WiFi de servicios gestionados: una guía completa para empresas

Esta guía proporciona un marco técnico completo para desplegar WiFi de servicios gestionados en entornos multi-inquilino, incluyendo propiedades Build-to-Rent, superficies comerciales y locales de hostelería. Cubre la segmentación de VLAN, la asignación dinámica de VLAN mediante IEEE 802.1X, la seguridad WPA3-Enterprise y la gestión de superposición en la nube, ofreciendo a promotores inmobiliarios, propietarios y operadores de BTR un modelo independiente del proveedor para aislar el tráfico de los residentes, simplificar el cumplimiento normativo y transformar la infraestructura de red compartida en un activo generador de ingresos.

📖 8 min de lectura📝 1,955 palabras🔧 2 ejemplos prácticos❓ 3 preguntas de práctica📚 10 definiciones clave

Escuchar esta guía

Ver transcripción del podcast

Bienvenido al Technical Briefing de Purple. Soy su anfitrión, un estratega sénior de contenido técnico aquí en Purple. En la sesión de hoy, ofreceremos un informe ejecutivo sobre una decisión de infraestructura crítica: WiFi como servicio gestionado para promotores inmobiliarios, propietarios y operadores de Build-to-Rent.

Esto está dirigido a directores de TI, arquitectos de red y directores de operaciones de espacios que gestionan entornos complejos como propiedades de Build-to-Rent, parques comerciales o grandes hoteles. Usted dispone de una única infraestructura física, pero da servicio a múltiples inquilinos distintos. Su reto consiste en ofrecer una experiencia de WiFi segura y de alto rendimiento a cada uno de ellos, sin comprometer la privacidad ni el rendimiento de los demás. Durante los próximos diez minutos, analizaremos la arquitectura, le guiaremos a través de la implementación y destacaremos cómo una plataforma como Purple proporciona el control y la visibilidad necesarios.

Sección uno: Contexto y fundamentos.

Entonces, ¿qué define a un entorno de WiFi de servicios gestionados? A diferencia de una oficina única donde todo el mundo está en la misma red de confianza, una configuración multi-inquilino implica dividir lógicamente una única infraestructura de red física para dar servicio a múltiples grupos independientes. Piense en un edificio Build-to-Rent con residentes en las plantas superiores, una cafetería comercial en la planta baja y un sistema de gestión del edificio que ejecuta sensores IoT para climatización y control de accesos. Cada uno es un inquilino. No pueden - y no deben - ver el tráfico de red de los demás. El principio fundamental aquí es el aislamiento.

Aquí es donde la arquitectura adquiere una importancia crítica. La tecnología fundamental para lograr este aislamiento es la red de área local virtual, o VLAN, estandarizada bajo el estándar IEEE 802.1Q. Al asignar cada inquilino a una VLAN específica, se crean dominios de difusión independientes. El tráfico en la VLAN 10 para los residentes está completamente segregado del tráfico en la VLAN 30 para los sensores IoT. Esto es innegociable desde el punto de vista de la seguridad y la privacidad.

Sección dos: Análisis técnico detallado.

Ahora bien, históricamente, los ingenieros de redes segmentaban sus entornos inalámbricos creando un SSID único para cada inquilino o servicio. Es posible que viera WiFi de residentes, WiFi de personal de tienda, dispositivos IoT y WiFi de invitados, todos ellos transmitiendo desde el mismo punto de acceso. Pero aquí está el problema: la proliferación de SSID destruye el rendimiento. Cada SSID que se emite debe transmitir tramas de gestión a la velocidad de datos más baja para garantizar que los dispositivos heredados puedan conectarse. Si está emitiendo seis o siete SSID en un punto de acceso, puede consumir fácilmente hasta el treinta por ciento de su tiempo de transmisión inalámbrica disponible solo en costes de gestión. Eso antes de que se transmita un solo byte de datos reales de usuario.

La solución moderna es Dynamic VLAN Assignment. En lugar de emitir múltiples SSIDs, se emite un único SSID seguro de calidad empresarial mediante autenticación IEEE 802.1X. Cuando un residente intenta conectarse, su dispositivo intercambia credenciales con un servidor RADIUS a través del punto de acceso. Una vez autenticado, el servidor RADIUS envía un mensaje de Access-Accept de vuelta al punto de acceso, que incluye el VLAN ID específico para ese usuario. El punto de acceso recibe estos atributos y asigna dinámicamente el tráfico de ese usuario directamente a su VLAN dedicada. Un residente, un miembro del personal de tienda y un dispositivo IoT pueden conectarse al mismo SSID, pero su tráfico está completamente aislado en la Capa 2.

Para el segmento de invitados públicos en zonas comunes, la mejor práctica es enrutar el tráfico a través de una VLAN de invitados dedicada directamente a un Captive Portal. Aquí es donde integrar una plataforma como la solución Guest WiFi de Purple resulta inestimable. Se encarga de la incorporación segura, la gestión de consentimientos conforme a la GDPR y las analíticas en un segmento aislado que no tiene ningún acceso de enrutamiento a sus redes internas sensibles.

Sección tres: Implementación y errores comunes.

Hablemos de cómo implementar esto con éxito. En primer lugar, la selección de hardware. Debe utilizar puntos de acceso y switches de calidad empresarial que sean totalmente compatibles con el etiquetado VLAN 802.1Q y las políticas de calidad de servicio. Purple es agnóstico respecto al hardware y se integra con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet.

En segundo lugar, y esto es fundamental: su arquitectura de VLAN es tan segura como las políticas de enrutamiento de su firewall principal. Por defecto, los routers tienden a enrutar. Si crea una VLAN de residentes y una VLAN de IoT, su router transmitirá el tráfico entre ellas a menos que configure una política estricta de Default-Deny. Cada ruta inter-VLAN debe bloquearse por defecto, permitiendo únicamente excepciones explícitas y específicas de puerto.

En tercer lugar, cuidado con la VLAN nativa por defecto. Por defecto, la mayoría de los switches utilizan la VLAN 1 como la VLAN nativa no etiquetada en los puertos troncales. Este es un objetivo muy conocido para los atacantes, que lo aprovechan para realizar ataques de salto de VLAN. La mejor práctica es desactivar la VLAN 1 por completo y configurar los puertos troncales para utilizar un VLAN ID no utilizado y no enrutable como VLAN nativa.

En cuarto lugar, gestione los tiempos de concesión de DHCP. En su VLAN de Guest WiFi, donde los visitantes llegan y se van constantemente, configure los tiempos de concesión en una o dos horas. Esto evita el agotamiento de direcciones IP, que ocurre cuando el pool de DHCP se queda sin direcciones porque los dispositivos inactivos mantienen las concesiones.

Sección cuatro: Preguntas rápidas.

Respondamos a las preguntas más comunes que recibimos de los arquitectos de redes y directores de operaciones.

Pregunta uno: ¿Puedo utilizar una única red protegida por contraseña para todos? En absoluto. Esta es la definición de una red plana e insegura. No ofrece aislamiento, ni garantías de rendimiento, y genera un riesgo de cumplimiento enorme. Es el error número uno que hay que evitar.

Segunda pregunta: ¿Cómo gestiono los dispositivos IoT antiguos que no son compatibles con la autenticación 802.1X? Para dispositivos como Smart TV o controladores de climatización, utilice MAC Authentication Bypass, combinado con reglas de firewall estrictas en una VLAN de IoT dedicada. El servidor RADIUS identifica el dispositivo por su dirección MAC y lo asigna a un segmento aislado.

Tercera pregunta: ¿Cuál es el mayor beneficio de seguridad de una arquitectura multi-inquilino adecuada? La prevención del movimiento lateral. Si el dispositivo de un inquilino se ve comprometido, una segmentación adecuada evita que ese atacante se mueva por la red para atacar a otros inquilinos. El peligro se contiene en una única VLAN aislada. Esto reduce drásticamente su perfil de riesgo.

Sección cinco: Resumen y próximos pasos.

Para resumir la sesión de hoy. Tres conclusiones clave para cualquier despliegue de WiFi gestionado con éxito.

Primero, priorice el aislamiento mediante VLAN y estándares de autenticación adecuados como WPA3-Enterprise con IEEE 802.1X. Una red plana no es una opción.

Segundo, implemente Dynamic VLAN Assignment para eliminar la proliferación de SSID, recuperar tiempo de transmisión inalámbrica y mantener el aislamiento por inquilino sin la sobrecarga de rendimiento.

Tercero, aplique una política estricta de denegación por defecto (Default-Deny) en su firewall central. Cada ruta inter-VLAN debe permitirse explícitamente. Nada debe fluir por defecto.

Gestionar un entorno multi-inquilino es complejo, pero con la arquitectura y las herramientas adecuadas, puede ofrecer un servicio seguro y de alto rendimiento que aporte un valor significativo a su cartera de propiedades. Purple opera en más de 80.000 espacios activos y procesa 440 millones de inicios de sesión al año, proporcionando la escala y la fiabilidad necesarias para los despliegues empresariales.

Para profundizar en los temas tratados hoy, incluyendo guías de configuración detalladas y casos de éxito, visite purple dot ai.

Gracias por asistir a esta sesión técnica de Purple.

Conclusiones clave

✓La segmentación por VLAN (IEEE 802.1Q) es el control de seguridad fundamental para cualquier red multiinquilino - una red plana es un riesgo de seguridad y de cumplimiento normativo.
✓La asignación dinámica de VLAN mediante 802.1X y RADIUS elimina la proliferación de SSID, recuperando hasta un 30% del tiempo de transmisión inalámbrico consumido por las tramas de gestión de balizas.
✓Una política estricta de enrutamiento inter-VLAN de denegación por defecto (Default-Deny) en el cortafuegos central es tan importante como la propia arquitectura de VLAN - el enrutamiento permisivo anula el valor de seguridad de la segmentación.
✓Adapte la autenticación al tipo de inquilino: WPA3-Enterprise con 802.1X para residentes y personal, captive portal para invitados y MAC Authentication Bypass para dispositivos IoT.
✓Desactive la VLAN 1 como VLAN nativa en todos los puertos troncales para evitar ataques de VLAN hopping - este es un paso obligatorio en cualquier despliegue empresarial.
✓El WiFi para servicios gestionados transforma la infraestructura compartida en un activo generador de ingresos, lo que permite la captura de datos de primera mano, la integración de edificios inteligentes y la mejora de la satisfacción de los residentes.
✓La capa superpuesta en la nube de Purple, independiente del hardware, se integra con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks y Fortinet en más de 80.000 espacios activos.

Resumen ejecutivo

Los promotores inmobiliarios, propietarios y operadores de Build-to-Rent (BTR) se enfrentan a una decisión crítica de infraestructura: cómo ofrecer un internet seguro y de alto rendimiento en edificios de varios inquilinos sin generar vulnerabilidades de seguridad ni problemas de cumplimiento. Una red plana y compartida no es una arquitectura viable. Coloca a cada residente, cada sensor IoT y cada inquilino comercial en el mismo dominio de difusión - a un solo dispositivo comprometido de una brecha en toda la red.

El WiFi de servicios gestionados transforma la infraestructura compartida en un activo segmentado, gestionado en la nube y generador de ingresos. La tecnología principal es la segmentación VLAN IEEE 802.1Q, reforzada por una política estricta de cortafuegos de denegación por defecto (Default-Deny) y autenticada mediante IEEE 802.1X y RADIUS. Esta guía cubre la arquitectura de referencia, la secuencia de implementación, los estándares de seguridad y el caso de negocio para operadores de BTR y promotores inmobiliarios que tomen esta decisión en 2024 y en adelante.

Purple opera en más de 80.000 espacios activos (datos internos de Purple, 2024) y procesa 440 millones de inicios de sesión al año, proporcionando la escala y la fiabilidad necesarias para las implementaciones empresariales. Garantizamos un 99,999% de tiempo de actividad y contamos con las certificaciones ISO 27001, GDPR y Cyber Essentials. Nuestra plataforma es independiente del hardware, integrándose con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet.

Análisis técnico detallado: arquitectura y estándares

La transición a un modelo de WiFi de servicios gestionados requiere pasar de una red plana a un marco segmentado de confianza cero (zero-trust). El objetivo principal es garantizar que varios inquilinos independientes coexistan en una única infraestructura física sin comprometer la seguridad, el rendimiento o la privacidad.

Segmentación VLAN e IEEE 802.1Q

La piedra angular de cualquier red multiinquilino es la Red de Área Local Virtual (VLAN). Estandarizada bajo IEEE 802.1Q, las VLAN dividen una única estructura de conmutador físico en múltiples dominios de difusión lógicamente separados. Cuando un cliente se conecta a su WiFi, el punto de acceso etiqueta las tramas de datos de ese cliente con un identificador de VLAN (VID) específico de 12 bits. Los conmutadores de red leen esta etiqueta y garantizan que el tráfico de una VLAN nunca se reenvíe a los puertos de otra VLAN, a menos que un cortafuegos lo enrute explícitamente.

En un edificio BTR, una arquitectura práctica de cuatro VLAN se estructura de la siguiente manera:

ID de VLAN	Segmento	Tipo de tráfico	Método de autenticación
VLAN 10	Residentes	Dispositivos personales, streaming, BYOD	WPA3-Enterprise, 802.1X
VLAN 20	Personal	Portátiles de gestión, sistemas de administración	WPA3-Enterprise, 802.1X
VLAN 30	IoT	Climatización (HVAC), CCTV, cerraduras inteligentes, sensores	Omisión de autenticación MAC
VLAN 40	WiFi de invitados	Acceso de visitantes en áreas comunes	Captive Portal, WPA3-Personal

Sin una implementación adecuada de VLAN, la separación de inquilinos es meramente cosmética. Múltiples SSIDs en una sola LAN plana no ofrecen un aislamiento real. Cualquier dispositivo en la red puede ver el tráfico de difusión de todos los demás dispositivos. Esto representa un riesgo crítico de seguridad y de cumplimiento con el GDPR.

Asignación dinámica de VLAN a través de 802.1X y RADIUS

Históricamente, los ingenieros segmentaban los entornos inalámbricos transmitiendo un SSID único para cada inquilino. La proliferación de SSIDs destruye el rendimiento. Cada SSID que se transmite debe enviar tramas de gestión (beacons) a la velocidad de datos básica más baja para garantizar que los dispositivos heredados puedan conectarse. Transmitir seis o siete SSIDs por punto de acceso consume hasta un 30% del tiempo de transmisión inalámbrica disponible solo en costes de gestión - antes de que se transmita un solo byte de datos de usuario.

El enfoque moderno es la Asignación dinámica de VLAN. Se transmite un único SSID seguro utilizando autenticación IEEE 802.1X. Cuando un residente se conecta, su dispositivo (el suplicante) intercambia credenciales con un servidor RADIUS a través del punto de acceso. Una vez autenticado, el servidor RADIUS envía un mensaje Access-Accept de vuelta al punto de acceso. Este mensaje incluye tres atributos estándar de la IETF: Tunnel-Type configurado como VLAN, Tunnel-Medium-Type configurado como 802 y el Tunnel-Private-Group-ID que contiene el VLAN ID específico para ese usuario.

El punto de acceso recibe estos atributos y asigna dinámicamente el tráfico de ese usuario a su VLAN dedicada. Un residente, un miembro del personal de una tienda y un dispositivo IoT pueden conectarse al mismo SSID, pero su tráfico está completamente aislado en la Capa 2. El switch los gestiona como si estuvieran en redes físicas totalmente distintas.

Para su segmento de WiFi de invitados ( Guest WiFi ) en las zonas comunes, dirija el tráfico a través de una VLAN de invitados dedicada a un Captive Portal. El Captive Portal de Purple gestiona el consentimiento de conformidad con el GDPR y la captura de datos de origen en un segmento aislado con cero acceso de enrutamiento a sus redes internas.

Protocolos de seguridad: WPA3-Enterprise y WPA3-Personal

La seguridad debe adaptarse al tipo de inquilino. Para el tráfico de residentes y personal, implemente WPA3-Enterprise con IEEE 802.1X. Esto proporciona Autenticación Simultánea de Iguales (SAE) para el intercambio de claves y cifrado de 256 bits, eliminando la vulnerabilidad a los ataques de diccionario fuera de línea que afectaban a WPA2-Personal. Para el WiFi de invitados en zonas comunes, WPA3-Personal o WPA3-Enhanced Open (OWE) proporciona cifrado oportunista sin necesidad de contraseña, protegiendo a los usuarios de la escucha pasiva en redes abiertas.

Integre su servidor RADIUS con un proveedor de identidad robusto. Purple es compatible con Microsoft Entra ID, Okta y Google Workspace, centralizando la gestión de usuarios y automatizando la incorporación y desincorporación de residentes.

Guía de implementación

La implementación de WiFi de servicios gestionados requiere una planificación meticulosa y un cumplimiento estricto de los principios de diseño de red. La siguiente secuencia se aplica a una implementación BTR o MDU.

Paso 1: Estudio de RF y selección de hardware

Realice un estudio de radiofrecuencia (RF) antes de la adquisición de hardware. En un edificio residencial, los materiales de las paredes, la construcción de los suelos y los huecos de los ascensores provocan una atenuación significativa de la señal. El estudio determina la ubicación y densidad de los puntos de acceso para lograr la fuerza de señal objetivo (normalmente -65 dBm o mejor) en todas las áreas. Purple es agnóstico respecto al hardware y se integra con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti, UniFi, Cambium, Extreme Networks y Fortinet. Seleccione hardware compatible con Wi-Fi 6 (802.11ax) o Wi-Fi 6E para implementaciones residenciales de alta densidad.

Paso 2: Diseño de la arquitectura de VLAN

Mapee los requisitos de sus inquilinos antes de configurar un solo switch. Defina el número de VLAN, los requisitos de seguridad de cada una y las demandas de ancho de banda previstas. Esto servirá para el diseño de su política de firewall. Documente cada VLAN, su propósito, su rango DHCP y sus rutas inter-VLAN permitidas. Esta documentación es esencial para las auditorías de cumplimiento de PCI-DSS y GDPR.

Paso 3: Configuración del firewall central

Su arquitectura VLAN depende por completo de las políticas de enrutamiento de su firewall central. Configure una política estricta de denegación por defecto (Default-Deny). Cada ruta inter-VLAN debe estar bloqueada por defecto, permitiendo únicamente excepciones explícitas y específicas de puerto. Por ejemplo, su VLAN de IoT (VLAN 30) solo debería tener permitido llegar a los endpoints específicos en la nube que requiera su sistema de gestión del edificio. Nunca se le debe permitir enrutar hacia la VLAN de residentes (VLAN 10). Esta política Default-Deny limita el radio de impacto de cualquier dispositivo comprometido a una única VLAN aislada.

Paso 4: Integración de RADIUS y proveedor de identidad

Implemente o configure su servidor RADIUS e intégrelo con el proveedor de identidad elegido: Microsoft Entra ID, Okta o Google Workspace. Configure los atributos de RADIUS para devolver el ID de VLAN correcto para cada grupo de usuarios tras una autenticación exitosa. Pruebe la asignación dinámica de VLAN con un grupo piloto antes del despliegue en todo el edificio.

Paso 5: Captive Portal y captura de datos

Para su VLAN de WiFi de invitados, configure el Captive Portal de Purple para presentar condiciones de servicio que cumplan con la normativa GDPR y recopilar consentimientos explícitos de opción de inclusión para comunicaciones de marketing. La plataforma WiFi Analytics de Purple captura datos de origen sobre el comportamiento de los visitantes, el tiempo de permanencia y las tasas de retorno, proporcionando a los operadores de las instalaciones información útil sobre la utilización del espacio.

Paso 6: Gestión de QoS y ancho de banda

En un entorno compartido, es fundamental evitar que un solo vecino ruidoso consuma todo el ancho de banda disponible. Defina políticas de Calidad de Servicio (QoS) para cada VLAN. Una implementación típica en alquiler para uso residencial (BTR) podría asignar un ancho de banda garantizado de 100 Mbps por unidad de residente, con capacidad de ráfaga hasta la capacidad de retorno disponible. Las VLAN de personal e IoT reciben niveles de prioridad más bajos. Esto garantiza una experiencia predecible y justa para todos los residentes.

Buenas prácticas

Las siguientes recomendaciones reflejan las directrices estándar del sector de la IEEE, la Wi-Fi Alliance y la experiencia operativa de Purple en más de 80.000 espacios.

Desactive la VLAN 1. La mayoría de los switches utilizan la VLAN 1 como la VLAN nativa predeterminada en los puertos de enlace troncal (trunk). Los atacantes aprovechan esto para realizar ataques de salto de VLAN. Desactive la VLAN 1 y configure los puertos troncales para utilizar un ID de VLAN no utilizado y no enrutable como VLAN nativa.

Audite su recuento de SSIDs. Si está emitiendo más de cuatro SSIDs por punto de acceso, está degradando el rendimiento inalámbrico. Realice la transición a la asignación dinámica de VLAN a través de 802.1X para consolidar los SSIDs y recuperar tiempo de transmisión. Para obtener una guía detallada sobre la arquitectura de SSID, lea Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi .

Gestione los tiempos de concesión de DHCP por segmento. En su VLAN de Guest WiFi, configure los tiempos de concesión en una o dos horas para evitar el agotamiento de direcciones IP en entornos de alta rotación. Las VLAN de residentes y corporativas pueden utilizar de forma segura concesiones de 24 horas.

Segregue el tráfico del personal y de los residentes. Nunca coloque al personal de gestión del edificio en la misma VLAN que a los residentes. Lea nuestra guía sobre How to Safely Segregate Staff and Guest WiFi Networks para conocer los pasos de configuración detallados.

Implemente 802.11r para una itinerancia fluida. En un edificio residencial de varias plantas, los residentes se mueven constantemente entre los puntos de acceso. Active la transición rápida de BSS (802.11r) y el almacenamiento en caché de claves oportunista (OKC) para garantizar que el estado de autenticación se almacene en caché en todos los puntos de acceso. Esto elimina los retrasos de reautenticación a medida que los residentes se desplazan por el edificio.

Resolución de problemas y mitigación de riesgos

Incluso con un diseño sólido, surgen problemas. Comprender los modos de fallo más comunes le ayudará a mantener sus compromisos de SLA.

Proliferación de SSIDs y bajo rendimiento. Si el rendimiento del cliente es deficiente a pesar de las conexiones de fibra de alta velocidad, audite su recuento de SSIDs. Emitir más de cuatro SSIDs por punto de acceso consume un tiempo de transmisión excesivo. Consolide los SSIDs e implemente la asignación dinámica de VLAN para recuperar el rendimiento.

Configuración incorrecta del puerto trunk. Si un usuario se autentica correctamente a través de RADIUS pero no recibe una dirección IP, compruebe los puertos trunk de su switch. El punto de acceso está intentando colocar al usuario en una VLAN específica, pero esa VLAN no está permitida en el trunk del puerto del switch. Asegúrese de que todas las VLAN de los inquilinos estén etiquetadas explícitamente en cada puerto trunk entre el punto de acceso y el switch de distribución.

Dispositivos IoT heredados y suplantación de MAC. Muchos televisores inteligentes y sensores de edificios no son compatibles con 802.1X. Utilice el bypass de autenticación MAC (MAB) para asignar estos dispositivos a una VLAN de IoT aislada. Dado que las direcciones MAC se pueden suplantar, aplique reglas de firewall estrictas a este segmento, restringiendo el acceso únicamente a los servidores externos requeridos. Nunca coloque dispositivos IoT en la misma VLAN que el tráfico de residentes o del personal.

Agotamiento de DHCP en VLAN de invitados. En entornos con una alta rotación de usuarios, los pools de DHCP pueden agotarse si los tiempos de concesión son demasiado largos. Supervise la utilización del pool de DHCP y establezca tiempos de concesión de una o dos horas en todas las VLAN de invitados y visitantes.

Ampliación del alcance del cumplimiento normativo. Si un inquilino minorista de su edificio procesa pagos con tarjeta, su segmento de red entra dentro del alcance de PCI-DSS. Un aislamiento de VLAN adecuado y políticas de firewall de denegación por defecto pueden reducir el alcance de la auditoría de PCI-DSS hasta en un 70% (datos operativos de Purple, 2024), reduciendo directamente los costes anuales de cumplimiento.

ROI e impacto empresarial

El WiFi para servicios gestionados transforma la red de un centro de costes a un activo estratégico para los operadores de BTR y promotores inmobiliarios.

Satisfacción y retención de residentes. La conectividad se sitúa sistemáticamente entre los tres servicios más valorados por los residentes de BTR. Un servicio de WiFi gestionado con SLA garantizados y asignación de ancho de banda por unidad diferencia su propiedad en un mercado competitivo y reduce la rotación de clientes.

Eficiencia operativa. Una plataforma de gestión en la nube centraliza el control de toda su cartera de propiedades. El cuadro de mando único de Purple elimina la necesidad de contar con personal informático in situ para gestionar los puntos de acceso individuales. Los cambios de red, la incorporación de nuevos residentes y las actualizaciones de las políticas de seguridad se aplican de forma remota en cuestión de minutos.

Datos de primera mano y analítica. La plataforma de WiFi Analytics de Purple recopila datos de primera mano de conformidad con el GDPR sobre el comportamiento de los visitantes en las zonas comunes. Los operadores de las propiedades obtienen información práctica sobre el uso de las instalaciones, las horas de máxima ocupación y la participación de los residentes, datos que fundamentan las decisiones de gestión de la propiedad y respaldan los informes ESG.

Reducción de costes de cumplimiento. Una segmentación adecuada de las VLAN reduce el alcance de la auditoría de PCI-DSS para cualquier inquilino minorista de su edificio. El cumplimiento del GDPR está integrado en el Captive Portal de Purple con opciones de consentimiento expreso y políticas automatizadas de retención de datos.

Purple cuenta con las certificaciones ISO 27001, GDPR, CCPA, Cyber Essentials y B Corp. Fundada en 2012, hemos recopilado 29.000 millones de puntos de datos en toda nuestra red, lo que proporciona la profundidad analítica que requieren los operadores inmobiliarios de nivel empresarial.

Definiciones clave

VLAN (Virtual Local Area Network - Red de área local virtual)

Una partición lógica de una red de Capa 2 que aísla los dominios de difusión en un switch físico compartido, estandarizado bajo IEEE 802.1Q.

Esencial para separar el tráfico de residentes, personal, IoT y de invitados en un edificio de múltiples inquilinos. Sin VLANs, todos los dispositivos comparten el mismo dominio de difusión y pueden ver el tráfico de los demás.

IEEE 802.1Q

El estándar de red que admite VLANs en una red Ethernet IEEE 802.3 mediante la inserción de una etiqueta de 32 bits en las tramas Ethernet, que contiene un identificador de VLAN (VID) de 12 bits.

El protocolo técnico que hace posible la segmentación de red a través de switches y puntos de acceso empresariales. Cada switch y punto de acceso de nivel empresarial es compatible con 802.1Q.

Dynamic VLAN Assignment

Un método mediante el cual un servidor RADIUS indica a un punto de acceso que coloque a un usuario autenticado en una VLAN específica, independientemente del SSID al que se haya conectado, utilizando atributos de túnel IETF en el mensaje Access-Accept.

Permite a los operadores de recintos aislar de forma segura a los diferentes inquilinos sin transmitir múltiples SSIDs, eliminando la sobrecarga de tiempo de transmisión de la proliferación de SSIDs mientras se mantiene el aislamiento por inquilino.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA) para los usuarios que se conectan a un servicio de red.

El componente de servidor principal que valida las credenciales de los usuarios y asigna los atributos de VLAN correctos durante la autenticación 802.1X. Purple se integra con Microsoft Entra ID, Okta y Google Workspace como proveedores de identidad ascendentes.

IEEE 802.1X

Un estándar de IEEE para el control de acceso a redes basado en puertos (PNAC), que proporciona un mecanismo de autenticación a los dispositivos que desean conectarse a una LAN o WLAN. Define los roles de Supplicant (dispositivo cliente), Authenticator (punto de acceso) y Authentication Server (RADIUS).

El marco de seguridad empresarial requerido para WPA3-Enterprise, que garantiza que solo los dispositivos autorizados puedan acceder a la red. Obligatorio para cualquier segmento de red corporativo o regulado.

Captive Portal

Una página web que un usuario de una red de acceso público está obligado a ver y con la que debe interactuar antes de que se le conceda acceso a la red, normalmente utilizada para presentar las condiciones del servicio y recopilar el consentimiento.

Utilizado en redes WiFi de invitados para capturar datos de primera parte de conformidad con el GDPR, presentar condiciones de servicio y gestionar el consentimiento de marketing. El Captive Portal de Purple admite opciones de aceptación de elección consciente y se integra con la plataforma WiFi Analytics.

MAC Authentication Bypass (MAB)

Un método de concesión de acceso a la red basado en la dirección MAC del dispositivo que se conecta, utilizado cuando el dispositivo no es compatible con la autenticación 802.1X EAP.

Necesario para conectar a la red dispositivos IoT sin interfaz, televisores inteligentes, controladores de HVAC y hardware heredado. Dado que las direcciones MAC pueden ser falsificadas, MAB siempre debe combinarse con reglas de firewall estrictas en la VLAN de IoT.

Lateral movement

Las técnicas que utilizan los atacantes cibernéticos para desplazarse progresivamente por una red tras un compromiso inicial, buscando objetivos de gran valor como sistemas de gestión o terminales de pago.

Una segmentación de VLAN adecuada y las reglas de firewall Default-Deny están diseñadas específicamente para contener las brechas y evitar el lateral movement. Un dispositivo comprometido en la VLAN de IoT no puede alcanzar las VLANs de residentes o de personal.

WPA3-Enterprise

La certificación de seguridad para redes inalámbricas de Wi-Fi Alliance, que requiere autenticación IEEE 802.1X y proporciona autenticación simultánea de iguales (SAE) con cifrado de 256 bits.

El estándar de seguridad obligatorio para cualquier segmento de red que transporte datos personales, financieros o regulados. Sustituye a WPA2-Enterprise y elimina la vulnerabilidad a los ataques de diccionario fuera de línea.

Cloud overlay

Un plano de gestión y control basado en la nube que se sitúa por encima del hardware de red físico existente, proporcionando configuración, supervisión y analítica centralizadas sin necesidad de sustituir la infraestructura subyacente.

El cloud overlay de Purple se integra con Cisco Meraki, HPE Aruba, Ruckus y otros proveedores de hardware, ofreciendo un único panel de control de gestión para toda una cartera de propiedades sin necesidad de sustituir el hardware.

Ejemplos prácticos

¿Cómo debe diseñar la red un operador de BTR que está desarrollando un edificio residencial de 200 viviendas con locales comerciales en la planta baja y un gimnasio para residentes, y que necesita proporcionar internet seguro a los residentes, gestionar los sensores IoT del edificio y ofrecer WiFi público en la zona comercial?

Desplegar una única infraestructura de red física con hardware de calidad empresarial - por ejemplo, puntos de acceso Cisco Meraki MR57 y switches MS390. Implementar una arquitectura de cuatro VLAN: VLAN 10 para residentes (WPA3-Enterprise, 802.1X, 100 Mbps garantizados por vivienda), VLAN 20 para IoT del edificio (MAC Authentication Bypass, restringido únicamente a endpoints de gestión del edificio en la nube), VLAN 30 para TPV comercial (WPA3-Enterprise, 802.1X, segmento aislado PCI-DSS) y VLAN 40 para WiFi público de invitados (Captive Portal, WPA3-Personal, concesiones DHCP de 1 hora). Emitir un único SSID 802.1X para residentes, personal comercial y dispositivos IoT, utilizando un servidor RADIUS para la asignación dinámica de VLAN. Emitir un SSID abierto independiente con un Captive Portal de Purple para invitados públicos. Configurar el firewall central con una política estricta de denegación por defecto (Default-Deny), permitiendo únicamente rutas inter-VLAN explícitas cuando sea necesario para la actividad. Integrar el servidor RADIUS con Microsoft Entra ID para la gestión de identidades de los residentes.

Comentario del examinador: Este enfoque utiliza la segmentación VLAN IEEE 802.1Q para aislar el tráfico, cumpliendo con los requisitos de seguridad tanto de los residentes como de las operaciones comerciales. La asignación dinámica de VLAN evita la proliferación de SSID, preservando el tiempo de transmisión inalámbrica. La política de firewall Default-Deny garantiza que un dispositivo IoT comprometido no pueda acceder a las redes de los residentes o de las tiendas, mitigando los riesgos de movimiento lateral. El segmento aislado PCI-DSS para el TPV comercial reduce el alcance de la auditoría de cumplimiento. El Captive Portal de Purple en la VLAN 40 recopila datos de origen conformes con el GDPR de los visitantes de las zonas comunes.

El responsable de TI de un hotel detecta una grave degradación del rendimiento de la WiFi en el centro de conferencias durante un gran evento. Actualmente, la red emite siete SSID diferentes para dar servicio a varios clientes corporativos e invitados públicos. ¿Cómo puede solucionar este problema de rendimiento?

La degradación del rendimiento se debe a la sobrecarga de las tramas de gestión provocada por la emisión de siete SSID. El responsable de TI debe consolidar la red. Debe realizar la transición a un modelo de dos SSID: un SSID 802.1X seguro para todos los clientes corporativos y el personal, y un SSID abierto con un Captive Portal de Purple para los invitados públicos. Debe integrar un servidor RADIUS para autenticar a los usuarios corporativos y asignarlos dinámicamente a sus respectivas VLAN de cliente. A cada cliente corporativo se le asigna una VLAN dedicada (por ejemplo, VLAN 100 para el Cliente A, VLAN 101 para el Cliente B) mediante atributos RADIUS. El servidor RADIUS asocia las credenciales del proveedor de identidad de cada usuario con el ID de VLAN correcto. Las políticas de QoS se configuran por VLAN para garantizar niveles de ancho de banda para los clientes de conferencias premium.

Comentario del examinador: La emisión de siete SSID consume hasta un 30% del tiempo de transmisión inalámbrica disponible solo en tramas de gestión de balizas. La consolidación en dos SSID recupera este tiempo de transmisión, mejorando drásticamente el rendimiento real de los datos para los asistentes a la conferencia. La asignación dinámica de VLAN mantiene la separación lógica requerida para los diferentes clientes corporativos sin la sobrecarga física de múltiples SSID. Esta es la solución estándar para la proliferación de SSID en entornos de hostelería de alta densidad.

Preguntas de práctica

Q1. Está desplegando una solución WiFi gestionada para una propiedad BTR de 150 unidades. El sistema de gestión del edificio requiere acceso a la red para los controladores de climatización y las cerraduras inteligentes, que no son compatibles con 802.1X. ¿Cómo conecta estos dispositivos de forma segura sin exponer la red de los residentes?

Sugerencia: Considere cómo la red puede identificar los dispositivos sin credenciales de usuario y cómo restringir su acceso únicamente a los destinos requeridos.

Ver respuesta modelo

Utilice MAC Authentication Bypass (MAB) para autenticar los controladores de climatización y las cerraduras inteligentes basándose en sus direcciones MAC. El servidor RADIUS identifica cada dispositivo por su dirección MAC y lo asigna a una VLAN de IoT dedicada y aislada (por ejemplo, VLAN 30). Dado que las direcciones MAC se pueden suplantar, configure una política de cortafuegos estricta de denegación por defecto (Default-Deny) para la VLAN 30, permitiendo explícitamente el tráfico solo hacia los endpoints específicos en la nube requeridos por el sistema de gestión del edificio. Bloquee todo el enrutamiento entre la VLAN 30 y la VLAN de residentes (VLAN 10). Esto garantiza que un dispositivo IoT comprometido no pueda acceder a los dispositivos o datos de los residentes.

Q2. Un inquilino comercial en su edificio BTR multiinquilino informa de que sus terminales de Punto de Venta (POS) están fallando los escaneos de cumplimiento de PCI DSS porque son visibles para los dispositivos de la red pública de invitados. ¿Cuál es el fallo de arquitectura y cómo lo soluciona?

Sugerencia: Piense en el aislamiento de Capa 2 y en las políticas de enrutamiento de Capa 3 entre el segmento del POS y el segmento de invitados.

Ver respuesta modelo

El fallo de arquitectura es una segmentación de red inadecuada. O bien los terminales POS y los dispositivos de la red pública de invitados están en la misma red plana (misma VLAN y subred), o el cortafuegos central está configurado para enrutar tráfico entre la VLAN del POS y la VLAN de invitados sin restricciones. La solución es colocar los terminales POS en una VLAN dedicada y aislada (por ejemplo, VLAN 30) con una política estricta de enrutamiento inter-VLAN de denegación por defecto (Default-Deny) en el cortafuegos. La VLAN de invitados no debe tener ninguna ruta permitida hacia la VLAN del POS. Esto hace que el segmento del POS cumpla con PCI DSS al aislar el tráfico del entorno de datos de titulares de tarjetas (CDE) de todos los demás segmentos de red.

Q3. Su cuadro de mando de monitorización de red muestra una alta utilización de canales y un bajo rendimiento de los clientes en todos los puntos de acceso de un centro de conferencias, incluso durante periodos de baja actividad cuando hay pocos usuarios conectados. Actualmente está transmitiendo seis SSID por punto de acceso. ¿Cuál es la causa más probable y cuál es la solución recomendada?

Sugerencia: Considere el impacto de las tramas de gestión en el tiempo de transmisión inalámbrico, de manera independiente al número de clientes conectados.

Ver respuesta modelo

El problema de rendimiento se debe a la proliferación de SSID. La transmisión de seis SSID por punto de acceso consume una parte significativa del tiempo de transmisión inalámbrico con tramas de gestión de balizas (beacons), independientemente de cuántos clientes estén conectados. Cada SSID debe transmitir balizas a la tasa de datos más baja compatible para garantizar la compatibilidad con los dispositivos heredados. La solución es consolidar los SSID. Implemente la asignación dinámica de VLAN (Dynamic VLAN Assignment) mediante 802.1X y un servidor RADIUS. Esto le permite transmitir un único SSID seguro y asignar dinámicamente a los usuarios a sus VLAN correctas tras la autenticación, recuperando tiempo de transmisión inalámbrico y mejorando el rendimiento para todos los clientes conectados. Limite el número total de SSID a cuatro o menos por punto de acceso.

Continúe leyendo esta serie

PPSK: comparación de características y modelos de despliegue

Esta guía de referencia técnica exhaustiva analiza en detalle la arquitectura PPSK (Private Pre-Shared Key), comparándola con iPSK y 802.1X para ayudar a los operadores de recintos y equipos de TI a seleccionar el modelo de autenticación adecuado. Ofrece estrategias de despliegue prácticas para entornos multiinquilino, garantizando redes WiFi seguras, aisladas y gestionables.

iPSK para el sector residencial multifamiliar: una guía completa para empresas

Esta guía explica cómo iPSK (Identity Pre-Shared Key) resuelve el principal reto de conectividad en los edificios residenciales multi-inquilino: ofrecer una WiFi privada, con la calidad de una red doméstica, para cada residente sobre una infraestructura compartida. Cubre la arquitectura de autenticación, los pasos de despliegue y el caso comercial para tratar la WiFi gestionada como un servicio que genera ingresos en entornos BTR y MDU.

Nama ff keren iPSK: una guía completa para empresas

Esta guía explica cómo implementar iPSK (Identity Pre-Shared Key) en entornos multi-inquilino, tales como promociones de alquiler residencial (Build to Rent), residencias de estudiantes y propiedades multi-familiares (MDU). Abarca la arquitectura basada en RADIUS que proporciona a cada residente una burbuja de WiFi privada y aislada en un único SSID compartido, y detalla los pasos de implementación, las integraciones de hardware y el argumento comercial para tratar el WiFi como un servicio gestionado.