Cómo optimizar los portales cautivos para maximizar la seguridad de la red y la conversión de usuarios
Esta guía proporciona un plan técnico completo para optimizar los portales cautivos en entornos empresariales, que abarca la arquitectura de segmentación de red, la selección de métodos de autenticación, el diseño de consentimiento conforme al GDPR y la optimización de la conversión. Está dirigida a directores de TI, arquitectos de red y directores de tecnología (CTO) de hoteles, cadenas de tiendas, estadios y organizaciones del sector público que necesitan equilibrar la seguridad de la red con la captura de datos de primera mano. Purple gestiona la infraestructura de portales cautivos en más de 80.000 establecimientos con 440 millones de inicios de sesión en 2024, y los marcos de trabajo aquí expuestos reflejan esa experiencia operativa.
Escuchar esta guía
Ver transcripción del podcast
- Resumen ejecutivo
- Análisis técnico detallado
- Cómo funcionan realmente los portales cautivos
- Segmentación de red
- Proteger el extremo inalámbrico (Wireless Edge)
- Guía de implementación
- Paso 1: Definir el Walled Garden
- Paso 2: Configurar la integración de RADIUS
- Paso 3: Elegir los métodos de autenticación
- Paso 4: Diseñar los flujos de consentimiento
- Paso 5: Aplicar políticas de ancho de banda a través de VSAs de RADIUS
- Buenas prácticas
- Optimización de la tasa de conversión
- Integración de analítica de comportamiento
- Robustecimiento de la seguridad
- Resolución de problemas y mitigación de riesgos
- El portal no se muestra
- Aleatorización de direcciones MAC
- Agotamiento de DHCP y DNS en entornos a gran escala
- Cambios en la API del Proveedor de OAuth
- Retorno de la Inversión (ROI) e Impacto Comercial

Resumen ejecutivo
Un Captive Portal es la página de inicio de sesión en una red WiFi pública. También representa la decisión más importante para la seguridad de su red; y si gestiona proyectos de marketing, es su canal de recopilación de datos más valioso. Los objetivos de seguridad y conversión no están reñidos, pero sí requieren decisiones de configuración diferentes, y esta guía aborda ambos aspectos.
Su arquitectura principal consiste en colocar el dispositivo de cada visitante en una VLAN aislada antes de que se complete la autenticación. Un servidor RADIUS gestiona las sesiones y libera los dispositivos a la VLAN de producción mediante mensajes de cambio de autorización (CoA). La segmentación de red garantiza que el tráfico de invitados nunca interactúe con la infraestructura corporativa o los sistemas de TPV. En cualquier entorno donde los terminales de pago y la red WiFi de invitados compartan infraestructura física, este es un requisito estricto de PCI-DSS.
En cuanto a la conversión, por cada campo de formulario añadido, las tasas de suscripción disminuyen entre un 8% y un 12%. El método de autenticación correcto depende del tipo de establecimiento y de los objetivos de datos. La recopilación de correos electrónicos ofrece una tasa de conversión del 65% al 80% y garantiza la propiedad de los datos de primera mano. El inicio de sesión social mediante OAuth 2.0 reduce la fricción, pero introduce un riesgo de dependencia de terceros. El código OTP por SMS proporciona la mayor calidad de datos, pero la menor tasa de conversión. Para los entornos del sector público sin objetivos de marketing, el inicio de sesión con un solo clic es la opción adecuada.
Purple gestiona la infraestructura de Guest WiFi en más de 80.000 establecimientos. Las pautas de este documento reflejan los 440 millones de inicios de sesión procesados en 2024 (datos internos de Purple, 2024).
Análisis técnico detallado
Cómo funcionan realmente los portales cautivos
Una vez que un dispositivo se asocia a un SSID, el Captive Portal intercepta las solicitudes HTTP y HTTPS. El punto de acceso coloca el dispositivo en una VLAN aislada, donde el cortafuegos solo permite consultas DNS y un conjunto reducido de destinos aprobados previamente (el Walled Garden). El sistema operativo del dispositivo detecta este estado restringido sondeando URL conocidas (como captive.apple.com en iOS o connectivitycheck.gstatic.com en Android). Cuando el sondeo devuelve una respuesta anómala, el sistema operativo inicia automáticamente el portal.
El usuario se autentica. El portal transmite los resultados al servidor RADIUS de la red mediante un mensaje CoA. El controlador de acceso elimina la restricción de aislamiento, traslada el dispositivo a la VLAN de producción y registra una sesión que contiene marcas de tiempo, direcciones MAC, identidad y políticas aplicadas. Según el método de autenticación, este proceso de extremo a extremo tarda entre uno y diez segundos.

Segmentación de red
Una VLAN aislada es indispensable. Sin ella, los dispositivos no autenticados en un SSID abierto pueden rastrear la red interna, acceder a las interfaces de gestión o entrar en contacto con los sistemas de punto de venta (POS). En entornos que entran en el alcance de PCI-DSS (es decir, cualquier recinto donde los terminales de tarjetas y el WiFi para invitados comparten la infraestructura física), el estándar Payment Card Industry Data Security Standard v4.0 requiere un aislamiento de red completo entre el entorno de datos de los titulares de tarjetas y la red de clientes.
La segmentación de red se implementa a nivel de controlador de acceso. En Cisco Meraki, esto se configura a través de políticas de grupo (Group Policies); en HPE Aruba, mediante roles de usuario (User Roles); en Ruckus, a través de la configuración de zonas (Zone); y en Juniper Mist, mediante políticas de WLAN. El principio es idéntico en las cuatro plataformas: a los dispositivos no autenticados se les aplica una política restringida y a los dispositivos autenticados se les aplica una política de producción. El servidor RADIUS es el encargado de hacer cumplir esta transición.
Para recintos con múltiples tipos de usuarios (clientes, empleados, contratistas), despliegue SSIDs independientes y asocie cada SSID a una VLAN distinta con reglas de firewall y políticas de ancho de banda dedicadas. No intente dar servicio a todos los tipos de usuarios desde un único SSID mediante un único Captive Portal. La complejidad de la gestión de políticas superará con creces cualquier supuesta comodidad.
Proteger el extremo inalámbrico (Wireless Edge)
Los sistemas de Captive Portal funcionan en la Capa 7 y no cifran el enlace inalámbrico. En un SSID abierto, el tráfico entre el dispositivo y el punto de acceso no está cifrado y es visible para cualquier dispositivo dentro del alcance de la señal de radio.
Existen tres formas de abordar este problema:
WPA3 con Captive Portal. WPA3-Personal proporciona autenticación simultánea de iguales (SAE), lo que elimina los ataques de diccionario fuera de línea contra WPA2-PSK. El Captive Portal sigue activándose para la autenticación, pero el enlace inalámbrico está cifrado. Este es el estándar mínimo aceptable para los nuevos despliegues en 2026.
Passpoint (Hotspot 2.0) con 802.1X. Passpoint utiliza EAP-TLS o PEAP para proporcionar autenticación basada en certificados o credenciales. El Captive Portal gestiona la incorporación inicial y la firma del consentimiento. En la segunda visita, Passpoint autentica automáticamente el dispositivo en segundo plano utilizando el perfil configurado, omitiendo el portal por completo. Esta es la arquitectura utilizada por el estándar de itinerancia de nivel de operador OpenRoaming. Para obtener más detalles sobre los métodos EAP, consulte nuestra guía: EAP Method WiFi: A Guide to Secure Network Access .
iPSK (Identity Pre-Shared Key). iPSK asigna una contraseña WPA2 o WPA3 única a cada usuario o dispositivo a través de un portal. Esta contraseña se almacena en el servidor RADIUS y se asocia a una VLAN y a una política específicas. Esto proporciona cifrado personalizado y trazabilidad en un SSID compartido sin los costes de infraestructura que conlleva desplegar un sistema 802.1X completo. Esta es la arquitectura estándar para WiFi multiinquilino en entornos de alquiler residencial (build-to-rent) y residencias de estudiantes. Para obtener más detalles sobre la autenticación basada en certificados, consulte WiFi Certificate Authentication: Secure Network Access .
Guía de implementación
Paso 1: Definir el Walled Garden
Antes de configurar su portal, identifique y verifique todas las dependencias externas requeridas para la autenticación. Si ofrece inicio de sesión social con Google, agregue a la lista de permitidos accounts.google.com y los dominios de autenticación de Google asociados. Si utiliza Stripe para el acceso de pago, agregue a la lista de permitidos los endpoints de la API de Stripe. Si utiliza el inicio de sesión de Apple, agregue a la lista de permitidos appleid.apple.com.
No mantener un walled garden preciso es la causa principal de los fallos de renderizado del Captive Portal en entornos de producción. Utilice una herramienta de validación de walled garden para generar reglas de copiar y pegar para su controlador específico. Purple ofrece un validador de dominios de Walled Garden gratuito que genera reglas listas para usar en controladores Cisco Meraki, Ubiquiti UniFi, HPE Aruba y Catalyst.
Paso 2: Configurar la integración de RADIUS
Integre su controlador de acceso con su proveedor de RADIUS en la nube. Configure el controlador para redirigir el tráfico no autenticado a la URL del portal y especifique los servidores RADIUS para la autenticación y la contabilidad. Asegúrese de que el secreto compartido de RADIUS tenga al menos 22 caracteres, contenga mayúsculas, minúsculas y caracteres especiales, y se cambie cada 90 días.
Para implementaciones de Cisco Meraki, configure los servidores RADIUS en "Wireless > Access Control". Para HPE Aruba, configúrelos en "Security > Authentication Servers". Para Ruckus, configúrelos en "Services > Authentication". Para Juniper Mist, configúrelos en "Network > WLAN".
Paso 3: Elegir los métodos de autenticación

La siguiente tabla asocia los tipos de establecimiento con los métodos de autenticación recomendados y los rangos de tasa de conversión esperados.
| Tipo de establecimiento | Método recomendado | Conversión esperada | Datos recopilados |
|---|---|---|---|
| Hoteles y hostelería | Recopilación de correo electrónico + Inicio de sesión social | 65-80% | Correo electrónico, Nombre, Datos demográficos opcionales |
| Tiendas y comercio minorista | Recopilación de correo electrónico | 68-75% | Correo electrónico, Nombre |
| Estadios y eventos | Contraseña de un solo uso por SMS (SMS OTP) | 45-55% | Número de teléfono móvil verificado |
| Centros de convenciones | Inicio de sesión social + Correo electrónico | 60-70% | Correo electrónico, Perfil profesional |
| Sector público | Un solo clic | 90-95% | Solo dirección MAC, Marca de tiempo |
| Sanidad | Un solo clic | 90-95% | Solo dirección MAC, Marca de tiempo |
Fuente: Datos de red de Purple, 440 millones de inicios de sesión, 2024.
Paso 4: Diseñar los flujos de consentimiento
Separe el consentimiento requerido para el acceso a la red del consentimiento requerido para las comunicaciones de marketing. Según el UK GDPR (la versión de la legislación del Reino Unido retenida del Reglamento (UE) 2016/679), estas son dos bases jurídicas distintas.
Se puede conceder el acceso a la red sobre la base de intereses legítimos en virtud del Artículo 6(1)(f), que cubre la administración y la seguridad de la red. Las comunicaciones de marketing requieren el consentimiento explícito en virtud del Artículo 6(1)(a). Este consentimiento debe ser libre, específico, informado e inequívoco. Las casillas de verificación marcadas previamente no cumplen con esta norma.
Implemente dos casillas de verificación independientes en el portal. La primera, obligatoria, cubre los Términos de Servicio y el acceso a la red. La segunda, opcional y desmarcada por defecto, cubre las suscripciones de marketing. Registre la marca de tiempo, la dirección IP, la dirección MAC y el estado del consentimiento para cada sesión. Este registro de auditoría es su prueba de conformidad en caso de consultas regulatorias.
Paso 5: Aplicar políticas de ancho de banda a través de VSAs de RADIUS
Configure el servidor RADIUS para devolver atributos específicos del proveedor (VSAs) tras una autenticación correcta. Las VSAs indican al punto de acceso que aplique límites de ancho de banda específicos, filtros de contenido y tiempos de espera de sesión en función del perfil de usuario.
En HPE Aruba, la VSA Aruba-User-Role asigna a los usuarios un rol con nombre con políticas predefinidas. En Cisco Meraki, el ID de política de grupo se devuelve a través del atributo Filter-Id. En Ruckus, el atributo Ruckus-User-Groups asocia a los usuarios con los grupos configurados. Este mecanismo permite la aplicación dinámica de políticas sin necesidad de configurar SSIDs independientes para los diferentes niveles de usuario.
Buenas prácticas
Optimización de la tasa de conversión
El perfilado progresivo funciona mejor que la recopilación de datos en una sola sesión. Solicite una dirección de correo electrónico en la primera visita. En la segunda visita, solicite una fecha de nacimiento o un código postal. En la tercera visita, pregunte por las preferencias de marketing. Este enfoque mantiene altas las tasas de conversión al tiempo que crea perfiles más completos con el tiempo.
Más del 85% de las interacciones con el Captive Portal se realizan en dispositivos móviles (datos internos de Purple, 2024). Diseñe para pantallas pequeñas. Los botones deben ser lo suficientemente grandes como para tocarlos sin hacer zoom. El texto debe ser legible con los tamaños de fuente predeterminados. El flujo de inicio de sesión debe completarse en tres toques.
Para despliegues en el sector de comercio minorista , integre el portal con su CRM o plataforma de fidelización. Pizza Express utilizó un Captive Portal personalizado con su marca para añadir 3,7 millones de clientes a su CRM en dos años, convirtiendo cada conexión WiFi en una suscripción de marketing verificada (datos de clientes de Purple, Pizza Express). El portal se convirtió en el canal principal para las suscripciones de fidelización y el recompromiso promocional.
Integración de analítica de comportamiento
Las sesiones de Captive Portal son la clave de correlación entre la analítica del espacio físico y los sistemas de marketing digital. Cada sesión autenticada genera un evento de afluencia con una marca de tiempo, un tiempo de permanencia y el estado de visitante recurrente. Integrados con WiFi Analytics , estos datos impulsan la atribución de afluencia, la segmentación demográfica y la medición del ROI de las campañas.
Para obtener más información sobre cómo los datos de comportamiento de las redes WiFi informan las operaciones del espacio físico, consulte Behavioral Analytics: Insights for WiFi Networks .
Robustecimiento de la seguridad
Ofrezca los portales exclusivamente a través de HTTPS, utilizando un certificado TLS válido de una autoridad de certificación (CA) de confianza. Los portales HTTP exponen las credenciales de los usuarios a interceptaciones y provocan advertencias de seguridad en el navegador que arruinan la conversión. Implemente HTTP Strict Transport Security (HSTS) con un max-age mínimo de 31536000 segundos. Implemente la limitación de velocidad en los puntos de conexión de autenticación. Sin limitación de velocidad, el portal es vulnerable a ataques de relleno de credenciales y de fuerza bruta contra los códigos de credenciales. Limite los intentos de autenticación a cinco por dirección IP y minuto.
Realice pruebas de penetración en la aplicación del portal al menos una vez al año. Purple cuenta con la certificación ISO 27001 y la certificación Cyber Essentials, y se somete periódicamente a pruebas de penetración realizadas por terceros. Para despliegues en los sectores de Sanidad y Transporte , las pruebas trimestrales son el estándar adecuado.
Resolución de problemas y mitigación de riesgos
El portal no se muestra
Este es el fallo más común. El sistema operativo del dispositivo envía una sonda captiva a una URL conocida. Si el firewall bloquea ese dominio, el sistema operativo no puede detectar el estado captivo y el portal nunca se iniciará automáticamente. Los usuarios deben navegar manualmente a una URL que no sea HTTPS para activar la redirección.
Compruebe primero la configuración del Walled Garden. Asegúrese de que los siguientes dominios sean accesibles antes de la autenticación: captive.apple.com, www.apple.com, connectivitycheck.gstatic.com, clients3.google.com y msftconnecttest.com. Estas son las URL de sonda utilizadas por iOS, Android y Windows respectivamente.
Aleatorización de direcciones MAC
iOS 14 y Android 10 introdujeron la aleatorización de direcciones MAC por red de forma predeterminada. Los dispositivos que regresan presentan una nueva dirección MAC con cada conexión, lo que rompe la persistencia de la sesión. El portal solicitará al usuario que se autentique de nuevo, obligándole a iniciar sesión una vez más.
Mitigue esto implementando un perfil Passpoint en el primer inicio de sesión. Este perfil contiene credenciales que el dispositivo utiliza para conexiones posteriores, evitando por completo la identificación basada en MAC. Como alternativa, utilice un flujo de autenticación basado en aplicaciones que dependa de tokens de identidad almacenados en la aplicación en lugar de la dirección MAC del dispositivo.
Agotamiento de DHCP y DNS en entornos a gran escala
En grandes recintos (estadios, centros de convenciones, centros de transporte), miles de dispositivos se conectan simultáneamente al inicio de un evento o conferencia. Si el grupo DHCP es demasiado pequeño, los dispositivos no pueden obtener una dirección IP. Si el servidor DNS no puede gestionar el volumen de consultas, las sondas captivas fallan y el portal no se muestra. Planifique el tamaño de su pool de DHCP en función de las conexiones concurrentes pico en lugar de los promedios. Para un estadio con capacidad para 60.000 personas, asuma 40.000 dispositivos concurrentes. Asigne un pool de DHCP de al menos 50.000 direcciones y configure un tiempo de concesión (lease time) corto (de 15 a 30 minutos) para recuperar direcciones rápidamente. Despliegue servidores DNS dedicados para la red de invitados, separados de la infraestructura DNS corporativa.
Cambios en la API del Proveedor de OAuth
Los proveedores de inicio de sesión social cambian las condiciones de su API sin previo aviso. Facebook ha restringido progresivamente los datos disponibles a través de su Graph API. Si el inicio de sesión social es su único método de autenticación y un proveedor modifica sus condiciones, su portal fallará para todos los usuarios.
Despliegue siempre al menos un método de autenticación que no sea OAuth junto con el inicio de sesión social. La recopilación de correos electrónicos es el respaldo estándar. Configure la monitorización de los endpoints de autenticación OAuth para recibir alertas sobre tasas de error elevadas, que a menudo son el precursor o el acompañamiento de un cambio en la API.
Retorno de la Inversión (ROI) e Impacto Comercial
Si se mide únicamente por el gasto en infraestructura, un Captive Portal es un centro de costes; pero si se mide por el valor de los datos que recopila y los programas de marketing que permite, es un activo generador de ingresos.
Una marca minorista con 500 tiendas, que procesa 10.000 inicios de sesión por tienda al mes con una tasa de aceptación (opt-in) del 65 %, generará 39 millones de contactos de CRM verificados al año. Utilizando un modelo conservador de atribución de ingresos por marketing por correo electrónico de 0,10 £ por contacto al año, ese único canal de recopilación de datos genera 3,9 millones de libras en ingresos atribuidos.
Para los operadores de Hostelería , el portal es el primer punto de contacto en el trayecto del huésped. Premier Inn y Whitbread utilizan los datos de WiFi de invitados para potenciar los programas de fidelidad y medir la correlación entre la interacción con el WiFi y las reservas repetidas (datos de clientes de Purple, Whitbread).
Para los operadores de transporte, el portal proporciona datos sobre el flujo de pasajeros que sirven de base para el arrendamiento comercial, las decisiones de contratación de personal y el rendimiento de las concesiones. Manchester Airport Group (MAG) utiliza las analíticas de WiFi para medir los tiempos de permanencia de los pasajeros en las distintas zonas de las terminales y correlaciona los datos de las sesiones WiFi con el gasto comercial por pasajero (datos de clientes de Purple, MAG).
Tres métricas clave definen el éxito del portal: la tasa de aceptación u opt-in (el objetivo debe ser un 60 % o más para la recopilación de correos electrónicos), la tasa de calidad de los datos (porcentaje de direcciones de correo electrónico validadas, con un objetivo del 80 % o más) y la tasa de retorno (porcentaje de usuarios recurrentes que se autentican sin volver a introducir sus credenciales, con un objetivo del 70 % o más).
La plataforma de WiFi Analytics de Purple proporciona estas métricas en tiempo real en todos los centros, lo que permite la segmentación por ubicación, franja horaria y cohorte de usuarios.
Definiciones clave
Portal cautivo
Una aplicación web que intercepta el tráfico de red después de que un dispositivo se asocie con un SSID, requiriendo la interacción del usuario (autenticación, pago o aceptación de condiciones) antes de conceder acceso a internet.
El mecanismo principal para incorporar visitantes a redes WiFi públicas o de invitados. Cada dispositivo que se conecta pasa a través de él, lo que lo convierte en la superficie de captura de datos más consistente en un espacio físico.
Walled garden
Un entorno de red restringido que permite el acceso únicamente a direcciones IP o dominios específicos y aprobados antes de la autenticación.
Necesario para permitir que los dispositivos accedan a la página del portal cautivo, a los servidores DNS y a los servicios de autenticación de terceros necesarios antes de que se conceda el acceso completo a internet. Una configuración incorrecta es la causa principal de los fallos de renderizado del portal.
RADIUS (Remote Authentication Dial-In User Service)
Un protocolo de red que proporciona una gestión centralizada de la autenticación, autorización y contabilidad para los usuarios que se conectan a un servicio de red.
El protocolo estándar utilizado por los portales cautivos para comunicarse con los puntos de acceso y controladores. Todos los puntos de acceso de calidad empresarial de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist y Ubiquiti UniFi son compatibles con RADIUS.
Change of Authorisation (CoA)
Una extensión de RADIUS definida en la norma RFC 5176 que permite a un servidor modificar de forma dinámica los atributos de autorización de una sesión activa.
Utilizado por el Captive Portal para ordenar al controlador de acceso que mueva un dispositivo de la VLAN de cuarentena a la VLAN de producción inmediatamente después de un inicio de sesión correcto, sin necesidad de que el dispositivo se vuelva a conectar.
Passpoint (Hotspot 2.0)
Un estándar basado en IEEE 802.11u que permite a los dispositivos móviles descubrir y conectarse automáticamente a redes WiFi de forma segura mediante autenticación 802.1X, sin necesidad de interactuar manualmente con un portal.
El enfoque estándar para la autenticación de usuarios recurrentes en sedes empresariales. El Captive Portal se encarga de la incorporación en la primera visita y de la obtención del consentimiento; Passpoint gestiona todas las visitas posteriores de forma silenciosa y segura.
VLAN (Virtual Local Area Network)
Una subred lógica que agrupa dispositivos de diferentes segmentos de red físicos, aplicando el aislamiento del tráfico en la capa de enlace de datos.
Utilizada para segmentar el tráfico de invitados del tráfico corporativo. Sin la segmentación de VLAN, un dispositivo de invitado en el mismo conmutador físico que un terminal de punto de venta puede sondearlo o atacarlo.
iPSK (Identity Pre-Shared Key)
Un método de seguridad en el que se asigna a cada usuario o dispositivo una frase de contraseña WPA2 o WPA3 única para el mismo SSID, almacenada y aplicada por el servidor RADIUS.
Proporciona cifrado individualizado y la aplicación de políticas por usuario en un SSID compartido sin la sobrecarga de infraestructura que supone un despliegue completo de 802.1X. Arquitectura estándar para WiFi multiinquilino.
Aleatorización de direcciones MAC
Una función de privacidad en iOS 14+, Android 10+ y Windows 10+ que genera una dirección MAC aleatoria por red para evitar el seguimiento de dispositivos entre redes.
Rompe la persistencia de la sesión basada en MAC en los portales cautivos. Un dispositivo que regresa presenta una nueva dirección MAC, lo que activa una nueva autenticación. Se mitiga mediante perfiles de Passpoint o tokens de identidad basados en aplicaciones.
Vendor-Specific Attribute (VSA)
Un atributo de RADIUS en el espacio de nombres específico del proveedor (atributo 26) que transporta instrucciones de política específicas del proveedor de hardware desde el servidor RADIUS al controlador de acceso.
Se utiliza para asignar límites de ancho de banda, identificadores de VLAN, políticas de filtrado de contenido y tiempos de espera de sesión de forma dinámica en función del perfil del usuario autenticado. Cada proveedor de hardware (Aruba, Meraki, Ruckus) define su propio espacio de nombres de VSA.
Ejemplos prácticos
Un hotel de 200 habitaciones que utiliza puntos de acceso HPE Aruba necesita un servicio de WiFi por niveles: acceso básico gratuito para huéspedes estándar y acceso de alta velocidad para miembros del programa de fidelización. ¿Cómo se deben configurar el portal cautivo y la red?
Despliegue un único SSID de invitados en todo el establecimiento. Configure el portal cautivo para que se integre con el sistema de gestión hotelera (PMS) del hotel a través de una API. Presente dos opciones de autenticación en el portal: "Iniciar sesión con número de habitación y nombre" e "Iniciar sesión con credenciales de fidelización". Cuando un miembro del programa de fidelización se autentica, el portal consulta al PMS, verifica el nivel y envía un CoA de RADIUS al controlador de Aruba. La respuesta de RADIUS incluye un VSA de tipo Aruba-User-Role que asigna al usuario un rol de alto ancho de banda (por ejemplo, 50 Mbps de bajada y 20 Mbps de subida). Los huéspedes estándar reciben un rol predeterminado limitado por velocidad (5 Mbps de bajada y 2 Mbps de subida). Ambos tipos de usuario se conectan al mismo SSID y VLAN, pero reciben diferentes políticas de ancho de banda aplicadas por el controlador.
Una cadena de tiendas nacional con 500 ubicaciones quiere implantar un servicio de WiFi de invitados para capturar direcciones de correo electrónico para marketing. El equipo legal ha señalado problemas de cumplimiento con el GDPR. ¿Cómo debe diseñarse el flujo de consentimiento del portal?
Diseñe un portal con un único campo de entrada de correo electrónico. Debajo del campo, implemente dos casillas de verificación distintas. Casilla de verificación 1 (obligatoria, desmarcada por defecto): "Acepto las Condiciones del servicio y la Política de privacidad. Entiendo que los datos de mi dispositivo se procesarán para proporcionar acceso a la red". Casilla de verificación 2 (opcional, desmarcada por defecto): "Doy mi consentimiento para recibir comunicaciones de marketing, ofertas y promociones por correo electrónico". Configure el backend para registrar la marca de tiempo, la dirección IP, la dirección MAC y el estado de ambas casillas para cada sesión. Guarde este registro de auditoría de consentimiento en un almacén de datos que cumpla con el GDPR, con un periodo de retención alineado con el programa de marketing (normalmente 24 meses desde la última interacción). Integre las direcciones de correo electrónico de los usuarios que aceptaron la Casilla de verificación 2 directamente en el CRM a través de una API.
Preguntas de práctica
Q1. El director de TI de un estadio informa que, durante el descanso, el Captive Portal no se carga para miles de usuarios simultáneamente, a pesar de que la intensidad de la señal WiFi es excelente en todo el recinto. ¿Cuál es el cuello de botella arquitectónico más probable y cuál es la solución?
Sugerencia: Tenga en cuenta los servicios que requiere un dispositivo incluso antes de poder solicitar la página del portal. La intensidad de la señal no es la limitación.
Ver respuesta modelo
El cuello de botella más probable es el agotamiento del pool de DHCP o la sobrecarga del resolvedor de DNS. Cuando miles de dispositivos se conectan simultáneamente, cada uno debe obtener una dirección IP a través de DHCP y resolver la URL de sondeo de estado cautivo del sistema operativo a través de DNS antes de que se pueda cargar el portal. Si el pool de DHCP es demasiado pequeño o el servidor DNS no puede gestionar el volumen de consultas, el proceso se interrumpe antes de que el usuario vea nada. Solución: dimensione el pool de DHCP para picos de conexiones simultáneas (no para el promedio), establezca un tiempo de concesión corto de 15 a 30 minutos para reciclar direcciones y despliegue un resolvedor de DNS dedicado para la red de invitados con capacidad suficiente para las tasas de consultas en picos de demanda.
Q2. Está desplegando un portal cautivo en la sala de espera de un hospital. El objetivo principal es proporcionar acceso a internet a pacientes y visitantes. No existe ningún objetivo de marketing. ¿Qué método de autenticación debería elegir y cuáles son las implicaciones de cumplimiento?
Sugerencia: Equilibre la fricción frente al valor de los datos recopilados. Piense en lo que ocurre cuando recopila datos personales que no necesita.
Ver respuesta modelo
La opción correcta es el método Click-through (solo términos y condiciones). Ofrece una conversión del 90 al 95% con la mínima fricción. Dado que no existe un objetivo de marketing, recopilar datos personales como direcciones de correo electrónico introduce obligaciones de cumplimiento con el GDPR (base legal, minimización de datos, políticas de retención, derechos de acceso del interesado) sin aportar ningún valor empresarial. En un entorno sanitario, el riesgo de reputación de una brecha de seguridad que afecte a los datos personales de pacientes o visitantes es especialmente grave. El método Click-through limita la recopilación de datos a la dirección MAC y la marca de tiempo, lo cual es suficiente para la gestión de la red bajo interés legítimo.
Q3. Un minorista quiere ofrecer inicio de sesión social con Google y Apple en su portal cautivo. Su red utiliza puntos de acceso Cisco Meraki. ¿Qué configuración de red es obligatoria para que funcione el inicio de sesión social y cuál es el riesgo de fallo de respaldo?
Sugerencia: ¿Cómo llega el dispositivo al proveedor de identidad antes de tener acceso a internet? ¿Qué ocurre si el proveedor cambia sus condiciones?
Ver respuesta modelo
Debe configurar el walled garden en el controlador de acceso de Meraki para incluir en la lista blanca los dominios de autenticación de ambos proveedores: accounts.google.com y los endpoints de OAuth de Google asociados, y appleid.apple.com y los endpoints de autenticación de Apple asociados. Sin estas entradas, la VLAN de cuarentena bloqueará la solicitud de OAuth y el inicio de sesión social fallará de forma silenciosa. El riesgo de fallo de respaldo es el cambio en la API del proveedor: si Google o Apple modifican sus términos de OAuth o los endpoints de su API, el flujo de autenticación se interrumpe para todos los usuarios que dependen de ese método. Despliegue siempre la captura de correo electrónico como una opción de autenticación paralela para que los usuarios dispongan de un respaldo que no dependa de OAuth.
Q4. El operador de un centro de conferencias quiere utilizar SMS OTP como método de autenticación principal para un evento de tres días con una previsión de 8.000 inicios de sesión únicos al día. ¿Qué implicaciones de costes deben modelarse antes de comprometerse con este método?
Sugerencia: El SMS OTP tiene un coste por mensaje. Calcule el total a escala y considere el impacto en la tasa de conversión.
Ver respuesta modelo
Con 8.000 inicios de sesión al día durante tres días, se procesan 24.000 mensajes SMS. Con una tarifa típica de operador del Reino Unido de entre 2 y 5 peniques por mensaje, el coste del evento se sitúa entre 480 £ y 1.200 £. Si los asistentes son internacionales, los costes aumentan significativamente (hasta 10 o 15 peniques por mensaje para algunos mercados). Además, las tasas de conversión de SMS OTP son del 45 al 55%, lo que significa que se completarán aproximadamente entre 4.400 y 4.800 de los 8.000 inicios de sesión previstos. Los asistentes restantes necesitarán un método alternativo. Modele el coste por mensaje, tenga en cuenta la tasa de conversión y asegúrese de que haya disponible un método de respaldo (captura de correo electrónico o Click-through) para los usuarios que no completen la verificación por SMS.
Continúe leyendo esta serie
Captive Portal para Ruijie: configúrelo con Purple guest WiFi
Cómo la solución cloud guest WiFi de Purple se integra con los puntos de acceso Ruijie RG Series mediante autenticación web y RADIUS, configurada desde la línea de comandos, y dónde encontrar los pasos exactos de configuración.
Diseño de Captive Portals B2B: Captura de nombres registrados y datos de la empresa
Esta guía proporciona a los directores de TI y operadores de recintos un marco técnico independiente del proveedor para diseñar Captive Portals B2B. Detalla cómo estructurar los campos de registro para capturar el nombre registrado y los datos de la empresa, garantizando altas tasas de finalización a la vez que se mantiene el cumplimiento del GDPR y se genera inteligencia a nivel de cuenta.
Arquitectura de Captive Portal: seguridad, redirección y mejores prácticas
Una referencia técnica definitiva sobre la arquitectura de Captive Portal empresarial. Esta guía analiza el aislamiento de red, la redirección de DNS, la autenticación RADIUS y el cumplimiento de seguridad para líderes de TI que implementan redes WiFi de invitados seguras y ricas en datos.