Soluciones de WiFi gestionado: una guía completa para empresas

PARTE 1: Bienvenido. Hoy vamos a hablar de WiFi gestionado, no del router doméstico que conectas en casa, sino de la infraestructura de nivel empresarial gestionada en la nube que sustenta desde los 800 establecimientos de Premier Inn hasta las terminales de Manchester Airports Group. Permíteme situar el escenario. Gestionas un patrimonio con múltiples ubicaciones: hoteles, tiendas, un estadio o una promoción de viviendas de alquiler de obra nueva (build-to-rent). Tu WiFi es probablemente un mosaico de sistemas. Algunas sedes tienen Cisco Meraki, otras tienen equipos HPE Aruba instalados en 2018, y en algún lugar hay una configuración Ubiquiti UniFi que instaló un contratista y que nadie entiende del todo. ¿Te suena? Ese es el problema que resuelve el WiFi gestionado. Sustituye ese mosaico por una única capa en la nube - un solo panel de control, un único motor de políticas, una misma postura de seguridad - independientemente del hardware que haya debajo. Entremos en la arquitectura. Un despliegue de WiFi gestionado correctamente diseñado ejecuta tres segmentos de red distintos. Primero, WiFi para invitados: la red de cara al público a la que se conectan los visitantes, huéspedes o clientes. Segundo, WiFi para el personal: una red independiente y autenticada para los empleados, que utiliza IEEE 802.1X con un servidor RADIUS para el acceso basado en la identidad. Tercero, una VLAN para IoT: aislada de todo lo demás, que soporta los sistemas de gestión de tu edificio, CCTV, cerraduras inteligentes y sensores. ¿Por qué tres? Porque un invitado que se conecte al WiFi de tu hotel nunca debería poder acceder a tu sistema de gestión de la propiedad. Y tus dispositivos IoT - que a menudo ejecutan firmware desactualizado y no se pueden parchear - nunca deberían ser accesibles desde la red de invitados. El aislamiento por VLAN no es opcional. Es la base de una arquitectura de red defendible. Ahora, la autenticación. Para el acceso de invitados, existen dos enfoques principales. El Captive Portal tradicional - donde un visitante abre un navegador, ve una página de bienvenida, acepta tus términos y, opcionalmente, inicia sesión a través de correo electrónico o redes sociales. Esto es lo que Purple despliega en 80.000 establecimientos en todo el mundo. Captura datos de primera mano con opciones de participación por elección consciente que cumplen plenamente con el GDPR. El segundo enfoque es Passpoint, también conocido como Hotspot 2.0 o OpenRoaming. Este método utiliza 802.11u y WPA3 para autenticar dispositivos de forma automática, sin una página de bienvenida. Purple actúa como un proveedor de identidad gratuito para OpenRoaming bajo el plan Connect. Para la autenticación del personal, el estándar de oro es IEEE 802.1X con EAP-TLS. Cada dispositivo presenta un certificado en lugar de una contraseña. Sin secretos compartidos. Te integras con Microsoft Entra ID, Okta o Google Workspace a través de SCIM y SAML. Cuando un miembro del personal se marcha, Purple revoca el acceso automáticamente. Para entornos multi-inquilino - promociones build-to-rent, residencias de estudiantes, edificios de viviendas (MDUs) - se utiliza iPSK o PPSK. Cada vivienda de los residentes recibe una clave única. El tráfico se aísla a nivel de VLAN por vivienda. El WiFi Multi-Tenant de Purple gestiona esto automáticamente, ofreciendo soporte para Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. Hablemos del despliegue. Cinco fases. Fase uno: el estudio de cobertura. Necesita un estudio de radiofrecuencia, ya sea predictivo, utilizando software como Ekahau, o activo, recorriendo las instalaciones con un analizador de espectro. Una habitación de hotel típica necesita un punto de acceso por cada dos a cuatro habitaciones, dependiendo de los materiales de construcción. Fase dos: diseño de la red. Defina su estructura de VLAN, rangos DHCP, políticas de QoS y planes de canales. 2.4 gigahercios para alcance y compatibilidad con IoT, 5 gigahercios para rendimiento, 6 gigahercios en hardware WiFi 6E para entornos de alta densidad. Fase tres: instalación de hardware. Cat 6A para cada punto de acceso, switches PoE plus con presupuestos de potencia adecuados. No subestime la capa de conmutación; es la causa más común de problemas de rendimiento que vemos en el terreno. Fase cuatro: incorporación a la nube. Conecte su hardware a la plataforma de gestión, aplique las plantillas de configuración y realice pruebas. Con Purple, esto es una capa superpuesta en la nube: usted superpone el motor de identidad, analíticas y políticas de Purple sobre su infraestructura existente. Fase cinco: gestión continua. Actualizaciones de firmware enviadas de forma centralizada. Detección de puntos de acceso no autorizados. Monitorización del ancho de banda. Alertas automatizadas cuando un punto de acceso se desconecta. La plataforma de Purple ofrece un tiempo de actividad del 99.999%, respaldado por la certificación ISO 27001. PARTE 2: Ahora permítame presentarle dos escenarios del mundo real. Escenario uno: un hotel de 200 habitaciones. Cuatro plantas, una sala de conferencias, un restaurante y un spa. El equipo de TI es de dos personas. No pueden estar allí en persona cada vez que un huésped se queja del WiFi. La solución: 85 puntos de acceso sobre hardware HPE Aruba, gestionados a través de la capa superpuesta en la nube de Purple. WiFi para huéspedes en la VLAN 10 con un portal cautivo personalizado que captura el correo electrónico al registrarse. WiFi para el personal en la VLAN 20 con autenticación 802.1X vinculada al directorio Microsoft Entra ID del hotel. IoT en la VLAN 30 que soporta el sistema de gestión del edificio y el entretenimiento en las habitaciones. El resultado: el equipo de TI gestiona todo el complejo desde un único panel de control. Las actualizaciones de firmware se realizan de noche. Las quejas de los huéspedes disminuyen porque la red se monitoriza de forma proactiva, no reactiva. Escenario dos: una promoción de viviendas de alquiler de 300 unidades. El promotor necesita un WiFi que los residentes puedan utilizar desde el primer día, que sea compatible con dispositivos domésticos inteligentes y que mantenga privado el tráfico de cada piso. La solución: el WiFi multiinquilino de Purple con iPSK. Cada unidad recibe una clave precompartida única, que se aprovisiona automáticamente cuando se crea un contrato de alquiler. Los residentes conectan sus teléfonos, portátiles, televisores inteligentes y termostatos con la misma clave. El tráfico se aísla por VLAN. El promotor ofrece WiFi como un servicio incluido en los gastos de comunidad. La red funciona con hardware Cisco Meraki con Purple como capa de gestión en la nube. Permítame darle tres reglas básicas antes de pasar a las preguntas. Regla uno: segmente todo. El tráfico de huéspedes, del personal y de IoT nunca debe compartir una VLAN. Si solo se queda con una idea de esta sesión, que sea esta. Una VLAN mal configurada ha causado más incidentes de seguridad que cualquier otro factor individual en el WiFi empresarial. Regla dos: diseña para el pico de demanda, no para la media. Un centro de conferencias con 500 asientos necesita gestionar 500 conexiones concurrentes durante una ponencia de apertura. Diseña la densidad de tus puntos de acceso y la planificación de canales para esa carga máxima, no para la media de un martes por la tarde. Regla tres: la capa de gestión en la nube no es opcional a gran escala. Si gestionas más de cinco sedes, una plataforma en la nube no es un lujo; es la única forma de mantener una postura de seguridad coherente y responder rápidamente a los incidentes. Muy bien, pasemos a una ronda de preguntas rápidas. Pregunta: ¿necesito WPA3? Respuesta: sí, para cualquier despliegue nuevo. WPA3 elimina la vulnerabilidad KRACK, introduce la Autenticación Simultánea de Iguales y es obligatorio para la certificación Wi-Fi 6. Actívalo en modo de transición para dar soporte a dispositivos antiguos. Pregunta: ¿qué ocurre con el cumplimiento de PCI-DSS para el sector de retail? Respuesta: tu red de puntos de venta debe estar en una VLAN independiente, totalmente aislada del WiFi de invitados. El requisito 1.3 de PCI-DSS exige la segmentación de red entre los entornos de datos de titulares de tarjetas y el resto de redes. Pregunta: ¿cómo gestiono el BYOD para el personal? Respuesta: utiliza 802.1X con PEAP y MSCHAPv2 para los dispositivos que no puedan ejecutar EAP-TLS. O utiliza PPSK con claves por dispositivo gestionadas a través de tu proveedor de identidad. Purple se integra con Microsoft Entra ID y Okta para automatizar esto. Pregunta: ¿cuál es el caso de ROI? Respuesta: tres cifras. El WiFi gestionado reduce el tiempo de soporte de TI para problemas de red en un promedio del 40% en comparación con la infraestructura de autogestión, según los propios datos de clientes de Purple. La captura de datos de WiFi de invitados genera datos de marketing de origen propios con un valor medio de 12 libras por perfil capturado en ingresos de marketing por correo electrónico durante 12 meses. Y un tiempo de actividad del 99,999% significa menos de seis minutos de inactividad al año. Para resumir. El WiFi gestionado no consiste solo en la conectividad. Se trata de operar una red que sea segura por diseño, observable en tiempo real y escalable sin necesidad de aumentar la plantilla. La arquitectura es sencilla: tres VLAN, gestión en la nube y autenticación basada en la identidad. La implementación es un proceso de cinco fases, desde el estudio de cobertura de la sede hasta la gestión continua. Y el caso de negocio está claro: menores costes operativos, una mejor postura de seguridad y una red que genera datos que realmente puedes utilizar. El equipo técnico de Purple puede guiarte a través de una revisión de arquitectura específica para tu sede. Hemos realizado despliegues en 80.000 espacios, registrado 440 millones de conexiones en 2024 y recopilado 29.000 millones de puntos de datos. Sabemos lo que funciona. Gracias por tu tiempo.