Saltar al contenido principal
Español

Términos y condiciones de la WiFi para empleados: Aspectos legales y de cumplimiento esenciales

Esta guía cubre los aspectos legales y técnicos esenciales para redactar y aplicar los términos y condiciones de la WiFi para empleados en establecimientos corporativos. Detalla qué incluir en una Política de Uso Aceptable (AUP), cómo cumplir con los requisitos de GDPR y PCI DSS, y cómo implementar la autenticación basada en la identidad y la segmentación de red para proteger los activos corporativos. Los responsables de TI, equipos de RR. HH. y directores de operaciones de hoteles, cadenas de tiendas, estadios y organizaciones del sector público encontrarán pautas prácticas que podrán implementar este trimestre.

📖 8 min de lectura📝 1,751 palabras🔧 2 ejemplos prácticos4 preguntas de práctica📚 10 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Hola y bienvenidos a esta sesión informativa. Hoy abordamos un desafío de infraestructura crítico que a menudo pasa desapercibido hasta que causa un incidente grave: los Términos y condiciones de la WiFi para empleados, centrándonos específicamente en los aspectos legales y de cumplimiento esenciales. Si es responsable de TI, arquitecto de redes o director de operaciones en un hotel, una cadena de tiendas o un gran espacio público, esta sesión es para usted. Dejamos a un lado la teoría para ir directamente a los pasos prácticos que necesita para proteger sus activos corporativos, aplicar las Políticas de Uso Aceptable y mantener el cumplimiento de estándares como GDPR y PCI DSS. Pongámonos en contexto. A medida que los establecimientos crecen, la superficie de ataque se expande. Un solo dispositivo de empleado comprometido en una red compartida puede provocar una interrupción operativa grave. Lo vemos constantemente. Un miembro del personal conecta un teléfono personal a la red interna, ese teléfono tiene malware y, de repente, toda la subred corporativa queda expuesta. ¿Cómo solucionamos esto? Todo empieza con la Política de Uso Aceptable, o AUP. No se trata solo de un documento de RR. HH. Es la base legal que le permite supervisar su red y tomar medidas cuando sea necesario. Su AUP debe ser inequívoca. Primero, defina el alcance. Se aplica a todos los que se conecten a la red corporativa: empleados, contratistas, ya sea que utilicen un portátil de la empresa o su propio smartphone personal. Segundo, describa el uso permitido. La red es para fines comerciales. El uso personal ocasional puede estar permitido, pero no debe interferir con la productividad ni consumir un ancho de banda excesivo. Tercero, prohíba explícitamente las actividades ilegales, el software no autorizado y la elusión de los controles de seguridad. Y ahora, la parte crucial para nuestros oyentes en el Reino Unido y Europa que lidian con la GDPR: la transparencia en la supervisión. No puede empezar a inspeccionar el tráfico sin más. Debe informar al personal de que su actividad puede ser supervisada. Detalle qué recopila: horas de conexión, direcciones MAC, uso de ancho de banda. Explique que se utiliza para garantizar la seguridad y el rendimiento de la red. Esto establece su base legal para procesar esos datos bajo el supuesto de interés legítimo. Pero una política sin aplicación técnica es solo una sugerencia. Debe respaldarla con controles técnicos. Sumerjámonos en la arquitectura técnica. Los días de usar una contraseña WPA2 compartida para la red del personal han terminado. Si tiene una contraseña escrita en una pizarra en la sala de descanso, su red está comprometida. Cuando un empleado se marcha, esa contraseña permanece. Eso no es un problema de política. Es un fallo de seguridad estructural. Los entornos empresariales deben implementar la autenticación 802.1X con cifrado WPA3-Enterprise. Esto significa que cada usuario se autentica con sus propias credenciales únicas, normalmente vinculadas a su directorio central como Microsoft Entra ID, Okta o Google Workspace. Aquí es donde brillan las soluciones como Purple. Purple utiliza redes basadas en la identidad para sustituir esas contraseñas compartidas por un acceso individual basado en certificados. Cuando RR. HH. elimina a un miembro del personal del directorio, Purple revoca su acceso a la WiFi automáticamente a través de SCIM. Sin intervención manual. Sin brechas de seguridad. Sin necesidad de abrir tickets de soporte. Lo siguiente es la segmentación de la red. Debe aislar el tráfico del personal de las redes de invitados y de pago. Implemente redes locales virtuales o VLAN. En un entorno comercial, necesita al menos tres: WiFi para clientes, WiFi para empleados y Punto de Venta. Este aislamiento es un requisito fundamental para el cumplimiento de PCI DSS. Garantiza que, incluso si un dispositivo del personal se ve comprometido, no pueda acceder al entorno de datos de titulares de tarjetas. Permítame darle un ejemplo concreto. Un hotel de doscientas habitaciones tenía al personal de limpieza, recepción y dirección compartiendo una única contraseña WiFi. Cuando una recepcionista se marchó en circunstancias difíciles, el equipo de TI no tenía forma de revocar solo su acceso sin cambiar la contraseña para todos. Eso significó un restablecimiento completo en todo el establecimiento, llamadas de soporte de todos los departamentos y una pérdida de productividad de dos horas en toda la propiedad. Tras migrar a la autenticación 802.1X de Purple integrada con su directorio Microsoft Entra ID, la baja de usuarios pasó a ser un solo clic en el sistema de RR. HH. El acceso a la WiFi se revocó en cuestión de minutos, de forma automática y con un registro de auditoría completo. Ahora hablemos del filtrado de contenido. No puede confiar únicamente en que el personal tome buenas decisiones. Implemente el filtrado a nivel de DNS para bloquear sitios maliciosos y contenido inapropiado. Purple Shield proporciona un filtrado de contenido impulsado por IA que elimina anuncios y rastreadores antes de que se carguen. Esto protege la red y puede reducir el consumo de ancho de banda hasta en un cuarenta y cuatro por ciento, manteniendo el funcionamiento fluido de sus aplicaciones empresariales críticas. Las páginas se cargan hasta un cincuenta y tres por ciento más rápido y el número de consultas DNS disminuye en un sesenta y dos por ciento. Eso representa un margen real para el tráfico que realmente hace funcionar su negocio. Permítame darle un segundo ejemplo del sector comercial. Una cadena de tiendas regional con cincuenta establecimientos experimentaba ralentizaciones intermitentes en su sistema de punto de venta en la nube durante las horas punta de venta. La causa principal era que el personal transmitía contenido de vídeo en streaming en el mismo segmento de red que los terminales POS. Al implementar Purple Shield con políticas basadas en el tiempo, se limitaron los servicios de streaming durante el horario comercial y los problemas de rendimiento del POS desaparecieron. La solución tardó menos de un día en implementarse en las cincuenta sedes desde un único panel de control. Ahora hablemos de los errores comunes. El mayor de ellos es no automatizar la baja de usuarios. Si el departamento de TI tiene que eliminar el acceso manualmente, se cometen errores. Vincule el acceso a la red directamente a sus sistemas de RR. HH. El segundo error es una segmentación inadecuada. Seguimos viendo establecimientos que colocan los dispositivos del personal y los terminales POS en la misma subred. Eso supone un fallo inmediato en la auditoría. Implemente un etiquetado estricto de VLAN y reglas de cortafuegos para aislar el tráfico. El tercer error es la falta de transparencia en la supervisión. Supervisar al personal sin su consentimiento explícito o notificación infringe la GDPR. Incluya cláusulas claras en la AUP y en los contratos de los empleados antes de activar cualquier herramienta de supervisión. Hagamos una ronda rápida de preguntas y respuestas sobre las dudas que escuchamos con más frecuencia. Pregunta: ¿Necesito un SSID independiente para el personal y los invitados? Sí. Siempre. Un SSID dedicado para el personal con WPA3-Enterprise es más limpio y fácil de auditar que los SSID compartidos con asignación de VLAN basada en credenciales. Pregunta: ¿Puedo utilizar dispositivos BYOD en la red del personal? Sí, pero necesita una política de BYOD dentro de su AUP que especifique los requisitos mínimos de seguridad. Los dispositivos deben ejecutar un sistema operativo compatible, tener parches de seguridad actualizados y tener activado el bloqueo de pantalla. Pregunta: ¿Con qué frecuencia debo revisar la AUP? Como mínimo, anualmente. También debe revisarla después de cualquier cambio normativo significativo, incidente de seguridad o actualización importante de la infraestructura. Para terminar, resumamos las acciones clave para este trimestre. Primero, revise su Política de Uso Aceptable y asegúrese de que incluya cláusulas explícitas de transparencia en la supervisión. Segundo, abandone las contraseñas compartidas y migre a la autenticación 802.1X integrada con su proveedor de identidad. Tercero, verifique que su segmentación por VLAN aísle el tráfico del personal, de los invitados y de los pagos. Cuarto, implemente el filtrado de contenido a nivel de DNS para aplicar técnicamente la AUP y recuperar ancho de banda. Quinto, automatice la baja de usuarios conectando su sistema de RR. HH. a sus controles de acceso a la red. La implementación de estos controles ofrece un ROI medible. Automatizar las altas y bajas mediante la integración con el proveedor de identidad reduce los tickets de soporte de TI relacionados con el acceso a la WiFi hasta en un ochenta por ciento. La infraestructura de Purple funciona en ochenta mil establecimientos activos con un tiempo de actividad del noventa y nueve coma nueve nueve nueve por ciento, por lo que no está construyendo esto sobre algo frágil. Gracias por acompañarnos en esta sesión informativa. Proteja sus redes, documente sus políticas y asegúrese de que sus controles técnicos apliquen realmente lo que dice su AUP. Nos vemos la próxima vez.

Resumen ejecutivo

header_image.png

Proteger el acceso a la red del personal requiere algo más que controles técnicos. Exige una Política de Uso Aceptable (AUP) clara y aplicable, respaldada por una autenticación basada en la identidad, segmentación de red y filtrado de contenido a nivel de DNS. A medida que los establecimientos crecen en los sectores de hostelería , comercio minorista y sector público, la superficie de riesgo se expande proporcionalmente. Un solo dispositivo de empleado comprometido en una red compartida puede vulnerar los requisitos de PCI DSS y GDPR, provocando multas e interrupciones operativas.

Esta guía ofrece a los responsables de TI, arquitectos de redes y directores de operaciones de establecimientos un marco de trabajo definitivo para redactar y aplicar los términos y condiciones de la WiFi para empleados. Cubrimos los aspectos legales esenciales de la transparencia en la supervisión de los empleados, la arquitectura técnica necesaria para el cumplimiento y cómo las redes basadas en la identidad de Purple protegen los activos corporativos del uso indebido interno. El principio fundamental es sencillo: la política de WiFi para empleados debe ser específica, transparente y aplicarse técnicamente. Una política que solo existe sobre el papel no es una política.

Análisis técnico detallado

Por qué fallan las contraseñas compartidas

La mayoría de las redes WiFi para empleados en hostelería y comercio minorista siguen funcionando con WPA2-Personal con una única contraseña compartida. Esa contraseña se escribe en pizarras, se comparte en canales de Slack y nunca se cambia cuando la gente se marcha. Esto no es un inconveniente menor. Es un fallo de seguridad estructural. Cuando un empleado se va, su acceso a la red corporativa persiste indefinidamente. No hay registro de auditoría, ni clave de sesión por usuario, ni forma de aislar un dispositivo comprometido sin interrumpir el servicio a todos los demás.

El estándar IEEE 802.1X, combinado con el cifrado WPA3-Enterprise, resuelve esto. Cada usuario se autentica con credenciales individuales vinculadas a un directorio central. Cada sesión utiliza claves de cifrado únicas, por lo que un dispositivo en el mismo punto de acceso no puede interceptar el tráfico de otro usuario. Purple implementa esto a través de redes basadas en la identidad, sustituyendo las contraseñas compartidas por un acceso basado en certificados gestionado a través de Microsoft Entra ID, Okta o Google Workspace. Cuando RR. HH. elimina a un miembro del personal del directorio, Purple revoca su acceso a la WiFi en cuestión de minutos a través de SCIM (System for Cross-domain Identity Management). Sin tickets que abrir. Sin contraseñas que rotar en todo el establecimiento.

Segmentación de red y cumplimiento de PCI DSS

La seguridad eficaz de la WiFi para empleados comienza con el aislamiento. Debe separar el tráfico del personal de las redes de invitados y de pago para limitar el alcance de las auditorías de cumplimiento y contener las posibles brechas de seguridad. La implementación de VLAN (redes locales virtuales) es el enfoque estándar y constituye un requisito fundamental para el cumplimiento de PCI DSS.

network_segmentation_diagram.png

Para un entorno comercial, necesita como mínimo tres VLAN distintas: WiFi para clientes, WiFi para empleados y Punto de Venta (POS). Esta segmentación garantiza que un dispositivo del personal comprometido no pueda acceder al entorno de datos de titulares de tarjetas. PCI DSS v4.0 requiere que la segmentación de la red se valide anualmente como parte de la evaluación de cumplimiento. Purple se integra con los principales proveedores de redes inalámbricas empresariales (Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet) a través de RADIUS estándar y etiquetado de VLAN, por lo que no necesita reemplazar el hardware existente para lograr el cumplimiento.

GDPR y transparencia en la supervisión

La GDPR del Reino Unido y la Ley de Protección de Datos de 2018 imponen requisitos estrictos a la supervisión de los empleados. La supervisión está permitida, pero solo cuando es legal, proporcionada y transparente. La Oficina del Comisionado de Información (ICO) es clara: el simple hecho de tener la capacidad técnica para supervisar al personal no le otorga el derecho legal a hacerlo.

Para establecer una base legal, la mayoría de las organizaciones recurren al interés legítimo. Esto requiere documentar que la supervisión responde a un fin operativo o de seguridad específico, que es necesaria para alcanzar dicho fin y que la intrusión en la privacidad es proporcionada. El consentimiento no suele ser adecuado en el contexto laboral, ya que el desequilibrio de poder entre el empleador y el empleado impide que el consentimiento se otorgue libremente.

La implicación práctica es que los términos y condiciones de la WiFi para empleados deben indicar explícitamente qué datos se recopilan (horas de conexión, identificadores de dispositivos, uso de ancho de banda, consultas DNS), por qué se recopilan, quién tiene acceso a ellos y cuánto tiempo se conservan. Esta información debe figurar en la AUP, en el manual del empleado y en el contrato de trabajo. El personal debe acusar recibo de ella. Si no puede demostrar que se informó a los empleados antes de que comenzara la supervisión, quedará expuesto.

Guía de implementación

Redacción de la Política de Uso Aceptable

aup_components_infographic.png

Su AUP es la base legal para la supervisión de la red y las medidas disciplinarias. Debe cubrir ocho áreas principales.

1. Alcance de la red. Especifique que la política se aplica a todos los empleados, contratistas y usuarios autorizados que se conecten a la red corporativa, independientemente de si utilizan un dispositivo proporcionado por la empresa o su propio dispositivo personal (BYOD).

2. Uso permitido. Indique claramente que la red se proporciona con fines comerciales. Se puede tolerar el uso personal ocasional, pero no debe interferir con la productividad ni consumir un ancho de banda excesivo.

3. Actividades prohibidas. Explícitamente prohibir actividades ilegales, el acceso a contenido inapropiado, la instalación de software no autorizado, los intentos de eludir los controles de seguridad y el uso de la red para acceder a sistemas de la competencia.

4. Transparencia en la monitorización. Indique que la actividad de la red puede ser monitorizada para la gestión de la seguridad y el rendimiento. Detalle qué datos se recopilan y cómo se utilizan. Esta es su declaración de base jurídica de conformidad con el GDPR.

5. Requisitos de BYOD. Si el personal utiliza dispositivos personales, especifique los requisitos mínimos de seguridad: sistema operativo compatible, parches de seguridad actualizados y bloqueo de pantalla activado. Exija al personal que informe de inmediato sobre la pérdida o el robo de dispositivos.

6. Obligaciones de manejo de datos. Recuerde al personal que no debe transmitir datos confidenciales de clientes o de la empresa a través de conexiones no seguras, y que la red corporativa no sustituye a los controles de clasificación de datos.

7. Consecuencias disciplinarias. Indique claramente las consecuencias de las infracciones de la política, desde advertencias verbales hasta el despido y la remisión a las fuerzas del orden en caso de infracciones graves.

8. Ciclo de revisión de la política. Comprométase a revisar la AUP al menos una vez al año y a comunicar los cambios a todo el personal.

Implementación de controles técnicos

La política por sí sola es insuficiente. Debe aplicarla técnicamente. La siguiente secuencia se aplica a la mayoría de los recintos empresariales.

En primer lugar, integre su proveedor de identidad con el RADIUS en la nube de Purple. Conecte Microsoft Entra ID, Okta o Google Workspace a la infraestructura de autenticación de Purple. Esto elimina la necesidad de servidores RADIUS locales y proporciona conmutación por error multirregión con un SLA de tiempo de actividad del 99,999 % (datos propios de Purple).

En segundo lugar, configure sus puntos de acceso para transmitir un SSID dedicado para el personal protegido con WPA3-Enterprise. Asigne los dispositivos del personal a una VLAN dedicada en función de su identidad autenticada. La asignación de VLAN basada en roles le permite ofrecer a directivos, contratistas y personal general diferentes niveles de acceso a la red desde la misma infraestructura.

En tercer lugar, habilite la sincronización SCIM entre su directorio y Purple. Esto automatiza tanto la incorporación como la desincorporación. Cuando un nuevo empleado se une, su cuenta en el directorio le otorga automáticamente acceso WiFi. Cuando se marcha, el acceso se revoca en cuestión de minutos.

En cuarto lugar, implemente Purple Shield para el filtrado de contenido a nivel de DNS. Shield bloquea los dominios maliciosos y el contenido inapropiado antes de que se carguen, aplicando la cláusula de actividades prohibidas de su AUP sin necesidad de una inspección profunda de paquetes. Shield elimina anuncios y rastreadores en la capa de DNS, lo que reduce el total de datos descargados en un 44 % y recorta las consultas de DNS en un 62 % (datos propios de Purple). Durante los períodos de alta actividad, puede limitar los servicios de streaming de gran ancho de banda para proteger el ancho de banda de las aplicaciones críticas.

Buenas prácticas

Automatice la desincorporación. Vincule el acceso a la red directamente con su sistema de RR. HH. Cuando el estado de un empleado cambia a inactivo, su acceso WiFi debe finalizar de inmediato. Los procesos manuales generan brechas de seguridad. Los equipos de TI que utilizan Purple suelen ver cómo los tickets de soporte de WiFi disminuyen en un 80 % tras automatizar la gestión de accesos (datos propios de Purple).

Realice una Evaluación de Impacto de Protección de Datos (DPIA). Antes de implementar cualquier nueva capacidad de monitorización, complete una DPIA, tal como lo exige el GDPR del Reino Unido para actividades de tratamiento de alto riesgo. La monitorización de empleados se clasifica como de alto riesgo porque implica el seguimiento sistemático de personas. Documente la evaluación y consérvela para fines de auditoría.

Segmente por rol, no solo por tipo de dispositivo. Utilice la asignación de VLAN basada en roles para ofrecer a los contratistas un acceso limitado en el tiempo que expire automáticamente. Esto es especialmente relevante en entornos de hostelería donde el personal de agencias y los trabajadores de temporada son habituales.

Revise las políticas anualmente. Las normativas evolucionan. PCI DSS v4.0 introdujo nuevos requisitos en 2024. Las directrices del GDPR del Reino Unido por parte de la ICO se actualizan periódicamente. Programe una revisión anual de la política que involucre a los equipos de TI, RR. HH. y legal.

Capacite al personal, no solo a los directivos. No oculte la AUP en un manual de incorporación. Realice sesiones de formación breves y prácticas que expliquen los riesgos de una red WiFi no segura y los motivos de las políticas de red. El personal que comprende el porqué tiene muchas más probabilidades de cumplir las normas.

Resolución de problemas y mitigación de riesgos

Modo de fallo Riesgo Mitigación
Contraseña WPA2 compartida Los antiguos empleados conservan el acceso indefinidamente Migrar a 802.1X con integración de proveedor de identidad
Personal y TPV en la misma subred Infracción del alcance de PCI DSS, fallo en la contención de brechas Implementar una segmentación estricta de VLAN
Sin divulgación de monitorización en la AUP Infracción del GDPR, pruebas no admisibles en acciones disciplinarias Actualizar la AUP y obtener un reconocimiento firmado
Proceso de desincorporación manual El acceso persiste tras la salida Habilitar la sincronización SCIM con el sistema de RR. HH.
Sin filtrado de contenido Entrada de malware, agotamiento del ancho de banda, brecha en la aplicación de la AUP Implementar Purple Shield en la capa de DNS
BYOD sin estándares mínimos de seguridad Dispositivos personales comprometidos en la red corporativa Definir y aplicar los requisitos de BYOD en la AUP

Para obtener una visión más amplia de la arquitectura de seguridad WiFi para empresas, consulte nuestra guía Seguridad WiFi para empresas: una guía completa para 2026 . Si su principal preocupación son las redes de trastienda en el sector minorista, la guía Políticas de WiFi para el personal en el sector minorista: protección de las redes de trastienda cubre en detalle los escenarios de implementación específicos para este sector.

ROI e impacto empresarial

La implementación de una política de WiFi sólida para el personal y una arquitectura segura ofrece resultados medibles. La automatización de la incorporación y la desincorporación a través de la integración del proveedor de identidad reduce los tickets de soporte de TI relacionados con el acceso WiFi hasta en un 80 % (datos propios de Purple de más de 80 000 recintos activos). Esta eficiencia permite a los equipos de TI centrarse en el trabajo estratégico en lugar de en el restablecimiento de contraseñas.

La implementación de Purple Shield reduce el total de datos descargados en un 44 % y mejora los tiempos de carga de las páginas en un 53 % (datos propios de Purple). En un recinto donde el personal depende de servicios basados en la nube aplicaciones, esto mejora directamente la productividad. En un entorno minorista, protege el rendimiento del POS durante las horas de mayor actividad.

Desde la perspectiva del cumplimiento normativo, el coste de no superar una auditoría PCI DSS o de una acción de ejecución del GDPR supera con creces el coste de implementar los controles adecuados. La ICO impuso multas por un total de más de 7,5 millones de libras en 2023 por infracciones de protección de datos. La monitorización de la red sin transparencia y la segmentación adecuada sin documentación son fallos de auditoría asegurados.

Purple cuenta con las certificaciones ISO 27001, GDPR, CCPA y Cyber Essentials, y opera en más de 80.000 establecimientos activos con 350 millones de usuarios únicos. Para los establecimientos en entornos de transporte y sanidad donde los requisitos de cumplimiento son especialmente estrictos, el registro de auditoría de Purple —que registra cada evento de autenticación con usuario, dispositivo, hora y ubicación— proporciona la documentación que exigen sus auditores.

Para obtener más información sobre cómo medir la eficacia de su infraestructura WiFi, consulte WiFi Analytics .

Definiciones clave

Acceptable Use Policy (AUP)

Un conjunto documentado de normas que definen los usos permitidos y prohibidos de los recursos de TI de una organización, incluida su red WiFi.

La base legal para la supervisión de los empleados y las medidas disciplinarias. Sin una AUP vigente y firmada, los datos de supervisión pueden no ser admisibles en un procedimiento disciplinario.

IEEE 802.1X

Un estándar IEEE para el control de acceso a la red basado en puertos que requiere la autenticación individual del usuario antes de conceder acceso a la red.

El estándar de autenticación que sustituye las contraseñas compartidas por credenciales únicas por usuario, lo que permite automatizar las altas y bajas de acceso.

WPA3-Enterprise

El último protocolo de seguridad WiFi para redes corporativas, que proporciona cifrado individualizado para cada sesión de usuario mediante autenticación 802.1X.

Garantiza que, incluso en el mismo punto de acceso, los usuarios no puedan interceptar el tráfico de los demás. Es necesario para la seguridad de la WiFi para empleados de nivel empresarial.

VLAN (Virtual Local Area Network)

Una subred lógica que agrupa dispositivos de diferentes ubicaciones físicas en un dominio de difusión aislado.

Se utiliza para segmentar el tráfico del personal de las redes de invitados y de pago, conteniendo las brechas de seguridad y cumpliendo con los requisitos de segmentación de PCI DSS.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA) para el acceso a la red.

El motor detrás de 802.1X, que verifica las credenciales de los usuarios con un directorio central y asigna la pertenencia a la VLAN según la identidad.

SCIM (System for Cross-domain Identity Management)

Un estándar abierto que automatiza el intercambio de información de identidad de usuario entre sistemas de TI, como una plataforma de RR. HH. y un controlador de acceso a la red.

Permite a Purple revocar instantáneamente el acceso a la WiFi cuando se elimina a un empleado del directorio corporativo, cerrando la brecha en el proceso de baja.

DNS Filtering

El proceso de bloquear el acceso a dominios específicos en la capa de resolución del Sistema de Nombres de Dominio, antes de que se establezca la conexión.

Cómo aplica Purple Shield la AUP al impedir el acceso a contenido malicioso o inapropiado sin requerir una inspección profunda de paquetes.

PCI DSS (Payment Card Industry Data Security Standard)

Un estándar de seguridad de la información para organizaciones que procesan, almacenan o transmiten datos de titulares de tarjetas.

Requiere una segmentación estricta de la red para garantizar que los dispositivos del personal no puedan acceder al entorno de pagos. Se valida anualmente como parte de la evaluación de cumplimiento.

DPIA (Data Protection Impact Assessment)

Un proceso requerido por la GDPR del Reino Unido para actividades de tratamiento que puedan entrañar un alto riesgo para los derechos y libertades de las personas.

Obligatoria antes de implementar la supervisión de la red de los empleados. Documenta la base de interés legítimo y la proporcionalidad de la supervisión.

BYOD (Bring Your Own Device)

Una política que permite a los empleados utilizar sus dispositivos personales para conectarse a la red corporativa.

Requiere cláusulas específicas en la AUP que definan los requisitos mínimos de seguridad para los dispositivos personales que se conecten a la red WiFi del personal.

Ejemplos prácticos

Un hotel de 200 habitaciones necesita proteger su red WiFi para empleados. Actualmente, el personal de limpieza, recepción y dirección comparten una única contraseña WPA2. Al responsable de TI le preocupa que los ex-empleados sigan teniendo acceso y el riesgo de que los dispositivos del personal infecten el sistema de gestión hotelera.

El hotel migra de un modelo de contraseña compartida a la autenticación 802.1X. En primer lugar, integran su directorio Microsoft Entra ID existente con el RADIUS en la nube de Purple. A continuación, configuran sus puntos de acceso Cisco Meraki para emitir un SSID dedicado para el personal, protegido con WPA3-Enterprise. El personal se autentica con sus credenciales individuales de Microsoft a través de la aplicación Purple. La red se segmenta, ubicando los dispositivos del personal en la VLAN 10, el sistema de gestión hotelera en la VLAN 20 y la WiFi para clientes en la VLAN 30. Se habilita la sincronización SCIM para que, cuando RR. HH. desactive una cuenta, el acceso a la WiFi se revoque en cuestión de minutos. Se implementa Purple Shield para filtrar contenido malicioso y limitar el streaming de gran ancho de banda durante el horario laboral.

Comentario del examinador: Este enfoque elimina por completo la vulnerabilidad de la contraseña compartida. Al vincular el acceso al directorio corporativo, la baja de usuarios se automatiza y es auditable. La segmentación por VLAN contiene las amenazas potenciales, garantizando que un dispositivo del personal que esté comprometido no pueda acceder al sistema de gestión hotelera. La implementación de Shield aplica técnicamente la cláusula de actividades prohibidas de la AUP, evitando depender únicamente del cumplimiento por parte del personal.

Una cadena de tiendas con 50 establecimientos quiere implementar una Política de Uso Aceptable de la WiFi para empleados, pero le preocupa el cumplimiento de la GDPR en relación con la supervisión de los empleados en sus tiendas del Reino Unido. El documento de política actual tiene cinco años de antigüedad y no hace referencia a la supervisión de la red.

La empresa actualiza su AUP para indicar explícitamente que se registran los historiales de conexión, el uso del ancho de banda y los datos de consultas DNS para la gestión de la seguridad y el rendimiento. Esta política actualizada se distribuye a todos los empleados, quienes deben firmar un acuse de recibo. La empresa realiza una DPIA que documenta la base de interés legítimo para la supervisión. Técnicamente, Purple registra los eventos de autenticación (usuario, dispositivo, hora, ubicación) y Shield registra la actividad a nivel de DNS, proporcionando un registro de auditoría completo sin inspeccionar el contenido del tráfico cifrado. La empresa limita la retención de datos a 90 días, de acuerdo con el principio de minimización de datos.

Comentario del examinador: La transparencia es un requisito fundamental de la GDPR del Reino Unido. Al comunicar claramente qué se supervisa y por qué antes de que comience la supervisión, la empresa establece una base legal y evita riesgos de sanción. Limitar la supervisión a los metadatos en lugar de realizar una inspección profunda de paquetes demuestra proporcionalidad. La DPIA proporciona pruebas documentadas de cumplimiento ante cualquier futura inspección de la ICO.

Preguntas de práctica

Q1. Un gerente regional solicita que la nueva red WiFi para empleados utilice una única contraseña que cambie mensualmente para simplificar el acceso de los empleados que visitan otras sucursales. ¿Cómo debería responder el arquitecto de TI y qué alternativa debería proponer?

Sugerencia: Tenga en cuenta la carga de trabajo operativa que supone rotar las contraseñas en un entorno con múltiples sedes y la brecha de seguridad que persiste durante cada ciclo mensual.

Ver respuesta modelo

El arquitecto de TI debería rechazar la solicitud. Una contraseña compartida, incluso si se rota mensualmente, deja la red expuesta hasta 30 días después de cualquier baja de personal. Distribuir una nueva contraseña mensualmente en un entorno con múltiples sedes genera una carga de trabajo operativa significativa y crea tickets de soporte en cada ciclo de rotación. La alternativa correcta es la autenticación 802.1X integrada con el directorio central. Los empleados visitantes utilizan sus credenciales corporativas existentes para conectarse automáticamente en cualquier sede. No hay contraseña que distribuir, ni ciclo de rotación que gestionar, ni brechas de acceso cuando alguien se marcha. Esto ofrece una mayor seguridad y una mejor experiencia de usuario al mismo tiempo.

Q2. Durante una auditoría de PCI DSS, el asesor observa que los dispositivos del personal y los terminales de punto de venta (POS) están en el mismo segmento de red. ¿Cuál es el riesgo inmediato y qué pasos de subsanación se requieren?

Sugerencia: Céntrese en las implicaciones del alcance para el entorno de datos de titulares de tarjetas y en el plazo para la subsanación.

Ver respuesta modelo

El riesgo inmediato es que toda la red del personal quede dentro del alcance del entorno de datos de titulares de tarjetas de PCI DSS, lo que amplía significativamente la superficie de auditoría y el coste de subsanación. Cualquier dispositivo del personal que esté comprometido podría potencialmente acceder a los terminales POS. La subsanación requiere implementar una segmentación estricta por VLAN: una VLAN dedicada para los dispositivos del personal, una VLAN independiente para los terminales POS y reglas de cortafuegos que impidan el movimiento lateral entre ellas. Esto debe validarse y documentarse antes de poder cerrar la auditoría. En el futuro, la asignación de VLAN basada en roles a través de 802.1X garantizará que los dispositivos se ubiquen automáticamente en el segmento correcto según la identidad autenticada.

Q3. Una organización quiere implementar la supervisión de la red para detectar un consumo inusual de ancho de banda que pueda indicar una fuga de datos. Su manual del empleado no se ha actualizado en tres años y no contiene ninguna referencia a la supervisión de la red. ¿Qué debe ocurrir antes de activar las herramientas de supervisión?

Sugerencia: Considere la secuencia de requisitos legales bajo la GDPR del Reino Unido antes de que comience cualquier supervisión.

Ver respuesta modelo

Antes de activar cualquier herramienta de supervisión, la organización debe completar tres pasos. Primero, actualizar la Política de Uso Aceptable y el manual del empleado para indicar explícitamente que se supervisa la actividad de la red, qué datos se recopilan, por qué se recopilan y cuánto tiempo se conservan. Segundo, realizar una DPIA que documente la base de interés legítimo para la supervisión y demuestre que la intrusión en la privacidad es proporcionada con respecto al objetivo de seguridad. Tercero, distribuir la política actualizada a todo el personal y obtener un acuse de recibo firmado. Solo después de que estos pasos estén completos y documentados será legal activar la supervisión. La supervisión sin transparencia previa es una infracción de la GDPR del Reino Unido, independientemente de la justificación de seguridad.

Q4. Se le pide al equipo de TI de un hotel que permita al personal de limpieza de una agencia conectarse a la WiFi para empleados durante sus turnos, pero estos trabajadores no están en el directorio corporativo. ¿Cómo se debe aprovisionar y controlar el acceso?

Sugerencia: Tenga en cuenta el acceso limitado en el tiempo, el aislamiento de la red y el reto que supone la baja de los trabajadores temporales.

Ver respuesta modelo

Al personal de la agencia se le deben proporcionar credenciales de invitado con límite de tiempo que expiren automáticamente al finalizar su contrato, en lugar de agregarlos al directorio corporativo. Purple admite la gestión de acceso de contratistas con expiración automática, por lo que el acceso finaliza sin intervención manual. Estas credenciales deben conceder acceso a una VLAN restringida únicamente con acceso a internet, aislada de los sistemas internos. La AUP debe incluir explícitamente a los contratistas, y el personal de la agencia debe aceptar la política antes de recibir las credenciales. Este enfoque evita el riesgo de baja asociado con los trabajadores temporales, al tiempo que mantiene un registro de auditoría completo.

Continúe leyendo esta serie

Políticas de WiFi para el personal en el sector minorista: protección de las redes back-of-house

Esta guía cubre los requisitos técnicos y de políticas críticos para proteger las redes WiFi back-of-house en el sector minorista, desde la segmentación de VLAN y el cumplimiento de PCI DSS 4.0 hasta la gestión de dispositivos BYOD de los empleados en la tienda. Ofrece a los responsables de TI, arquitectos de redes y directores de operaciones un plan práctico y neutral respecto al proveedor que pueden implementar este trimestre.

Leer la guía →

The Future of Wi-Fi Security: AI-Driven NAC and Threat Detection

Esta guía autorizada explora la evolución de la seguridad Wi-Fi empresarial, desde el WPA2 heredado hasta el Control de Acceso a la Red (NAC) impulsado por IA y la detección de amenazas. Diseñada para líderes de TI, proporciona estrategias de implementación prácticas para asegurar entornos de alta densidad como comercios minoristas, hostelería y estadios utilizando las redes basadas en identidad de Purple.

Leer la guía →

Managing IoT Device Security with NAC and MPSK

Esta guía técnica detalla cómo los entornos empresariales pueden proteger dispositivos IoT sin interfaz de usuario utilizando la arquitectura de Clave Precompartida Múltiple (MPSK) y el Control de Acceso a la Red (NAC). Proporciona pasos de implementación prácticos para lograr la microsegmentación, contener los radios de explosión de seguridad y mantener el cumplimiento sin sacrificar la escalabilidad.

Leer la guía →