Servicio gestionado de WiFi: una guía completa para empresas

Esta guía cubre la arquitectura técnica, la estrategia de despliegue y el caso de negocio para un servicio gestionado de WiFi en entornos de múltiples inquilinos y empresariales. Explica cómo funciona el aislamiento iPSK, cómo segmentar las redes de residentes, personal y visitantes, y cómo medir el ROI, con especial relevancia para operadores de BTR, promotores inmobiliarios y propietarios.

📖 7 min de lectura📝 1,668 palabras🔧 2 ejemplos prácticos❓ 3 preguntas de práctica📚 9 definiciones clave

Escuchar esta guía

Ver transcripción del podcast

Bienvenido a la sesión informativa técnica de Purple. Hoy analizamos los servicios gestionados de WiFi. Nos centraremos específicamente en entornos empresariales y multi-inquilino: Build-to-Rent, residencias de estudiantes y recintos a gran escala. Si es director de TI, arquitecto de red o CTO, esta sesión es para usted. Omitiremos los adornos de marketing y entraremos directamente en la arquitectura, las estrategias de despliegue y el impacto empresarial.

Comencemos con el contexto. ¿Por qué hablamos de servicios gestionados en lugar de limitarnos a comprar puntos de acceso y conectarlos? Porque las expectativas han cambiado. Procesamos 440 millones de inicios de sesión al año en 80,000 recintos. Lo que vemos constantemente es que las redes fallan no porque el hardware sea malo, sino porque la arquitectura no se adapta al caso de uso.

Tome como ejemplo una propiedad Build-to-Rent. Supongamos que tiene 200 apartamentos. Si lo trata como un hotel y añade un Captive Portal, fracasará. Los residentes tienen televisores inteligentes, altavoces Sonos, luces Philips Hue. Un Captive Portal aislará cada dispositivo del resto. El teléfono del residente no podrá comunicarse con su televisor. Abrirán un ticket de soporte y su equipo de TI pasará horas añadiendo direcciones MAC a listas blancas. Es una pesadilla.

Entonces, ¿cuál es la solución técnica? Es Identity Pre-Shared Key, o iPSK. Aruba lo llama PPSK. Cisco Meraki lo llama Personal Private Network. Es el mismo concepto. Se emite un único SSID para todo el edificio. Pero en lugar de una contraseña común, cada residente recibe su propia contraseña única.

Cuando el Residente A se conecta con su clave, el servidor RADIUS dice: ese es el Residente A, colócalo en la VLAN 101. Cuando el Residente B se conecta con su clave, va a la VLAN 102.

Esto crea una burbuja de WiFi. Dentro de la burbuja del Residente A, su teléfono se conecta con su televisor perfectamente. Pero el Residente A no puede ver los dispositivos del Residente B, aunque estén conectados al mismo punto de acceso físico en el pasillo. Aislamiento total entre inquilinos. Continuidad total dentro de la vivienda. ¿Y cuando el Residente A se muda? Solo tiene que revocar su clave en el panel de control. No tiene que cambiar una contraseña para todo el edificio. No toca el hardware.

Esto nos lleva a la arquitectura. Necesita un sistema de control en la nube que sea agnóstico respecto al hardware. No querrá quedar atado a un único proveedor de hardware para siempre. Purple se sitúa por encima de la capa de hardware. Puede desplegar Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks o Fortinet. Nosotros gestionamos la autenticación RADIUS, la aplicación de políticas y el portal de incorporación. El hardware gestiona la transmisión de radiofrecuencia (RF). El plano de control y el plano de datos quedan separados.

Hablemos de la implementación. ¿Cómo se despliega esto realmente?

La primera fase es el diseño de RF. No haga suposiciones. Realice un estudio predictivo. En un entorno multi-inquilino, el estándar suele ser un punto de acceso por vivienda. Necesita garantizar la cobertura de 5GHz porque se enfrentará a entre 15 y 25 dispositivos por hogar. Un edificio de 200 viviendas tiene entre 3,000 y 5,000 dispositivos conectados a la WiFi en cualquier momento dado.

La fase dos es la segmentación. Necesita tres redes. Tres SSIDs para gobernarlas a todas. Una: WiFi para el personal, protegida con 802.1X vinculada a Microsoft Entra ID u Okta. Dos: WiFi para invitados, una red abierta con un Captive Portal y aislamiento de clientes para las visitas en la recepción. Tres: WiFi para residentes, usando iPSK para los apartamentos. Nunca mezcle estos tipos de usuarios en un mismo SSID.

La fase tres es la integración de la identidad. Vincule el aprovisionamiento de WiFi con su sistema de gestión de propiedades. Cuando se firma un contrato de alquiler, la clave se genera automáticamente. Cero intervención de TI. Los residentes están conectados el día de su mudanza sin tener que esperar a un técnico de banda ancha.

Ahora hablemos de algunos imprevistos. ¿Qué puede salir mal?

La interferencia de canales compartidos es un factor importante. Si coloca un punto de acceso en cada vivienda, interferirán entre sí en el mismo canal de radio. Debe habilitar la gestión automática de recursos de radio en su controlador para ajustar dinámicamente los canales y la potencia de transmisión.

La saturación por multicast es otro problema. Los dispositivos inteligentes utilizan multicast para detectarse entre sí. Chromecast, Apple TV, Sonos. Si no limita ese tráfico dentro de la VLAN de iPSK específica, el rendimiento de su red disminuirá. Utilice las funciones de pasarela DNS multicast de su hardware para mantener el tráfico de descubrimiento dentro del segmento correcto de residentes.

Y para las redes de invitados, tenga en cuenta la aleatorización de direcciones MAC. Los sistemas operativos modernos aleatorizan las direcciones MAC por defecto, lo que puede interrumpir los flujos del Captive Portal. Asegúrese de que su walled garden permita el acceso a las URL de validación esenciales del sistema operativo. Para una alternativa fluida basada en certificados, considere Passpoint, también conocido como Hotspot 2.0.

Ahora, las preguntas rápidas que me hacen con más frecuencia.

¿Puedo utilizar mi hardware actual? Sí. Purple es independiente del hardware. Funcionamos con Cisco, Aruba, Ruckus, Mist, UniFi, Cambium, Extreme y Fortinet.

¿Cuál es el SLA de tiempo de actividad? El 99,999 %. Eso representa menos de seis minutos de inactividad al año.

¿Cumple con el GDPR? Sí. Contamos con la certificación ISO 27001, cumplimos con GDPR y CCPA, y tenemos la certificación Cyber Essentials. La residencia de los datos es seleccionable: UE, Reino Unido o EE. UU.

¿Cuánto tiempo tarda la implantación? Un edificio típico de BTR de 200 viviendas se puede aprovisionar por completo en un día, asumiendo que los puntos de acceso ya están instalados.

Para resumir. Un servicio gestionado de WiFi consiste en separar el plano de control del hardware. Consiste en utilizar iPSK para crear entornos privados para los residentes. Consiste en automatizar los procesos de alta y baja. Y consiste en pasar de un gasto de capital a un coste operativo predecible.

Para los operadores de BTR, este es un motor de NOI. El WiFi gestionado permite aplicar un recargo en el precio del alquiler. Reduce los periodos de desocupación. Elimina los costes indirectos de TI. Y le ofrece analíticas agregadas sobre cómo se utilizan las zonas comunes.

Si diseña la arquitectura correcta, la red se gestiona sola. Consulte la guía completa para ver los diagramas de arquitectura y los detalles de configuración. Gracias por su atención.

Conclusiones clave

✓La WiFi multi-tenant requiere el aislamiento por residente mediante iPSK - los portales cautivos de WiFi para invitados no son adecuados arquitectónicamente para despliegues residenciales.
✓Un servicio WiFi gestionado separa el plano de control (capa en la nube de Purple) del plano de datos (hardware), lo que lo hace independiente del hardware en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist y otros.
✓Tres SSID cubren todos los tipos de usuario: Staff (802.1X), Guest (Captive Portal) y Resident (iPSK). Nunca mezcle tipos de usuario en un mismo SSID.
✓La incorporación automatizada vinculada al sistema de gestión inmobiliaria permite que los residentes estén conectados el mismo día de su llegada y que las claves se revoquen automáticamente al mudarse.
✓Purple ofrece un tiempo de actividad del 99,999% y cuenta con las certificaciones ISO 27001, GDPR, CCPA y Cyber Essentials, lo que reduce la carga de auditoría de cumplimiento para los operadores.
✓La WiFi gestionada es un motor de NOI para los operadores de BTR: el incremento en las rentas del alquiler, la reducción de los periodos de desocupación y la eliminación de los costes de TI se combinan para que el servicio sea siempre positivo para el NOI.
✓La interferencia cocanal y la inundación por difusión múltiple son los dos problemas más comunes tras el despliegue en entornos MDU densos; ambos se solucionan habilitando las funciones RRM y proxy mDNS en el controlador de hardware.

Resumen ejecutivo

El despliegue de WiFi empresarial en entornos multi-inquilino requiere algo más que hardware de consumo y una contraseña compartida. Para los directores de TI, arquitectos de red y directores de operaciones de espacios, un servicio gestionado de WiFi transforma la conectividad de un quebradero de cabeza con un alto coste de capital en un servicio operativo predecible.

Purple gestiona redes para más de 80.000 espacios a nivel global, procesando 440 millones de inicios de sesión en 2024 (datos internos de Purple). Conocemos la diferencia entre las redes que escalan y las que fallan. Esta guía detalla cómo diseñar, desplegar y gestionar un servicio gestionado de WiFi que aísle el tráfico de forma segura, admita los dispositivos inteligentes de los residentes y ofrezca un SLA de disponibilidad del 99,999%.

Tanto si gestiona propiedades de alquiler institucional (BTR), residencias de estudiantes o entornos comerciales, necesita una plataforma en la nube agnóstica respecto al hardware que se integre con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. Esta guía cubre la arquitectura, las fases de despliegue, los requisitos de cumplimiento y el caso de negocio.

Análisis técnico profundo: la arquitectura del WiFi multi-inquilino

El principal reto en entornos multi-inquilino como el BTR o las viviendas plurifamiliares (MDU) es ofrecer una experiencia de red doméstica sobre una infraestructura compartida de nivel empresarial. El WiFi para invitados , diseñado para visitantes temporales con Captive Portals, no cumple este requisito. Los residentes necesitan que sus televisiones inteligentes detecten sus smartphones, a la vez que permanecen completamente invisibles para el apartamento de al lado.

La solución técnica es la clave precompartida de identidad (iPSK), también conocida como PPSK por HPE Aruba o Red Privada Personal por Cisco Meraki. La terminología varía según el fabricante; el concepto es idéntico.

La "burbuja WiFi" iPSK

iPSK asigna una frase de contraseña WPA2 o WPA3 única a cada residente o inquilino. El servidor RADIUS utiliza esta clave única para asignar el dispositivo que se conecta a una VLAN específica o aplicar una política de microsegmentación. El resultado es una burbuja WiFi por residente.

Tres propiedades definen la burbuja. En primer lugar, la privacidad entre residentes: los dispositivos de la clave del Residente A no pueden ver los dispositivos de la clave del Residente B, incluso cuando están conectados exactamente al mismo punto de acceso físico. En segundo lugar, la continuidad dentro del hogar: el teléfono del Residente A detecta su Chromecast y su altavoz inteligente sin problemas, exactamente igual que lo haría en una red doméstica. En tercer lugar, el acceso específico del residente: cuando un residente se muda, Purple revoca su clave específica a través de la plataforma en la nube. No tiene que cambiar una contraseña que afecte a todo el edificio. Ningún otro residente se ve afectado.

Para obtener una comparación más detallada de los modelos de despliegue de PPSK y iPSK, consulte nuestra guía sobre Power probe PPSK: comparación de funciones y modelos de despliegue .

Superposición de nube independiente del hardware

Un servicio gestionado de WiFi moderno funciona como una superposición de software por encima de la capa de hardware. Esta arquitectura separa el plano de control del plano de datos. Purple se integra directamente con sus controladores de LAN inalámbrica existentes o paneles de control en la nube. Nosotros nos encargamos de la autenticación RADIUS, la aplicación de políticas y la incorporación de usuarios, mientras que el hardware local gestiona la transmisión de RF.

La arquitectura segmenta el tráfico en tres redes lógicas distintas, cada una con su propio modelo de seguridad. El WiFi para residentes utiliza iPSK con asignación de VLAN por clave. El WiFi para invitados utiliza un Captive Portal con aislamiento de clientes y opciones de participación consciente para la captura de datos de marketing. El WiFi para el personal utiliza IEEE 802.1X con EAP-TLS o PEAP, vinculado a Microsoft Entra ID, Okta o Google Workspace. Para obtener un desglose detallado de cómo estructurar estos tres SSIDs, consulte nuestra guía sobre Tres SSIDs para gobernarlos a todos: WiFi para invitados, Passpoint e IoT .

Estándares de seguridad y cumplimiento

Un servicio gestionado de WiFi debe superar las auditorías. Purple cuenta con la certificación ISO 27001, cumple con el GDPR y la CCPA, y tiene la certificación Cyber Essentials. Para las propiedades que manejan datos de pago, el modelo de segmentación de red admite el cumplimiento de PCI-DSS al aislar el tráfico de los puntos de venta en una VLAN dedicada sin movimiento lateral hacia los segmentos de residentes o invitados. WPA3 es compatible con el hardware de Cisco Meraki, HPE Aruba, Ruckus y Juniper Mist, lo que proporciona secreto hacia adelante y protección contra ataques de diccionario fuera de línea.

Guía de implementación

El despliegue de un servicio gestionado de WiFi requiere una planificación rigurosa a lo largo de cuatro fases. Omitir cualquier fase es la causa más común de los tickets de soporte posteriores al despliegue.

Fase 1: Diseño de RF y selección de hardware

No adivine la ubicación de los puntos de acceso. Realice un estudio predictivo de RF utilizando herramientas como Ekahau antes de la adquisición. Para entornos BTR, el estándar suele ser un punto de acceso por unidad de apartamento para garantizar la cobertura de 5GHz y gestionar la densidad de 15 a 25 dispositivos IoT por hogar (datos internos de Purple). Un edificio de 200 unidades tiene entre 3.000 y 5.000 dispositivos en la red WiFi en cualquier momento dado.

Seleccione el hardware de la lista canónica: Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks o Fortinet. Purple se ejecuta como una superposición de nube en todos ellos. No está bloqueado con un solo proveedor.

Fase 2: Estrategia de segmentación de red

Diseñe su estructura de VLAN antes de configurar la plataforma en la nube. La VLAN de gestión es exclusivamente para APs y switches, sin tráfico de usuarios. Las VLAN de residentes se asignan dinámicamente a través de iPSK, con una VLAN por clave de residente o por grupo de residentes. La VLAN del personal se protege mediante 802.1X utilizando su proveedor de identidad. La VLAN de invitados es una red abierta con un Captive Portal y aislamiento de clientes activado. Nunca conecte estas VLAN entre sí.

Fase 3: Integración de identidad y autenticación

Conecte la superposición en la nube de Purple a su proveedor de identidad. Para las redes de personal, configure el aprovisionamiento de SAML o SCIM desde Microsoft Entra ID o Okta. Para las redes de residentes, integre el paso de aprovisionamiento de WiFi en su sistema de gestión de propiedades para que las claves se generen automáticamente tras la firma del contrato de arrendamiento. Los residentes reciben su clave WiFi única por correo electrónico o a través de la aplicación Purple antes de su llegada. La gestión de dispositivos en modo autoservicio reduce significativamente los tickets de soporte de TI. Para entornos de hospitality , realice la integración con su PMS para aprovisionar el acceso a la WiFi de invitados automáticamente en el momento del registro de entrada.

Fase 4: Validación y pruebas

Antes de la mudanza del residente, valide el aislamiento de iPSK. Conecte dos dispositivos utilizando la clave del Residente A y confirme que pueden comunicarse entre sí mediante ping. Conecte un tercer dispositivo utilizando la clave del Residente B y confirme que no puede comunicarse mediante ping con los dispositivos del Residente A. Realice una prueba de rendimiento desde cada apartamento para confirmar que el backhaul no es un cuello de botella. Valide el flujo del Captive Portal en iOS y Android, incluyendo la gestión de la aleatorización de MAC.

Buenas prácticas

Al implementar un servicio gestionado de WiFi, cumpla con estos estándares independientes del proveedor.

Exija WPA3 donde los dispositivos cliente lo admitan. Imponga WPA3 para las redes de residentes para evitar ataques de diccionario fuera de línea. El protocolo de enlace de Autenticación Simultánea de Iguales (SAE) de WPA3 reemplaza el vulnerable protocolo de enlace de 4 vías de WPA2-PSK. La mayoría de los dispositivos fabricados después de 2020 son compatibles con WPA3.

Automatice la incorporación de extremo a extremo. Los residentes deben recibir su clave WiFi única antes de llegar. Vincule la generación de claves a la firma del contrato de arrendamiento en su sistema de gestión de propiedades. La gestión de dispositivos en modo autoservicio a través de la aplicación Purple elimina la necesidad de intervención de TI en las mudanzas e incorporaciones del día a día.

Implemente la limitación de ancho de banda por clave. Aplique límites de ancho de banda por usuario o por clave mediante atributos RADIUS para evitar que un solo residente sature la conexión de backhaul del sitio. Este es también el mecanismo para los paquetes de servicios por niveles: el perfil de clave predeterminado ofrece 100 Mbps y un perfil mejorado ofrece 1 Gbps, sin necesidad de realizar cambios de hardware.

Aísle los dispositivos IoT por banda. Anime a los residentes a utilizar la banda de 2,4 GHz para dispositivos domésticos inteligentes, reservando las bandas de 5 GHz y 6 GHz para aplicaciones de gran ancho de banda como ordenadores portátiles y consolas. Esto reduce la interferencia de canal compartido en la banda de 5 GHz y mejora el rendimiento general de la red. Use WiFi Analytics para zonas comunes. Los datos agregados y anonimizados de afluencia de vestíbulos, gimnasios y espacios de co-working te ayudan a optimizar el uso del espacio y a justificar la inversión en áreas de servicios adicionales.

Resolución de problemas y mitigación de riesgos

Incluso con un SLA de disponibilidad del 99,999 %, se producen problemas físicos y de radiofrecuencia. Prepárate para estos modos de fallo comunes.

Interferencia de cocanal (CCI). En despliegues BTR densos con un AP en cada unidad, los AP en el mismo canal interferirán entre sí. Activa la gestión automatizada de recursos de radio (RRM) en tu controlador de hardware para ajustar dinámicamente los canales y la potencia de transmisión. En Cisco Meraki, esto se encuentra en Ajustes de radio > Auto RF. En HPE Aruba, es ARM (Adaptive Radio Management).

Saturación de multicast y broadcast. Los dispositivos domésticos inteligentes dependen en gran medida del tráfico multicast, específicamente mDNS para la detección de Chromecast, Apple TV y Sonos. El tráfico multicast no controlado degrada el rendimiento de la red para todos los residentes. Utiliza las funciones de pasarela DNS multicast de tu hardware para contener el tráfico de detección dentro de la VLAN iPSK o grupo de políticas específico. En Ruckus, esto es el proxy mDNS de SmartZone. En Juniper Mist, es la política mDNS.

Intercepción del Captive Portal y aleatorización de direcciones MAC. Para la red de invitados, las actualizaciones de los sistemas operativos modernos, incluidos iOS 14+ y Android 10+, aleatorizan las direcciones MAC por defecto, lo que puede interrumpir los flujos del Captive Portal. Asegúrate de que tu walled garden permita el acceso a las URL de validación esenciales del sistema operativo, incluidas captive.apple.com y connectivitycheck.gstatic.com. Para una alternativa sin interrupciones, implementa Passpoint (Hotspot 2.0) para una asociación automática basada en certificados sin necesidad de iniciar sesión en un portal.

Disponibilidad del servidor RADIUS. Si tu servidor RADIUS no está disponible, la autenticación iPSK falla y los residentes no pueden conectarse. El Cloud RADIUS de Purple es georredundante con un 99,999 % de disponibilidad. Si utilizas un servidor RADIUS local, configura un servidor RADIUS secundario en cada grupo de AP como failover.

ROI e impacto empresarial

Un servicio gestionado de WiFi cambia el modelo financiero de un coste de capital hundido a un gasto operativo predecible. La siguiente comparación ilustra las diferencias clave.

Para los operadores de BTR, tratar el WiFi como un servicio gestionado genera retornos medibles. Las propiedades con WiFi gestionado de nivel empresarial exigen un alquiler premium. El WiFi gestionado como servicio adicional es sistemáticamente positivo para el NOI cuando se despliega como una capa de software sobre el hardware propio, según los puntos de referencia de la National Apartment Association. El modelo se deteriora cuando el WiFi se empaqueta con un contrato de banda ancha de terceros que se queda con el valor.

Los aumentos de eficiencia operativa son igualmente significativos. Eliminar el restablecimiento de contraseñas y la incorporación manual ahorra horas al mes al departamento de TI. La gestión de claves en régimen de autoservicio permite a los residentes añadir nuevos dispositivos sin necesidad de abrir un ticket de soporte. Cuando un residente se marcha, Purple revoca su clave automáticamente si está integrado con el sistema de gestión de propiedades.

Para entornos de retail , la capa de analítica de Guest WiFi añade una dimensión adicional. Purple ha recopilado 29 000 millones de puntos de datos (datos internos de Purple) en más de 80 000 establecimientos. Estos datos se traducen en patrones de afluencia, análisis del tiempo de permanencia y tasas de visitantes recurrentes que sirven de base para las decisiones de merchandising y dotación de personal.

Para centros de transport y centros de healthcare , el cumplimiento normativo y la postura de seguridad de un servicio gestionado reducen la carga de las auditorías. La certificación ISO 27001, el cumplimiento de GDPR y la certificación Cyber Essentials se heredan de la plataforma en lugar de auditarse internamente.

Escuche nuestra sesión técnica informativa completa a continuación para analizar en profundidad las estrategias de implementación y los posibles inconvenientes.

Definiciones clave

iPSK (Identity Pre-Shared Key)

Un mecanismo de seguridad que permite que varias contraseñas WPA2 o WPA3 únicas funcionen en un solo SSID. El servidor RADIUS utiliza la contraseña específica para identificar al usuario y aplicar una asignación de VLAN o política. También llamado PPSK por HPE Aruba y Personal Private Network por Cisco Meraki.

Esencial para entornos de múltiples inquilinos. Proporciona aislamiento para los residentes sin necesidad de configurar cientos de SSID o VLAN diferentes a nivel de hardware.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA) para los usuarios que se conectan a un servicio de red. Definido en RFC 2865.

El motor de autenticación detrás de 802.1X e iPSK. Purple proporciona Cloud RADIUS, lo que elimina la necesidad de servidores RADIUS locales y los costes de mantenimiento asociados.

VLAN (Virtual Local Area Network)

Una subred lógica que agrupa un conjunto de dispositivos de diferentes LAN físicas. Definida en IEEE 802.1Q. Aísla el tráfico de difusión y mejora la seguridad al evitar el movimiento lateral entre segmentos.

Se utiliza para separar el tráfico de los residentes del tráfico del personal, y para aislar a los residentes individuales entre sí dentro del mismo edificio.

Captive Portal

Una página web que un usuario debe ver e interactuar con ella antes de que se le conceda acceso a la red. Se utiliza normalmente para presentar los términos y condiciones y capturar datos de primera mano.

Adecuado para Guest WiFi en vestíbulos y zonas comunes. No es apto para redes de residentes, donde se requiere una conectividad automática y persistente.

802.1X

Un estándar IEEE para el control de acceso a la red basado en puertos (PNAC). Proporciona un mecanismo de autenticación que requiere credenciales individuales antes de conceder el acceso a la red. Comúnmente implementado con EAP-TLS (basado en certificados) o PEAP (nombre de usuario y contraseña).

El estándar de oro para Staff WiFi. Requiere credenciales únicas vinculadas a un proveedor de identidad en lugar de una contraseña compartida, lo que permite la revocación instantánea del acceso cuando el personal se marcha.

BTR (Build-to-Rent)

Desarrollos residenciales construidos específicamente para el alquiler a largo plazo en lugar de la venta. Se caracterizan por una gestión profesional, servicios compartidos y un enfoque en la experiencia del residente.

Un mercado principal para el WiFi gestionado multiinquilino. La conectividad se trata como un servicio principal comparable al acceso al gimnasio, lo que exige una prima de alquiler medible.

Passpoint (Hotspot 2.0)

Un estándar de Wi-Fi Alliance que permite el descubrimiento y la asociación automática y segura de redes sin necesidad de un Captive Portal. Los dispositivos se conectan mediante certificados o credenciales de SIM, lo que proporciona una experiencia de roaming similar a la de la red celular.

Se utiliza para eliminar los inicios de sesión repetidos en el Captive Portal para los visitantes que regresan y para proporcionar un roaming fluido en despliegues multisitio.

Cloud overlay

Una capa de políticas y gestión basada en software que opera por encima del hardware de red físico. Se encarga de la autenticación, la aplicación de políticas, las analíticas y la incorporación de usuarios sin requerir cambios en la configuración del hardware subyacente.

El modelo de arquitectura que hace que Purple sea independiente del hardware. La superposición se integra con la API del hardware en lugar de sustituir el hardware, preservando la inversión existente.

WPA3 (Wi-Fi Protected Access 3)

La generación actual del protocolo de seguridad WiFi, definido por la Wi-Fi Alliance. Introduce la Autenticación Simultánea de Iguales (SAE) para reemplazar el vulnerable handshake de 4 vías de WPA2-PSK, proporcionando secreto hacia adelante y resistencia a los ataques de diccionario fuera de línea.

Recomendado para todos los nuevos despliegues. Compatible con el hardware Cisco Meraki, HPE Aruba, Ruckus y Juniper Mist. La mayoría de los dispositivos fabricados después de 2020 son compatibles con WPA3.

Ejemplos prácticos

Una propiedad de Build-to-Rent de 250 unidades en Mánchester necesita proporcionar WiFi seguro para residentes, personal y visitantes. El administrador de la propiedad desea incluir WiFi de 100 Mbps en el alquiler base, con la opción de que los residentes actualicen a 1 Gbps. ¿Cómo se debe estructurar la red?

Despliegue una única red física utilizando puntos de acceso HPE Aruba, uno por unidad. Implemente la capa de nube de Purple para gestionar tres servicios distintos desde una sola plataforma. El WiFi para el personal utiliza autenticación 802.1X vinculada a Microsoft Entra ID. El WiFi para visitantes despliega un Captive Portal en el vestíbulo y el gimnasio para visitantes y posibles inquilinos. El WiFi para residentes utiliza iPSK: Purple genera una clave única para cada apartamento al firmar el contrato de arrendamiento. El perfil de clave predeterminado se limita a 100 Mbps mediante atributos RADIUS. Cuando un residente adquiere el nivel de actualización, el perfil RADIUS se actualiza a 1 Gbps automáticamente. Sin cambios de hardware. Sin visitas de técnicos. El sistema de gestión de la propiedad activa la actualización de la clave a través de la API de Purple.

Comentario del examinador: Este enfoque utiliza una capa de nube independiente del hardware para segmentar el tráfico de forma lógica en lugar de física. El uso de atributos RADIUS para controlar el ancho de banda por clave iPSK permite realizar ventas adicionales fluidas sin intervención manual de TI, lo que respalda directamente el modelo de NOI por puerta. La idea clave es que la capa de servicio gestionado - y no el hardware - es donde reside la diferenciación comercial.

Una cadena minorista nacional con 400 ubicaciones necesita implementar una experiencia de WiFi para visitantes coherente. Su configuración actual autogestionada requiere actualizaciones de firmware manuales, lo que genera un estado de seguridad inconsistente entre los diferentes centros. También necesitan capturar datos de marketing de origen (first-party data) de conformidad con la ley.

Transición a un servicio gestionado de WiFi. Despliegue puntos de acceso Cisco Meraki en los 400 centros, gestionados a través de un panel centralizado. Integre el Captive Portal de Purple en todos los centros desde una única cuenta de nube. El servicio gestionado se encarga de las actualizaciones de firmware automáticas y programadas fuera del horario de apertura, lo que garantiza un tiempo de inactividad cero y un estado de seguridad coherente. El portal de Purple presenta una opción de consentimiento explícito para marketing, capturando datos de origen (correo electrónico, datos demográficos) y enviándolos directamente al CRM de la cadena a través de la capa de integración de Purple. La conformidad con el GDPR se hereda de la plataforma.

Comentario del examinador: Este escenario destaca el cambio de los costes de TI a un servicio gestionado. El minorista elimina el riesgo de las actualizaciones manuales y obtiene un mecanismo de captura de datos preparado para el cumplimiento normativo. El detalle crítico es el consentimiento de elección consciente: la recopilación pasiva de datos sin consentimiento explícito no cumple con el GDPR. El Captive Portal de Purple está diseñado para cumplir con este requisito de forma nativa.

Preguntas de práctica

Q1. Está desplegando una red para un complejo de viviendas para estudiantes de 500 camas. El operador quiere que los residentes conecten televisores inteligentes, consolas de videojuegos y smartphones. Actualmente planean usar un único SSID con un Captive Portal que requiere el registro de la dirección MAC para dispositivos sin interfaz de usuario. ¿Cuál es el fallo de este plan y cuál es el enfoque correcto?

Sugerencia: Considere cómo los dispositivos como Chromecast descubren el smartphone de control en una red, y qué hace el aislamiento de clientes en ese proceso de descubrimiento.

Ver respuesta modelo

El fallo es que un Captive Portal con aislamiento de clientes impide el descubrimiento de dispositivos. Un smartphone no puede transmitir a un televisor inteligente porque los dispositivos no pueden verse entre sí en la red. El registro de direcciones MAC para dispositivos sin interfaz de usuario también es insostenible operativamente a una escala de 500 camas. El enfoque correcto es iPSK. Proporcione a cada estudiante una frase de contraseña única. Esto crea una burbuja de VLAN privada para ese estudiante, lo que permite que sus dispositivos se comuniquen entre sí mientras permanecen aislados de los otros 499 residentes. Los dispositivos sin interfaz se conectan usando la misma frase de contraseña que el teléfono del estudiante, sin requerir registro de MAC.

Q2. Una cadena hotelera desea actualizar su Staff WiFi. Actualmente, todo el personal utiliza una única contraseña WPA2-PSK. Cuando un empleado se marcha, el equipo de TI rara vez cambia la contraseña debido a la carga de trabajo que supone actualizar cada dispositivo. Recomiende una solución segura de nivel empresarial y explique el beneficio operativo inmediato.

Sugerencia: Busque un método de autenticación que vincule el acceso a la red con las identidades de los usuarios individuales en lugar de un secreto compartido.

Ver respuesta modelo

Sustituya el WPA2-PSK compartido por la autenticación 802.1X (WPA2 o WPA3-Enterprise). Integre la red inalámbrica con el proveedor de identidad del hotel, como Microsoft Entra ID. El personal se autentica utilizando sus credenciales corporativas individuales. Cuando un empleado se marcha, su cuenta de Entra ID se inhabilita, lo que revoca inmediatamente su acceso a la WiFi sin afectar a ningún otro miembro del personal. Sin rotación de contraseñas. Sin reconfiguración de dispositivos. El beneficio operativo es una baja de usuarios sin intervención: el departamento de TI inhabilita una cuenta y el acceso a la red se revoca automáticamente.

Q3. Un promotor inmobiliario de BTR está planificando una promoción de 300 viviendas. Su director financiero pregunta por qué no pueden utilizar simplemente un router de banda ancha doméstico por vivienda en lugar de un servicio WiFi gestionado. Elabore un caso de negocio de tres puntos para el modelo de servicio gestionado.

Sugerencia: Tenga en cuenta el impacto en el NOI, la carga operativa y los factores diferenciadores de la experiencia del residente.

Ver respuesta modelo

Punto uno: NOI por vivienda. Un servicio WiFi gestionado como servicio adicional genera una prima de alquiler mensual cuantificable por vivienda. Los contratos de banda ancha por vivienda transfieren ese valor al ISP, no al operador. Una capa de software sobre el hardware propio retiene el valor. Punto dos: eficiencia operativa. Los routers domésticos requieren mantenimiento individualizado, actualizaciones de firmware y restablecimiento de contraseñas por vivienda. Un servicio gestionado se encarga de todo esto de forma centralizada. Cuando un residente se muda, su clave se revoca automáticamente. Sin visitas de técnicos. Punto tres: experiencia del residente. Los routers domésticos no pueden soportar entre 15 y 25 dispositivos IoT por hogar con un aislamiento adecuado. Un servicio gestionado con iPSK ofrece una experiencia similar a la del hogar en la que los dispositivos inteligentes funcionan correctamente, reduciendo los tickets de soporte y mejorando la fidelización.

Continúe leyendo esta serie

Logo iPSK: la guía completa para empresas

Esta guía explica cómo la tecnología Identity Pre-Shared Key (iPSK) resuelve el principal desafío de seguridad en entornos WiFi de múltiples inquilinos: ofrecer aislamiento de nivel empresarial y control por usuario sin comprometer la compatibilidad con dispositivos IoT, consolas de videojuegos y tecnología para el hogar inteligente. Cubre la arquitectura técnica completa, las estrategias de implementación y el caso de negocio para promotores inmobiliarios, operadores de BTR y equipos de TI de hostelería.

Servicios gestionados de WiFi: una guía completa para empresas

Los servicios gestionados de WiFi trasladan todo el ciclo de vida de las redes inalámbricas empresariales - desde el diseño de RF y la adquisición de hardware hasta la monitorización diaria y la gestión del firmware - a un proveedor especializado. Esta guía explica las arquitecturas gestionadas en la nube, las estrategias de segmentación de VLAN y los estándares de autenticación que sustentan los despliegues fiables y seguros en hoteles, cadenas de retail, promociones BTR y espacios del sector público. Los promotores inmobiliarios, propietarios y operadores de BTR encontrarán pautas prácticas sobre cómo aislar el tráfico de los residentes, incorporar dispositivos inteligentes y convertir la conectividad en un activo empresarial medible.

Servicio de atención al cliente de WiFi gestionado de Spectrum: una guía completa para empresas

Esta guía completa detalla cómo los operadores de alquiler de viviendas (BTR) y los promotores inmobiliarios pueden implementar WiFi gestionado de Spectrum para ofrecer experiencias de red seguras y aisladas a los residentes. Cubre la arquitectura técnica de cloud RADIUS, el aislamiento de VLAN y iPSK, junto con estrategias prácticas de implementación para reducir la carga de soporte.