Ubiquiti UniFi y Purple WiFi: Guía de integración

Esta guía proporciona una referencia técnica definitiva para integrar la plataforma de inteligencia Purple WiFi con despliegues de red Ubiquiti UniFi, abarcando la arquitectura, la configuración paso a paso del controlador y la captura de datos de conformidad con el GDPR. Está diseñada para responsables de TI, arquitectos de red y directores de operaciones que necesitan desplegar una experiencia de WiFi para invitados segura y rica en funciones en entornos de hostelería, comercio minorista, eventos y sector público. Al configurar correctamente el UniFi Network Controller para aprovechar el Captive Portal externo de Purple, las organizaciones pueden transformar un centro de costes estándar en una valiosa fuente de analítica de visitantes e inteligencia de marketing.

📖 8 min de lectura📝 1,793 palabras🔧 2 ejemplos prácticos❓ 4 preguntas de práctica📚 10 definiciones clave

Escuchar esta guía

Ver transcripción del podcast

Bienvenidos a la sesión informativa técnica de Purple. Soy su anfitrión, y en los próximos diez minutos, ofreceremos una guía de nivel sénior para integrar la plataforma de inteligencia WiFi de Purple con redes Ubiquiti UniFi. Esto está dirigido a responsables de TI, arquitectos de red y directores de operaciones que necesitan orientación práctica para desplegar una solución de WiFi para invitados de primer nivel. Abordaremos la arquitectura principal, un plan de implementación paso a paso y los errores comunes que se deben evitar.

Pongámonos en situación. Dispone de una red UniFi: es potente y escalable, pero las funciones nativas de su portal de invitados son básicas. Su organización necesita algo más que una contraseña; necesita inteligencia. Desea comprender el comportamiento de los visitantes, capturar datos para marketing de conformidad con el GDPR y ofrecer una experiencia de usuario fluida y personalizada con su marca. Este es el problema que resuelve la integración de Purple. Transforma su infraestructura UniFi de un simple proveedor de Internet en una rica fuente de inteligencia empresarial.

El núcleo de esta integración reside en la función External Portal Server de UniFi. Cuando un invitado se conecta, el controlador UniFi no gestiona el inicio de sesión por sí mismo. En su lugar, redirige al usuario a la plataforma en la nube de Purple, que asume el control de todo el proceso de autenticación. Una vez que el usuario inicia sesión a través de una cuenta social, un formulario o un código, Purple realiza una llamada segura a la API de su controlador UniFi para indicarle: 'Este usuario está autenticado, concédale acceso'. Es una arquitectura sencilla, robusta y muy eficaz.

Pasemos ahora al análisis técnico detallado. Repasemos los cinco pasos clave para un despliegue de éxito. Seré breve.

Paso uno: Accesibilidad del controlador. Su controlador UniFi debe ser accesible para la plataforma en la nube de Purple. Esto significa que necesita una IP pública estática o un nombre de host, y debe configurar una regla de reenvío de puertos en su cortafuegos. Se trata del puerto TCP 8443 para controladores de software y del puerto 443 para hardware como el UDM Pro o Cloud Key Gen2.

Paso dos: El SSID de invitados. Dentro de su UniFi Network Application, creará una nueva red inalámbrica. El ajuste crucial aquí es que el protocolo de seguridad debe ser Open. Esto no es negociable. Este estado abierto es el que permite que se produzca el redireccionamiento del Captive Portal. No se preocupe: la seguridad la gestionan el portal y la segmentación de la red, no una clave precompartida.

Paso tres: El Hotspot Portal. Aquí es donde le indica a UniFi que utilice Purple. Habilitará el Hotspot Portal y establecerá el tipo de autenticación en External Portal Server. A continuación, introducirá la dirección IP específica y el dominio de acceso facilitados por Purple. Un error clave que debe evitar aquí es habilitar el redireccionamiento HTTPS. Purple gestiona la seguridad, por lo que esto debe estar desactivado.

Paso cuatro: El Walled Garden. Esta es la parte más crítica y que más suele prestarse a confusión de la configuración. El Walled Garden es su lista blanca previa a la autenticación. Debe añadir todos los dominios de Purple, además de los dominios de los proveedores de inicio de sesión social que desee ofrecer, como facebook.com. Si esta lista está incompleta, el portal sencillamente no se cargará para sus invitados. Es lo primero que debe comprobar a la hora de solucionar problemas.

Paso cinco: El portal de Purple. Por último, inicie sesión en su cuenta de Purple. En la configuración de su punto de acceso, introducirá la dirección pública de su controlador UniFi y, lo que es muy importante, las credenciales de una cuenta de administrador local dedicada, no las credenciales de su cuenta en la nube de Ubiquiti. Esto es lo que permite a Purple realizar esa llamada vital a la API para autorizar al invitado.

Siga esos cinco pasos y dispondrá de una solución de WiFi para invitados robusta y de calidad empresarial.

Hablemos de recomendaciones de implementación y errores comunes. Práctica recomendada número uno: segmentación de la red. Su SSID de invitados debe estar en su propia VLAN, completamente aislada de su red corporativa. Esto no es negociable por motivos de seguridad y de conformidad con la normativa PCI DSS. En segundo lugar, utilice la limitación del ancho de banda. UniFi le permite establecer límites de velocidad por usuario. Utilícelos para garantizar una experiencia equitativa para todos. En tercer lugar, como he mencionado, utilice una cuenta de administrador local dedicada para la API. Limita su exposición de seguridad.

El error más común que vemos es un fallo en el redireccionamiento: el portal no se carga. Nueve de cada diez veces, se debe a un Walled Garden incompleto. El segundo problema más común es un inicio de sesión correcto, pero sin acceso a Internet. Esto apunta directamente a un fallo de comunicación entre Purple y su controlador. Compruebe las reglas de reenvío de puertos y las credenciales de administrador en el portal de Purple.

Es hora de una ronda de preguntas rápidas. A menudo me preguntan: ¿Puedo hacer esto con un UDM Pro? Sí, por supuesto. El proceso es idéntico, solo recuerde utilizar el puerto 443. ¿Qué pasa si cambia la IP de mi controlador? Necesita una IP estática o un nombre de host DNS dinámico. Si la dirección cambia, la integración dejará de funcionar. ¿Qué nivel de seguridad ofrece un SSID Open? La seguridad se aplica mediante el aislamiento de clientes en el punto de acceso y las reglas de cortafuegos de la VLAN. La red de invitados está aislada. Para una seguridad aún mayor, podemos desplegar WPA3-Enterprise con RADIUS, que es lo que hace nuestra solución PurpleConnex.

En resumen, la integración de Purple con UniFi eleva su WiFi para invitados de un simple servicio a un activo estratégico. Proporciona una profunda inteligencia empresarial, potentes funciones de marketing y una experiencia de usuario profesional. La clave del éxito es un enfoque metódico de la configuración: garantice el acceso público al controlador, utilice un SSID abierto, configure correctamente el portal externo y el Walled Garden, y utilice un administrador local dedicado para la API. Siguiendo esta guía, podrá garantizar un despliegue fluido, exitoso y de gran valor. Para obtener instrucciones escritas detalladas paso a paso y diagramas, consulte la guía de referencia técnica completa en nuestro sitio web. Gracias por escuchar la sesión informativa técnica de Purple.

Conclusiones clave

✓La integración de UniFi/Purple utiliza la función External Portal Server de UniFi para redirigir a los invitados al Captive Portal de Purple, que gestiona la autenticación y realiza una llamada de retorno a la API de UniFi para autorizar el acceso de los invitados; no se requiere hardware adicional.
✓El Walled Garden (lista de acceso previa a la autorización) es el elemento más crítico y el que se configura de forma incorrecta con más frecuencia en el despliegue. Debe incluir todos los dominios de Purple, los dominios de los proveedores de inicio de sesión social y los endpoints CNA de Apple antes de que el portal funcione correctamente.
✓Utilice siempre una cuenta de administrador local dedicada en el controlador UniFi para la integración de la API de Purple; nunca utilice las credenciales de su cuenta principal en la nube de Ubiquiti. Esto constituye tanto una práctica recomendada de seguridad como un requisito de fiabilidad.
✓El puerto de API correcto depende del tipo de controlador: TCP 8443 para controladores basados en software, TCP 443 para controladores basados en hardware (UDM Pro, UDM SE, UDR, CloudKey Gen2+). Configurar un puerto incorrecto es una causa común de fallos de comunicación de la API.
✓La segmentación de la red no es negociable: el SSID de invitados debe estar en una VLAN dedicada, aislada mediante cortafuegos de todas las redes corporativas y de gestión. Esto es necesario tanto por seguridad como para cumplir con la normativa PCI DSS.
✓El ROI de la integración de Purple va mucho más allá de la conectividad: la analítica de visitantes, la captura de datos de conformidad con el GDPR, la integración con el CRM y las comunicaciones de marketing dirigidas transforman la WiFi para invitados en un activo empresarial medible.
✓Para los usuarios recurrentes, la función PurpleConnex (Passpoint/IEEE 802.11u) de Purple proporciona una experiencia de reconexión fluida y sin credenciales mediante autenticación EAP-TTLS basada en RADIUS, eliminando la necesidad de volver a autenticarse a través del Captive Portal en visitas posteriores.

Resumen Ejecutivo

Ubiquiti UniFi es una de las plataformas de WiFi empresariales más implementadas en todo el mundo, en la que confían hoteles, cadenas de retail, estadios y organizaciones del sector público por su rendimiento, escalabilidad y rentabilidad. Sin embargo, sus capacidades nativas de portal de invitados son limitadas. La plataforma de inteligencia WiFi de Purple resuelve esta brecha integrándose directamente con el UniFi Network Controller a través de su función de Servidor de Portal Externo, ofreciendo una experiencia de Captive Portal totalmente personalizada y rica en análisis sin necesidad de hardware adicional.

Esta guía proporciona una referencia técnica completa para dicha integración. Cubre la arquitectura subyacente, un proceso de configuración paso a paso tanto para las versiones actuales de UniFi (v7.4+) como para las heredadas (v7.3 e inferiores), las mejores prácticas de seguridad y cumplimiento, y un marco estructurado de resolución de problemas. Las organizaciones que completan esta integración obtienen acceso a análisis de visitantes en tiempo real, captura de datos que cumple con el GDPR, integración con CRM y la capacidad de ofrecer comunicaciones de marketing dirigidas, transformando el WiFi de invitados de un centro de costes a un activo empresarial medible.

Análisis Técnico Detallado

La integración entre Ubiquiti UniFi y Purple se basa en la funcionalidad de Servidor de Portal Externo de UniFi. Esta función redirige a los usuarios invitados desde el controlador local de UniFi a un Captive Portal de terceros designado; en este caso, la plataforma Purple. El mecanismo subyacente se basa en una serie de redirecciones HTTP y llamadas API que gestionan el ciclo de vida de la autorización de invitados.

Cuando un invitado se conecta al SSID de autenticación abierta designado, el controlador UniFi coloca su dispositivo en un estado "pendiente". En este estado, todo el tráfico HTTP se intercepta y se redirige a la URL de la página de bienvenida de Purple, con parámetros clave añadidos a la cadena de consulta de la URL: la dirección MAC del invitado, la dirección MAC del AP y el identificador del sitio. La plataforma Purple captura estos parámetros, presenta la experiencia de inicio de sesión adecuada y, tras la autenticación correcta del usuario (ya sea mediante inicio de sesión social, formulario de correo electrónico o cupón), realiza una llamada API HTTPS segura de vuelta al UniFi Network Controller para autorizar la dirección MAC del invitado durante una duración de sesión específica. Esta autorización mueve el dispositivo del estado "pendiente" al estado "autorizado", otorgándole acceso a internet.

Un componente crítico de esta arquitectura es el Walled Garden: una lista blanca de direcciones IP y dominios a los que los dispositivos de los invitados pueden acceder antes de la autenticación. Esto es esencial para permitir el acceso a los propios dominios de Purple, a los proveedores de inicio de sesión social (Facebook, Google), a los endpoints de detección CNA de Apple y a cualquier otro servicio externo requerido. Sin un Walled Garden configurado correctamente, el Captive Portal no se cargará en absoluto.

Para implementaciones más avanzadas, la función PurpleConnex de Purple introduce soporte para Passpoint (IEEE 802.11u), utilizando un servidor RADIUS para una reconexión fluida y sin credenciales para los usuarios que regresan. Esto requiere configurar un perfil RADIUS dentro de UniFi que apunte al servidor de autenticación de Purple en la IP 34.150.158.147, en los puertos 1812 (autenticación) y 1813 (accounting).

Guía de Implementación

Esta sección proporciona una guía paso a paso para configurar su UniFi Network Controller para integrarse con Purple. Las siguientes instrucciones se aplican a la versión 7.4 o posterior de la aplicación UniFi Network. Para versiones heredadas (v7.3 e inferiores), los principios de configuración son idénticos pero la ruta de navegación difiere ligeramente, utilizando Perfiles > Hotspot de invitados en lugar del Gestor de Hotspot.

Paso 1: Verificar y establecer la accesibilidad del controlador. Antes de comenzar cualquier configuración, confirme que su UniFi Network Controller sea accesible desde el internet público. La plataforma en la nube de Purple debe poder comunicarse con la API de su controlador para autorizar las sesiones de invitados. Para controladores UniFi basados en software, esto requiere una regla de reenvío de puertos en su cortafuegos que asocie el puerto TCP 8443 con la dirección IP LAN interna del controlador. Para implementaciones basadas en hardware, incluidos UniFi Dream Machine Pro (UDM Pro), UDM Special Edition, UDR y CloudKey Gen2+, el puerto correspondiente es el TCP 443.

Paso 2: Crear una cuenta de administrador local dedicada. Por higiene de seguridad, nunca utilice las credenciales de su cuenta en la nube o de superadministrador principal de Ubiquiti para la integración de la API de Purple. Cree una nueva cuenta de administrador local dedicada en su controlador UniFi específicamente para este propósito. Esta cuenta debe tener privilegios administrativos completos para el sitio correspondiente. El uso de una cuenta dedicada limita el radio de impacto de cualquier posible compromiso de credenciales y garantiza que la integración no se vea interrumpida por cambios en su cuenta principal.

Paso 3: Crear el SSID de WiFi de invitados. En la aplicación UniFi Network, navegue a Ajustes > WiFi y haga clic en Crear nuevo. Asigne un nombre de cara al público (por ejemplo, "WiFi de invitados del hotel"). Establezca el Protocolo de seguridad en Abierto; esto es obligatorio para que funcione el mecanismo de redirección del Captive Portal. Asigne el SSID a su VLAN de invitados designada. Active el interruptor de Portal de Hotspot.

Paso 4: Configurar el Portal de Hotspot y el Servidor Externo. Navegue a Gestor de Hotspot > Página de destino. En Autenticaciónn**, seleccione External Portal Server e introduzca la dirección IP del portal externo proporcionada por Purple. En Settings, configure lo siguiente: habilite Secure Portal, habilite Redirect using Hostname e introduzca el dominio de acceso proporcionado por Purple, y asegúrese de que HTTPS Redirection esté configurado como Disabled. La sesión Default Expiration debe configurarse en 8 horas.

Paso 5: Configurar el Walled Garden. En la configuración del Hotspot Manager, localice la sección Pre-Authorization Access. Añada todos los dominios de la lista proporcionada por Purple. Esta lista suele incluir los dominios de la propia plataforma de Purple, los dominios de los proveedores de inicio de sesión social (facebook.com, google.com, accounts.google.com), los puntos de conexión de detección del Captive Network Assistant (CNA) de Apple y cualquier otro servicio de terceros utilizado en su página de bienvenida. Este paso es la fuente más común de fallos de despliegue y debe completarse con precisión.

Paso 6: Introducir los datos del controlador en el portal de Purple. Inicie sesión en su cuenta de Purple y navegue hasta la configuración del Venue correspondiente. Introduzca la dirección IP pública o el nombre de host de su UniFi Controller y las credenciales de la cuenta de administrador local dedicada creada en el Paso 2. Guarde la configuración. Purple intentará validar la conexión.

Paso 7: Probar y validar. Con un dispositivo móvil que no se haya conectado previamente a la red, conéctese al nuevo SSID de invitados. Debería ser redirigido automáticamente al Captive Portal de Purple. Autentíquese utilizando uno de los métodos configurados. Si tiene éxito, se le debería conceder acceso a internet. Si la redirección falla o no se concede acceso a internet tras la autenticación, consulte la sección de resolución de problemas que aparece a continuación.

Buenas prácticas

La segmentación de la red es el requisito de seguridad fundamental para cualquier despliegue de WiFi de invitados. El SSID de invitados debe asignarse a una VLAN dedicada que esté protegida por un cortafuegos de todas las redes corporativas y administrativas. Esto evita que los dispositivos de los invitados accedan a los recursos internos, cumple los requisitos de aislamiento de red de PCI DSS y limita el impacto de cualquier incidente de seguridad en la red de invitados.

La gestión del ancho de banda es igualmente importante en entornos de alta densidad. La función de limitación de velocidad por usuario de UniFi debe configurarse para establecer límites razonables de subida y bajada para los usuarios invitados. Esto evita que un pequeño número de usuarios con un elevado ancho de banda degrade la experiencia de todos los invitados, lo que resulta especialmente relevante en despliegues en hoteles y centros de conferencias.

El Walled Garden requiere un mantenimiento continuo. Los proveedores de inicio de sesión social y otros servicios de terceros actualizan periódicamente sus estructuras de dominios. Una revisión trimestral de la configuración del Walled Garden, contrastada con la última lista de dominios recomendada por Purple, es una práctica operativa sólida. No mantener esta lista es la causa principal de los fallos del portal tras el despliegue.

Para la integración de la API, utilice siempre una cuenta de administrador local dedicada en lugar de una cuenta vinculada a la nube. Se trata tanto de una buena práctica de seguridad como de una medida de fiabilidad: las credenciales de las cuentas en la nube están sujetas a flujos de autenticación multifactor que pueden interrumpir las llamadas automatizadas a la API que realiza Purple para autorizar a los invitados.

Resolución de problemas y mitigación de riesgos

El modo de fallo más común es un Captive Portal que no se carga. Cuando un invitado se conecta al SSID pero no ve ninguna redirección, o la página del portal no se procesa, la causa principal es casi invariablemente un Walled Garden incompleto. Comience la resolución de problemas conectando un dispositivo de prueba e intentando navegar a una URL HTTP conocida. Si se produce la redirección pero la página no se carga, añada los dominios que faltan al Walled Garden. Verifique también que el DNS de la red de invitados esté correctamente configurado para resolver nombres de host externos.

El segundo fallo más común es un escenario en el que el invitado se autentica correctamente en el portal de Purple pero no se le concede acceso a internet. Esto indica un fallo en la comunicación de la API entre Purple y el controlador UniFi. Los pasos de diagnóstico son: primero, confirmar que el controlador es accesible públicamente en el puerto correcto intentando acceder a él desde una red externa; segundo, verificar que las credenciales de administrador local introducidas en el portal de Purple son correctas y que la cuenta no ha sido bloqueada; tercero, revisar los registros de eventos del controlador UniFi para detectar cualquier error de autenticación de la API.

Para despliegues en producción, la disponibilidad del controlador es un factor de riesgo crítico. Si el controlador UniFi se desconecta, las nuevas autorizaciones de invitados fallarán. Las estrategias de mitigación incluyen el despliegue de un controlador UniFi alojado en la nube (que proporciona redundancia inherente), la implementación de un par de controladores de alta disponibilidad o la configuración de la monitorización y alerta sobre la disponibilidad del controlador. La plataforma de Purple pondrá en cola los intentos de autorización y volverá a intentarlo, pero un tiempo de inactividad prolongado del controlador provocará una degradación de la experiencia del invitado.

Desde la perspectiva del cumplimiento normativo, los datos recopilados a través del Captive Portal están sujetos al GDPR y a normativas equivalentes de protección de datos. La plataforma de Purple está diseñada para cumplir con la normativa, proporcionando gestión de consentimientos, herramientas para solicitudes de acceso de los interesados (DSAR) y políticas configurables de retención de datos. No obstante, la responsabilidad legal del tratamiento lícito de los datos sigue recayendo en el operador del establecimiento. Asegúrese de que su política de privacidad esté claramente enlazada en la página de bienvenida, de que dispone de una base jurídica documentada para la recogida de datos y de que la configuración de la retención de datos se ajusta a la política de su organización.

ROI e impacto empresarial

Integrar Purple con UniFi no es una mera actualización técnica; es una decisión empresarial estratégica que transforma el WiFi de invitados de un centro de costes en un activo de gran valor. El retorno de la inversión es medible en varias dimensiones clave.

La inteligencia empresarial es el principal motor de valor. Purple recopila datos enriquecidos y anonimizados sobre el comportamiento de los visitantes, incluidos el flujo de personas, los tiempos de permanencia, la frecuencia de las visitas y los patrones de movimiento. Para una cadena de tiendas, estos datos pueden influir directamente en las decisiones sobre la distribución de las tiendas y los niveles de personal, y la programación de promociones. Para un hotel, puede revelar qué servicios se utilizan más y a qué horas, lo que permite una venta adicional más dirigida y una mayor eficiencia operativa.

Las capacidades de marketing y fidelización representan un beneficio secundario significativo. Al capturar los datos de contacto de los huéspedes con su consentimiento, las organizaciones pueden crear una base de datos de marketing de origen (first-party) que no está sujeta a las limitaciones de la desaparición de las cookies de terceros. Las campañas de correo electrónico posteriores a la visita, las encuestas de satisfacción y las invitaciones a programas de fidelización se pueden automatizar directamente desde la plataforma Purple, lo que genera mejoras medibles en las tasas de visitas recurrentes y en el valor de vida del cliente.

Para grandes recintos como estadios, centros de conferencias y centros comerciales, la inteligencia operativa derivada del análisis de afluencia en tiempo real y los mapas de calor puede generar mejoras significativas en la eficiencia, optimizando los horarios de limpieza, el despliegue de seguridad y la ubicación de las concesiones comerciales en función de los datos reales de movimiento de los visitantes en lugar de suposiciones.

En ciertos contextos, la propia infraestructura de WiFi para invitados se puede monetizar a través de modelos de acceso por niveles, páginas de inicio patrocinadas o publicidad dirigida, creando una fuente de ingresos directa que compensa el coste de la inversión en infraestructura.

Definiciones clave

Captive Portal

Una página web que se muestra a los usuarios recién conectados a una red WiFi antes de que se les conceda un acceso más amplio a Internet. Controla el acceso, autentica a los usuarios y/o presenta las condiciones de servicio y el contenido de marketing.

En una integración de UniFi/Purple, el controlador UniFi redirige al invitado al Captive Portal alojado en Purple, que gestiona toda la experiencia del invitado, incluida la autenticación, la captura del consentimiento y la personalización de marca.

External Portal Server

Una opción de configuración de UniFi que delega la experiencia del Captive Portal a una aplicación web de terceros, en lugar de utilizar el portal integrado de UniFi. El controlador UniFi redirige a los invitados a la URL externa especificada y confía en ese sistema para gestionar la autenticación y realizar la llamada de retorno a la API del controlador para autorizar al invitado.

Esta es la configuración principal de UniFi que permite la integración con Purple. Se encuentra en Hotspot Manager > Landing Page > Authentication en UniFi Network v7.4+.

Walled Garden

Una lista blanca de direcciones IP, nombres de host y dominios a los que un dispositivo invitado tiene permiso para acceder antes de haber sido autenticado por el Captive Portal. El tráfico a destinos que no están en la lista blanca se bloquea hasta que el invitado completa el flujo de autenticación.

Esto es fundamental para permitir que el dispositivo cargue la propia página de bienvenida de Purple, así como cualquier recurso de terceros del que dependa, como proveedores de inicio de sesión social o pasarelas de pago. Un Walled Garden incompleto es la causa principal de los fallos del Captive Portal.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red (RFC 2865) que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA) para los usuarios que se conectan a un servicio de red.

Aunque la integración estándar de Purple utiliza la API de UniFi para la autorización de invitados, la función PurpleConnex (Passpoint) utiliza RADIUS para proporcionar una experiencia de conexión más segura y fluida para los usuarios recurrentes, eliminando la necesidad de volver a autenticarse a través del Captive Portal.

Passpoint (IEEE 802.11u / Hotspot 2.0)

Un programa de certificación de la WiFi Alliance que permite una autenticación automática y segura en redes WiFi sin necesidad de que el usuario seleccione manualmente una red o introduzca credenciales. Los dispositivos con un perfil Passpoint se conectan de forma automática y segura mediante autenticación basada en EAP.

La función PurpleConnex de Purple aprovecha Passpoint para ofrecer una experiencia de reconexión fluida a los invitados recurrentes. Una vez que un usuario se ha autenticado una vez a través del Captive Portal, las visitas posteriores pueden conectarse automáticamente sin tener que ver la página de bienvenida de nuevo.

SSID (Service Set Identifier)

El nombre público de una red de área local inalámbrica (WLAN): el nombre de red que aparece cuando un usuario busca conexiones WiFi disponibles en su dispositivo.

Para la integración de una red de invitados, se crea un SSID dedicado con seguridad Open y se vincula al Captive Portal. Este se mantiene separado del SSID corporativo, que utiliza autenticación WPA2/WPA3-Enterprise.

VLAN (Virtual Local Area Network)

Un método para crear redes lógicamente independientes en la misma infraestructura de red física. Los dispositivos de diferentes VLAN no pueden comunicarse entre sí sin un router, lo que proporciona segmentación de red y aislamiento de seguridad.

Las mejores prácticas de seguridad y la conformidad con PCI DSS exigen que el SSID de invitados se ubique en su propia VLAN, completamente aislada de las redes corporativas, de gestión y de TPV. Esto evita que los dispositivos de los invitados accedan a los recursos internos.

WISPr (Wireless Internet Service Provider Roaming)

Un protocolo estándar del sector que define cómo un dispositivo cliente descubre un Captive Portal de un punto de acceso WiFi y se autentica en él. Utiliza redireccionamientos HTTP y mensajes de autenticación basados en XML para gestionar la interacción con el portal.

La funcionalidad de portal externo de UniFi se basa en los principios de WISPr. La comprensión de este protocolo ayuda a los ingenieros de redes a solucionar fallos de redireccionamiento y a entender por qué determinados dispositivos cliente (especialmente iOS y Android) se comportan de forma diferente al conectarse a redes con Captive Portal.

Port Forwarding

Una técnica de traducción de direcciones de red (NAT) que asigna un puerto externo de un router o cortafuegos a una dirección IP y un puerto internos específicos, permitiendo que servicios externos inicien conexiones con dispositivos de una red privada.

Si su controlador UniFi está alojado en una red local, se debe configurar una regla de reenvío de puertos para permitir que la plataforma en la nube de Purple acceda a la API del controlador. El puerto requerido es el 8443 para controladores de software o el 443 para controladores basados en hardware.

PurpleConnex

La implementación de Purple del estándar Passpoint (IEEE 802.11u), que proporciona una conexión WiFi segura y fluida para usuarios recurrentes mediante autenticación EAP-TTLS a través de un servidor RADIUS dedicado. Elimina la necesidad de que los visitantes recurrentes tengan que volver a autenticarse a través del Captive Portal.

PurpleConnex requiere una configuración adicional en UniFi: un perfil RADIUS que apunte al servidor de autenticación de Purple y un SSID independiente con Passpoint habilitado. Es especialmente valioso en entornos de hostelería y comercio minorista donde los visitantes recurrentes son habituales.

Ejemplos prácticos

Un hotel boutique de 250 habitaciones quiere sustituir su WiFi para invitados básico y poco fiable por una experiencia premium y de marca. Sus objetivos son capturar las direcciones de correo electrónico de los huéspedes para el marketing posterior a la estancia, promocionar su spa y restaurante en la página de inicio de sesión y garantizar una conectividad fluida para los huéspedes con múltiples dispositivos. Su infraestructura consta de un UniFi Dream Machine Pro y 40 puntos de acceso UniFi U6 Pro.

El despliegue recomendado integra el UDM Pro con Purple a través del método External Portal Server. Se crea un nuevo SSID 'Hotel Guest WiFi' con seguridad Open y se asigna a una VLAN de invitados dedicada (por ejemplo, VLAN 20), aislada mediante cortafuegos de las redes de gestión y TPV del hotel. El Hotspot Portal se activa y se configura para utilizar Purple como servidor de portal externo. Dado que el UDM Pro utiliza el puerto 443, se crea una regla de reenvío de puertos en la interfaz WAN del UDM Pro que asigna el puerto TCP 443 a la IP de la LAN del UDM Pro. Se crea una cuenta de administrador local dedicada ('purple-api') en el UDM Pro con privilegios completos de sitio. En el portal de Purple, se diseña una página de bienvenida personalizada con el logotipo del hotel, un formulario sencillo de captura de correo electrónico con una casilla de verificación de consentimiento de GDPR y un banner destacado que anuncia el spa con un enlace de reserva directa. El Walled Garden se configura para incluir todos los dominios de Purple, Facebook, Google y los endpoints CNA de Apple. Se da acceso al equipo de marketing del hotel al panel de analítica de Purple, lo que les permite realizar un seguimiento del número diario de invitados, las horas punta de conexión y las tasas de captura de correo electrónico. En el primer trimestre, el hotel captura una media de 180 nuevas direcciones de correo electrónico a la semana, que se sincronizan automáticamente con su CRM para la automatización de campañas posteriores a la estancia.

Comentario del examinador: Esta solución responde correctamente a todos los requisitos. La elección de un Captive Portal externo en lugar del portal integrado de UniFi es el único enfoque viable para lograr el nivel requerido de personalización de marca, captura de datos e integración con el CRM. La decisión de utilizar una cuenta de administrador local dedicada ('purple-api') en lugar del superadministrador principal es una práctica recomendada de seguridad crítica: limita el alcance del acceso a la API y garantiza que la integración no se vea interrumpida por cambios en la cuenta principal. La segmentación de la VLAN protege los sistemas TPV y de gestión del hotel del tráfico de la red de invitados, lo que constituye un requisito de PCI DSS. La configuración del puerto 443 para el UDM Pro es un punto habitual de confusión para los ingenieros acostumbrados a los controladores de software; esta distinción debe entenderse claramente antes del despliegue.

Una cadena de tiendas con 20 establecimientos en todo el Reino Unido, cada uno equipado con AP de UniFi gestionados por un único controlador UniFi alojado en la nube, quiere utilizar los datos de la WiFi para invitados para comprender el comportamiento de los clientes. El director de operaciones necesita medir la afluencia, el tiempo de permanencia y las tasas de visitas repetidas en todas las tiendas para fundamentar un programa de rediseño de la distribución de las tiendas y evaluar el rendimiento de las campañas promocionales en los establecimientos.

El controlador UniFi alojado en la nube ya dispone de un nombre de host público, por lo que no es necesario realizar ningún reenvío de puertos, lo que simplifica notablemente el despliegue. Se configura un único SSID de invitados ('Brand WiFi') y se aplica a los 20 sitios a través de las funciones de gestión de sitios del controlador UniFi. El Hotspot Portal se configura para utilizar el servidor de portal externo de Purple. En el portal de Purple, cada una de las 20 tiendas se configura como un punto de acceso independiente, lo que permite obtener analíticas detalladas a nivel de tienda. La página de bienvenida está diseñada para lograr la máxima adopción: un único botón 'Conectar' con un breve aviso de privacidad, minimizando la fricción. Dentro de la plataforma de analítica de Purple, el director de operaciones puede ver un panel comparativo que muestra la afluencia, el tiempo de permanencia y la proporción de visitantes nuevos frente a los recurrentes para cada tienda. Tras 90 días de recopilación de datos, las analíticas revelan que tres tiendas presentan tiempos de permanencia significativamente superiores a las demás, lo que se correlaciona con una distribución específica de la tienda. Esta información sirve directamente para el programa de rediseño de la distribución, y el diseño de alto rendimiento se implanta en las 20 tiendas. Se realiza una campaña promocional en todas las tiendas simultáneamente, y el panel de Purple proporciona una comparación clara del antes y el después de la afluencia y el tiempo de permanencia, demostrando un incremento medible de la campaña.

Comentario del examinador: Este escenario destaca el potencial de un despliegue de Purple centralizado y multi-establecimiento. La decisión arquitectónica clave es el uso de un único controlador UniFi alojado en la nube, lo que elimina la complejidad del reenvío de puertos presente en los despliegues locales y proporciona un único punto de gestión para los 20 sitios. El diseño de la página de bienvenida con conexión de un solo clic y baja fricción es la opción correcta para un entorno de comercio minorista donde el objetivo principal es maximizar el volumen de recopilación de datos; un formulario de inicio de sesión complejo reduciría significativamente las tasas de adopción. La separación de cada tienda como un punto de acceso distinto en Purple es esencial para generar información útil a nivel de tienda, en lugar de datos agregados que ocultan las diferencias de rendimiento entre ubicaciones.

Preguntas de práctica

Q1. Un responsable de TI de un hotel ha completado la configuración de la integración de UniFi/Purple y la ha probado con éxito en la oficina. Sin embargo, tras el despliegue en el entorno real del hotel, los huéspedes informan de que la página del Captive Portal se carga pero el botón 'Iniciar sesión con Facebook' no funciona. ¿Cuál es la causa más probable y cómo debe resolverse?

Sugerencia: Considere qué recursos necesita cargar y hacer funcionar el botón de inicio de sesión de Facebook, y si esos recursos son accesibles para un dispositivo invitado antes de la autenticación.

Ver respuesta modelo

La causa más probable es que los dominios de inicio de sesión de Facebook no estén incluidos en el Walled Garden (lista de acceso previa a la autorización). Cuando un dispositivo invitado está en estado 'pendiente', solo puede acceder a los dominios explícitamente incluidos en la lista blanca del Walled Garden. El flujo de inicio de sesión de Facebook requiere acceso a facebook.com, fbcdn.net y dominios relacionados. La resolución consiste en añadir todos los dominios de Facebook requeridos al Walled Garden en la configuración del UniFi Hotspot Manager. Purple proporciona una lista actualizada de los dominios requeridos para cada proveedor de inicio de sesión social. Tras actualizar el Walled Garden, pruebe de nuevo el flujo de inicio de sesión de Facebook con una nueva conexión de dispositivo.

Q2. Un arquitecto de red está planificando el despliegue de una red WiFi para invitados en un centro de conferencias de 5.000 asientos que albergará eventos con hasta 3.000 usuarios simultáneos de WiFi. El recinto utiliza un controlador UniFi basado en software alojado en un servidor de la sala de servidores del propio recinto. ¿Cuáles son las tres consideraciones de infraestructura más críticas para garantizar que la integración con Purple siga siendo fiable durante los picos de los eventos?

Sugerencia: Piense en los puntos únicos de fallo en la arquitectura de integración: ¿qué ocurre si el controlador se desconecta, si la conexión a Internet se satura o si el hardware del controlador no tiene suficiente potencia?

Ver respuesta modelo

Las tres consideraciones más críticas son: En primer lugar, la disponibilidad y el rendimiento del controlador: el controlador UniFi es un componente crítico en cada autorización de invitados. Con 3.000 usuarios simultáneos, el controlador debe disponer de suficiente CPU y RAM para gestionar la carga. Considere la posibilidad de actualizar a un servidor de altas prestaciones o migrar a un controlador alojado en la nube para obtener redundancia intrínseca. En segundo lugar, la conectividad a Internet y la fiabilidad del reenvío de puertos: las llamadas a la API de Purple hacia el controlador deben atravesar la conexión a Internet del recinto. Asegúrese de que la regla de reenvío de puertos esté en un cortafuegos resiliente y de que la conexión a Internet tenga capacidad suficiente. Se recomienda una segunda conexión a Internet con conmutación por error automática para eventos de misión crítica. En tercer lugar, la gestión del ancho de banda: con 3.000 usuarios, implemente límites de velocidad estrictos por usuario en UniFi para evitar el agotamiento del ancho de banda. Sin limitación de velocidad, un número reducido de usuarios con un elevado consumo de ancho de banda puede degradar la experiencia de todos los invitados.

Q3. El equipo jurídico solicita al responsable de TI de una cadena de tiendas que garantice que la recopilación de datos de la WiFi para invitados cumpla plenamente con el GDPR. La página de bienvenida actual tiene un botón sencillo de 'Conectar' sin ningún mecanismo de consentimiento explícito. ¿Qué cambios deben realizarse en la configuración de Purple y qué procesos operativos continuos deben implementarse?

Sugerencia: El GDPR exige una base jurídica para el tratamiento de datos personales, transparencia sobre cómo se utilizarán los datos y mecanismos para que los interesados ejerzan sus derechos.

Ver respuesta modelo

Se requieren los siguientes cambios y procesos: En la página de bienvenida, el botón 'Conectar' debe sustituirse por un mecanismo de aceptación explícita. Esto significa añadir una casilla de verificación de consentimiento redactada con claridad (desmarcada por defecto) en la que se indique qué datos se recopilan, cómo se utilizarán y con quién se compartirán. Debe mostrarse de forma destacada un enlace a la política de privacidad completa. La base jurídica para el tratamiento debe ser el consentimiento explícito para las comunicaciones de marketing y el interés legítimo para las analíticas anonimizadas. Dentro del portal de Purple, configure los ajustes de retención de datos para alinearlos con la política de retención de datos de la organización (normalmente no más de 24 meses para los datos de marketing). Habilite las herramientas de GDPR de Purple para gestionar las solicitudes de acceso de los interesados (DSAR) y las solicitudes de derecho de supresión. Desde el punto de vista operativo, implemente un proceso de revisión trimestral para garantizar que la política de privacidad siga siendo precisa, que la redacción del consentimiento esté actualizada y que se apliquen los ajustes de retención de datos. Mantenga un registro de las actividades de tratamiento (ROPA) para la recopilación de datos de la WiFi para invitados.

Q4. Un ingeniero de redes ha configurado la integración de UniFi/Purple siguiendo todos los pasos documentados. Al realizar las pruebas, el dispositivo invitado se conecta al SSID y es redirigido al portal de Purple. El invitado se autentica correctamente, pero no se le concede acceso a Internet. El portal de Purple muestra la autenticación como correcta. ¿Cuál es el proceso de diagnóstico?

Sugerencia: Si Purple muestra una autenticación correcta pero el invitado no tiene acceso a Internet, el problema radica en la ruta de comunicación entre Purple y el controlador UniFi.

Ver respuesta modelo

Este síntoma indica que la llamada a la API de Purple al controlador UniFi (la llamada que cambia el dispositivo invitado de 'pendiente' a 'autorizado') está fallando. El proceso de diagnóstico es el siguiente: En primer lugar, verifique que el controlador UniFi sea accesible públicamente en el puerto correcto (8443 para software, 443 para hardware) intentando acceder a la interfaz de gestión del controlador desde una red externa o utilizando una herramienta de comprobación de puertos en línea. En segundo lugar, inicie sesión en el portal de Purple y verifique que la IP/nombre de host del controlador y las credenciales del administrador local sean correctas. Un error común es introducir la IP de la LAN interna del controlador en lugar de su IP pública, o utilizar credenciales de cuenta en la nube en lugar de credenciales de administrador local. En tercer lugar, compruebe el registro de eventos del controlador UniFi para ver si hay errores de autenticación de la API o intentos fallidos de inicio de sesión desde las direcciones IP de Purple. En cuarto lugar, verifique que la regla de cortafuegos o el reenvío de puertos estén configurados correctamente y que las direcciones IP de origen de Purple no estén siendo bloqueadas por ningún dispositivo de seguridad ascendente.

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para captive portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multiinquilino mediante Ruckus Dynamic PSK.

Integración de puntos de acceso Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección externa de Captive Portal, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves precompartidas privadas (PPSK) para despliegues multiinquilino seguros.

Integración de los puntos de acceso Grandstream GWN con Purple WiFi

Esta guía técnica de referencia autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración de walled garden, la autenticación segura para el personal mediante 802.1X con direccionamiento dinámico de VLAN y la segmentación PPSK multiinquilino, proporcionando una guía práctica paso a paso para MSP e instalaciones de TI que desplieguen WiFi para invitados y personal a gran escala.