Servicios de WiFi gestionado: una guía completa para empresas

Bienvenido al informe técnico de Purple. Hoy vamos a analizar los servicios de WiFi gestionado: qué son en realidad, cómo desplegarlos correctamente y por qué son tan importantes si estás desarrollando o gestionando propiedades de alquiler residencial para construir o edificios multifamiliares. [medium pause] Empecemos con un poco de contexto. Más del 50 % de los posibles inquilinos sitúan ahora la conectividad a internet fiable como uno de los tres factores principales a la hora de elegir dónde vivir. No se trata de una simple preferencia, sino de una realidad comercial ineludible. Las propiedades que ofrecen WiFi gestionado como un servicio incluido registran de manera constante mayores puntuaciones de satisfacción neta del cliente y una menor rotación que aquellas que dejan que los residentes resuelvan su propia conexión de banda ancha. Así que, si sigues tratando la conectividad como el problema de otra persona, este informe es para ti. [medium pause] ¿Qué es exactamente un servicio de WiFi gestionado? En esencia, es una red inalámbrica diseñada, instalada y monitorizada de forma continua por profesionales que se ofrece como servicio. No compras el hardware y esperas que todo vaya bien. Contratas a un proveedor para que se encargue del diseño, el despliegue, la monitorización continua, los parches de seguridad y el soporte técnico a los residentes. Esta diferencia es sumamente importante cuando algo falla a las once de la noche de un viernes. [medium pause] Hablemos de arquitectura. Un despliegue de WiFi gestionado bien diseñado para un edificio residencial de alquiler tiene tres capas bien diferenciadas. La primera es la capa de gestión en la nube: una plataforma centralizada desde la que tu proveedor monitoriza cada punto de acceso, cada puerto de switch y cada dispositivo cliente en tiempo real. La segunda es la capa de infraestructura de red: puntos de acceso de calidad empresarial, switches principales y cableado estructurado instalados según los estándares profesionales. La tercera es la capa del residente: la segmentación lógica que mantiene el tráfico de cada residente aislado del de los demás. [medium pause] En esa tercera capa es donde la mayoría de los despliegues autogestionados fallan. Cuando el administrador de un edificio instala una única red WiFi compartida para todo el bloque, cada residente está en el mismo dominio de difusión. Eso significa que un residente de la cuarta planta puede llegar a ver el tráfico de un residente de la primera. Significa que un dispositivo inteligente vulnerado en un apartamento puede escanear dispositivos en otro. Y significa que una sola persona que consuma mucho ancho de banda puede empeorar la experiencia de todos los demás. [medium pause] La arquitectura correcta utiliza VLAN - Redes de Área Local Virtuales - para crear una separación lógica en la Capa 2 de la pila de red. Cada residente obtiene su propia VLAN dedicada. Su tráfico queda aislado. Sus dispositivos inteligentes (termostatos, cerraduras de puertas, cámaras) se ubican en una VLAN de IoT separada que no puede acceder a los dispositivos personales del residente a menos que se permita explícitamente. El personal tiene su propia VLAN. El WiFi de las zonas comunes tiene su propia VLAN. Esto no es una complejidad opcional. Es el estándar mínimo para cualquier despliegue que se tome en serio la seguridad y el cumplimiento normativo. [medium pause] Ahora, el mecanismo de autenticación que hace que esto funcione a escala es IEEE 802.1X, el estándar de control de acceso a la red basado en puertos. Cuando un residente se conecta al WiFi del edificio, su dispositivo no se limita a presentar una contraseña compartida. Presenta una identidad. El punto de acceso reenvía esa identidad a un servidor RADIUS - Remote Authentication Dial-In User Service - que valida las credenciales y devuelve una asignación de VLAN. El residente aterriza en su segmento de red dedicado de forma automática, sin necesidad de configuración manual. [medium pause] Para los dispositivos que no admiten 802.1X - y hay muchos, sobre todo en el ámbito del IoT - se utiliza MAC Authentication Bypass o MAB. El servidor RADIUS realiza la autenticación basándose en la dirección MAC del dispositivo y lo asigna a la VLAN correspondiente. El punto clave es que estos dispositivos siempre deben aterrizar en una VLAN de IoT restringida, no en la red principal del residente, ya que las direcciones MAC se pueden suplantar. [medium pause] Hablemos de cifrado. WPA3 es el estándar actual, ratificado por la Wi-Fi Alliance. Para despliegues empresariales que utilicen 802.1X, lo ideal es WPA3-Enterprise, que utiliza un cifrado de 192 bits en su modo de seguridad más alto. Para despliegues más sencillos, WPA3-Personal utiliza Simultaneous Authentication of Equals - SAE - que sustituye al antiguo handshake de clave precompartida y elimina los ataques de diccionario offline que afectaban a WPA2. Si su proveedor de WiFi gestionado sigue desplegando redes exclusivamente WPA2 en 2025, eso es una señal de alarma. Usted es un consultor sénior de redes en Purple, una plataforma líder de inteligencia WiFi, que ofrece una sesión informativa segura y autoritaria a un cliente que es un promotor inmobiliario o un operador de BTR. Hable en inglés británico con un tono claro, pausado y profesional. Se trata de una conversación entre iguales, no de una clase. Marque su propio ritmo de forma natural, con breves pausas entre secciones. No tenga prisa: Ahora pasemos a la práctica. ¿Cómo se contrata y despliega realmente un servicio de WiFi gestionado para una nueva promoción de BTR? Yo lo dividiría en cinco fases. [medium pause] La primera fase es la recopilación de requisitos. Antes de hablar con cualquier proveedor, documente su edificio. ¿Cuántas viviendas? ¿Cuántas plantas? ¿Cuál es el material de construcción: hormigón, estructura de acero, estructura de madera? El material de construcción afecta directamente a la propagación de RF y, por tanto, a la densidad de puntos de acceso. Un edificio con estructura de hormigón necesitará más puntos de acceso por planta que uno equivalente con estructura de madera. Documente también la densidad de dispositivos prevista. Un residente de un BTR moderno puede conectar de ocho a doce dispositivos: teléfonos, portátiles, tabletas, smart TV, altavoces inteligentes, termostatos o cerraduras inteligentes. Su red debe ser capaz de soportar esa carga por vivienda, no solo por edificio. [medium pause] La fase dos es el estudio de RF. Cualquier proveedor de WiFi gestionado de confianza realizará un estudio predictivo de RF antes del despliegue - utilizando herramientas de software para modelar la propagación de la señal en función de los planos de planta y los materiales de construcción de su edificio. Para edificios más grandes o complejos, también deberían realizar un estudio físico del sitio después de la instalación para validar la cobertura e identificar zonas muertas. No acepte un despliegue que se salte este paso. [medium pause] La fase tres es la selección del hardware. El mercado de WiFi gestionado es independiente del hardware a nivel de plataforma, pero los puntos de acceso y los switches importan. El hardware de nivel empresarial de proveedores como Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist o Ubiquiti UniFi superará al equipo de consumo en entornos de alta densidad de múltiples unidades. Las especificaciones clave a buscar son el soporte para WiFi 6 o WiFi 6E - el estándar 802.11ax - que gestiona la alta densidad de dispositivos mucho mejor que el hardware antiguo 802.11ac Wave 2. Busque también puntos de acceso con radios de escaneo dedicadas, que permiten al sistema monitorizar el entorno de RF en busca de puntos de acceso no autorizados e interferencias sin afectar al rendimiento del cliente. [medium pause] La fase cuatro es el despliegue y la puesta en servicio. La instalación física debe seguir los estándares de cableado estructurado - TIA-568 en EE. UU., ISO 11801 en Europa. Cada punto de acceso debe alimentarse mediante Power over Ethernet, o PoE, desde un switch gestionado. Ese switch gestionado debe conectarse de vuelta a un switch central en una sala de red dedicada o armario de distribución en cada planta. El servidor RADIUS - que gestiona la autenticación 802.1X - debe estar alojado en la nube para mayor resiliencia, con almacenamiento en caché local para mantener la autenticación durante los cortes de WAN. [medium pause] La fase cinco es la gestión continua. Aquí es donde los servicios de WiFi gestionado justifican su tarifa. Un buen proveedor ofrece monitorización de red 24/7 a través de un Centro de Operaciones de Red, alertas proactivas cuando un punto de acceso se desconecta o falla un puerto de switch, parches de seguridad y firmware automatizados, y un acuerdo de nivel de servicio definido - normalmente un 99.9% de tiempo de actividad o mejor. Purple, por ejemplo, mantiene un 99.999% de tiempo de actividad en toda su plataforma. Eso representa menos de seis minutos de inactividad no planificada al año. [medium pause] Permítame presentarle dos casos de estudio concretos para ilustrar cómo se desarrolla esto en la práctica. [medium pause] En primer lugar, una promoción de 280 viviendas de alquiler residencial (build-to-rent) en Manchester. Al principio, la promotora tenía previsto dejar la banda ancha en manos de cada residente, de modo que cada uno contratara su propio servicio con un ISP minorista. El proveedor de WiFi gestionado modeló la alternativa: una única conexión de banda ancha a granel, infraestructura compartida y aislamiento de VLAN por unidad. El resultado fue una reducción del 40% en el coste de conectividad por unidad en comparación con los contratos minoristas individuales, un único punto de soporte para todos los residentes y un net promoter score para la conectividad que se situó 22 puntos por encima del de las propiedades no gestionadas comparables de la promotora. El servicio gestionado se amortizó en un plazo de 18 meses únicamente gracias a la reducción de la pérdida de residentes. [medium pause] En segundo lugar, una promoción de uso mixto que combina 150 apartamentos BTR con locales comerciales en la planta baja y un espacio de co-working. El reto en este caso era la multi-tenancy a una escala diferente: residentes, personal de los locales comerciales, miembros del co-working y repartidores; todos necesitaban conectividad, todos en el mismo edificio y todos con requisitos de seguridad y acceso diferentes. La solución fue una única infraestructura de red física con cinco segmentos lógicos: VLAN de residentes, VLAN de locales comerciales, VLAN de miembros de co-working, VLAN de IoT para los sistemas de gestión del edificio y una VLAN de invitados para visitantes de corta duración. La plataforma Multi-Tenant WiFi de Purple se encargó de la gestión de identidades y la asignación de VLAN, con los residentes autenticándose a través de la aplicación Purple y el personal de los locales comerciales autenticándose a través de la integración con Microsoft Entra ID. El gestor del edificio disponía de un único cuadro de mando que mostraba el estado de la red, el número de clientes y la utilización del ancho de banda en los cinco segmentos. Usted es un consultor de redes sénior de Purple, una plataforma líder en inteligencia de WiFi, que ofrece una sesión informativa de confianza y autorizada a un cliente que es promotor inmobiliario u operador de BTR. Hable en inglés británico con un tono claro, pausado y profesional. Se trata de una conversación entre iguales, no de una clase magistral. Lleve un ritmo natural, con breves pausas entre secciones. No tenga prisa: Ahora abordemos el aspecto del cumplimiento normativo, porque aquí es donde las promotoras inmobiliarias suelen verse sorprendidas. [medium pause] El GDPR se aplica desde el momento en que se recopila cualquier dato personal de los residentes que se conectan a su red. Esto incluye direcciones de correo electrónico al iniciar sesión, identificadores de dispositivos y marcas de tiempo de conexión. Su proveedor de WiFi gestionado debe actuar como encargado del tratamiento de datos según el GDPR, con un Acuerdo de Tratamiento de Datos firmado. Debe ser capaz de demostrar dónde se almacenan los datos, durante cuánto tiempo y en qué condiciones se eliminan. Purple cuenta con la certificación ISO 27001, cumple con el GDPR, cumple con la CCPA y cuenta con la certificación Cyber Essentials. No se trata de afirmaciones de marketing - son certificaciones auditadas que puede incluir en su propia documentación de cumplimiento. [medium pause] Si su desarrollo incluye inquilinos de comercios minoristas o de restauración que procesen pagos con tarjeta a través de la red WiFi, se aplica PCI-DSS (el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago). El requisito clave es la segmentación de la red: los entornos de datos de los titulares de tarjetas deben estar aislados de cualquier otro tráfico de red. Una arquitectura VLAN correctamente configurada cumple con este requisito, pero debe estar documentada y la segmentación debe probarse anualmente. [medium pause] Permítame plantearle tres preguntas rápidas que suelo escuchar de promotores inmobiliarios y operadores de BTR, con sus respuestas directas. [medium pause] Pregunta uno: ¿Podemos utilizar la infraestructura de WiFi gestionada para dar soporte a los sistemas de gestión del edificio, como contadores inteligentes, control de accesos o CCTV? Respuesta: Sí, y debería hacerlo. Coloque todos los dispositivos del sistema de gestión del edificio en una VLAN de IoT dedicada, sin acceso a Internet y sin ruta hacia las VLAN de los residentes. Utilice la omisión de autenticación MAC (MAC Authentication Bypass) para los dispositivos que no admitan 802.1X. Asegúrese de que la VLAN de IoT tenga un rango DHCP independiente y una política de firewall específica. [medium pause] Pregunta dos: ¿Qué ocurre si el proveedor de WiFi gestionada quiebra o queremos cambiar de proveedor? Respuesta: Es una preocupación legítima. Negocie la propiedad del hardware por adelantado. Si los puntos de acceso son propiedad del edificio y no del proveedor, podrá cambiar de proveedor sin necesidad de sustituir la infraestructura. Asegúrese de que su contrato incluya una cláusula de portabilidad de datos: debería poder exportar todos los registros de autenticación de los residentes y la configuración de la red en un formato estándar. [medium pause] Pregunta tres: ¿Cómo gestionamos a los residentes que quieren utilizar su propio router? Respuesta: Asígneles una VLAN dedicada con una única concesión DHCP. Conectan su propio router al puerto Ethernet del edificio y su tráfico queda aislado del de cualquier otro residente. Su router se sitúa detrás de la infraestructura gestionada del edificio, lo que significa que se siguen beneficiando de la supervisión de seguridad ascendente y de la gestión del ancho de banda. [medium pause] Para resumir los puntos clave de la sesión de hoy. [medium pause] Primero: los servicios de WiFi gestionada no son un servicio de lujo - son un diferenciador comercial que afecta directamente a la captación y retención de inquilinos. Las propiedades con WiFi gestionada registran índices Net Promoter Score más altos y una menor tasa de rotación. Segundo: la arquitectura correcta para despliegues de BTR y MDU utiliza el aislamiento de VLAN por residente, autenticación 802.1X a través de RADIUS y cifrado WPA3. Las contraseñas compartidas y las redes planas no son aceptables para despliegues residenciales de múltiples viviendas. Tercero: la selección del hardware importa. Especifique puntos de acceso WiFi 6 o WiFi 6E de fabricantes empresariales - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist o Ubiquiti UniFi - y asegúrese de que su proveedor realice un estudio de radiofrecuencia (RF) adecuado antes y después de la instalación. Cuarto: el cumplimiento normativo no es negociable. Asegúrese de que su proveedor cuente con la certificación ISO 27001, tenga un Acuerdo de Procesamiento de Datos firmado conforme al GDPR y pueda demostrar la segmentación de PCI-DSS si hay inquilinos comerciales presentes. Quinto: negocie la propiedad del hardware y la portabilidad de los datos en su contrato. Estas dos cláusulas le protegen si alguna vez necesita cambiar de proveedor. [medium pause] Su siguiente paso es sencillo. Audite su provisión de conectividad actual o prevista con respecto a estos cinco criterios. Si le falta alguno de ellos, tiene una brecha que un servicio de WiFi gestionado correctamente dimensionado puede cubrir. Purple opera en 80.000 espacios activos y ha procesado 440 millones de inicios de sesión solo en 2024. Sabemos lo que es la excelencia a gran escala y estaremos encantados de guiarle a través de lo que eso significa para su desarrollo específico. [medium pause] Gracias por escucharnos. Si le ha resultado útil, la guía escrita completa está disponible en purple punto ai. Nos vemos la próxima vez.