Saltar al contenido principal
Español (México)

Cómo Passpoint (Hotspot 2.0) transforma la experiencia de Wi-Fi para invitados

Una guía de referencia técnica completa que detalla cómo los protocolos Passpoint (Hotspot 2.0) y 802.11u reemplazan los Captive Portals tradicionales con un roaming de Wi-Fi seguro, continuo y similar al celular. Proporciona a los líderes de TI descripciones arquitectónicas, marcos de implementación y el caso de negocio para adoptar la autenticación basada en credenciales para resolver los desafíos de aleatorización de MAC y mejorar la experiencia del invitado.

📖 6 min de lectura📝 1,359 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast
Cómo Passpoint transforma la experiencia de Wi-Fi para invitados Una sesión técnica de Purple — Aproximadamente 10 minutos --- INTRODUCCIÓN Y CONTEXTO — aproximadamente 1 minuto Bienvenido a la serie de sesiones técnicas de Purple. Voy a dedicar los próximos diez minutos a guiarle a través de algo que, francamente, debería haber reemplazado al Captive Portal hace años: Passpoint, también conocido como Hotspot 2.0. Si gestiona la infraestructura de Wi-Fi en un grupo hotelero, una cadena de tiendas, un estadio o cualquier recinto donde los invitados se conectan de forma recurrente, es casi seguro que se ha topado con la misma pared: invitados que se quejan de tener que iniciar sesión cada vez, su servicio de soporte de TI atendiendo llamadas sobre un Wi-Fi que "solía funcionar" y una creciente conciencia de que la aleatorización de direcciones MAC de iOS 14 y Android 10 ha roto silenciosamente su lógica de reautenticación. Passpoint es la respuesta a todos esos problemas. Pero no es un interruptor mágico: es un protocolo diseñado adecuadamente que requiere un despliegue deliberado. Así que entremos en materia. --- ANÁLISIS TÉCNICO PROFUNDO — aproximadamente 5 minutos Comencemos con el problema central que resuelve Passpoint, que los ingenieros llaman el problema de selección de red. En el Wi-Fi tradicional, su dispositivo busca un SSID conocido (un nombre de red) y, si reconoce uno, se conecta. Eso es simple, pero es frágil. Requiere una conexión previa, no le dice nada sobre la postura de seguridad de la red y no admite el roaming entre recintos. Cada vez que un invitado entra a su hotel, su dispositivo debe apuntarse manualmente a su red, luego ser interceptado por un Captive Portal y después autenticarse a través de un formulario web. Eso es fricción. Y en 2026, la fricción es una desventaja competitiva. Passpoint cambia el paradigma por completo. En lugar de buscar un nombre de red, el dispositivo busca una red que admita sus credenciales. Antes de intentar conectarse, el dispositivo le pregunta al punto de acceso: "¿Admite mi proveedor de identidad?". Si la respuesta es sí, la autenticación se realiza automáticamente. Sin página de inicio de sesión. Sin solicitud de contraseña. Sin selección manual. Es el modelo de roaming celular, aplicado al Wi-Fi. El mecanismo que hace esto posible se llama Generic Advertisement Service (GAS), combinado con el Access Network Query Protocol, o ANQP. Cuando un punto de acceso habilitado para Passpoint emite su beacon, incluye lo que se llama un Interworking Element; esencialmente una bandera que dice "hablo 802.11u", que es la enmienda IEEE que sustenta todo esto. Su dispositivo ve esa bandera, envía una solicitud GAS y, dentro de esa solicitud, una consulta ANQP pregunta: "¿Qué Roaming Consortium Organisational Identifiers admite?". El punto de acceso responde. Si hay una coincidencia con un perfil que ya está en el dispositivo, comienza el saludo de autenticación completo de WPA2 o WPA3 Enterprise.Esa autenticación utiliza IEEE 802.1X —el mismo estándar de control de acceso basado en puertos que se usa en las redes cableadas empresariales— combinado con un método EAP. Los más comunes son EAP-TLS, que utiliza certificados; EAP-TTLS, que tuneliza el nombre de usuario y la contraseña de forma segura; y EAP-SIM o EAP-AKA para la autenticación basada en SIM de operadores móviles. El resultado es una sesión mutuamente autenticada y totalmente cifrada. El dispositivo demuestra su identidad a la red y la red demuestra su identidad al dispositivo. Esa autenticación mutua es lo que evita los ataques de gemelo malvado (evil twin) y de intermediario (man-in-the-middle) que plagan los entornos de Wi-Fi abiertos. Ahora, un término que escuchará junto con Passpoint es OpenRoaming, el marco de federación de la Wireless Broadband Alliance. Aquí está la distinción importante: Passpoint es el vehículo. OpenRoaming es el sistema de autopistas. Passpoint define cómo un dispositivo descubre y se autentica en una red. OpenRoaming define el ecosistema de confianza que permite a un proveedor de identidad —por ejemplo, Google, Samsung o un operador móvil— y a un proveedor de acceso —su hotel, su estadio, su propiedad comercial— confiar en las credenciales del otro sin necesidad de un acuerdo bilateral entre cada par. OpenRoaming utiliza un modelo PKI de estrella (hub-and-spoke) con túneles RadSec —esto es, RADIUS sobre TLS— para actuar como proxy de las solicitudes de autenticación en toda la federación. El OI del Consorcio de Roaming clave para OpenRoaming sin liquidación es 5A-03-BA. También querrá transmitir el OI heredado de Cisco, 00-40-96, para mantener la compatibilidad con dispositivos más antiguos y perfiles de Samsung OneUI. Desde la perspectiva del cumplimiento de seguridad, Passpoint es una actualización significativa. WPA3-Enterprise utiliza el modo de seguridad de 192 bits y exige el secreto hacia adelante (forward secrecy): cada sesión utiliza claves de cifrado únicas, por lo que comprometer una sesión no expone el tráfico histórico. Para las organizaciones sujetas a PCI DSS —particularmente entornos minoristas que procesan pagos con tarjeta— o las obligaciones de GDPR en torno a los datos personales, la autenticación basada en certificados de Passpoint significa que no está recopilando credenciales a través de un formulario web, lo que reduce sustancialmente su superficie de manejo de datos. Y luego está la aleatorización de direcciones MAC. Los dispositivos modernos con iOS y Android aleatorizan su dirección MAC por defecto. Esto rompe los flujos tradicionales de reautenticación del Captive Portal: el dispositivo parece nuevo en cada visita. Passpoint es inmune a esto. La autenticación se basa en credenciales, no en la dirección MAC. Su invitado recurrente se conecta sin problemas en cada visita, independientemente de cuál sea la dirección MAC de su dispositivo ese día. Esto también tiene una implicación significativa para sus análisis de Wi-Fi: si está utilizando la plataforma de análisis de Purple, la autenticación basada en credenciales restaura la precisión de los datos de sus visitantes recurrentes. --- RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES — aproximadamente 2 minutos Permítame mostrarle el panorama práctico de la implementación. Los requisitos de infraestructura son más complejos que los de un Captive Portal, pero están totalmente al alcance de cualquier organización que utilice hardware de clase empresarial. Se necesitan puntos de acceso certificados para Passpoint (la mayoría de los AP empresariales de Cisco, Aruba, Ruckus y Ubiquiti ya lo admiten). Se requiere un servidor RADIUS con soporte EAP, infraestructura AAA para la gestión de credenciales e, idealmente, un servidor OSU (Online Sign-Up) para el aprovisionamiento de perfiles en autoservicio. El trabajo de configuración se centra en cuatro elementos: los ajustes ANQP, que definen lo que el AP anuncia antes de la asociación; los OI de su Roaming Consortium; las definiciones de dominio NAI, que indican a los dispositivos qué métodos EAP admite; y la información del establecimiento, que los dispositivos utilizan para mostrar el contexto de la red. Mi recomendación más firme para la mayoría de los establecimientos es una estrategia de SSID dual. Utilice un SSID de Passpoint para los huéspedes recurrentes y usuarios registrados, y mantenga un SSID de Captive Portal para los visitantes de primera vez. Use el Captive Portal como un embudo de incorporación: presente la opción de instalar un perfil de Passpoint al final del flujo de autenticación de la primera visita. Este modelo de incorporación progresiva le ofrece lo mejor de ambos mundos: un primer acceso sencillo y visitas de retorno fluidas. Ahora, los errores comunes. El fallo de implementación más habitual que veo es tratar a Passpoint como un reemplazo directo de los Captive Portals sin construir el proceso de incorporación. Si los huéspedes no saben cómo instalar un perfil, o si el flujo de OSU es complicado, la adopción se estanca. Invierta en la experiencia de aprovisionamiento. El segundo error es la gestión de certificados. Si utiliza EAP-TLS con certificados de dispositivo, necesita un ciclo de vida de PKI robusto. Los certificados caducados interrumpirán silenciosamente la autenticación de los dispositivos afectados, y su equipo de soporte técnico será el último en enterarse. Automatice la renovación de certificados y supervise la expiración de forma proactiva. Tercero: no descuide el soporte para dispositivos heredados. Passpoint requiere iOS 7 o posterior, Android 6 o posterior, y Windows 10 o posterior. Esto cubre a la gran mayoría de los dispositivos modernos, pero los dispositivos IoT y algunos equipos corporativos más antiguos necesitarán rutas de acceso alternativas. --- PREGUNTAS Y RESPUESTAS RÁPIDAS — aproximadamente 1 minuto ¿Funciona Passpoint con los puntos de acceso existentes? Si se trata de hardware de clase empresarial de los últimos cinco años, casi con toda seguridad sí; busque la certificación Passpoint de la Wi-Fi Alliance en la hoja de especificaciones. ¿Puedo seguir recopilando datos de los huéspedes con Passpoint? Sí, pero el mecanismo cambia. La recopilación de datos ocurre en el momento del aprovisionamiento del perfil (en el flujo de OSU o en el registro basado en la aplicación) en lugar de en cada inicio de sesión. De hecho, esto es más respetuoso con el GDPR, ya que el consentimiento se captura una sola vez y de forma explícita. ¿Qué pasa con los establecimientos que quieren páginas de inicio de sesión personalizadas con su marca? Las conexiones Passpoint son invisibles por diseño, por lo que las páginas de inicio tradicionales no aplican. Sin embargo, puede activar notificaciones dentro de la aplicación o mensajes push después de la conexión si cuenta con una integración de aplicación de lealtad. Algunos operadores utilizan un modelo híbrido donde la primera visita aún pasa por un portal de marca antes del registro en Passpoint. ¿Es gratis unirse a OpenRoaming? El nivel sin cargos de liquidación de OpenRoaming, que utiliza el OI 5A-03-BA, está disponible sin costo a través de la Wireless Broadband Alliance. Los niveles comerciales con funciones de analítica y monetización están disponibles a través de los miembros de la WBA. --- RESUMEN Y PRÓXIMOS PASOS — aproximadamente 1 minuto En resumen: Passpoint no es una tecnología del futuro; es un protocolo maduro y basado en estándares que ya está implementado en los principales aeropuertos, cadenas de hoteles y estadios a nivel mundial. La pregunta para su organización no es si debe adoptarlo, sino cuándo y cómo. Si dirige un grupo hotelero, una cadena de retail o un gran establecimiento con visitantes recurrentes, el caso de ROI es claro: menor carga para la mesa de ayuda, mejor satisfacción del huésped, mitigación de riesgos de cumplimiento y datos analíticos precisos que no se ven afectados por la aleatorización de direcciones MAC. Sus próximos pasos son sencillos. Primero, audite su infraestructura actual de AP para verificar la certificación Passpoint. Segundo, evalúe su infraestructura RADIUS y determine si necesita un servidor OSU para el aprovisionamiento de autoservicio. Tercero, diseñe su estrategia de SSID dual y el proceso de incorporación. Y cuarto, si está considerando la federación OpenRoaming, póngase en contacto con la Wireless Broadband Alliance o con un proveedor de plataforma como Purple que pueda encargarse de la integración de la federación en su nombre. Este es el Informe Técnico de Purple sobre Passpoint y Hotspot 2.0. Para obtener la guía escrita completa, diagramas de arquitectura y ejemplos prácticos de implementación, visite purple.ai. Gracias por escuchar.

header_image.png

Resumen Ejecutivo

Para los espacios empresariales modernos, la fricción es una desventaja competitiva. Los Captive Portals tradicionales, que alguna vez fueron el estándar para el acceso a redes de invitados, ahora representan un cuello de botella operativo significativo y una fuente de frustración persistente para el usuario. Passpoint, también conocido como Hotspot 2.0, transforma fundamentalmente este paradigma al reemplazar la autenticación manual basada en web con un roaming fluido, similar al de la red celular. Al aprovechar el estándar IEEE 802.11u y el cifrado WPA3-Enterprise, Passpoint permite que los dispositivos de los invitados descubran, se autentiquen y se conecten a las redes Wi-Fi empresariales de forma automática y segura.

Para los líderes de TI en los sectores de Hospitalidad , Retail y grandes espacios públicos, la transición a Passpoint ya no es opcional. La aleatorización de direcciones MAC implementada de forma predeterminada en los dispositivos modernos con iOS y Android ha roto de manera efectiva la lógica de reautenticación de los Captive Portals heredados, lo que significa que los invitados recurrentes aparecen como dispositivos nuevos en cada visita. Passpoint resuelve esto al autenticar el perfil de credenciales del usuario en lugar de su dirección de hardware. Esta guía detalla la arquitectura técnica de Passpoint, el impacto comercial de su implementación y un marco de implementación neutral respecto al proveedor, diseñado para mejorar la experiencia de Guest WiFi y, al mismo tiempo, reducir la carga de trabajo del soporte técnico.

Análisis Técnico Detallado

El Problema de la Selección de Red y 802.11u

En las implementaciones de Wi-Fi heredadas, los dispositivos dependen de un mecanismo fundamentalmente frágil para la selección de red: escanear en busca de Service Set Identifiers (SSIDs) conocidos. Este enfoque requiere que el usuario se haya conectado previamente a la red o que la seleccione manualmente de una lista. No proporciona visibilidad previa a la asociación sobre la postura de seguridad de la red, los requisitos de autenticación o la disponibilidad de internet ascendente. Passpoint aborda esta limitación a través de la enmienda IEEE 802.11u, que introduce el Interfuncionamiento con Redes Externas.

En lugar de escanear pasivamente en busca de SSIDs, un dispositivo compatible con Passpoint consulta activamente a la infraestructura de red antes de intentar la asociación. Cuando un punto de acceso transmite su beacon, incluye un Interworking Element, una bandera que indica compatibilidad con 802.11u. El dispositivo cliente detecta esta bandera e inicia una solicitud de Servicio de Anuncio Genérico (GAS). Dentro de esta solicitud se encapsula una consulta del Protocolo de Consulta de Red de Acceso (ANQP). El dispositivo pregunta a la infraestructura: "¿Qué Identificadores Organizacionales (OIs) de Consorcio de Roaming soportas?". Si la respuesta del punto de acceso coincide con un perfil de credenciales almacenado en el dispositivo, se procede con la autenticación automática.

passpoint_architecture_overview.png

Arquitectura de Autenticación y Seguridad

Passpoint exige seguridad de nivel empresarial, eliminando por completo la fase de "red abierta" inherente a las implementaciones de Captive Portal. La autenticación se gestiona a través del control de acceso a la red basado en puertos IEEE 802.1X, junto con un método de Protocolo de Autenticación Extensible (EAP). Los métodos más comunes en implementaciones empresariales son EAP-TLS (que depende de certificados de cliente y servidor), EAP-TTLS (credenciales tunelizadas) y EAP-SIM/AKA (para escenarios de descarga celular).

Esta arquitectura proporciona autenticación mutua. El dispositivo demuestra criptográficamente su identidad a la red y, fundamentalmente, la red demuestra su identidad al dispositivo. Esta verificación mutua es la defensa principal contra puntos de acceso gemelos maliciosos (evil twins) e intentos de interceptación de intermediarios (man-in-the-middle). Además, Passpoint exige el cifrado WPA2-Enterprise o WPA3-Enterprise. WPA3-Enterprise introduce un modo de seguridad de 192 bits y exige confidencialidad directa perfecta (forward secrecy), lo que garantiza que incluso si las claves de sesión se ven comprometidas en el futuro, el tráfico histórico permanezca cifrado.

La Federación OpenRoaming

Mientras que Passpoint define el mecanismo técnico para el descubrimiento y la autenticación, OpenRoaming proporciona el marco de confianza. Desarrollado por la Wireless Broadband Alliance (WBA), OpenRoaming es una federación global que permite a los Proveedores de Identidad (como operadores de redes móviles, Google o Apple) y a los Proveedores de Acceso (como hoteles, estadios y cadenas de retail) confiar en las credenciales de los demás sin requerir acuerdos bilaterales entre cada entidad.

OpenRoaming opera bajo un modelo de Infraestructura de Clave Pública (PKI) de estrella (hub-and-spoke). Las solicitudes de autenticación se transmiten a través de la federación mediante túneles RadSec (RADIUS sobre TLS). Al transmitir el OI de OpenRoaming libre de liquidación (5A-03-BA), un establecimiento empresarial puede proporcionar de forma instantánea un acceso Wi-Fi seguro y sin fricciones a millones de usuarios en todo el mundo que ya poseen un perfil de identidad compatible en sus dispositivos.

Guía de Implementación

Implementar Passpoint requiere una base de infraestructura más sofisticada que una red abierta tradicional, pero los componentes son estándar dentro de los entornos empresariales modernos.

Prerrequisitos de Infraestructura

  1. Puntos de Acceso Certificados para Passpoint: La infraestructura inalámbrica debe ser compatible con las especificaciones 802.11u y Hotspot 2.0. La gran mayoría de los puntos de acceso empresariales fabricados en los últimos cinco años por proveedores como Cisco, Aruba y Ruckus cumplen con este requisito.
  2. Infraestructura RADIUS/AAA: Un servidor RADIUS robusto capaz de manejar la autenticación EAP y enrutar las solicitudes a los almacenes de identidad adecuados. Si se participa en OpenRoaming, el servidor RADIUS debe ser compatible con RadSec para un direccionamiento proxy seguro.
  3. Servidor de Registro en Línea (OSU): Para entornos que emiten sus propias credenciales (en lugar de depender únicamente de identidades federadas), un servidor OSU proporciona el mecanismo para aprovisionar de forma segura perfiles Passpoint en los dispositivos de los invitados.

La Estrategia de SSID Doble

El modelo de implementación más eficaz para los establecimientos que realizan la transición a Passpoint es la estrategia de SSID doble. Este enfoque mantiene un SSID de Captive Portal tradicional para el registro inicial, al tiempo que proporciona un SSID de Passpoint para conexiones posteriores sin interrupciones.

Cuando un invitado se conecta al SSID del Captive Portal por primera vez, completa el flujo de autenticación estándar (por ejemplo, aceptar términos y condiciones, proporcionar una dirección de correo electrónico). Una vez autenticado con éxito, el portal presenta la opción de descargar un perfil Passpoint. Una vez instalado, el dispositivo preferirá automáticamente el SSID seguro de Passpoint en todas las visitas futuras. Este modelo de registro progresivo garantiza la accesibilidad para los dispositivos heredados al tiempo que migra a la mayoría de los usuarios a la red segura y sin fricciones de Passpoint.

passpoint_vs_captive_portal_comparison.png

Mejores Prácticas

Al diseñar una arquitectura Passpoint, los líderes de TI deben adherirse a varias mejores prácticas críticas para garantizar la estabilidad operativa y la seguridad.

En primer lugar, la gestión del ciclo de vida de los certificados es fundamental. Si se utiliza EAP-TLS, la expiración de los certificados de cliente o servidor provocará fallas de autenticación silenciosas que son difíciles de diagnosticar para las mesas de ayuda de primera línea. Implemente protocolos automatizados de renovación de certificados y monitoreo proactivo. Como se destaca en nuestra guía sobre Evaluación de la Postura del Dispositivo para el Control de Acceso a la Red , una visibilidad sólida de los endpoints es esencial al gestionar el acceso basado en certificados.

En segundo lugar, garantice la compatibilidad con dispositivos heredados. Aunque iOS 7+, Android 6+ y Windows 10+ admiten Passpoint de forma nativa, algunos dispositivos IoT, hardware heredado y dispositivos estrictamente administrados por la empresa pueden carecer de soporte. La estrategia de doble SSID mitiga este riesgo al proporcionar un método de acceso de respaldo.

En tercer lugar, al configurar los elementos ANQP, asegúrese de que la Información del lugar (Venue Information) sea precisa y descriptiva. El sistema operativo del dispositivo cliente suele mostrar estos metadatos para proporcionar contexto sobre la red a la que se une el usuario.

Resolución de problemas y mitigación de riesgos

La complejidad de Passpoint introduce dominios de falla específicos que difieren de las implementaciones de Captive Portal.

Modo de falla 1: Tiempo de espera agotado o inaccesibilidad de RADIUS Si el servidor RADIUS local no puede comunicarse con el proveedor de identidad ascendente (especialmente en escenarios federados de OpenRoaming), el protocolo de enlace EAP expirará. Mitigación: Implemente una infraestructura RADIUS redundante y garantice un monitoreo sólido de los túneles RadSec. Revise nuestra documentación técnica sobre RadSec : Sécurisation du trafic d'authentification RADIUS avec TLS para obtener orientación sobre la configuración.

Modo de falla 2: Fallas en el aprovisionamiento de perfiles Los usuarios pueden encontrar errores al intentar descargar el perfil de Passpoint desde el servidor OSU, a menudo debido a las limitaciones del navegador del Captive Portal en los dispositivos móviles. Mitigación: Diseñe el flujo del Captive Portal para salir del mini-navegador del asistente de red cautiva (CNA) e ingresar al navegador nativo del sistema del dispositivo antes de iniciar la descarga del perfil.

Modo de falla 3: Impacto de la aleatorización de direcciones MAC en la analítica Aunque Passpoint resuelve la interrupción de la autenticación causada por la aleatorización de direcciones MAC, las plataformas de análisis heredadas que dependen únicamente de las direcciones MAC seguirán reportando recuentos de visitantes inexactos. Mitigación: Integre los registros de autenticación de RADIUS con su plataforma de WiFi Analytics . Al rastrear identificadores de credenciales únicos (como la Identidad de usuario cobrable o NAI anonimizada) en lugar de direcciones MAC, los establecimientos pueden restaurar métricas precisas de afluencia y lealtad.

ROI e impacto empresarial

El caso de negocio para la implementación de Passpoint se basa en tres pilares medibles: eficiencia operativa, reducción de riesgos y experiencia del usuario.

Desde el punto de vista operativo, la eliminación de la fricción del Captive Portal se correlaciona directamente con una reducción en los tickets de soporte de TI relacionados con la conectividad Wi-Fi. En grandes entornos de Healthcare o Transport , esto representa un ahorro de costos significativo.

En cuanto a la mitigación de riesgos, el cambio de redes abiertas al cifrado WPA3-Enterprise reduce sustancialmente el perfil de responsabilidad del establecimiento. Para los entornos minoristas sujetos a PCI DSS, la reducción del área de superficie de manejo de datos (al eliminar la recopilación de credenciales basada en web) simplifica las auditorías de cumplimiento.

Finalmente, la mejora en la experiencia del usuario es profunda. En el sector de la hospitalidad, los estudios demuestran constantemente que un Wi-Fi fluido y confiable es uno de los principales factores que impulsan la satisfacción de los huéspedes y las reservas recurrentes. Al implementar Passpoint, los establecimientos ofrecen una experiencia de conectividad que imita la confiabilidad de las redes celulares, transformando el Wi-Fi de un servicio frustrante a una amenidad premium y transparente.

deployment_decision_framework.png

Definiciones clave

IEEE 802.11u

La enmienda del estándar de redes inalámbricas que permite el funcionamiento conjunto con redes externas, lo que permite a los dispositivos consultar los AP antes de asociarse.

Al configurar controladores inalámbricos, los ingenieros deben habilitar 802.11u para permitir que los dispositivos descubran las capacidades de Passpoint.

ANQP (Access Network Query Protocol)

Un protocolo de consulta y respuesta utilizado por los dispositivos para descubrir servicios de red, acuerdos de roaming e información del lugar antes de conectarse.

Los equipos de TI configuran perfiles ANQP en el controlador inalámbrico para transmitir sus Roaming Consortium OIs y NAI Realms compatibles.

Roaming Consortium OI

Un identificador organizacional transmitido por el punto de acceso que indica qué proveedores de identidad o federaciones admite la red.

Si una empresa se une a OpenRoaming, debe asegurarse de que sus AP transmitan el OI específico de OpenRoaming (5A-03-BA).

OSU (Online Sign-Up)

Un proceso estandarizado e infraestructura de servidor para aprovisionar de forma segura credenciales y certificados de Passpoint en el dispositivo de un usuario.

Al crear un flujo de registro de autoservicio para un programa de lealtad, los desarrolladores se integrarán con un servidor OSU para enviar el perfil al dispositivo.

RadSec

Un protocolo que encapsula el tráfico de autenticación RADIUS dentro de un túnel TLS para garantizar una transmisión segura a través de redes no confiables.

Requerido al realizar el proxy de solicitudes de autenticación desde un sitio local a un hub de OpenRoaming basado en la nube.

NAI Realm

Network Access Identifier Realm; indica el dominio del usuario y los métodos específicos de autenticación EAP admitidos por la red.

Configurado junto con ANQP para indicar a los dispositivos cliente si la red requiere EAP-TLS, EAP-TTLS o EAP-SIM.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security; un método de autenticación altamente seguro que requiere certificados tanto del cliente como del servidor.

Utilizado frecuentemente en implementaciones de Wi-Fi para empleados corporativos donde TI puede enviar certificados a dispositivos administrados a través de MDM.

MAC Address Randomisation

Una función de privacidad en los sistemas operativos móviles modernos que genera una dirección de hardware temporal y falsa para cada conexión de red Wi-Fi.

El catalizador principal que aleja a los establecimientos de los Captive Portals, ya que rompe la capacidad de reconocer a los visitantes recurrentes en función de su hardware.

Ejemplos resueltos

Una cadena de hoteles empresariales de 400 habitaciones experimenta un alto volumen de tickets de soporte de huéspedes recurrentes que se quejan de tener que conectarse manualmente al Wi-Fi en el lobby, el restaurante y sus habitaciones, a pesar de haberse conectado previamente. Actualmente, el hotel utiliza un SSID abierto tradicional con un Captive Portal. ¿Cómo debería resolver esto el arquitecto de red?

El arquitecto debe implementar una estrategia de Dual-SSID. Primero, desplegar un SSID seguro de Passpoint que transmita el Roaming Consortium OI específico del hotel. Segundo, modificar el Captive Portal existente en el SSID abierto para que sirva como un embudo de incorporación. Cuando un huésped inicia sesión a través del portal, se le solicita que descargue un perfil de configuración de Passpoint en su dispositivo. Una vez instalado, el dispositivo se autenticará de forma automática y segura a través de 802.1X/EAP al SSID de Passpoint a medida que se desplaza entre el lobby, el restaurante y la habitación, eliminando la reautenticación manual.

Comentario del examinador: Este enfoque aborda directamente la fricción causada por la aleatorización de direcciones MAC que rompe la persistencia de la sesión del Captive Portal. Al utilizar el Captive Portal para aprovisionar el perfil, el hotel garantiza una transición fluida para los usuarios, al tiempo que mantiene una ruta de acceso para los dispositivos heredados que no son compatibles con Passpoint.

Una cadena minorista nacional desea ofrecer Wi-Fi seguro y continuo en sus 500 ubicaciones para impulsar la interacción con su aplicación de lealtad. Sin embargo, administrar certificados personalizados o credenciales individuales para millones de clientes potenciales se considera operativamente inviable. ¿Cuál es la arquitectura de implementación recomendada?

El minorista debe implementar Passpoint y federarse con OpenRoaming. Al configurar sus puntos de acceso para transmitir el OI de OpenRoaming libre de liquidación (5A-03-BA) y establecer túneles RadSec desde su infraestructura RADIUS a un nodo de OpenRoaming, el minorista permite que cualquier cliente con un perfil de proveedor de identidad compatible (como un dispositivo Samsung moderno o un perfil de operador móvil) se conecte automáticamente. Luego, el minorista puede integrar esto con su aplicación de lealtad para activar notificaciones push tras una asociación de red exitosa.

Comentario del examinador: La federación a través de OpenRoaming es la solución óptima para escalar. Libera la carga de la gestión de identidades y el aprovisionamiento de credenciales a los proveedores de identidad establecidos, lo que permite al minorista concentrarse en la capa de acceso y en los análisis de interacción resultantes.

Preguntas de práctica

Q1. El director de TI de un hospital desea implementar Passpoint para garantizar que los dispositivos móviles de los médicos se conecten de forma segura a la red clínica, mientras que los pacientes se conectan a una red de invitados independiente. Los médicos utilizan dispositivos personales no administrados (BYOD). ¿Qué método EAP y estrategia de aprovisionamiento debería recomendar el arquitecto?

Sugerencia: Considera el equilibrio entre la seguridad y la sobrecarga operativa de administrar certificados en dispositivos personales no administrados.

Ver respuesta modelo

El arquitecto debería recomendar EAP-TTLS con un flujo de aprovisionamiento de servidor de registro en línea (OSU). EAP-TLS requiere certificados de cliente, los cuales son difíciles de implementar y administrar operativamente en dispositivos BYOD no administrados. EAP-TTLS permite a los médicos autenticarse de forma segura utilizando sus credenciales existentes de Active Directory/LDAP (usuario y contraseña) tunelizadas dentro de una sesión TLS segura. El servidor OSU puede proporcionar un portal de autoservicio donde los médicos inician sesión una vez para descargar el perfil, lo que permite la conexión automática a partir de ese momento.

Q2. Durante un piloto de implementación de Passpoint, los dispositivos Android se autentican y conectan correctamente, pero los dispositivos iOS fallan durante el saludo EAP. Los registros de RADIUS muestran errores de "CA desconocida". ¿Cuál es la causa y la solución más probable?

Sugerencia: iOS de Apple tiene requisitos estrictos con respecto a la cadena de confianza para los certificados de servidor RADIUS.

Ver respuesta modelo

La causa más probable es que el servidor RADIUS esté utilizando un certificado autofirmado o un certificado emitido por una Autoridad de Certificación (CA) interna privada en la que los dispositivos iOS no confían de forma inherente. Los dispositivos Android a veces permiten a los usuarios omitir o ignorar la validación del certificado (aunque esto es una mala práctica de seguridad), mientras que iOS la exige estrictamente para los perfiles de Passpoint. La solución es reemplazar el certificado del servidor RADIUS por uno emitido por una CA comercial de confianza pública (por ejemplo, DigiCert, Let's Encrypt), o asegurarse de que el certificado raíz de la CA privada esté empaquetado explícitamente dentro del perfil de configuración de Passpoint enviado a los dispositivos iOS.

Q3. Un estadio ha implementado OpenRoaming. Un usuario con un perfil de OpenRoaming de Google válido ingresa al recinto, pero su dispositivo no intenta conectarse automáticamente. ¿Qué configuración específica en el controlador de LAN inalámbrica del estadio debería verificar primero el ingeniero de red?

Sugerencia: ¿Cómo sabe el dispositivo que el punto de acceso es compatible con la federación OpenRoaming antes de intentar conectarse?

Ver respuesta modelo

El ingeniero debe verificar la configuración de ANQP, específicamente comprobando que los puntos de acceso estén transmitiendo el Identificador Organizacional (OI) del Consorcio de Roaming correcto para OpenRoaming, que es 5A-03-BA. Si este OI no se incluye en la baliza del AP o en la respuesta GAS, el dispositivo no reconocerá la red como participante de OpenRoaming y no intentará autenticarse.

Continúe leyendo esta serie

Cómo configurar un Captive Portal en Starlink: Una guía para ubicaciones remotas y marítimas

Esta guía detalla cómo omitir el hardware nativo de Starlink e integrar un Captive Portal administrado en la nube utilizando equipos de enrutamiento empresariales. Aprenderá cómo superar la limitación de CGNAT, aplicar la segmentación de VLAN, administrar las restricciones de ancho de banda satelital y garantizar el cumplimiento normativo.

Leer la guía →

Mejores prácticas de Captive Portal: Diseñando para una alta conversión y cumplimiento

Esta guía técnica ofrece a los gerentes de TI, arquitectos de red y directores de operaciones de establecimientos un plan completo para implementar captive portals que equilibren la seguridad de la red con una alta conversión de usuarios. Cubre toda la arquitectura, desde la segmentación de VLAN y la autenticación RADIUS hasta el diseño de consentimiento conforme a GDPR y la selección del método de autenticación. Basada en la experiencia operativa de Purple en más de 80,000 establecimientos y 440 millones de inicios de sesión en 2024, cada recomendación se fundamenta en datos reales de implementación.

Leer la guía →

Cómo optimizar los captive portals para una máxima seguridad de red y conversión de usuarios

Esta guía proporciona un plan técnico completo para optimizar los captive portals en entornos empresariales, abarcando la arquitectura de segmentación de red, la selección del método de autenticación, el diseño de consentimiento conforme a GDPR y la optimización de la conversión. Está dirigida a gerentes de TI, arquitectos de red y CTOs en hoteles, cadenas de retail, estadios y organizaciones del sector público que necesitan equilibrar la seguridad de la red con la captura de datos de primera mano. Purple opera la infraestructura de captive portal en más de 80,000 establecimientos con 440 millones de inicios de sesión en 2024, y los marcos de trabajo aquí presentados reflejan esa experiencia operativa.

Leer la guía →