed WiFi for business: a comprehensive guide for businesses

Bienvenido a esta sesión técnica sobre WiFi gestionado para empresas. Le guiaré a través de todo lo que necesita para tomar una decisión con total confianza - ya sea un desarrollador inmobiliario, un arrendador o un operador de Build-to-Rent que considera la conectividad como un servicio fundamental. Comencemos con el contexto. El WiFi ya no es un servicio básico que se pueda dejar para el final. En hoteles, cadenas de retail, estadios, centros de conferencias y desarrollos Build-to-Rent, la conectividad se ha vuelto tan fundamental como la electricidad. Pero a diferencia de la electricidad, el WiFi transporta datos, y esos datos conllevan implicaciones de cumplimiento, seguridad y comerciales que un simple contrato de banda ancha simplemente no resuelve. Un proveedor de WiFi gestionado asume la propiedad del diseño, despliegue, supervisión y gestión continua de su red inalámbrica. Usted obtiene un acuerdo de nivel de servicio contractual (normalmente con un 99.999% de tiempo de actividad), un centro de operaciones de red que vigila su infraestructura las 24 horas del día y un equipo de ingenieros que parchea las vulnerabilidades antes de que usted sepa que existen. Ahora, entremos en la arquitectura técnica, porque aquí es donde residen las decisiones reales. La base de cualquier despliegue de WiFi gestionado empresarial es la segmentación de la red. Es casi seguro que tenga varias poblaciones de usuarios en la misma infraestructura física: huéspedes o residentes, personal y dispositivos IoT. Cada una de esas poblaciones tiene diferentes niveles de confianza, diferentes requisitos de acceso a datos y diferentes implicaciones regulatorias. El enfoque correcto es aislarlos mediante VLANs (redes de área local virtuales). Una VLAN es una partición lógica de su red que evita que el tráfico de un segmento llegue a otro, aunque compartan los mismos puntos de acceso físicos y el mismo cableado. La arquitectura estándar utiliza tres SSIDs (tres nombres de red inalámbrica independientes). El primero es el WiFi de invitados (Guest WiFi), que se enruta únicamente a Internet, sin acceso a los sistemas internos. El segundo es el WiFi del personal, que se autentica mediante IEEE 802.1X - el estándar del sector para el control de acceso a la red basado en puertos - y se conecta a los recursos corporativos. El tercero es un SSID para IoT, que aísla los dispositivos inteligentes como termostatos, cámaras de CCTV y terminales de punto de venta en su propio segmento. Este modelo de tres SSIDs es independiente del proveedor. Funciona en hardware de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. No necesita desinstalar y sustituir sus puntos de acceso existentes para implementarlo. La autenticación es la siguiente capa crítica. Para el WiFi de invitados o residentes, el enfoque más común es un Captive Portal - una página web que aparece cuando un usuario se conecta y que requiere que inicie sesión, se registre o acepte las condiciones de servicio. Aquí es donde un proveedor de WiFi gestionado aporta un valor significativo más allá de la conectividad básica. Purple, por ejemplo, procesó 440 millones de inicios de sesión solo en 2024 en 80,000 centros activos. Esa escala significa que la infraestructura de autenticación está reforzada, sometida a pruebas de carga y cumple con la GDPR de forma predeterminada. Para la autenticación del personal, el estándar correcto es 802.1X con RADIUS (Remote Authentication Dial-In User Service). RADIUS valida las credenciales contra un servicio de directorio. Purple se integra de forma nativa con Microsoft Entra ID, Okta y Google Workspace, lo que significa que su proveedor de identidad existente se encarga de la autenticación del personal sin necesidad de mantener una base de datos de usuarios independiente. WPA3 (el último protocolo de seguridad WiFi) debería ser su punto de partida para todas las nuevas implementaciones. WPA3 sustituye a WPA2 y elimina la clase de vulnerabilidad KRACK. También introduce la Autenticación Simultánea de Iguales, que protege contra los ataques de diccionario fuera de línea. Si está realizando una implementación en hardware compatible con WPA3, no hay razón para no utilizarlo. Ahora bien, para entornos multi-inquilino (promociones destinadas al alquiler, residencias de estudiantes, proyectos de uso mixto) la arquitectura requiere una capa adicional: el aislamiento por residente. Cada residente necesita su propio segmento de red privado para que sus dispositivos inteligentes no sean visibles para los vecinos. El mecanismo técnico aquí es PPSK (Private Pre-Shared Key, como lo llama Aruba) o iPSK (Identity Pre-Shared Key, que es el término más genérico). Ambos asignan una contraseña única por residente o por dispositivo, que el punto de acceso asocia a una VLAN dedicada. Imagínelo como una burbuja WiFi. Cada dispositivo con la clave del Residente A ve a todos los demás dispositivos con la clave del Residente A. Su teléfono detecta su Chromecast, su altavoz inteligente se empareja con sus bombillas, su consola encuentra su televisor. Pero ningún dispositivo con la clave del Residente A ve ningún dispositivo de una clave diferente. Los dispositivos del Residente B son completamente invisibles para el Residente A, aunque estén en el mismo punto de acceso. El producto Multi-Tenant WiFi de Purple automatiza este aprovisionamiento. Cuando un nuevo residente se muda, su segmento de red se crea automáticamente. Cuando se marcha, se revoca. Sin configuración manual de VLAN. Sin accesos residuales. El equipo de gestión de la propiedad lo gestiona todo desde un portal web, sin necesidad de conocimientos de ingeniería de redes. Permítame presentarle dos escenarios concretos de implementación. El primero es un hotel de 350 habitaciones. El establecimiento cuenta con puntos de acceso Cisco Meraki en las habitaciones, los pasillos y las instalaciones para conferencias. El proveedor de WiFi gestionado despliega una interfaz en la nube, una capa de software que se sitúa por encima del hardware y gestiona la autenticación, los análisis y la aplicación de políticas sin necesidad de sustituir la infraestructura Meraki existente. Los huéspedes se conectan al SSID del Guest WiFi, se autentican a través de un Captive Portal personalizado y el hotel recopila datos de origen (dirección de correo electrónico, frecuencia de visitas, tipo de habitación) que se envían directamente al CRM. El personal se conecta mediante 802.1X al SSID del Staff WiFi, autenticándose contra Microsoft Entra ID. El equipo de TI del hotel lo gestiona todo desde un único panel de control en la nube. El SLA de tiempo de actividad es del 99,999%. Los parches de seguridad los aplica automáticamente el servicio gestionado. El segundo escenario es una promoción de viviendas destinadas al alquiler (build-to-rent) de 200 apartamentos. El promotor instala puntos de acceso HPE Aruba en cada unidad y en las zonas comunes. Cada residente recibe una PPSK única el día de su mudanza, que se asocia a su propia VLAN. Su televisión inteligente, portátil y altavoz inteligente están en esa VLAN y no pueden ver los dispositivos de ningún otro residente. El equipo de gestión de la propiedad puede aprovisionar y revocar el acceso de los residentes desde un portal web, sin necesidad de conocimientos de ingeniería de redes. El cumplimiento de la GDPR se gestiona mediante el acuerdo de procesamiento de datos del proveedor gestionado. El retorno comercial es medible: las investigaciones de la National Apartment Association sitúan el WiFi como servicio con una prima de alquiler de 20 a 40 dólares por unidad al mes, con periodos de desocupación de cinco a diez días más cortos gracias a una conectividad lista para su uso desde el primer día. Hablemos ahora de los fallos de implementación - porque aquí es donde los proyectos salen mal. El modo de fallo más común es un backhaul insuficiente. Dimensione su backhaul a un mínimo de un megabit por usuario concurrente, y asuma que el 30% de los usuarios estarán conectados simultáneamente. Un edificio de 200 unidades con 15 dispositivos por hogar necesita una capacidad de subida seria. El segundo modo de fallo es una configuración incorrecta de la VLAN. Verifique siempre el aislamiento de la VLAN con una prueba de penetración antes de la puesta en marcha. Un puerto troncal mal configurado puede exponer el tráfico de los residentes entre segmentos. Esto es un problema de GDPR, no solo técnico. Tercero: ignorar los dispositivos IoT. Los termostatos inteligentes, las cámaras de CCTV y los sistemas de gestión de edificios deben estar en una VLAN de IoT dedicada con políticas de enrutamiento restringidas. Colocarlos en la red de invitados es un riesgo de seguridad. Colocarlos en la red del personal es un riesgo de conformidad. Necesitan su propio segmento. Cuarto: saltarse el estudio de cobertura RF. Un estudio de radiofrecuencia adecuado mapea la cobertura de la señal, identifica las fuentes de interferencia y determina la ubicación de los puntos de acceso. El aprovisionamiento insuficiente de puntos de acceso es la causa más común de un rendimiento deficiente del WiFi. No se salte este paso. Pasemos ahora a las preguntas rápidas. ¿Necesita sustituir su hardware actual? Casi seguro que no. Purple funciona con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet como una capa de nube sobre su infraestructura existente. ¿Cuánto tiempo requiere la implementación? Una implementación en un único centro suele tardar de cuatro a seis semanas. Un despliegue en varios centros con 50 o más ubicaciones puede realizarse por fases a lo largo de tres a seis meses. ¿Qué ocurre si la plataforma de gestión en la nube se cae? Los puntos de acceso almacenan en caché su configuración localmente. Los usuarios que ya están conectados permanecen conectados. El SLA de tiempo de actividad del 99.999% cubre el plano de gestión, no solo el plano de datos. ¿Es obligatorio WPA3? Legalmente todavía no, pero es la mejor práctica para cualquier nuevo despliegue. Si su hardware lo admite, utilícelo. ¿Qué pasa con el GDPR? Si recopila datos personales a través de un captive portal, necesita una base legal en virtud del GDPR, un aviso de privacidad y un acuerdo de procesamiento de datos con su proveedor de WiFi gestionado. La Information Commissioner's Office ha impuesto multas por este tipo exacto de incumplimiento. En resumen: un proveedor de WiFi gestionado le ofrece garantías contractuales de tiempo de actividad, parches de seguridad automatizados, visibilidad de múltiples sitios desde un único panel y un activo de datos de origen propio que tiene un valor comercial directo. La arquitectura no es complicada: tres SSIDs, aislamiento de VLAN, 802.1X para el personal, un captive portal para invitados y WPA3 donde el hardware lo admita. Para entornos multiinquilino, añada iPSK o PPSK para el aislamiento por residente. La secuencia de implementación es: estudio de cobertura de RF, diseño de red, acuerdo de SLA, gobernanza de datos, prueba piloto en una zona y luego despliegue completo. Purple ha desplegado esta arquitectura en 80 000 establecimientos, procesando 440 millones de inicios de sesión en 2024. La plataforma es independiente del hardware, cuenta con la certificación ISO 27001 y cumple con el GDPR de forma predeterminada. Si es un promotor inmobiliario o un operador de BTR que está evaluando el WiFi gestionado como un servicio básico, el caso comercial es sencillo. La calidad del WiFi es uno de los de los cinco factores de servicio más importantes en los estudios de reservas residenciales. La prima de alquiler es cuantificable. Se elimina el coste operativo de gestionar routers individuales por unidad. El siguiente paso es una consulta técnica con el equipo de Purple. Evaluarán su hardware existente, diseñarán la arquitectura de VLAN y SSID para su propiedad específica y le darán un cronograma de despliegue. Puede encontrar más información en purple.ai. Gracias por escucharnos.