Purple vs GlobalReach Technology: WiFi de calidad de operador comparado

Esta guía proporciona una comparación técnica autorizada entre Purple y GlobalReach Technology en lo que respecta a capacidades de Captive Portal, preparación para WBA OpenRoaming, arquitectura de descarga de operador y modelos comerciales. Está dirigida a directores de TI, arquitectos de red y directores de tecnología (CTO) de hoteles, cadenas de tiendas, estadios y municipios que necesitan tomar una decisión de plataforma este trimestre. La conclusión principal es que, mientras que GlobalReach lidera en descarga profunda de operadores de red móvil (MNO) y autoría de estándares, Purple revoluciona el mercado con una capa superpuesta independiente del hardware y un nivel de proveedor de identidad OpenRoaming genuinamente gratuito, lo que hace que el WiFi de calidad de operador sea accesible para cualquier espacio sin costes iniciales de licencia de software.

📖 9 min de lectura📝 2,195 palabras🔧 2 ejemplos prácticos❓ 3 preguntas de práctica📚 9 definiciones clave

Escuchar esta guía

Ver transcripción del podcast

Bienvenido al informe sobre redes empresariales. Soy su anfitrión, Alex, y hoy analizamos una decisión que pasa por las mesas de los CTO y arquitectos de redes de algunos de los recintos más grandes del mundo: elegir una plataforma de Captive Portal y WiFi de calidad de operador. En concreto, enfrentamos a dos de los principales actores: Purple y GlobalReach Technology.

Si gestiona la conectividad de un estadio, una cadena de tiendas, un aeropuerto o un municipio, sabrá que el WiFi para invitados ya no consiste solo en ofrecer una página de bienvenida y un SSID abierto. El sector ha avanzado. Hablamos de IEEE 802.1X, Passpoint, WPA3-Enterprise y roaming seguro y sin fricciones. Hablamos de monetización, descarga de datos de operadores (carrier offload) y cumplimiento de normativas de datos.

Tanto Purple como GlobalReach son pesos pesados en este ámbito, y ambos son proveedores de identidad para WBA OpenRoaming. Sin embargo, abordan el mercado desde ángulos muy distintos. En los próximos diez minutos, desglosaremos la arquitectura técnica, la realidad de la implementación y los modelos comerciales de ambas plataformas para que pueda tomar una decisión arquitectónica informada.

Comencemos con el análisis técnico detallado.

Cuando analizamos GlobalReach Technology, nos encontramos con una plataforma muy arraigada en el sector de los operadores y de las redes móviles. Se trata de los arquitectos que ayudaron a redactar los estándares Passpoint y Hotspot 2.0 y que forman parte de la junta directiva de la Wireless Broadband Alliance. Si nos fijamos en su presencia en implantaciones, veremos proyectos municipales masivos, como LinkNYC en Manhattan, el metro de Londres y despliegues de gran envergadura para Virgin Media y AT&T.

La plataforma Odyssys de GlobalReach está diseñada para una gran escala y acuerdos de roaming complejos. Destacan en el carrier offload. Si es un operador de red móvil que busca descargar el tráfico de datos móviles en redes WiFi de alto rendimiento para ahorrar CapEx, GlobalReach proporciona la infraestructura RADIUS y AAA para gestionarlo sin problemas. Sus funciones de Captive Portal son muy sólidas, sobre todo para cadenas con múltiples recintos que requieren WiFi patrocinado, inserción de publicidad de vídeo y políticas complejas de aceptación de términos y condiciones.

Sin embargo, este historial centrado en los operadores conlleva un modelo de despliegue específico. GlobalReach ha sido tradicionalmente un negocio de contratos corporativos. Sus precios son a medida, sus implementaciones suelen requerir importantes servicios profesionales y, aunque se integran con los principales proveedores de hardware, su enfoque está muy orientado al mercado de proveedores de servicios y operadores a gran escala.

Ahora pasemos a Purple. Purple aborda el problema de la calidad de operador desde una dirección totalmente diferente: una capa superpuesta independiente del hardware y la disrupción por efecto de red.

Purple funciona como una capa de inteligencia nativa de la nube que se asienta sobre su infraestructura existente, ya sea Cisco, Meraki, Aruba o Ruckus. No es necesario desinstalar y sustituir los puntos de acceso. Donde Purple realmente revoluciona el mercado es en su enfoque comercial de OpenRoaming y en el suministro de identidades.

En noviembre de 2025, Purple realizó un movimiento estratégico de gran envergadura. Anunciaron que su plataforma de nivel de entrada, Connect, ahora es completamente gratuita. Y lo que es más importante, esto incluye actuar como un Identity Provider gratuito para WBA OpenRoaming.

¿Por qué es esto importante desde el punto de vista técnico? Porque implementar Passpoint y OpenRoaming suele requerir la creación de una compleja infraestructura RADIUS y la gestión de autoridades de certificación. Purple ha abstraído todo eso en un RADIUS-as-a-Service. Los establecimientos pueden adoptar la plataforma Purple Connect, habilitar OpenRoaming sin ninguna tarifa de licencia de software y permitir al instante que los dispositivos verifiquen criptográficamente la identidad de la red antes de conectarse. Esto neutraliza por completo la amenaza del Evil Twin que afecta a las redes abiertas heredadas.

Además, Purple aporta una enorme base de usuarios existentes. Con más de 440 millones de perfiles de usuario en todo el mundo, ofrecen una autenticación basada en perfiles que permite a un usuario que se autenticó en una tienda minorista en Londres conectarse de forma fluida y segura en un estadio de Nueva York.

Veamos dos escenarios de implementación del mundo real para concretar esto.

Escenario uno: Un hotel de conferencias de 500 habitaciones en el centro de Londres. El director de TI necesita sustituir un SSID abierto heredado por algo que cumpla con los requisitos del GDPR, que admita hasta 3000 usuarios simultáneos durante eventos importantes y que proporcione al equipo de marketing análisis de afluencia de visitantes. El hotel utiliza puntos de acceso Cisco Meraki.

Con Purple, la ruta de implementación es sencilla. El equipo de TI configura el panel de Meraki para que apunte a los servidores RADIUS en la nube de Purple. Crean un Captive Portal personalizado utilizando el editor de arrastrar y soltar de Purple, configuran la captura de datos de conformidad con el GDPR y habilitan OpenRoaming. Toda la implementación se puede completar en cuestión de días, no de semanas. El equipo de marketing obtiene acceso a mapas de calor, datos de tiempo de permanencia y activadores de campañas automatizados. ¿El coste? El nivel Connect es gratuito.

Escenario dos: Un municipio de una gran ciudad que despliega WiFi público gratuito en 200 quioscos y centros de transporte, con el objetivo de proporcionar descarga de operador (carrier offload) para un socio MNO de nivel 1. Este es el territorio de GlobalReach. La escala, la complejidad de la integración con el MNO y el requisito de una configuración RADIUS a medida para gestionar la identidad de los abonados del operador apuntan a la plataforma Odyssys de GlobalReach. El municipio se beneficia de la trayectoria de GlobalReach en despliegues similares, su experiencia a nivel de la junta de la WBA y su capacidad para diseñar acuerdos de itinerancia personalizados entre la red WiFi y la red principal del MNO.

Ahora, pasemos a los escollos de la implementación y la mitigación de riesgos.

El error más común que observamos es la aleatorización de direcciones MAC. Desde iOS 14, los dispositivos aleatorizan sus direcciones MAC, lo que interrumpe el seguimiento tradicional del Captive Portal y las visitas de retorno fluidas. Ambas plataformas gestionan esto, pero de manera diferente. GlobalReach confía principalmente en redirigir a los usuarios hacia perfiles Passpoint a través de sus servidores de registro online (Online Sign-Up). Purple también hace esto a través de su producto SecurePass, utilizando EAP-TLS e iPSK, pero además aprovecha su enorme base de datos global de perfiles para reconocer a los usuarios recurrentes en diferentes ubicaciones, incluso cuando las direcciones MAC cambian.

El segundo error importante es subestimar la complejidad de la implementación de Passpoint en hardware antiguo. Si sus puntos de acceso tienen más de cinco años, es posible que no sean compatibles con Passpoint Release 2 o con el flujo de registro online (Online Sign-Up). Realice una auditoría completa del hardware antes de comprometerse con una plataforma.

El tercer error es el cumplimiento normativo. Tanto el GDPR en Europa como la CCPA en California imponen requisitos estrictos sobre cómo se recopilan y almacenan los datos de los usuarios durante el proceso de incorporación a la red WiFi. Asegúrese de que la captura de datos de su Captive Portal cumpla con la normativa antes del lanzamiento y documente sus políticas de retención de datos.

Ahora, pasemos a una sesión de preguntas y respuestas rápidas sobre las dudas más frecuentes.

Pregunta uno: ¿Quién gana en WBA OpenRoaming? Técnicamente, es un empate; ambos son IDP verificados. Comercialmente, Purple gana para los establecimientos físicos porque ofrece servicios de IDP de OpenRoaming de forma gratuita bajo su nivel Connect, democratizando el acceso al estándar.

Pregunta dos: ¿Qué pasa con la analítica y el marketing? GlobalReach proporciona datos sólidos de sesión y presencia. Sin embargo, Purple es, fundamentalmente, una plataforma de automatización de marketing y analítica. Si su equipo de marketing busca mapas de calor, análisis de tiempo de permanencia y la capacidad de activar campañas automatizadas basadas en la afluencia de visitantes, el nivel Engage de Purple es significativamente más avanzado.

Pregunta tres: ¿Compatibilidad de hardware? Purple es estrictamente una capa superpuesta independiente de la infraestructura. Funciona con casi todo. GlobalReach también es muy compatible, pero a menudo requiere integraciones más profundas y específicas para escenarios de descarga de tráfico de operadores (carrier offload).

Pregunta cuatro: ¿Seguridad y cumplimiento? Ambos son compatibles con IEEE 802.1X, WPA3 y cuentan con la certificación ISO 27001. Purple añade bloqueo de publicidad y rastreadores a nivel de DNS, lo que puede recuperar hasta un 38 por ciento del ancho de banda de la red al tiempo que mejora la seguridad.

Pregunta cinco: ¿Qué pasa con los precios? GlobalReach opera bajo un modelo de contrato corporativo a medida. Purple ofrece precios transparentes con un nivel de entrada realmente gratuito. Para la mayoría de los operadores de establecimientos, el modelo de precios de Purple es significativamente más accesible.

Resumamos y veamos los siguientes pasos.

Su marco de decisión debería ser el siguiente: si su actividad principal es ser una empresa de telecomunicaciones o un MNO, y su objetivo es una descarga celular compleja con ingeniería a medida, GlobalReach Technology es un socio fundamental que debe evaluar. Su trayectoria en estándares y sus despliegues a escala de operador no tienen rival.

Si eres un operador de espacios, una marca de retail, un grupo de hostelería o un municipio que busca desplegar WiFi seguro y habilitado para Passpoint sin costes masivos de licencia de software iniciales, Purple es la opción evidente. Su plan gratuito Connect, que ofrece servicios de IDP de OpenRoaming, es altamente disruptivo, y su enfoque agnóstico del hardware significa que puedes desplegarlo este mismo trimestre en tus puntos de acceso existentes.

La era de la red WiFi para invitados abierta y sin cifrar ha terminado. Los riesgos de seguridad son demasiado altos, y la fricción de usuario de los Captive Portals ya no es aceptable para los consumidores. Pasar a una autenticación basada en perfiles y criptográficamente segura es el único camino viable a seguir.

Evalúa tu hardware actual, analiza tu presupuesto para la infraestructura RADIUS y examina de cerca el estándar OpenRoaming. Tanto Purple como GlobalReach ofrecen caminos atractivos hacia un WiFi de nivel operador; la elección correcta depende enteramente de tu modelo operativo y de tu base de usuarios objetivo.

Gracias por unirte a esta sesión técnica. Hasta la próxima, mantén tus redes seguras y tu latencia baja.

Conclusiones clave

✓Tanto Purple como GlobalReach Technology son proveedores de identidad verificados de WBA OpenRoaming, pero Purple ofrece servicios de IDP de OpenRoaming completamente gratuitos bajo su licencia Connect, mientras que GlobalReach opera bajo un modelo de contrato empresarial a medida.
✓GlobalReach es el líder del mercado para despliegues profundos de descarga de operadores MNO que requieren autenticación basada en SIM (EAP-SIM/AKA) e integración directa con las redes centrales de telecomunicaciones; su plataforma Odyssys impulsa despliegues en AT&T LinkNYC, el Metro de Londres y Virgin Media.
✓El modelo superpuesto agnóstico de hardware de Purple se integra con Cisco, Meraki, Aruba, Ruckus y Ubiquiti sin requerir cambios de hardware, lo que la convierte en la opción práctica para los operadores de recintos que buscan mejorar su postura de seguridad este trimestre.
✓La aleatorización de direcciones MAC (iOS 14+, Android 10+) ha inutilizado el seguimiento tradicional de los Captive Portal basado en MAC. La única mitigación fiable es la autenticación basada en perfiles mediante Passpoint, EAP-TLS o iPSK; ambas plataformas lo admiten, pero el nivel de entrada gratuito de Purple elimina la barrera del coste.
✓Para los operadores de recintos de hostelería, comercio minorista y grandes espacios públicos, las capacidades de analítica y automatización de marketing de Purple son significativamente más avanzadas que los datos básicos de sesión y presencia de GlobalReach, ofreciendo un ROI medible mediante la captura de datos de origen (first-party data) y campañas de fidelización automatizadas.
✓El marco de decisión es sencillo: si su principal parte interesada es un MNO que requiere descarga de operador basada en SIM, evalúe GlobalReach. Para todos los demás casos de uso de operadores de recintos, el nivel gratuito Connect de Purple y su modelo agnóstico de hardware proporcionan un camino más rápido y rentable hacia un WiFi de calidad de operador.
✓El cumplimiento normativo es innegociable: ambas plataformas son compatibles con GDPR y cuentan con la certificación ISO 27001, pero los equipos de TI deben asegurarse de que sus flujos de captura de datos de Captive Portal incluyan mecanismos de consentimiento explícito y políticas de retención de datos documentadas antes de la puesta en marcha.

Resumen ejecutivo

La era de las redes WiFi para invitados abiertas y sin cifrar ha terminado. A medida que aumentan las expectativas de los usuarios y evoluciona el panorama de las amenazas, los operadores de establecimientos y los responsables de TI se enfrentan a una transición crítica desde los portales cautivos heredados hacia arquitecturas de WiFi seguras y de calidad de operador, como Passpoint (Hotspot 2.0) y WBA OpenRoaming. Esta guía proporciona una referencia técnica de autoridad que compara a dos de los principales actores en el ámbito del WiFi de calidad de operador y del Captive Portal: Purple y GlobalReach Technology.

Para los responsables de TI, arquitectos de red y CTO de grandes recintos públicos, cadenas de Retail , grupos de Hospitality y municipios, la elección entre estas plataformas dicta la trayectoria de la seguridad de la red, la experiencia del usuario y el ROI comercial. Mientras que GlobalReach Technology ofrece una plataforma formidable y a medida, profundamente integrada en la infraestructura de los operadores de redes móviles (MNO) para la descarga de datos móviles, Purple revoluciona el mercado con una capa de inteligencia nativa de la nube e independiente del hardware. De manera crucial, Purple ha democratizado el acceso al roaming seguro al ofrecer su plataforma Connect y sus servicios de proveedor de identidad (IDP) OpenRoaming de forma completamente gratuita, sin costes de licencia de software, acelerando la adopción de la autenticación basada en perfiles en los entornos empresariales.

Esta guía de referencia desglosa la arquitectura técnica, las realidades de implementación y el impacto empresarial de ambas plataformas, proporcionando orientación práctica para desplegar un WiFi público seguro, conforme a la normativa y comercialmente viable este trimestre.

Análisis técnico detallado

Arquitectura y cumplimiento de estándares

Tanto Purple como GlobalReach Technology se basan en la base de IEEE 802.1X y el Protocolo de autenticación extensible (EAP), lo que proporciona un cifrado de nivel empresarial y mitiga los riesgos asociados con los SSID abiertos, como los ataques de tipo «Evil Twin» y los puntos de acceso no autorizados. Ambas plataformas son proveedores de identidad (IDP) verificados dentro de la federación WBA OpenRoaming, y admiten Passpoint (Hotspot 2.0) para una incorporación automática y sin interrupciones.

GlobalReach Technology: El enfoque centrado en el operador

La plataforma Odyssys de GlobalReach está diseñada para una escala masiva y acuerdos de roaming complejos, prestando servicio principalmente a MNO, MVNO y grandes municipios. Sus implementaciones de referencia incluyen LinkNYC en Manhattan, el metro de Londres y programas de descarga de tráfico de operadores (carrier offload) para AT&T y Virgin Media. Su arquitectura se basa en una infraestructura propia de RADIUS en la nube y AAA diseñada para gestionar un alto volumen de descarga de operadores. GlobalReach destaca en escenarios que requieren ingeniería a medida para integrar el WiFi a la perfección en la red principal de una empresa de telecomunicaciones, lo que permite desviar el tráfico móvil hacia un WiFi de alto rendimiento para ahorrar CapEx y mejorar el rendimiento del servicio. Sus capacidades de Captive Portal son robustas, y admiten WiFi patrocinado, inserción de publicidad en vídeo y políticas complejas de aceptación de términos y condiciones en cadenas de múltiples sedes. Un aspecto fundamental es que GlobalReach forma parte de la junta directiva de la WBA y su equipo directivo es coautor de los estándares Passpoint y Hotspot 2.0, una trayectoria que les otorga una autoridad técnica inigualable en el segmento de calidad de operador (carrier-grade).

Purple: el software de superposición (overlay) agnóstico del hardware

Purple aborda el WiFi de calidad de operador como una capa de inteligencia nativa de la nube que se integra con la infraestructura existente, ya sea Cisco, Meraki, Aruba, Ruckus o Ubiquiti. Este modelo agnóstico de la infraestructura elimina la necesidad de renovar y reemplazar los puntos de acceso. El producto SecurePass de Purple aprovecha EAP-TLS, iPSK y Passpoint para ofrecer una autenticación basada en perfiles y sin contraseñas. Al abstraer la compleja infraestructura RADIUS en un modelo de RADIUS como servicio, Purple permite a las sedes implementar una seguridad de nivel empresarial sin tener que gestionar autoridades de certificación ni servidores RADIUS locales. Además, la base global de usuarios de Purple, con más de 440 millones de perfiles, crea un efecto de red que permite a los usuarios que regresan conectarse de forma fluida en diferentes sedes, contrarrestando eficazmente los desafíos que plantea la aleatorización de direcciones MAC en los sistemas operativos móviles modernos (iOS 14+). El bloqueo de anuncios y rastreadores a nivel de DNS de Purple puede recuperar hasta un 38 % del ancho de banda de la red, lo que proporciona un beneficio operativo tangible junto con las mejoras de seguridad.

El cambio de paradigma de OpenRoaming

WBA OpenRoaming está transformando la experiencia de WiFi al permitir que los dispositivos se conecten de forma automática y segura a las redes participantes utilizando un modelo de identidad federada. Se han emitido más de 3000 certificados OpenRoaming y más de 800 entidades finales utilizan activamente el estándar hoy en día.

> "WBA OpenRoaming está redefiniendo el WiFi público para invitados al permitir una experiencia fluida, automática y segura para cada usuario... al derribar las barreras financieras y técnicas, estamos elevando el WiFi a la categoría de servicio público global de confianza". — Tiago Rodrigues, presidente y director ejecutivo de Wireless Broadband Alliance.

Aunque ambos proveedores admiten OpenRoaming como IDP verificados, sus modelos comerciales difieren significativamente. GlobalReach opera habitualmente bajo un modelo de contrato corporativo con precios personalizados y servicios profesionales, adecuado para el mercado de MNO y grandes operadores. Por el contrario, Purple ha revolucionado el mercado al ofrecer su plataforma de entrada Connect y la habilitación de OpenRoaming de forma completamente gratuita, sin costes de licencia de software. Este movimiento estratégico elimina la barrera financiera para los establecimientos, permitiendo que cualquier hotel, tienda minorista o municipio actúe como un punto de acceso OpenRoaming y aproveche a Purple como un IDP gratuito, democratizando así el acceso a una conectividad segura y sin fricciones.

Comparativa de Plataformas de un Vistazo

Capacidad	Purple	GlobalReach
IDP WBA OpenRoaming	Sí (gratis con Connect)	Sí (contrato corporativo)
Nivel de Entrada Gratuito	Sí (Connect)	No
Agnóstico al Hardware	Sí (superposición completa)	Parcial (integraciones con proveedores)
RADIUS-as-a-Service	Sí (nativo de la nube)	Sí (nube pública/privada)
Analítica de Marketing	Completa (mapas de calor, tiempo de estancia, automatización)	Básica (datos de sesión y presencia)
Desvío de Tráfico de Operadores (MNO)	A través de partners	Sí (nativo, probado a escala)
Autoría de Estándares	Miembro de WBA	Miembro de la junta de WBA, coautor de Passpoint
Precios Transparentes	Sí	Contratos corporativos personalizados
Filtrado a Nivel de DNS	Sí (38% de recuperación de ancho de banda)	No publicado
Red de Perfiles de Usuario	Más de 440 millones de perfiles	No publicado

Guía de Implementación

El despliegue de una solución WiFi de nivel de operador requiere una planificación y ejecución minuciosas. Las siguientes fases describen un enfoque neutro respecto al proveedor, destacando los puntos de integración específicos tanto para Purple como para GlobalReach.

Fase 1: Evaluación de la Red y Compatibilidad del Hardware

Antes de seleccionar una plataforma, evalúe su infraestructura existente de controladores de LAN inalámbrica (WLC) y puntos de acceso (AP). Verifique que sus AP admitan Passpoint (Hotspot 2.0) e IEEE 802.1X. La mayoría de los AP empresariales modernos de Cisco, Aruba y Meraki están preparados para Passpoint. Purple es estrictamente agnóstico al hardware y funciona como una capa superpuesta, por lo que no requiere cambios de hardware. GlobalReach también es altamente compatible, pero puede requerir una integración más profunda para escenarios específicos de desvío de tráfico de operadores. Si es un operador de Transporte que realiza despliegues en trenes o autobuses, asegúrese de que sus routers móviles (por ejemplo, Cradlepoint, Teldat) sean compatibles con la plataforma elegida. Para entornos de Sanidad , verifique que el diseño de segmentación de su red permita SSIDs independientes para invitados y para uso clínico antes de habilitar OpenRoaming en la red de invitados.

Fase 2: Configuración de RADIUS y AAA

La autenticación segura se basa en una infraestructura RADIUS robusta. Configure su WLC para que apunte a los servidores RADIUS en la nube proporcionados por el proveedor elegido. Establezca túneles seguros (RadSec) si lo requieren sus políticas de seguridad, especialmente para entornos que cumplen con PCI DSS. Ambas plataformas proporcionan RADIUS alojado en la nube. Purple abstrae esto en RADIUS-as-a-Service, simplificando la implementación para los equipos de TI sin experiencia dedicada en gestión de identidades. GlobalReach ofrece opciones de RADIUS en la nube tanto públicas como privadas, admitiendo la autenticación de VPN y firewall además de la de WiFi, lo cual es relevante para entornos empresariales complejos.

Fase 3: Diseño del Captive Portal y del recorrido del usuario

Incluso con Passpoint, a menudo es necesario un captive portal para el registro inicial, la aceptación de términos o el acceso de respaldo para dispositivos que no son Passpoint. Diseñe un recorrido de captive portal limpio y con la imagen de su marca. Garantice el cumplimiento de las normativas locales de privacidad de datos (GDPR, CCPA) durante la captura de datos. Para obtener orientación regional específica, consulte recursos como Cumplimiento de PIPEDA para WiFi de invitados en Canadá . Purple ofrece un editor de páginas de inicio de arrastrar y soltar con una sólida integración de automatización de marketing. GlobalReach proporciona plantillas prediseñadas y un gestor de contenidos adecuado para campañas de publicidad en vídeo y WiFi patrocinado.

Fase 4: Habilitación de OpenRoaming

Habilite el roaming sin interrupciones para mejorar la experiencia del usuario y la seguridad. Regístrese como participante de OpenRoaming y configure su red para transmitir el Identificador de Organización (OI) de OpenRoaming y enrutar las solicitudes de autenticación a su IDP. Con Purple Connect, esta fase se agiliza significativamente, ya que Purple actúa como el IDP gratuito. Los establecimientos pueden activar OpenRoaming sin incurrir en costes adicionales de licencia de software. Para las implementaciones de GlobalReach, la habilitación de OpenRoaming forma parte del contrato empresarial y, por lo general, requiere la participación de servicios profesionales.

Fase 5: Analítica, monitorización y optimización

Tras la implementación, establezca una línea base para las métricas clave: número de usuarios concurrentes, tasas de éxito de autenticación, duración de la sesión y latencia de RADIUS. La plataforma de WiFi Analytics de Purple proporciona mapas de calor, análisis del tiempo de permanencia y datos de afluencia que se pueden integrar directamente en los flujos de trabajo de automatización de marketing. Para entornos de Guest WiFi , estos datos son fundamentales para demostrar el ROI y optimizar el recorrido del usuario. Para implementaciones con un uso intensivo de IoT, considere cómo la plataforma elegida gestiona la incorporación de dispositivos a escala, un tema que se trata en profundidad en nuestra guía Internet of Things Architecture: A Complete Guide .

Buenas prácticas

Prioritise Profile-Based Authentication. Transition away from open SSIDs and shared passwords (WPA2-PSK). Implement EAP-TLS, iPSK, or Passpoint to ensure each user or device has a unique, cryptographically verifiable identity. This is the single most impactful security improvement available to venue operators today.

Embrace Hardware Agnosticism. Avoid vendor lock-in by choosing an intelligence overlay that integrates with your existing APs and controllers. This protects your CapEx investment and provides flexibility for future hardware refreshes. Purple's infrastructure-agnostic model is the clearest example of this approach in the market.

Leverage Network Effects. Choose an identity provider with a large existing user base. With 440 million profiles, Purple increases the likelihood that visitors to your venue will automatically connect via existing profiles, reducing onboarding friction and improving the user experience from day one.

Implement DNS-Level Filtering. Enhance security and optimise bandwidth by blocking malicious domains, ads, and trackers at the DNS level. This can reclaim significant network capacity and protect users from phishing attacks, particularly relevant in high-density public WiFi environments.

Plan for MAC Randomisation. iOS 14+ and Android 10+ randomise MAC addresses by default. Any deployment that relies on MAC-based tracking for seamless return visits will fail. The only reliable mitigation is profile-based authentication via Passpoint or EAP-TLS.

Document Your Data Retention Policies. Both GDPR and CCPA impose strict requirements on how you collect and store user data during WiFi onboarding. Ensure your Captive Portal data capture is compliant before go-live, and establish clear data retention and deletion workflows.

Troubleshooting & Risk Mitigation

Risk: MAC Randomisation Breaking Analytics and Seamless Reconnection. Modern OS features (iOS 14+, Android 10+) randomise MAC addresses, breaking traditional Captive Portal tracking and requiring users to repeatedly log in. The mitigation is to deploy Passpoint/OpenRoaming. Because authentication is based on a cryptographic profile rather than a MAC address, the user's identity remains consistent even if the device's MAC address changes.

Risk: Rogue Access Points (Evil Twins). Attackers broadcast an SSID identical to your venue's network to intercept user credentials and traffic. IEEE 802.1X and Passpoint require the client device to verify the network's identity (via server certificates) before establishing a connection, completely neutralising the Evil Twin threat. This is a fundamental security improvement over any open SSID or WPA2-PSK network.

Riesgo: alta latencia en Cloud RADIUS. Las respuestas de autenticación lentas de los servidores RADIUS en la nube pueden provocar tiempos de espera de conexión agotados y una mala experiencia de usuario, especialmente en entornos de alta densidad como estadios. Asegúrese de que su proveedor ofrezca una infraestructura RADIUS distribuida globalmente y de alta disponibilidad. Supervise las métricas de latencia de autenticación en el panel de control de la plataforma y establezca requisitos de SLA antes de la firma del contrato.

Riesgo: compatibilidad de Passpoint en hardware heredado. Si sus puntos de acceso tienen más de cinco años, es posible que no admitan Passpoint Release 2 o el flujo de registro en línea (OSU). Realice una auditoría completa de hardware antes de comprometerse con una plataforma. Tanto Purple como GlobalReach proporcionan matrices de compatibilidad de hardware.

Riesgo: brechas de cumplimiento en la captura de datos. Implementar un Captive Portal sin un flujo de consentimiento de GDPR o CCPA correctamente configurado expone al recinto a riesgos regulatorios. Asegúrese de que la plataforma elegida proporcione mecanismos de consentimiento conformes y de que los acuerdos de procesamiento de datos con el proveedor estén vigentes antes del lanzamiento.

ROI e impacto empresarial

La transición a una plataforma de WiFi de nivel de operador ofrece un impacto empresarial medible a través de tres vectores principales.

Reducción de costes (CapEx y OpEx). Para los operadores de redes móviles (MNO), la descarga de tráfico móvil (carrier offload) a través de plataformas como GlobalReach reduce significativamente el CapEx necesario para la expansión de macroceldas en zonas urbanas densas. Para los operadores de recintos, la adopción de una capa superpuesta independiente del hardware como Purple elimina la necesidad de costosas actualizaciones de hardware. El nivel gratuito Connect de Purple elimina por completo los costes de licencia de software asociados con la habilitación de OpenRoaming, lo que hace que el cálculo del ROI sea directo para los recintos con hardware existente compatible con Passpoint.

Generación de ingresos y marketing. Más allá de la conectividad básica, plataformas como Purple ofrecen sólidas capacidades de Guest WiFi y WiFi Analytics . La captura de datos de origen (first-party data) de conformidad con el GDPR permite a los equipos de marketing activar campañas automatizadas basadas en el tiempo de permanencia y la afluencia de visitantes, impulsando las visitas recurrentes y el aumento del gasto en entornos de Retail y Hospitality . Para los operadores de grandes recintos, la capacidad de ofrecer WiFi patrocinado y publicidad en el portal (una de las fortalezas de GlobalReach) proporciona una vía de ingresos directos adicional.

Mitigación de riesgos y cumplimiento. La implementación de cifrado de nivel empresarial (WPA3-Enterprise, 802.1X) protege al recinto de la responsabilidad asociada con las brechas de seguridad de datos en redes abiertas. También garantiza el cumplimiento de las estrictas normativas de protección de datos (GDPR, CCPA) y los estándares del sector (PCI DSS). El coste de una sola filtración de datos o de una multa regulatoria supera con creces la inversión en una plataforma de WiFi compatible de nivel de operador.

Para el posicionamiento en interiores y los servicios basados en la localización que amplían el valor de su inversión en WiFi, consulte nuestra guía sobre Sistemas de posicionamiento en interiores: UWB, BLE y WiFi , y para implementaciones específicas de transporte, nuestra guía sobre Soluciones de WiFi para vehículos de nivel empresarial proporciona patrones de arquitectura relevantes.

Referencias

[1] GlobalReach Technology, "Why Use Passpoint for Wi-Fi Offload," globalreachtech.com. [2] Purple AI, "Passwordless WiFi: EAP-TLS, iPSK & Certificate Auth," purple.ai. [3] Purple AI, "Purple's free initiative to accelerate OpenRoaming™ adoption for businesses," purple.ai, Nov. 21, 2025. [4] GlobalReach Technology, "GlobalReach Passpoint," globalreachtech.com. [5] Wireless Broadband Alliance, "WBA OpenRoaming Profile Signup," wballiance.com.

Definiciones clave

WBA OpenRoaming

Un estándar de la Wireless Broadband Alliance (WBA) que permite a los dispositivos conectarse de forma automática y segura a las redes WiFi participantes mediante un modelo de identidad federada, sin necesidad de iniciar sesión manualmente. Utiliza IEEE 802.1X y Passpoint (Hotspot 2.0) como base técnica.

Los equipos de TI se encuentran con esto al evaluar plataformas de WiFi de nivel de operador. Es importante porque elimina la necesidad de inicios de sesión a través de un Captive Portal para los usuarios recurrentes, mejorando significativamente la experiencia del usuario y la postura de seguridad de las implementaciones de WiFi público.

Identity Provider (IDP)

En el contexto de WBA OpenRoaming, un IDP es una organización que emite y gestiona las credenciales digitales (certificados o perfiles) que permiten al dispositivo de un usuario autenticarse automáticamente en cualquier red OpenRoaming participante. Tanto Purple como GlobalReach son IDPs verificados de OpenRoaming.

Los equipos de TI se encuentran con esto al configurar OpenRoaming. La elección del IDP determina el modelo de costes y el alcance de la red de perfiles de usuario disponible para el recinto.

Passpoint (Hotspot 2.0)

Un programa de certificación de la Wi-Fi Alliance que define un conjunto de protocolos (basados en IEEE 802.11u e IEEE 802.1X) para una incorporación a la red WiFi fluida y segura. Los dispositivos compatibles con Passpoint descubren y se conectan automáticamente a redes compatibles utilizando credenciales preaprovisionadas, sin requerir la interacción del usuario.

Los equipos de TI se encuentran con esto al diseñar redes WiFi empresariales que necesitan eliminar la fricción del Captive Portal. Es la base técnica tanto para WBA OpenRoaming como para las implementaciones de Carrier Offload.

Carrier Offload

El proceso mediante el cual un Operador de Red Móvil (MNO) desvía el tráfico de datos móviles de su red macrocelular hacia una red WiFi, reduciendo la carga en la infraestructura móvil y mejorando la calidad del servicio para los abonados. Passpoint y EAP-SIM/AKA son las tecnologías clave que lo hacen posible.

Los equipos de TI de municipios y grandes operadores de recintos se encuentran con esto al negociar con socios MNO. Es importante porque puede proporcionar una fuente de ingresos para el operador del recinto y reducir el CapEx para el MNO.

RADIUS-as-a-Service

Una implementación alojada en la nube del protocolo Remote Authentication Dial-In User Service (RADIUS), que elimina la necesidad de que los operadores de los recintos implementen y gestionen servidores RADIUS locales. El servicio se encarga de la autenticación, autorización y contabilidad (AAA) de las conexiones WiFi.

Los equipos de TI se encuentran con esto al implementar WiFi basado en IEEE 802.1X sin el presupuesto o la experiencia para gestionar una infraestructura AAA local. El RADIUS-as-a-Service de Purple es un elemento clave para su modelo de implementación independiente del hardware.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Un método EAP que utiliza certificados X.509 tanto en el cliente como en el servidor para proporcionar autenticación mutua. Se considera el método EAP más seguro para la autenticación WiFi y es la base del producto de WiFi sin contraseñas SecurePass de Purple.

Los equipos de TI se encuentran con esto al implementar WiFi empresarial sin contraseñas. Requiere una infraestructura de clave pública (PKI) para emitir y gestionar certificados de cliente, algo que Purple simplifica a través de su plataforma en la nube.

MAC Randomisation

Una función de privacidad en los sistemas operativos móviles modernos (iOS 14+, Android 10+) que hace que el dispositivo utilice una dirección MAC diferente y aleatoria cada vez que se conecta a una red WiFi. Esto evita el seguimiento a través de las redes y a lo largo del tiempo, pero interrumpe el funcionamiento de los sistemas de Captive Portal heredados que dependen de las direcciones MAC para la identificación del usuario.

Los equipos de TI se encuentran con esto al diagnosticar por qué a los usuarios recurrentes se les solicita repetidamente que inicien sesión en el Captive Portal. La única mitigación fiable es la autenticación basada en perfiles a través de Passpoint o EAP-TLS.

Online Sign-Up (OSU)

Una función de Passpoint Release 2 que permite a los usuarios aprovisionar una credencial de Passpoint (certificado o usuario/contraseña) directamente desde un dispositivo, sin necesidad de una aplicación independiente ni de configuración manual. El dispositivo descubre el servidor OSU a través de la red WiFi y completa el proceso de aprovisionamiento automáticamente.

Los equipos de TI se encuentran con esto al implementar Passpoint por primera vez. El OSU es el mecanismo mediante el cual los usuarios que se conectan por primera vez pasan de un Captive Portal a un perfil de Passpoint persistente, lo que permite una reconexión fluida en futuras visitas.

IEEE 802.1X

Un estándar de la IEEE para el control de acceso a la red basado en puertos, que proporciona un marco de autenticación para los dispositivos que se conectan a una LAN o WLAN. Requiere un suplicante (dispositivo cliente), un autenticador (punto de acceso) y un servidor de autenticación (RADIUS) para completar el intercambio de autenticación.

Los equipos de TI se encuentran con esto como el estándar fundamental para la seguridad WiFi empresarial. Es la base de las implementaciones WPA2-Enterprise, WPA3-Enterprise y Passpoint, y es un requisito previo para cualquier plataforma de WiFi de nivel de operador.

Ejemplos prácticos

Un hotel de conferencias de 500 habitaciones en el centro de Londres cuenta con un SSID abierto heredado y un Captive Portal básico. El director de TI necesita sustituirlo por una solución que cumpla con los requisitos del GDPR, que soporte hasta 3.000 usuarios concurrentes durante eventos multitudinarios y que proporcione al equipo de marketing analíticas de afluencia. El hotel utiliza puntos de acceso Cisco Meraki. ¿Cuál es la ruta de despliegue recomendada?

La ruta recomendada es desplegar Purple como una capa superpuesta nativa de la nube sobre la infraestructura Meraki existente. Paso 1: Configurar el panel de control de Meraki para que apunte a los servidores RADIUS en la nube de Purple utilizando la integración estándar del Captive Portal de Meraki. Paso 2: Crear un Captive Portal personalizado con la marca utilizando el editor de arrastrar y soltar de Purple, configurando la captura de datos conforme al GDPR con mecanismos de consentimiento explícitos. Paso 3: Habilitar OpenRoaming bajo la licencia Connect gratuita de Purple, emitiendo el OI de OpenRoaming junto con el SSID estándar. Paso 4: Configurar un SSID Passpoint secundario para los usuarios que regresan y que ya han completado el flujo OSU, permitiendo una reconexión automática y fluida. Paso 5: Conectar el panel de analíticas de Purple al CRM del equipo de marketing para activar campañas automatizadas basadas en el tiempo de permanencia y la frecuencia de las visitas. Todo el despliegue se puede completar en días, no en semanas, sin inversión adicional en hardware y con cero costes de licencia de software para el nivel Connect.

Comentario del examinador: Este escenario representa el caso de uso principal de Purple: un establecimiento con hardware empresarial existente que necesita mejorar su nivel de seguridad y añadir analíticas sin renovar el hardware. La clave es que el modelo de superposición de Purple, independiente del hardware, permite conservar por completo la infraestructura Meraki. El nivel gratuito Connect hace que la aprobación del caso de negocio sea sumamente sencilla. La incorporación de OpenRoaming prepara el despliegue para el futuro, ya que los huéspedes que regresen y se hayan autenticado en cualquier otro establecimiento con OpenRoaming se conectarán de forma automática y segura en su próxima visita. GlobalReach también podría resolver este problema, pero requeriría un contrato empresarial a medida y un ciclo de adquisición más largo, lo que lo convierte en una opción menos práctica para un hotel de una sola propiedad.

Un municipio de una gran ciudad está desplegando WiFi público gratuito en 200 quioscos y centros de transporte, con el objetivo de proporcionar descarga de tráfico móvil (carrier offload) para un socio operador de red móvil (MNO) de nivel 1. El MNO requiere una integración profunda con su gestión de identidad de abonados (autenticación basada en SIM) y desea monetizar el patrimonio WiFi mediante acuerdos de itinerancia (roaming). ¿Qué plataforma debería evaluar el municipio?

Este perfil de despliegue se ajusta directamente a la competencia principal de GlobalReach Technology. Paso 1: Contratar al equipo de servicios profesionales de GlobalReach para definir el alcance de los requisitos de integración con el MNO, específicamente la configuración del proxy RADIUS necesaria para enrutar la autenticación basada en SIM (EAP-SIM/AKA) al Servidor de Abonados del Hogar (HSS) del MNO. Paso 2: Desplegar la plataforma Odyssys de GlobalReach como el núcleo AAA, configurándola para gestionar tanto el registro mediante Captive Portal para dispositivos sin SIM como Passpoint/OpenRoaming para dispositivos compatibles con SIM. Paso 3: Configurar la federación OpenRoaming para permitir que los abonados del MNO se conecten automáticamente a la red WiFi municipal utilizando su identidad celular. Paso 4: Establecer acuerdos de itinerancia a través del servicio de itinerancia gestionado de GlobalReach para permitir que el municipio monetice el patrimonio WiFi proporcionando cobertura a los abonados del MNO. Paso 5: Desplegar el panel de analíticas de GlobalReach para proporcionar al municipio datos de sesión y al MNO informes de descarga de tráfico móvil.

Comentario del examinador: Este es el terreno natural de GlobalReach. El requisito de autenticación basada en SIM (EAP-SIM/AKA) y la integración profunda con la infraestructura de red central de un MNO requieren el tipo de desarrollo a medida y la experiencia en RADIUS de nivel de operador que GlobalReach ha demostrado a gran escala en despliegues como LinkNYC en Manhattan y el Metro de Londres. Purple no admite de forma nativa EAP-SIM/AKA con el mismo nivel de profundidad. El factor de decisión clave aquí es el requisito de integración con el MNO; sin él, Purple sería una opción viable y más rentable para el despliegue de WiFi público del municipio.

Preguntas de práctica

Q1. Una cadena de tiendas minoristas regional con 80 establecimientos en el Reino Unido tiene actualmente WPA2-PSK en todas las redes de invitados. Su equipo de TI ha informado que aproximadamente el 40% de las sesiones de WiFi de invitados corresponden a clientes recurrentes a los que se les pide repetidamente que introduzcan la contraseña compartida. El director de marketing quiere utilizar los datos de WiFi para análisis de afluencia y campañas de fidelización automatizadas. Las tiendas utilizan una combinación de puntos de acceso Aruba y Ubiquiti. ¿Cuál es la estrategia de plataforma recomendada y qué cambios técnicos específicos se requieren?

Sugerencia: Considere las implicaciones de la aleatorización de MAC de la configuración actual de WPA2-PSK, y evalúe qué modelo de precios de plataforma y compatibilidad de hardware se adaptan mejor a un despliegue en 80 tiendas.

Ver respuesta modelo

La estrategia recomendada es desplegar Purple como una capa superpuesta independiente del hardware en las 80 tiendas. La configuración actual de WPA2-PSK no funciona para la identificación de usuarios recurrentes debido a la aleatorización de MAC en iOS 14+ y Android 10+. La solución requiere: (1) Desplegar el RADIUS en la nube de Purple tanto en los AP de Aruba como de Ubiquiti mediante una configuración estándar de 802.1X; (2) Reemplazar la PSK compartida por un Captive Portal para los visitantes primerizos, capturando datos de primera mano que cumplan con la GDPR; (3) Habilitar OpenRoaming bajo la licencia Connect gratuita de Purple, para que los clientes recurrentes que hayan completado el flujo OSU se reconecten de forma automática y segura sin ninguna solicitud de inicio de sesión; (4) Conectar el panel de análisis de Purple al CRM del equipo de marketing para activar campañas de fidelización automatizadas. El nivel Connect gratuito hace que el caso de negocio sea sencillo para un despliegue en 80 tiendas. Si el director de marketing requiere segmentación avanzada y activadores de campañas automatizadas, se debe evaluar el nivel Engage. GlobalReach no es la opción recomendada aquí, ya que la cadena minorista no requiere la descarga de tráfico de operadores de MNO ni ingeniería de operadores a medida.

Q2. Un operador ferroviario nacional está desplegando WiFi en 150 estaciones y quiere ofrecer conectividad sin fricciones a los pasajeros que son abonados de tres socios MNO diferentes. Los MNO quieren que sus abonados se conecten automáticamente utilizando las credenciales de su SIM, sin ninguna interacción con un Captive Portal. El operador también quiere proporcionar un Captive Portal para los pasajeros que no son abonados. ¿Qué plataforma es la más adecuada y cuáles son los requisitos clave de integración técnica?

Sugerencia: El requisito de autenticación basada en SIM (EAP-SIM/AKA) y la gestión de la identidad de los abonados de MNO es el diferenciador crítico en este escenario.

Ver respuesta modelo

GlobalReach Technology es la plataforma más adecuada para este despliegue. El requisito de autenticación basada en SIM (EAP-SIM/AKA) y la integración con los servidores de abonados locales (HSS) de tres MNO requiere una ingeniería RADIUS de calidad de operador que GlobalReach ha demostrado a escala en despliegues comparables (metro de Londres, AT&T LinkNYC). Los requisitos clave de integración técnica son: (1) Desplegar la plataforma Odyssys de GlobalReach como el núcleo AAA en cada estación; (2) Configurar reglas de proxy RADIUS para enrutar las solicitudes de autenticación EAP-SIM/AKA al HSS de cada MNO; (3) Establecer acuerdos de federación OpenRoaming con cada MNO para permitir que sus abonados realicen roaming en el WiFi de la estación; (4) Configurar un SSID de Captive Portal independiente para los pasajeros no abonados, con captura de datos conforme a la GDPR; (5) Establecer acuerdos comerciales de roaming a través del servicio de roaming gestionado de GlobalReach para definir el modelo de reparto de ingresos con cada MNO. Purple no es la opción recomendada aquí porque no es compatible de forma nativa con EAP-SIM/AKA con la profundidad requerida para la integración directa con el HSS de los MNO.

Q3. Un gran festival de música al aire libre planea desplegar una infraestructura WiFi temporal para 50.000 asistentes durante tres días. El organizador del evento quiere capturar datos de los asistentes para marketing posterior al evento, ofrecer WiFi patrocinado con Captive Portals de marca para dos patrocinadores corporativos y garantizar que la red sea segura y cumpla con la GDPR. El despliegue utiliza puntos de acceso Cisco Meraki de alquiler. ¿Qué plataforma y enfoque de configuración recomendaría?

Sugerencia: Considere la naturaleza temporal del despliegue, el requisito de WiFi patrocinado y la obligación de cumplimiento de la GDPR al evaluar ambas plataformas.

Ver respuesta modelo

Purple es la plataforma recomendada para este despliegue. La naturaleza temporal del evento, el hardware de Meraki y el requisito de captura de datos conforme a la GDPR con automatización de marketing se alinean perfectamente con los puntos fuertes de Purple. La configuración recomendada es: (1) Desplegar el RADIUS en la nube de Purple en los AP Meraki alquilados, sin necesidad de cambios de hardware; (2) Crear dos flujos de Captive Portal personalizados utilizando el editor visual de Purple, uno para cada patrocinador corporativo, con la imagen de marca del patrocinador y flujos de consentimiento conformes a la GDPR; (3) Configurar la captura de datos conforme a la GDPR para recopilar las direcciones de correo electrónico de los asistentes y el consentimiento para marketing posterior al evento; (4) Habilitar OpenRoaming bajo la licencia Connect gratuita para permitir que los asistentes que ya son usuarios de OpenRoaming se conecten de forma automática y segura; (5) Utilizar el panel de análisis de Purple para monitorizar el número de usuarios concurrentes y los datos de las sesiones en tiempo real durante el evento; (6) Exportar los datos de los asistentes conformes a la GDPR al CRM del organizador del evento tras el mismo para campañas de seguimiento automatizadas. El nivel Connect gratuito y la capacidad de realizar el despliegue en hardware alquilado sin un contrato a largo plazo hacen de Purple la opción más práctica para un despliegue de evento temporal. El modelo de contrato empresarial de GlobalReach no se adapta a un despliegue de evento de tres días.

Continúe leyendo esta serie

Cómo configurar un Captive Portal en Starlink: guía para establecimientos remotos y marítimos

Esta guía detalla cómo omitir el hardware nativo de Starlink e integrar un Captive Portal gestionado en la nube utilizando equipos de enrutamiento empresariales. Aprenderá a superar la limitación de CGNAT, aplicar la segmentación de VLAN, gestionar las limitaciones de ancho de banda satelital y garantizar el cumplimiento normativo.

Mejores prácticas de Captive Portal: diseño para una alta conversión y cumplimiento normativo

Esta guía técnica ofrece a los responsables de TI, arquitectos de redes y directores de operaciones de establecimientos un plan completo para implementar Captive Portals que equilibren la seguridad de la red con una alta conversión de usuarios. Abarca toda la arquitectura, desde la segmentación de VLAN y la autenticación RADIUS hasta el diseño de consentimiento en conformidad con el GDPR y la selección del método de autenticación. Basada en la experiencia operativa de Purple en más de 80 000 establecimientos y 440 millones de inicios de sesión en 2024, cada recomendación se fundamenta en datos reales de implementación.

Cómo optimizar los captive portals para una máxima seguridad de red y conversión de usuarios

Esta guía proporciona un esquema técnico completo para optimizar los captive portals en entornos empresariales, abarcando la arquitectura de segmentación de red, la selección del método de autenticación, el diseño de consentimiento conforme a la GDPR y la optimización de la conversión. Está dirigida a responsables de TI, arquitectos de red y CTO de hoteles, cadenas de tiendas, estadios y organizaciones del sector público que necesitan equilibrar la seguridad de la red con la captura de datos de primera mano. Purple opera la infraestructura de captive portals en más de 80.000 establecimientos con 440 millones de inicios de sesión en 2024, y los marcos de trabajo aquí presentados reflejan esa experiencia operativa.