Tres SSIDs para gobernarlos a todos: guía de configuración de WiFi para invitados, Passpoint e IoT

Esta guía técnica proporciona un modelo definitivo para implementar el diseño de tres SSIDs en redes corporativas. Detalla la configuración de un Captive Portal de WiFi de invitados abierto, la incorporación automatizada de Passpoint y la autenticación xPSK por dispositivo para lograr una segmentación de VLAN completa y un acceso a la red de confianza cero.

📖 5 min de lectura📝 1,176 palabras🔧 2 ejemplos prácticos❓ 3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast

Le damos la bienvenida a la serie de informes técnicos de Purple. Hoy analizaremos el diseño de tres SSID de WiFi: una arquitectura de red que consolida el acceso de invitados, la incorporación automatizada y segura, y la gestión de dispositivos IoT bajo tres redes inalámbricas diseñadas específicamente para ello. Si gestiona una red WiFi en un hotel, un comercio minorista, un estadio o un centro de conferencias, este es el diseño que debería implementar en 2025 y de cara al futuro.

[medium pause]

Permítame ponerle en contexto. La mayoría de los establecimientos que encontramos todavía utilizan, en el mejor de los casos, dos SSID: una red de invitados y algo que se suele denominar red de personal. El problema es que esas dos redes acaben soportándolo todo. Los datáfonos están en el mismo segmento que los smartphones de los invitados. Los contratistas se conectan al mismo SSID que la señalización digital. Los sensores IoT comparten ancho de banda con los visitantes que reproducen vídeo en streaming. Eso no es una política de seguridad sólida; es un riesgo.

El diseño de tres SSID soluciona este problema proporcionando a cada clase de dispositivo y usuario su propia red dedicada, su propia VLAN y su propio método de autenticación. Tres SSID. Tres VLAN. Una arquitectura de seguridad coherente.

[medium pause]

Veamos cada una de ellas.

El SSID número uno es su WiFi de invitados abierto. Esta es la red tradicional de Captive Portal, la que ven los visitantes cuando abren su teléfono y se conectan. Es abierto, lo que significa que no requiere clave compartida previamente, porque el objetivo es evitar cualquier fricción en el momento de la conexión. La autenticación se realiza en la capa del portal. El visitante se conecta, es redirigido a una página de bienvenida, acepta las condiciones del servicio y, opcionalmente, facilita una dirección de correo electrónico o un número de teléfono. Ese es el consentimiento explícito de libre elección para cumplir con el GDPR. La plataforma de Purple gestiona esto de forma nativa: el portal captura datos de origen, registra la marca de tiempo del consentimiento y asocia la sesión a la VLAN 10, que es su segmento de invitados. La VLAN 10 solo tiene acceso a Internet. No puede acceder a sus sistemas TPV, a sus servidores de administración ni a ningún otro recurso interno. Las reglas de firewall se encargan de aplicar esto en el extremo de la red.

Desde el punto de vista del cumplimiento, este SSID realiza el trabajo más pesado. El GDPR exige que registre el consentimiento, la base jurídica para el tratamiento y la marca de tiempo. Purple registra todo eso de forma automática. Si se encuentra en un establecimiento sujeto a la normativa PCI DSS (un hotel con terminales de pago en las habitaciones, por ejemplo), el SSID de invitados debe estar completamente aislado de cualquier entorno de datos de titulares de tarjetas. Esto se consigue mediante la segmentación de VLAN con una política de firewall inter-VLAN.

[medium pause]

El SSID número dos es su red Passpoint, también conocida como Hotspot 2.0. Aquí es donde el diseño se vuelve verdaderamente interesante. Passpoint es un estándar IEEE 802.11u que permite que un dispositivo descubra, se autentique y se conecte automáticamente a una red WiFi sin ninguna interacción del usuario. Sin portal. Sin solicitudes de contraseña. El dispositivo negocia la autenticación en segundo plano mediante EAP (protocolo de autenticación extensible, por sus siglas en inglés) y se conecta de forma cifrada desde el primer paquete.

¿Cómo sabe un dispositivo que debe conectarse? Tiene instalado un perfil Passpoint. Con Purple, ese perfil se entrega a través de la aplicación Purple o mediante un SDK que usted integra en su propia aplicación de marca. Cuando un visitante que regresa entra en su establecimiento, su dispositivo detecta su SSID de Passpoint emitiendo una respuesta ANQP, la compara con el perfil instalado y se conecta automáticamente. Todo el proceso dura menos de dos segundos. El usuario nunca llega a tocar su teléfono.

El flujo de autenticación utiliza EAP-TLS o EAP-TTLS con PEAP, según su configuración. El dispositivo presenta una credencial a su servidor RADIUS (Purple actúa como ese servidor RADIUS en la nube) y el servidor devuelve un RADIUS Access-Accept con un atributo de asignación de VLAN. Ese atributo le indica al punto de acceso en qué VLAN debe colocar esa sesión. Así, el usuario de una aplicación de fidelización podría acabar en la VLAN 20, que tiene acceso a su plataforma de fidelización y a contenidos más completos. Un miembro del personal que utilice el mismo SSID de Passpoint con una credencial diferente acaba en la VLAN 30, que tiene acceso a los sistemas internos. Un solo SSID. Asignación dinámica de VLAN. Directiva aplicada por identidad.

[medium pause]

El SSID número tres es su red xPSK. xPSK es un término general que abarca iPSK, PPSK, DPSK y MPSK: todas ellas variaciones del mismo concepto de claves precompartidas por dispositivo o por grupo. La idea es sencilla: en lugar de una única contraseña compartida para sus dispositivos IoT y contratistas, cada dispositivo o grupo obtiene su propia clave única. Esa clave se asocia a una VLAN específica. Cuando un terminal de tarjetas se conecta con su clave, entra en la VLAN 40, que es su red de pago bajo el estándar PCI. Cuando un reproductor de señalización digital se conecta con su clave, entra en la VLAN 50, que tiene acceso a su servidor de gestión de contenidos pero a nada más. Cuando un contratista se conecta con una clave temporal, entra en la VLAN 60, que tiene acceso a internet y a nada interno. Cuando usted revoca la clave de ese contratista, este queda fuera de la red de inmediato. Sin necesidad de cambiar la contraseña en cada dispositivo.

El mecanismo detrás de xPSK varía según el proveedor. En Cisco Meraki se llama iPSK (Identity PSK) y funciona a través de RADIUS. En HPE Aruba, el equivalente es MPSK, también gestionado por RADIUS. Ruckus lo denomina DPSK (Dynamic PSK). Juniper Mist utiliza PPSK con asignación dinámica de VLAN a través del panel en la nube de Mist. Ubiquiti UniFi admite el control de acceso a la red con asignación de VLAN por cliente en las versiones de firmware recientes. Purple se integra con estas cinco plataformas como proveedor de RADIUS en la nube.

[medium pause]

Hablemos ahora de la secuencia de implementación. El orden importa.

Comience con el diseño de su VLAN antes de tocar la configuración inalámbrica. Defina primero sus VLAN en la capa de conmutación (switch). Configure su directiva de enrutamiento inter-VLAN y bloquéela en el firewall antes de que se conecte cualquier dispositivo. Este es el error más común que vemos: los equipos configuran primero la red inalámbrica y luego intentan adaptar la segmentación de la VLAN. Hágalo al revés.

En segundo lugar, configure su servidor RADIUS. En la plataforma de Purple, navegue hasta la sección de configuración de RADIUS, genere sus credenciales de servidor y anote las direcciones IP primaria y secundaria, el puerto de autenticación (normalmente el 1812) y el secreto compartido.

En tercer lugar, cree sus SSIDs. Para el SSID de invitados, establezca la seguridad como abierta, habilite la redirección del Captive Portal y apunte la URL de redirección a su portal de Purple. Para el SSID de Passpoint, habilite 802.11u y configure sus elementos ANQP: su dominio NAI (NAI Realm), su identificador de organización (OI) de Roaming Consortium si participa en OpenRoaming, y la información de su establecimiento. Establezca WPA2-Enterprise o WPA3-Enterprise como tipo de seguridad. Para el SSID xPSK, configure los ajustes MPSK o DPSK específicos del proveedor y dirija la autenticación a su punto de conexión RADIUS de Purple.

En cuarto lugar, configure su walled garden para el SSID de invitados. Incluya los dominios del portal de Purple, su solucionador de DNS y los puntos de conexión de detección de Captive Portal que utilizan iOS y Android: captivedetect.apple.com de Apple y connectivitycheck.gstatic.com de Google.

[medium pause]

Dos ejemplos del mundo real.

Un hotel de 350 habitaciones en el centro de Londres implementó esta arquitectura en 28 puntos de acceso con hardware HPE Aruba. Antes de la implementación, los terminales de pago compartían segmento de red con los dispositivos de los invitados, lo que suponía un fallo de conformidad con PCI. El rediseño de tres SSIDs trasladó los terminales de pago a una VLAN dedicada con reglas de firewall que solo permitían tráfico HTTPS saliente hacia el procesador de pagos. La auditoría PCI se superó en el siguiente ciclo. La captación de datos de invitados aumentó un 34 % en los primeros tres meses porque la experiencia del portal era más rápida y el flujo de suscripción más sencillo.

Una cadena de tiendas con 80 establecimientos en todo el Reino Unido redujo su número de SSIDs por tienda de una media de 4,2 a tres. Los terminales de punto de venta electrónico (EPOS) y la señalización digital se trasladaron al SSID xPSK con claves por dispositivo gestionadas de forma centralizada a través de Purple. El personal pasó a un SSID de Passpoint utilizando sus credenciales de Microsoft Entra ID mediante EAP-TTLS. El equipo de TI notificó una reducción del 60 % en los tickets de soporte relacionados con la WiFi en el primer trimestre tras la implementación.

[medium pause]

Algunos errores de implementación que debe evitar.

Configuración del tiempo de espera (timeout) de RADIUS: si sus puntos de acceso no pueden conectarse con el servidor RADIUS de Purple dentro del tiempo de espera configurado, denegarán la conexión. Configure siempre las direcciones del servidor RADIUS tanto principal como secundaria.

Etiquetado de VLAN en puertos troncales: cada puerto de enlace ascendente (uplink) del punto de acceso debe estar configurado como un enlace troncal que transporte todas las VLAN que utilizan sus SSIDs. Un error común es configurar la VLAN en el controlador pero olvidar añadirla al enlace troncal en el puerto del switch.

Configuración de Passpoint ANQP: la lista de dominios NAI (NAI Realm) debe coincidir exactamente con lo que figura en el perfil de Passpoint instalado en el dispositivo. Si no coinciden, los dispositivos omitirán su red durante la fase de detección. Realice pruebas con un dispositivo que sepa que funciona correctamente antes de la implementación en producción.
Rotación de claves xPSK: las claves de contratistas deben tener una fecha de expiración establecida en el aprovisionamiento. El panel de Purple le permite revocar claves individuales sin afectar a ningún otro dispositivo de la red.

[medium pause]

Preguntas rápidas.

¿Puedo ejecutar los tres SSIDs en el mismo punto de acceso? Sí. Mantenga el recuento total de SSID por punto de acceso en seis o menos para minimizar la sobrecarga de balizas (beacons).

¿Requiere Passpoint una aplicación específica? Con Purple, requiere la aplicación Purple o un SDK integrado en su propia aplicación de marca. El SDK gestiona el aprovisionamiento del perfil de forma silenciosa en segundo plano.

¿Cumple xPSK con la normativa PCI para terminales de tarjetas? Sí, siempre que la VLAN que transporta el tráfico de los dispositivos de pago esté correctamente segmentada y las reglas del cortafuegos restrinjan el tráfico únicamente a lo que requiere el procesador de pagos.

¿Qué ocurre si se cae el portal del SSID de invitados? Configure una redirección de respaldo o una página de bienvenida local en el controlador del punto de acceso. La plataforma de Purple funciona con un tiempo de actividad del 99,999 %, pero una configuración de respaldo de seguridad siempre es una buena práctica.

[medium pause]

En resumen. El diseño de tres SSIDs le ofrece una red de invitados con un Captive Portal que cumple con las normativas para la captura de datos, una red Passpoint para una incorporación segura y automatizada a través de la aplicación Purple o el SDK con asignación dinámica de VLAN, y una red xPSK que consolida dispositivos IoT, terminales de tarjetas, señalización digital, contratistas y BYOD bajo claves por dispositivo asignadas a VLANs específicas. El resultado es una postura de seguridad más limpia, una mejor experiencia para el visitante y una red que es realmente gestionable a escala.

Comience con su diseño de VLAN, configure RADIUS, cree sus SSIDs y establezca su walled garden. El equipo de incorporación de Purple puede guiarle a través de la configuración para su plataforma de hardware específica.

La guía escrita completa está disponible en purple.ai. Busque "three SSIDs to rule them all" para obtener la referencia de configuración paso a paso con detalles específicos del proveedor para Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist y Ubiquiti UniFi.

Gracias por escuchar.

Conclusiones clave

✓Consolide redes inalámbricas complejas en tres SSID específicos: Guest, Passpoint y xPSK.
✓Utilice el SSID Guest abierto con un Captive Portal para garantizar el cumplimiento de la GDPR y capturar datos de origen (first-party data).
✓Implemente Passpoint para ofrecer una incorporación fluida y cifrada para los visitantes que regresan y el personal a través de la aplicación o SDK de Purple.
✓Proteja los dispositivos IoT sin interfaz (headless), las terminales de tarjetas y a los contratistas mediante xPSK, asignando claves únicas para eliminar las contraseñas compartidas.
✓Aplique la seguridad de confianza cero (zero-trust) asignando dinámicamente los dispositivos autenticados a VLAN aisladas a través del RADIUS en la nube de Purple.
✓Configure siempre las VLAN del switch y las políticas de enrutamiento del firewall antes de implementar la configuración inalámbrica.
✓Limite las transmisiones (broadcasts) de SSID para reducir la sobrecarga de RF y mejorar el rendimiento general de la red.

📚 Parte de nuestra serie principal: Seguridad y autenticación WiFi empresarial: la guía completa →

Resumen Ejecutivo

La mayoría de las sedes empresariales siguen utilizando arquitecturas inalámbricas heredadas que colapsan todo el tráfico en uno o dos SSIDs. Este enfoque crea un riesgo inaceptable al situar dispositivos IoT no gestionados, hardware de contratistas y visitantes públicos en segmentos de red compartidos. El diseño de WiFi de tres SSIDs elimina esta vulnerabilidad asignando a cada clase de dispositivo y usuario su propia red dedicada, su propia VLAN y su propio método de autenticación. Esta guía proporciona un plan paso a paso para desplegar tres SSIDs distintos: una red Guest WiFi abierta para el cumplimiento y la captura de datos, una red Passpoint (Hotspot 2.0) para el acceso seguro automatizado a través de la aplicación o el SDK de Purple, y una red xPSK que consolida todos los dispositivos sin pantalla bajo claves por dispositivo. Al estandarizar esta arquitectura, los equipos de TI pueden lograr una segmentación estricta de VLAN, reducir la sobrecarga de radiofrecuencia y simplificar las operaciones de red en despliegues de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist y Ubiquiti UniFi.

Escuche la Sesión Informativa

Análisis Profundo de la Arquitectura Técnica

El diseño de tres SSIDs es un enfoque de confianza cero (zero-trust) aplicado al extremo inalámbrico. Se basa en el principio de que el SSID es simplemente el punto de entrada; el límite de seguridad real es la asignación de VLAN dictada por el método de autenticación.

1. Guest WiFi (SSID Abierto)

El primer SSID es una red abierta con un Captive Portal. Sirve para visitantes, invitados temporales y usuarios ocasionales. Al ser abierta, no hay ninguna fricción en el punto de conexión. El punto de control de seguridad se traslada a la capa de portal. Cuando un dispositivo se conecta, se le asigna una dirección IP de una subred fuertemente restringida y se le coloca en un entorno aislado (walled garden). El usuario es redirigido a una página de inicio (splash page) donde acepta las condiciones del servicio y, opcionalmente, proporciona datos de identidad.

Este SSID es fundamental para el cumplimiento normativo. Bajo el GDPR, debe registrar el consentimiento y la base legal para el tratamiento de datos. Purple gestiona esto de forma nativa, registrando la marca de tiempo del consentimiento y capturando datos de primera parte. Una vez autenticado, la sesión se asigna a la VLAN 10. Las reglas de firewall garantizan que la VLAN 10 solo tenga acceso a internet, totalmente aislada de los sistemas internos. Para los establecimientos sujetos a PCI DSS, esta segmentación garantiza que el tráfico de invitados nunca toque el entorno de datos de los titulares de tarjetas.

2. Passpoint (Hotspot 2.0)

El segundo SSID aprovecha IEEE 802.11u Passpoint para proporcionar un acceso automatizado y cifrado. Está diseñado para clientes habituales, miembros de programas de fidelización y personal. En lugar de un Captive Portal, Passpoint utiliza un perfil instalado para negociar la autenticación en segundo plano a través de EAP-TLS o EAP-TTLS con PEAP.

Cuando un usuario con la aplicación de Purple (o su propia aplicación que integre el SDK de Purple) entra en el establecimiento, su dispositivo detecta el SSID de Passpoint que emite elementos ANQP (Access Network Query Protocol) específicos. Los contrasta con su perfil y se conecta automáticamente. Purple actúa como servidor RADIUS en la nube, procesando las credenciales y devolviendo un mensaje RADIUS Access-Accept. Un aspecto crucial es que este mensaje incluye atributos de asignación de VLAN (como Tunnel-Private-Group-ID). A un miembro del programa de fidelización se le podría asignar la VLAN 20, mientras que a un miembro del personal que utilice el mismo SSID se le asignaría la VLAN 30. Esta asignación dinámica de VLAN permite aplicar políticas por identidad en lugar de por SSID.

3. xPSK (IoT y BYOD)

El tercer SSID consolida todos los demás casos de uso (terminales de tarjetas, señalización digital, impresoras, contratistas y BYOD) mediante xPSK (iPSK, PPSK, DPSK o MPSK). En lugar de una única contraseña compartida, cada dispositivo o grupo recibe una clave previamente compartida única.

Cuando un dispositivo se conecta, el punto de acceso envía la dirección MAC del dispositivo y la PSK específica utilizada al servidor RADIUS de Purple. Purple valida la clave y devuelve la asignación de VLAN correspondiente. Un terminal de tarjetas va a parar a la VLAN 40 (dentro del alcance de PCI), mientras que un reproductor de señalización digital va a parar a la VLAN 50. Si se revoca la clave de un contratista, su acceso se interrumpe de inmediato sin afectar a ningún otro dispositivo. Esto elimina la necesidad de listas de omisión de autenticación MAC (MAB) y contraseñas compartidas.

Guía de implementación

La implementación de esta arquitectura requiere una secuencia estricta. No configure las controladoras inalámbricas hasta que la red cableada subyacente esté preparada.

Paso 1: Configuración del conmutador y del cortafuegos

Defina primero sus VLAN en la capa del conmutador. Cree VLAN independientes para cada clase de dispositivo (por ejemplo, VLAN 10 Invitados, VLAN 20 Seguro, VLAN 30 IoT, VLAN 40 PCI). Configure políticas de enrutamiento inter-VLAN en su cortafuegos para imponer un aislamiento estricto. Las VLAN de invitados y de IoT normalmente solo deberían tener acceso de salida a Internet. Asegúrese de que todos los puertos de enlace ascendente de los puntos de acceso estén configurados como enlaces troncales que transporten todas las VLAN necesarias.

Paso 2: Integración del servidor RADIUS

Acceda al portal de Purple y genere sus credenciales RADIUS. Anote las direcciones IP primaria y secundaria, el puerto de autenticación (normalmente 1812), el puerto de contabilidad (1813) y el secreto compartido. Introduzca estos datos en la configuración AAA de su controladora inalámbrica. Establezca el tiempo de espera de RADIUS en al menos dos segundos para adaptarlo a la latencia de la nube.

Paso 3: Configuración del SSID

Configure los tres SSIDs según la implementación específica de su proveedor:

SSID de invitados (Guest SSID): Establezca la seguridad como Abierta. Habilite la redirección de Captive Portal y apúntela a la URL de su portal de Purple. Configure el walled garden para permitir el acceso a los dominios de Purple, a su resolvedor de DNS y a los endpoints de detección de captive portal del sistema operativo (por ejemplo, captivedetect.apple.com).

SSID de Passpoint: Habilite 802.11u/Hotspot 2.0. Configure los elementos ANQP, asegurándose de que el NAI Realm coincida exactamente con el perfil desplegado por la aplicación Purple. Establezca la seguridad en WPA2-Enterprise o WPA3-Enterprise y dirija la autenticación a los servidores RADIUS de Purple.

SSID de xPSK: Habilite la función xPSK específica del proveedor (por ejemplo, iPSK en Cisco Meraki, MPSK en HPE Aruba). Dirija la autenticación MAC a los servidores RADIUS de Purple y habilite la asignación dinámica de VLAN.

Buenas prácticas

Limitar el número de SSIDs: Nunca emita más de cuatro SSIDs por punto de acceso. Un número excesivo de SSIDs aumenta la sobrecarga de balizamiento (beacon overhead), lo que degrada el rendimiento general de la red. El diseño de tres SSIDs optimiza la utilización del tiempo de aire.
Precisión del Walled Garden: Mantenga su walled garden lo más acotado posible. Incluya únicamente los dominios esenciales para el flujo del portal y la detección del sistema operativo. Los rangos amplios de IP crean lagunas de seguridad.
Gestión del ciclo de vida de las claves: Establezca un ciclo de vida estricto para las claves xPSK. Defina fechas de vencimiento para las claves de contratistas en el momento del aprovisionamiento. Revise y rote las claves de IoT anualmente.

Resolución de problemas y mitigación de riesgos

Tiempos de espera de RADIUS (RADIUS Timeouts): Si los dispositivos no logran conectarse a las redes Passpoint o xPSK, verifique la configuración del tiempo de espera de RADIUS en el controlador. Cloud RADIUS requiere un tiempo de espera ligeramente superior al de los servidores locales. Asegúrese de que estén configuradas tanto la IP de RADIUS de Purple primaria como la secundaria.
Fallos en el etiquetado de VLAN: Si un dispositivo se autentica correctamente pero no puede obtener una dirección IP, el problema casi siempre se debe a la falta de una etiqueta VLAN en el puerto del switch del punto de acceso. Verifique la configuración del trunk.
Problemas de descubrimiento de Passpoint: Si los dispositivos ignoran el SSID de Passpoint, verifique la configuración de ANQP NAI Realm. Incluso un pequeño error tipográfico hará que el dispositivo rechace la red de forma silenciosa.

ROI e impacto empresarial

La implementación del diseño de tres SSIDs ofrece un valor empresarial cuantificable. Al consolidar los SSIDs, los establecimientos reducen la interferencia de RF y mejoran el rendimiento de los clientes. La asignación dinámica de VLAN a través de Passpoint y xPSK reduce significativamente los tickets de soporte de TI relacionados con el restablecimiento de contraseñas y las listas blancas de direcciones MAC. Además, la sólida segmentación garantiza el cumplimiento de PCI DSS y GDPR, mitigando el riesgo financiero de las brechas de datos al tiempo que maximiza la recopilación de datos de primera mano a través del portal de WiFi de invitados .

Definiciones clave

Passpoint (Hotspot 2.0)

Un estándar IEEE 802.11u que permite a los dispositivos móviles descubrir y conectarse automáticamente y de forma segura a redes WiFi sin interacción del usuario.

Crucial para ofrecer experiencias de itinerancia similares a las de las redes móviles y un acceso seguro y cifrado para los visitantes recurrentes y el personal.

xPSK

Un término general para las implementaciones específicas de cada proveedor (iPSK, PPSK, DPSK, MPSK) que permiten múltiples claves precompartidas únicas en un único SSID, asignando cada clave a una VLAN específica.

Se utiliza para proteger dispositivos IoT sin pantalla, impresoras y terminales de tarjetas que no admiten la autenticación empresarial 802.1X.

Captive Portal

Una página web que los usuarios están obligados a ver y con la que deben interactuar antes de que se les conceda acceso a una red WiFi pública.

El mecanismo principal para capturar datos de origen y garantizar el cumplimiento del GDPR mediante el consentimiento explícito.

Segmentación de VLAN

La práctica de dividir una red física en múltiples redes lógicas para aislar el tráfico y aplicar políticas de seguridad.

Esencial para aislar el tráfico de invitados no confiable de los sistemas internos sensibles y de los dispositivos de pago dentro del alcance de PCI.

RADIUS

Remote Authentication Dial-In User Service; un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA).

El motor que impulsa Passpoint y xPSK, validando credenciales e indicando al punto de acceso qué VLAN debe asignar.

ANQP

Access Network Query Protocol; un protocolo utilizado por los dispositivos para descubrir información de la red (como consorcios de itinerancia y tipos de autenticación) antes de asociarse con un punto de acceso.

El mecanismo que utiliza Passpoint para determinar si un dispositivo tiene el perfil correcto para conectarse automáticamente.

Walled Garden

Un entorno limitado que controla el acceso del usuario al contenido web antes de que se haya autenticado por completo.

Debe configurarse correctamente para permitir que los dispositivos lleguen al Captive Portal y a los endpoints de detección del sistema operativo.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security; un marco de autenticación que utiliza certificados tanto para la validación del cliente como del servidor.

El método de autenticación altamente seguro que suelen utilizar los perfiles de Passpoint para garantizar conexiones cifradas.

Ejemplos prácticos

Un hotel de 350 habitaciones necesita proteger sus terminales de tarjetas y, al mismo tiempo, capturar datos de los huéspedes para su programa de fidelización. Actualmente, todos los dispositivos comparten un único SSID WPA2-Personal.

Desplegar la arquitectura de tres SSIDs. Crear la VLAN 10 para invitados, la VLAN 20 para miembros de fidelización y la VLAN 40 para terminales de pago. Configurar el SSID de invitados como abierto con un Captive Portal de Purple para la captura de datos. Configurar el SSID de Passpoint para los miembros de fidelización utilizando la aplicación Purple. Configurar el SSID xPSK para los terminales de tarjetas. En el panel de Purple, generar PSK únicas para cada terminal y asignarlas a la VLAN 40. En el firewall, restringir la VLAN 40 para permitir únicamente el tráfico HTTPS saliente a las direcciones IP del procesador de pagos.

Comentario del examinador: Este enfoque resuelve de inmediato el fallo de conformidad con PCI al aislar el entorno de datos de los titulares de tarjetas. También moderniza la experiencia del huésped, permitiendo a los visitantes frecuentes un acceso Passpoint sin fricciones mientras se capturan valiosos datos de origen de los nuevos invitados.

Una cadena minorista con 80 tiendas experimenta graves problemas de rendimiento WiFi debido a la emisión de cinco SSIDs por tienda (invitados, personal, POS, señalización y escáneres).

Consolidar las redes utilizando el diseño de tres SSIDs. Mantener el SSID de invitados con un Captive Portal. Desplegar un SSID de Passpoint para el personal, autenticando contra Microsoft Entra ID a través de la integración RADIUS de Purple, asignándolos a una VLAN de personal. Combinar POS, señalización y escáneres en un único SSID xPSK. Asignar claves únicas a cada categoría de dispositivo, asignando POS a la VLAN 40, señalización a la VLAN 50 y escáneres a la VLAN 60.

Comentario del examinador: Reducir el número de SSIDs de cinco a tres disminuye significativamente la sobrecarga de las tramas de gestión, lo que mejora de inmediato el tiempo de transmisión disponible y el rendimiento de los clientes. El equipo de TI obtiene un control granular sobre los dispositivos sin pantalla sin la carga administrativa de mantener listas MAB.

Preguntas de práctica

Q1. El director de TI de un estadio desea implementar Passpoint para los aficionados que utilicen la aplicación oficial del equipo, pero le preocupa que los ajustes de tiempo de espera (timeout) de RADIUS provoquen fallos de conexión durante eventos de alta densidad. ¿Cuál es el enfoque recomendado?

Sugerencia: Considere la latencia de la autenticación basada en la nube en comparación con la de los controladores locales.

Ver respuesta modelo

Configure el tiempo de espera de RADIUS en los controladores inalámbricos a un mínimo de dos a tres segundos. En entornos de alta densidad, las respuestas de RADIUS en la nube pueden tardar un poco más que las de los servidores locales. Además, asegúrese de que estén configuradas tanto la dirección IP principal como la secundaria de Purple RADIUS para proporcionar redundancia de conmutación por error (failover).

Q2. Está configurando el SSID xPSK para una flota de nuevos escáneres de códigos de barras inalámbricos. Los escáneres se conectan correctamente al SSID, pero no pueden llegar al servidor de inventario. ¿Cuál es la causa más probable?

Sugerencia: Piense en la ruta entre el punto de acceso y el switch principal (core).

Ver respuesta modelo

La causa más probable es la falta de una etiqueta (tag) VLAN en el puerto del switch del punto de acceso. Aunque Purple RADIUS está asignando correctamente el escáner a la VLAN de inventario, si esa VLAN no está permitida en el puerto troncal que conecta el punto de acceso al switch, el tráfico se descartará.

Q3. Un hotel necesita permitir que los huéspedes accedan a su motor de reservas directo antes de autenticarse a través del Captive Portal. ¿Cómo se debe configurar esto?

Sugerencia: Esto implica controlar el tráfico previo a la autenticación.

Ver respuesta modelo

El equipo de TI debe añadir los dominios y las direcciones IP del motor de reservas a la configuración del Walled Garden en el controlador inalámbrico. Esto permite que el tráfico previo a la autenticación llegue a esos destinos específicos mientras se bloquea cualquier otro acceso a internet hasta que se complete el flujo del Captive Portal.

Continúe leyendo esta serie

Tres SSIDs para gobernarlos a todos: guía de configuración de WiFi para invitados, personal e IoT

Esta guía de referencia técnica autorizada proporciona un plano paso a paso para implementar una arquitectura WiFi de tres SSIDs. Explica cómo segmentar el tráfico de invitados, personal e IoT utilizando captive portals, RADIUS 802.1X y PSK por dispositivo (xPSK) para optimizar el rendimiento y garantizar el cumplimiento de PCI DSS.

Autenticación WiFi empresarial sin Active Directory ni servidor local

Esta guía explica cómo implementar una autenticación WiFi WPA2/3-Enterprise segura sin un Active Directory local, Windows NPS o servidor RADIUS. Cubre la incompatibilidad de protocolos entre los proveedores de identidad en la nube y 802.1X, los argumentos a favor de EAP-TLS frente a PEAP-MSCHAPv2 y cómo implementar cloud RADIUS con certificados emitidos por MDM contra Microsoft Entra ID, Okta o Google Workspace. Escrito para responsables de TI en organizaciones cloud-first y con un gran volumen de Mac/Chromebook que estén listas para retirar la infraestructura local.

Cómo revocar el acceso a la WiFi cuando un empleado se marcha

Esta guía detalla cómo revocar el acceso a la WiFi cuando un empleado se marcha, sustituyendo las contraseñas compartidas inseguras por certificados 802.1X por usuario o iPSK. Cubre el desaprovisionamiento automatizado a través de SCIM para cumplir con los requisitos de auditoría de las normas ISO 27001 y SOC 2.