Cómo configurar el WiFi de invitados: Guía de segmentación de redes empresariales

Hable con un tono de consultor sénior: pausado, claro y conversacional. No es una conferencia, sino un informe directo de un experto. El ritmo es constante, con pausas naturales entre secciones: Bienvenido a la serie de informes técnicos de Purple. Le explicaré exactamente cómo configurar una red WiFi para invitados que esté correctamente segmentada, sea segura y comercialmente útil. Esto no es un tutorial para principiantes. Usted es un gerente de TI, un arquitecto de redes o un CTO, y necesita tomar una decisión este trimestre. Así que vayamos directo al grano. [pausa media] El problema que tienen la mayoría de los establecimientos no es que carezcan de WiFi. Es que tienen una red plana única donde los invitados, el personal y los dispositivos IoT comparten el mismo dominio de difusión. Eso es un riesgo de cumplimiento, un riesgo de seguridad y, francamente, una oportunidad comercial perdida. Un hotel con 200 habitaciones, una cadena de tiendas con 50 sucursales, un estadio con capacidad para 40,000 aficionados - todos necesitan exactamente lo mismo: una segmentación de red adecuada. [pausa media] Hablemos de lo que significa la segmentación en la práctica. En esencia, consiste en crear redes lógicamente separadas en la misma infraestructura física mediante VLAN - redes de área local virtuales. Una VLAN, definida bajo la norma IEEE 802.1Q, etiqueta las tramas de Ethernet para que el tráfico de diferentes segmentos de red permanezca aislado en la capa de enlace de datos, incluso cuando atraviesa el mismo switch físico o punto de acceso. Usted asigna a cada segmento un VLAN ID - por ejemplo, VLAN 10 para el personal, VLAN 20 para dispositivos IoT, VLAN 30 para invitados - y configura sus switches administrados y puntos de acceso para aplicar esa separación. [pausa media] Ahora, la pregunta crítica: ¿cuántos SSID necesita realmente? La respuesta para la mayoría de los establecimientos empresariales es tres. Uno para invitados, uno para el personal y uno para IoT. Cada SSID se asigna a su propia VLAN. Los invitados obtienen únicamente acceso a internet, sin ruta hacia su red corporativa. El personal se autentica a través de 802.1X contra un servidor RADIUS - volveremos a eso más adelante - y obtiene acceso a los recursos internos. Los dispositivos IoT, sus cámaras de CCTV, sus sensores de HVAC y sus pantallas inteligentes se ubican en su propio segmento aislado con reglas de salida estrictamente controladas. Si desea profundizar en el modelo de tres SSID, Purple tiene una guía detallada sobre esta arquitectura exacta. [pausa media] Hablemos de autenticación, porque aquí es donde la mayoría de las implementaciones fallan. Específicamente para WiFi de invitados, tienes cuatro opciones realistas. Primero, red abierta con un Captive Portal - el enfoque más común y el adecuado para lugares que necesitan registrar el consentimiento y datos de primera fuente bajo el GDPR. El invitado se conecta, llega a una página de inicio de sesión personalizada, se autentica mediante inicio de sesión social, correo electrónico o SMS, y tú registras una identidad verificada. Segundo, WPA2-PSK - una frase de contraseña compartida. Sencillo, pero no te da una identidad individual, no tiene mecanismo de consentimiento y no puedes revocar el acceso para un dispositivo específico sin cambiar la contraseña para todos. Tercero, WPA3-SAE, que es el sucesor moderno de WPA2 y elimina la vulnerabilidad de ataques de diccionario fuera de línea. Cuarto, 802.1X con RADIUS - el estándar de oro para redes de personal, donde cada usuario se autentica individualmente contra un directorio como Microsoft Entra ID u Okta, y obtiene una credencial de sesión única. Para WiFi de invitados, el enfoque de Captive Portal con cifrado WPA3 en el SSID subyacente es la combinación correcta: obtienes registro de identidad, consentimiento y cifrado moderno. [medium pause] Ahora, RADIUS. IEEE 802.1X es el estándar de control de acceso basado en puertos. Define un modelo de tres partes: el suplicante - que es el dispositivo que intenta conectarse -, el autenticador, que es tu punto de acceso o switch, y el servidor de autenticación, que es tu servidor RADIUS. Cuando un miembro del personal se conecta, su dispositivo envía credenciales a través de EAP - el Protocolo de Autenticación Extensible. EAP-TLS utiliza autenticación mutua basada en certificados, la opción más segura. PEAP envuelve EAP en un túnel TLS y te permite usar credenciales de usuario y contraseña contra Active Directory o Entra ID. Para la mayoría de las implementaciones empresariales, PEAP-MSCHAPv2 contra Microsoft Entra ID u Okta es la opción práctica. Cuenta con un excelente soporte en todo el hardware principal - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi - y se integra de manera limpia con tu proveedor de identidad existente. [medium pause] Permítame guiarlo a través de una implementación concreta. Tomemos un hotel de 200 habitaciones. Tiene access points de Cisco Meraki desplegados en las habitaciones de los huéspedes, pasillos, salas de conferencias y áreas de servicio. Configura tres SSIDs en el dashboard de Meraki. El SSID de invitados - llamémoslo con el nombre del hotel - está abierto, etiquetado en la VLAN 30, con una redirección de Captive Portal a la página de inicio de Purple. Los huéspedes se autentican a través de correo electrónico o inicio de sesión de redes sociales. Purple captura su consentimiento, almacena el perfil y activa un correo electrónico de bienvenida automáticamente. El SSID del personal es WPA2-Enterprise, etiquetado en la VLAN 10, que se autentica contra el tenant de Microsoft Entra ID del hotel a través de RADIUS. El SSID de IoT es una red oculta, WPA2-PSK con una frase de contraseña aleatoria fuerte, etiquetado en la VLAN 20, con reglas de firewall que permiten solo los puertos de salida específicos que necesita cada tipo de dispositivo. En el firewall de Meraki, agrega una regla de capa 3 que bloquea explícitamente el tráfico entre VLANs. Los huéspedes no pueden acceder a la red del personal. El personal no puede acceder al segmento de IoT a menos que lo permita explícitamente. Y, fundamentalmente, un dispositivo de IoT comprometido - por ejemplo, una smart TV con una vulnerabilidad sin parchear - no puede pivotar hacia su PMS o sus sistemas de pago. [medium pause] Este último punto importa enormemente para el cumplimiento de PCI-DSS. Si sus sistemas de procesamiento de tarjetas de pago se encuentran en la misma red que el WiFi de invitados, estará dentro del alcance de PCI-DSS en toda su infraestructura de WiFi. La segmentación adecuada de VLAN, combinada con reglas de firewall documentadas y controles de acceso, es el mecanismo principal para reducir su alcance de PCI-DSS. El Consejo de Normas de Seguridad de PCI es explícito en esto: la segmentación de red no es un requisito de PCI-DSS, pero reduce el número de componentes del sistema dentro del alcance. Hágalo bien y podrá simplificar drásticamente su evaluación anual. [medium pause] Hablemos de un segundo escenario: una cadena minorista con 50 tiendas. Cada tienda tiene una combinación de compradores invitados, personal con dispositivos portátiles para inventario y POS, y endpoints de IoT que incluyen señalización digital y sensores ambientales. El desafío aquí es la escala y la consistencia. No puede configurar manualmente la red de cada tienda. Necesita una plataforma administrada en la nube que le permita implementar una plantilla de configuración consistente en los 50 sitios desde un solo dashboard. HPE Aruba Central, Cisco Meraki Dashboard y Juniper Mist admiten este modelo. Define su estructura de VLAN y la configuración de SSID una vez, la implementa como una plantilla y cada sitio hereda la segmentación correcta automáticamente. Purple se integra con todas estas plataformas como un overlay en la nube - lo que significa que no reemplaza su hardware existente, sino que agrega la capa de Captive Portal y analítica de Purple en la parte superior. En esas 50 tiendas, obtiene datos de invitados unificados, una marca consistente y una gestión de consentimiento centralizada. Purple opera en 80,000 ubicaciones activas y ha procesado 440 millones de inicios de sesión solo en 2024, por lo que la plataforma está diseñada exactamente para este tipo de escala multisitio. [medium pause] Ahora permítanme cubrir los errores de implementación que veo con más frecuencia. Primero: olvidar habilitar el aislamiento de clientes en el SSID de invitados. El aislamiento de clientes evita que un dispositivo de invitado se comunique directamente con otro dispositivo en el mismo SSID. Sin esto, un invitado con intenciones maliciosas puede escanear y atacar los dispositivos de otros invitados. Habilítelo. Todas las plataformas principales lo soportan. Segundo: configurar incorrectamente el rango de DHCP. Cada VLAN necesita su propio rango de DHCP con los valores de puerta de enlace y DNS correctos. Un error común es apuntar el DHCP de la VLAN de invitados al servidor DNS corporativo, lo que filtra nombres de host internos. Utilice un solucionador DNS público - o mejor aún, un servicio DNS filtrado - para el tráfico de invitados. Tercero: no probar el enrutamiento inter-VLAN después de la implementación. Configure sus VLANs, luego pruebe realmente desde un dispositivo de invitado que no pueda acceder a la red del personal. Utilice una herramienta como nmap o simplemente intente navegar a una IP interna. Documente el resultado de la prueba. Cuarto: descuidar la gestión del ancho de banda. El WiFi para invitados en una red plana puede saturar su enlace de subida y degradar el tráfico operativo y del personal. Aplique límites de ancho de banda por cliente y por SSID. En Cisco Meraki, esto es una configuración única por SSID. En HPE Aruba, se utilizan políticas de modelado de tráfico adaptables a las aplicaciones. [medium pause] Sobre el GDPR: si opera en el Reino Unido o la UE, su Captive Portal debe presentar un mecanismo de consentimiento claro y afirmativo antes de recopilar cualquier dato personal. Las casillas previamente marcadas no son un consentimiento válido bajo el UK GDPR. El consentimiento debe ser granular - con opciones de exclusión voluntaria separadas para comunicaciones de marketing frente al registro de acceso a la red. Las opciones Conscious-Choice de Purple están diseñadas específicamente para esto: el invitado toma una decisión explícita e informada, y Purple almacena el registro de consentimiento con una marca de tiempo y la versión de texto de consentimiento específica que aceptaron. Ese registro de auditoría es lo que necesita si la ICO llega a tocar su puerta. [medium pause] Bien, hagamos una sesión de preguntas y respuestas rápida sobre las dudas que me plantean con más frecuencia. [short pause] ¿Necesito un punto de acceso físico independiente para cada SSID? No. Los puntos de acceso empresariales modernos soportan múltiples SSIDs en una sola radio. El límite práctico es de alrededor de tres a cuatro SSIDs por radio antes de que comience a degradarse la eficiencia del tiempo de transmisión debido a la sobrecarga de las tramas de administración. Tres SSIDs - invitado, personal, IoT - es el número correcto. [short pause] ¿Puedo utilizar un router de consumo para el WiFi de invitados? No en un entorno empresarial. Los routers de consumo no soportan etiquetado de VLAN, 802.1X ni gestión en la nube. Necesita hardware administrado. Ubiquiti UniFi es el punto de entrada para instalaciones pequeñas; Cisco Meraki, HPE Aruba o Ruckus para cualquier lugar con más de 20 puntos de acceso. [short pause] ¿Cómo gestiono Passpoint y OpenRoaming? Passpoint - también conocido como Hotspot 2.0, definido bajo IEEE 802.11u - permite que los dispositivos se conecten automáticamente a una red WiFi utilizando las credenciales que ya están en el dispositivo, sin necesidad de un Captive Portal. OpenRoaming es la federación global construida sobre Passpoint. Purple admite OpenRoaming bajo el plan Connect, actuando como el proveedor de identidad. Para lugares como aeropuertos y centros de transporte, esta es cada vez más la respuesta adecuada para una conectividad fluida de los pasajeros. [short pause] ¿Qué pasa con el filtrado DNS para redes de invitados? Es obligatorio. Un solucionador DNS filtrado bloquea los dominios de comando y control de malware, los sitios de phishing y el contenido inapropiado. También le proporciona un registro de consultas DNS para el monitoreo de seguridad. El complemento Shield de Purple incluye filtrado DNS como parte de la pila de seguridad de la red de invitados. [medium pause] En resumen: configure su red WiFi de invitados con tres VLANs - invitados en la VLAN 30, personal en la VLAN 10, IoT en la VLAN 20. Utilice un Captive Portal con consentimiento explícito de GDPR para los invitados. Autentique al personal a través de 802.1X contra su proveedor de identidad. Aísle los dispositivos IoT con reglas de salida estrictas. Habilite el aislamiento de clientes en el SSID de invitados. Aplique límites de ancho de banda. Pruebe el enrutamiento inter-VLAN después de cada cambio de configuración. Y utilice una plataforma gestionada en la nube para que pueda aplicar una configuración coherente en todos los sitios desde un solo lugar. [medium pause] Si desea ir más allá, la plataforma de WiFi de invitados de Purple se integra sobre su hardware existente - ya sea Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist o Ubiquiti UniFi - y añade el Captive Portal, la gestión de consentimientos, las analíticas y la capa de automatización de marketing que convierte su infraestructura de WiFi en un activo de datos de primera mano. Estamos en purple.ai. La guía escrita completa con diagramas de arquitectura, ejemplos prácticos y listas de verificación de configuración está vinculada en las notas del programa. Gracias por escuchar.