Configuración de Walled Garden para WiFi de invitados

Esta guía proporciona una referencia técnica completa y neutral respecto al proveedor para configurar walled gardens en implementaciones de WiFi de invitados empresariales. Cubre la arquitectura del acceso previo a la autenticación, el papel fundamental de la resolución de DNS dinámico, la lista de permitidos de dominios para inicio de sesión con redes sociales, los requisitos de sondeo del Captive Portal del sistema operativo y las consideraciones de cumplimiento bajo PCI DSS y GDPR. Dirigida a gerentes de TI, arquitectos de redes y directores de operaciones de recintos, ofrece orientación de implementación práctica con casos de estudio del mundo real de los sectores de hospitalidad, comercio minorista y eventos.

📖 11 min de lectura📝 2,695 palabras🔧 2 ejemplos resueltos❓ 3 preguntas de práctica📚 9 definiciones clave

Escucha esta guía

Ver transcripción del podcast

PODCAST SCRIPT: Configuración de Walled Garden para Guest WiFi
Purple WiFi Intelligence Platform — Serie de Sesiones Técnicas Informativas
Duración: Aproximadamente 10 minutos
Voz: Inglés británico, tono de consultor senior — seguro, conversacional, autoritario

---

[INTRO — 1 MINUTO]

Bienvenido a la Serie de Sesiones Técnicas Informativas de Purple. Soy su anfitrión, y hoy abordaremos uno de los elementos más incomprendidos de manera constante en el despliegue de WiFi para invitados empresariales: el walled garden.

Si alguna vez ha tenido un despliegue de WiFi para invitados donde los usuarios no podían pasar de la página de inicio (splash page) —no podían iniciar sesión con Google, no podían cargar el Captive Portal en absoluto— es muy probable que la configuración del walled garden haya sido la culpable. Y, sin embargo, es una de esas cosas que rara vez recibe la atención que merece en un informe de diseño de red.

En los próximos diez minutos, quiero darle una imagen clara y práctica de lo que realmente es un walled garden, por qué es importante, qué dominios necesita incluir en la lista de permitidos y cómo las integraciones de inicio de sesión social cambian la ecuación. Ya sea que esté desplegando WiFi para invitados en una propiedad hotelera, una cadena de tiendas, un estadio o un sector público, esta sesión informativa le dará el marco de configuración que necesita para hacerlo bien a la primera.

Comencemos.

---

[TECHNICAL DEEP-DIVE — 5 MINUTOS]

Entonces, ¿qué es un walled garden en el contexto de WiFi para invitados?

Piénselo de esta manera. Cuando el dispositivo de un invitado se conecta a su red WiFi pero aún no se ha autenticado a través de su Captive Portal, ese dispositivo se encuentra en una especie de estado de limbo. Tiene una dirección IP. Puede enviar y recibir paquetes. Pero su controlador de red —ya sea un Cisco Meraki, un Ruckus SmartZone, un Fortinet FortiGate o una plataforma Aruba gestionada en la nube— está interceptando todas las solicitudes HTTP y HTTPS salientes y redireccionándolas a su página de inicio.

El walled garden es el conjunto de dominios y direcciones IP que tienen permitido explícitamente pasar a través de esa capa de interceptación antes de que se complete la autenticación. Todo lo demás está bloqueado. Esa es la pared. El jardín es el espacio curado dentro de ella: el conjunto pequeño y controlado de recursos a los que un invitado puede acceder antes de haber demostrado quién es.

Ahora bien, ¿por qué importa tanto esto? Porque los Captive Portals modernos no son autónomos. Dependen de servicios externos para funcionar. Su página de inicio podría estar alojada en una CDN. Sus botones de inicio de sesión social llaman a endpoints de OAuth en Google, Facebook, Apple o Microsoft. Su plataforma de analítica podría estar cargando scripts de seguimiento. Su pasarela de pago —si está cobrando por acceso premium— necesita cargar su propio JavaScript y realizar llamadas de API. Cada una de esas dependencias externas debe incluirse explícitamente en la lista de permitidos de su walled garden, o el flujo de autenticación se romperá.

Permítame guiarlo a través de las categorías de dominios que debe considerar.

Primero: su propia plataforma de Captive Portal. Si utiliza Purple, esto significa incluir en la lista de permitidos el CDN de Purple y los endpoints de la API, como cdn.purple.ai, portal.purple.ai y api.purple.ai. Si utiliza una plataforma diferente, el principio es idéntico: incluya en la lista de permitidos cada dominio que sirva los recursos del portal y gestione el saludo de autenticación.

Segundo: Google OAuth. Este es el más importante, ya que Google Sign-In es el método de inicio de sesión social más común en las implementaciones de WiFi para invitados empresariales. Debe incluir en la lista de permitidos accounts.google.com, oauth2.googleapis.com, apis.google.com y el CDN gstatic.com, que es donde Google sirve sus fuentes, iconos y bibliotecas del lado del cliente. Si olvida alguno de estos, el botón de inicio de sesión de Google fallará silenciosamente o arrojará un error de CORS que el invitado nunca verá.

Tercero: Facebook y Meta OAuth. Si ofrece inicio de sesión con Facebook —y en hotelería y retail sigue siendo popular por los datos de marketing que proporciona— debe incluir en la lista de permitidos www.facebook.com, graph.facebook.com, connect.facebook.net y el CDN de Facebook en static.xx.fbcdn.net. Meta suele rotar los subdominios de su CDN, por lo que recomiendo usar entradas con comodines si su controlador lo admite: *.fbcdn.net y *.facebook.com.

Cuarto: Apple Sign In. Esto se volvió obligatorio para cualquier aplicación de iOS que ofreciera inicio de sesión de terceros después de 2019, y cada vez se espera más también en los portales web. Los dominios clave son appleid.apple.com e idmsa.apple.com. Apple también utiliza una variedad de subdominios bajo apple.com para sus flujos de autenticación, por lo que una entrada con comodín para *.apple.com es el enfoque más práctico.

Quinto: si ofrece un nivel de WiFi de pago —común en centros de transporte, hoteles premium y centros de convenciones— debe incluir en la lista de permitidos su pasarela de pago. Para Stripe, es stripe.com y *.stripe.com. Para PayPal, es www.paypal.com y *.paypal.com. El cumplimiento de PCI DSS exige que los flujos de pago se gestionen a través de TLS 1.2 o superior, y la configuración de su walled garden debe permitir ese tráfico sin intercepciones.

Ahora, aquí es donde se pone técnicamente interesante: el problema de la resolución de DNS.

La mayoría de los controladores de red implementan walled gardens a nivel de dirección IP, no puramente a nivel de nombre de dominio. Eso significa que cuando incluye accounts.google.com en la lista de permitidos, el controlador resuelve ese dominio a un conjunto de direcciones IP y permite el tráfico hacia esas IP. El problema es que Google, Facebook, Apple y los principales CDN utilizan rangos de IP dinámicos y enrutamiento anycast. La dirección IP a la que se resuelve accounts.google.com en su centro de datos no es necesariamente la misma IP a la que se resuelve en su red de invitados, y cambiará con el tiempo.

La implicación práctica es esta: no se puede confiar en una lista blanca de IP estáticas. Se necesita un controlador que realice una resolución de DNS dinámica para las entradas del walled garden, resolviendo los dominios de la lista blanca a intervalos regulares y actualizando el conjunto de IP permitidas en consecuencia. La mayoría de los controladores de nivel empresarial admiten esto. Si el suyo no lo hace, está operando con una configuración que se degradará con el tiempo a medida que cambien los rangos de IP de la CDN.

También está la cuestión de la intercepción de HTTPS. Cuando un dispositivo invitado realiza una solicitud HTTPS a un dominio que no está en la lista blanca antes de la autenticación, su controlador tiene dos opciones: puede interrumpir la conexión de forma silenciosa o puede intentar interceptarla y redirigirla al portal. Las interrupciones silenciosas hacen que el navegador del invitado muestre un error genérico de "no se puede acceder al sitio", lo cual resulta confuso. La intercepción requiere un certificado TLS válido en su controlador y, sin él, el invitado ve una advertencia de certificado, lo que es alarmante y, en entornos regulados, un posible problema de cumplimiento. La solución limpia es asegurarse de que la lógica de redirección de su portal funcione con tráfico HTTP y que su walled garden permita que el tráfico HTTPS para los dominios de la lista blanca pase sin alteraciones.

Permítame también abordar el mecanismo de detección del Captive Portal, porque afecta directamente al diseño de su walled garden. Los sistemas operativos modernos (iOS, Android, macOS, Windows) utilizan una técnica llamada Captive Network Assistant o CNA. Cuando un dispositivo se conecta a una nueva red, el SO realiza una solicitud HTTP a un endpoint de prueba conocido: en los dispositivos Apple, es captive.apple.com; en Android, es connectivitycheck.gstatic.com; en Windows, es msftconnecttest.com. Si la respuesta no es la que el SO espera, sabe que está detrás de un Captive Portal e inicia el navegador del portal automáticamente.

El punto crítico: todos estos endpoints de prueba deben estar en la lista blanca de su walled garden. Si están bloqueados, el SO nunca detecta el Captive Portal, el invitado nunca ve la página de bienvenida y, desde su perspectiva, el WiFi simplemente no funciona. Este es uno de los fallos de configuración más comunes que veo en el campo, y es completamente evitable.

---

[RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES — 2 MINUTOS]

Permítame darle el marco de implementación que recomendaría para cualquier nueva implementación.

Comience con una lista blanca de referencia que cubra cinco categorías: la plataforma de su portal, Google OAuth, Facebook OAuth, Apple Sign In y las pruebas de Captive Portal del SO. Ese es su walled garden mínimo viable. Agregue pasarelas de pago si ofrece planes de pago. Agregue los dominios de su plataforma de analítica y marketing si su portal carga scripts de seguimiento.

Pruebe su walled garden antes del lanzamiento utilizando un dispositivo en estado no autenticado; no una cuenta de prueba, sino un dispositivo nuevo real que nunca se haya conectado a esta red. Pruebe cada método de inicio de sesión que ofrezca. Si algún método de inicio de sesión falla, capture la salida de la consola del navegador y el tráfico de red para identificar qué dominio se está bloqueando.

Implemente un proceso de revisión trimestral. Los proveedores de OAuth y las CDN cambian sus estructuras de dominio. Apple actualizó sus dominios de Sign In dos veces en 2023. Google agrega periódicamente nuevos subdominios a su flujo de OAuth. Un walled garden que era correcto al momento de la implementación se desalineará sin un mantenimiento activo.

Los errores que debe evitar: primero, el exceso de listas blancas. He visto implementaciones donde el equipo de TI, frustrado por fallas intermitentes, simplemente incluyó en la lista blanca rangos de IP completos o agregó entradas de comodín que omitieron por completo el walled garden. Eso anula el propósito y crea un riesgo de cumplimiento. Sea preciso. Segundo, ignorar IPv6. Si su red es compatible con IPv6 —y cada vez debería serlo más—, sus reglas de walled garden deben cubrir tanto los rangos de direcciones IPv6 como los de IPv4. Tercero, no tener en cuenta los enlaces profundos de las aplicaciones móviles. Algunos flujos de inicio de sesión social, particularmente en iOS, intentan abrir la aplicación nativa en lugar de un navegador web. Esto puede romper el flujo de OAuth por completo. Asegúrese de que la configuración de su portal fuerce el uso de OAuth basado en web en lugar de flujos basados en aplicaciones.

---

[PREGUNTAS Y RESPUESTAS RÁPIDAS — 1 MINUTO]

Permítame repasar algunas preguntas que escucho con regularidad.

"¿Necesito incluir en la lista blanca todo el rango de IP de Google?" No. Incluya en la lista blanca dominios específicos y utilice la resolución DNS dinámica. Incluir en la lista blanca ASNs completos es un riesgo de seguridad.

"¿Puedo usar la misma configuración de walled garden en todos mis sitios?" En principio, sí, siempre que su plataforma de portal y sus proveedores de inicio de sesión social sean consistentes. Pero realice pruebas en cada sitio, ya que los solucionadores de DNS locales pueden comportarse de manera diferente.

"¿Cómo afecta el GDPR a la configuración del walled garden?" El GDPR no regula directamente los dominios del walled garden, pero sí regula qué datos recopila su portal durante la autenticación. Asegúrese de que los alcances de OAuth de su inicio de sesión social soliciten solo los datos mínimos necesarios —normalmente nombre y correo electrónico— y que su aviso de privacidad sea accesible desde el walled garden antes de que el invitado se autentique.

"¿Cuál es el TTL correcto para las entradas de DNS en el walled garden?" La mayoría de los controladores tienen un valor predeterminado de 60 segundos. Para implementaciones de alta disponibilidad, recomendaría no menos de 30 segundos para evitar una carga excesiva de consultas DNS.

---

[RESUMEN Y PRÓXIMOS PASOS — 1 MINUTO]

En resumen: un walled garden es la zona de preautenticación controlada en su implementación de WiFi para invitados. Hacerlo bien significa incluir en la lista blanca la plataforma de su portal, todos los proveedores de OAuth social que esté utilizando, los puntos finales de prueba de Captive Portal del sistema operativo y cualquier servicio de pago o análisis del que dependa su portal. Utilice la resolución DNS dinámica, no listas de IP estáticas. Realice pruebas con dispositivos reales no autenticados antes del lanzamiento. Y agregue un proceso de revisión trimestral a su calendario operativo.

Si está implementando o revisando una red de WiFi para invitados y desea validar su configuración actual de walled garden, la plataforma de Purple incluye una gestión de walled garden integrada con conjuntos de dominios preconfigurados para todos los principales proveedores de inicio de sesión social. Es una de esas cosas que realmente es más fácil de hacer bien con las herramientas adecuadas detrás de usted.

Gracias por escucharnos. La guía de referencia técnica completa para este tema —que incluye diagramas de arquitectura, listas blancas de dominios y escenarios de implementación prácticos— está disponible en la base de conocimientos de Purple. Hasta la próxima.

---
[END OF SCRIPT]

Puntos clave

✓Un walled garden es la lista blanca de dominios accesibles antes de la autenticación de WiFi de invitados; es el mecanismo que permite el funcionamiento del propio Captive Portal.
✓La configuración incorrecta del walled garden es la causa principal de fallas en el inicio de sesión de invitados; la omisión más común son los dominios de prueba del Captive Portal del sistema operativo (captive.apple.com, connectivitycheck.gstatic.com).
✓Cada método de inicio de sesión social (Google, Facebook, Apple) requiere su propio conjunto de dominios OAuth y CDN en la lista blanca; omitir uno solo causará fallas silenciosas.
✓Utilice siempre la resolución DNS dinámica para los dominios del walled garden; las listas de IP estáticas se degradarán con el tiempo a medida que los proveedores de CDN roten su infraestructura.
✓Pruebe cada ruta de inicio de sesión con dispositivos reales restablecidos de fábrica antes del lanzamiento; las cuentas de administrador y los dispositivos conectados anteriormente no revelarán errores de configuración.
✓Programe una revisión trimestral de su lista blanca de walled garden; los proveedores de OAuth y las CDN cambian sus estructuras de dominio regularmente sin previo aviso.
✓Un walled garden configurado correctamente aumenta directamente las tasas de adopción del portal, la captura de datos de primera mano y la satisfacción de los invitados, lo que lo convierte en un motor medible del ROI operativo y de marketing.

Resumen Ejecutivo

Un walled garden es un componente fundamental de cualquier implementación de WiFi para invitados que sea segura y fácil de usar. Define el conjunto limitado de recursos de red a los que un dispositivo de invitado puede acceder antes de completar la autenticación a través de un Captive Portal. Una configuración incorrecta o incompleta del walled garden es la principal causa de fallas en el inicio de sesión de invitados en implementaciones empresariales, lo que resulta en una experiencia de usuario degradada, un aumento en los tickets de soporte y un daño reputacional medible en entornos de hotelería y retail. Para los gerentes de TI y arquitectos de red, dominar la configuración de un walled garden WiFi no es simplemente una tarea técnica; es un paso crítico para mitigar los riesgos de seguridad, garantizar el cumplimiento de estándares como PCI DSS v4.0 y GDPR, y maximizar el retorno de inversión de una infraestructura de WiFi para invitados. Esta guía proporciona un marco de trabajo neutral respecto al proveedor y accionable para diseñar, implementar y mantener un walled garden robusto que admita métodos de autenticación modernos, incluidos los inicios de sesión social a través de OAuth 2.0, pasarelas de pago y detección de Captive Portal a nivel del sistema operativo, en entornos empresariales que incluyen hotelería, retail, eventos y organizaciones del sector público.

Análisis Técnico Detallado

La Anatomía del Acceso Previo a la Autenticación

En una arquitectura típica de WiFi para invitados, cuando el dispositivo de un usuario se asocia con un SSID abierto, se le asigna una dirección IP a través de DHCP y el controlador de red lo coloca en un rol de preautenticación o en una VLAN aislada. En este estado, el controlador intercepta todo el tráfico HTTP y HTTPS saliente y lo redirige a la página de inicio del Captive Portal. Este es el mecanismo que fuerza al navegador del invitado a ir a la pantalla de inicio de sesión. El walled garden es la excepción explícita a esta regla de intercepción: una lista blanca seleccionada de dominios externos y rangos de direcciones IP con los que el dispositivo tiene permitido comunicarse libremente durante la fase previa a la autenticación.

Sin un walled garden configurado correctamente, los mismos servicios requeridos para completar la autenticación se verán bloqueados. Los Captive Portals modernos no son aplicaciones monolíticas y autónomas. Son compuestos de microservicios y APIs de terceros. Los propios recursos del portal (HTML, CSS, JavaScript e imágenes) pueden servirse desde una Red de Distribución de Contenido (CDN) que es completamente independiente de la infraestructura local del controlador. La funcionalidad de inicio de sesión social depende de llegar a los endpoints de OAuth 2.0 en Google, Facebook, Apple o Microsoft. Si se ofrece un plan de WiFi de pago, el portal debe comunicarse con un procesador de pagos como Stripe o PayPal. Las plataformas de analítica y marketing pueden cargar scripts de seguimiento desde sus propios orígenes de CDN. Cada una de estas dependencias representa un dominio que debe permitirse explícitamente en el walled garden, o de lo contrario el flujo de autenticación fallará silenciosamente o con un error confuso.

El problema de la resolución DNS

El aspecto técnicamente más complejo de la configuración del walled garden es la brecha entre la administración basada en dominios y la aplicación basada en IP. Mientras que los administradores de red configuran el walled garden utilizando nombres de dominio legibles por humanos (por ejemplo, accounts.google.com), la mayoría de los controladores de red aplican estas reglas en la capa IP. Cuando se agrega un dominio a la lista de permitidos, el controlador realiza una búsqueda DNS para resolverlo en una o más direcciones IP y agrega esas IP a una lista de control de acceso (ACL) temporal.

Esto crea un riesgo operativo significativo con los principales proveedores de la nube. Google, Meta, Apple y las CDN líderes utilizan enrutamiento anycast y asignación dinámica de direcciones IP. La dirección IP en la que se resuelve accounts.google.com al momento de la configuración puede ser completamente diferente de la dirección en la que se resuelva seis meses después, o incluso en un segmento de red diferente. Por lo tanto, una lista de permitidos de IP estáticas no es una configuración sostenible; se degradará con el tiempo a medida que los rangos de IP de las CDN roten.

La solución correcta es la resolución DNS dinámica, donde el controlador de red vuelve a resolver periódicamente cada dominio de la lista de permitidos y actualiza sus ACL en consecuencia. La mayoría de los controladores de nivel empresarial de Cisco, Aruba, Ruckus y Fortinet admiten esto de forma nativa. Si su controlador no lo hace, está operando con una configuración que producirá fallas intermitentes difíciles de diagnosticar y que empeorarán con el tiempo.

Intercepción de HTTPS y cumplimiento de TLS

Una capa adicional de complejidad surge de la prevalencia de HTTPS. Cuando un dispositivo invitado en estado de preautenticación intenta cargar un recurso HTTPS que no está en la lista de permitidos, el controlador debe decidir cómo manejar la solicitud. Existen dos enfoques comunes, ambos con inconvenientes significativos si no se gestionan correctamente.

El primer enfoque es un bloqueo silencioso (silent drop), donde el controlador simplemente bloquea la conexión. El navegador del invitado muestra un error genérico de "no se puede acceder al sitio", lo que no proporciona ninguna guía útil y a menudo se interpreta como una falla de red en lugar de una solicitud de portal. El segundo enfoque es la intercepción HTTPS, donde el controlador intenta presentar una redirección al Captive Portal. Esto requiere que el controlador actúe como un proxy intermediario (man-in-the-middle o MITM), presentando su propio certificado TLS. Si este certificado no es de confianza para el dispositivo del invitado —lo cual casi nunca ocurre en una red pública de invitados—, el navegador mostrará una advertencia de seguridad, lo que resulta alarmante para los usuarios y, en entornos regulados, puede constituir un problema de cumplimiento.

El enfoque arquitectónico correcto es garantizar que todos los dominios requeridos para el flujo de autenticación estén en la lista de permitidos, permitiendo que su tráfico HTTPS pase sin alteraciones. La redirección al Captive Portal debe activarse mediante el mecanismo de sondeo a nivel del sistema operativo en lugar de la intercepción HTTPS. Esto elimina por completo el problema de confianza del certificado. Los navegadores modernos también implementan HTTP Strict Transport Security (HSTS) y, en algunos casos, el anclaje de certificados (certificate pinning). Ambos mecanismos harán que la intercepción HTTPS falle por completo para los dominios principales, produciendo una conexión rota en lugar de una redirección, lo que representa otro argumento sólido a favor de un walled garden configurado correctamente en lugar de una política amplia de intercepción HTTPS.

Captive Network Assistant (CNA) y dominios de sondeo del sistema operativo

Uno de los aspectos que más se pasa por alto en la configuración de un walled garden es el mecanismo mediante el cual los sistemas operativos modernos detectan la presencia de un Captive Portal. Todos los sistemas operativos principales —iOS, iPadOS, macOS, Android y Windows— implementan un Captive Network Assistant (CNA) que sondea un endpoint HTTP conocido inmediatamente después de conectarse a una nueva red WiFi. Si la respuesta difiere del valor esperado, el sistema operativo infiere que está detrás de un Captive Portal e inicia automáticamente una ventana del navegador para gestionar el inicio de sesión.

Los endpoints de sondeo utilizados por cada plataforma son los siguientes:

Sistema Operativo	Dominio de Sondeo	Respuesta Esperada
Apple (iOS, macOS)	`captive.apple.com`	HTTP 200 con cuerpo específico
Android (Google)	`connectivitycheck.gstatic.com`	HTTP 204 No Content
Windows	`www.msftconnecttest.com`	HTTP 200 con cuerpo específico
Firefox / Mozilla	`detectportal.firefox.com`	HTTP 200 con cuerpo específico

Si el walled garden bloquea cualquiera de estos dominios de sondeo, el sistema operativo nunca detectará el Captive Portal. Desde la perspectiva del invitado, la red WiFi simplemente no tiene acceso a Internet. Este es uno de los fallos de configuración más comunes observados en implementaciones de producción y es completamente evitable al incluir estos dominios en la lista de permitidos base.

Guía de Implementación

Paso 1: Descubrimiento de dominios base

Before touching your controller configuration, conduct a thorough audit of every external service your captive portal depends on. This is best accomplished by loading the portal in a browser with developer tools open and inspecting the network tab to identify all external resource requests. The resulting list should be categorised as follows:

Category	Purpose	Essential Domains
Captive Portal Platform	Serves splash page assets and handles auth logic.	`*.purple.ai`, `cdn.your-vendor.com`
Google OAuth	Enables Google Sign-In.	`accounts.google.com`, `oauth2.googleapis.com`, `apis.google.com`, `*.gstatic.com`
Facebook / Meta OAuth	Enables Facebook Login.	`www.facebook.com`, `graph.facebook.com`, `connect.facebook.net`, `*.fbcdn.net`
Apple Sign In	Enables Sign in with Apple.	`appleid.apple.com`, `idmsa.apple.com`, `*.apple.com`
OS Captive Portal Probes	Enables automatic portal detection.	`captive.apple.com`, `connectivitycheck.gstatic.com`, `www.msftconnecttest.com`
Payment Gateways	Processes payments for premium tiers.	`.stripe.com`, `.paypal.com`
Analytics / Marketing	Loads tracking and analytics scripts.	Vendor-specific (e.g., `.segment.com`, `.mixpanel.com`)

Paso 2: Configuración del controlador

La implementación varía según el proveedor, pero los principios subyacentes son universales. Diríjase a la configuración del captive portal o de la splash page en la interfaz de administración de su controlador de red; en Cisco Meraki, esto se encuentra en Wireless > Configure > Splash Page; en Aruba Central, es el Captive Portal Profile; en Fortinet, está dentro de Security Policies > Captive Portal. Localice la sección de acceso previo a la autenticación o lista blanca de walled garden y proceda de la siguiente manera:

Ingrese los dominios por categoría: Agregue sistemáticamente cada dominio de su auditoría, trabajando en cada categoría. Utilice comodines (*.gstatic.com) donde su controlador los admita y donde el perfil de riesgo sea aceptable. Para entornos de alta seguridad, prefiera subdominios explícitos en lugar de comodines amplios.
Habilite la resolución dinámica de DNS: Confirme que su controlador esté configurado para volver a resolver periódicamente los dominios de la lista blanca en lugar de almacenar en caché una lista de IP estáticas. Consulte la documentación de su proveedor para verificar que esto esté activo. Establezca un TTL de DNS de 60 segundos o menos para las entradas de walled garden.
Configure reglas de doble pila (Dual-Stack): Si su red es compatible con IPv6 (y debería serlo, dada la reducción del espacio de direcciones IPv4), asegúrese de que sus ACL de walled garden se apliquen tanto al tráfico IPv4 como al IPv6. Un dispositivo de invitado con una dirección IPv6 omitirá las ACL exclusivas de IPv4.
Apply to Guest SSID: Associate the captive portal profile and its walled garden with the guest SSID only. Never apply guest-level walled garden policies to corporate SSIDs.

Step 3: Pre-Go-Live Testing Protocol

Testing is non-negotiable and must be conducted with real devices in a genuine pre-authentication state — not administrator accounts that may have elevated access, and not devices that have previously connected to the network and may have cached credentials.

For each device platform (iOS, Android, Windows, macOS), perform the following:

Forget the network on the test device to ensure no cached state.
Connect to the guest SSID and observe whether the captive portal launches automatically via the CNA mechanism.
Attempt every login method offered on the portal — email registration, Google Sign-In, Facebook Login, Apple Sign In — and confirm each completes successfully.
Test the payment flow if a paid tier is offered, using a test card number from your payment gateway's sandbox environment.
Inspect the browser console on any failing test. The network tab will identify the exact domain being blocked, allowing you to add it to the whitelist with precision.

Document the results of this testing protocol in a configuration record that is retained for compliance purposes.

Best Practices

Principle of Least Privilege is the foundational rule for walled garden configuration. Whitelist only the domains that are demonstrably required for the authentication flow to function. Avoid broad wildcards such as *.google.com or *.facebook.com unless your controller's implementation requires them; prefer specific subdomains. Every additional whitelisted domain represents a potential attack surface in the pre-authentication zone.

Quarterly Review Cadence is essential for maintaining a functional walled garden over time. Social login providers and CDNs update their infrastructure regularly. Apple modified its Sign In domain structure in 2023. Google has added new subdomains to its OAuth flow on multiple occasions. A walled garden that was accurate at deployment will drift out of alignment within months without active maintenance. Build a quarterly review into your operational calendar, cross-referencing your whitelist against the current documentation from each provider.

Alineación de Cumplimiento requiere que la configuración de su walled garden no viole inadvertidamente los requisitos de los estándares aplicables. Bajo PCI DSS v4.0, cualquier red que procese, almacene o transmita datos de titulares de tarjetas debe mantener controles de acceso estrictos. Si su WiFi de invitados incluye un nivel de pago, el walled garden debe permitir conexiones TLS 1.2 o superior a su procesador de pagos sin intercepción. Bajo el GDPR, el aviso de privacidad debe ser accesible para los invitados antes de que proporcionen cualquier dato personal — lo que significa que el enlace a su política de privacidad debe ser accesible desde el walled garden, incluso antes de la autenticación.

Documentación de Gestión de Cambios es una obligación profesional para cualquier cambio en la red de producción. Cada modificación en el walled garden — ya sea agregando un nuevo dominio, eliminando uno obsoleto o actualizando un comodín — debe registrarse con una marca de tiempo, el motivo del cambio y el ingeniero responsable. Esta pista de auditoría es invaluable para solucionar fallas intermitentes y para demostrar la debida diligencia en una auditoría de cumplimiento.

Solución de Problemas y Mitigación de Riesgos

La siguiente tabla mapea los modos de falla más comunes con sus causas raíz y las mitigaciones recomendadas:

Síntoma	Causa Raíz	Mitigación
El portal no se inicia automáticamente en iOS/Android	Los dominios de prueba del Captive Portal del sistema operativo están bloqueados.	Agregue `captive.apple.com` y `connectivitycheck.gstatic.com` al walled garden.
El botón de Google Sign-In no responde	Faltan uno o más dominios de Google OAuth o CDN.	Agregue `accounts.google.com`, `oauth2.googleapis.com`, `apis.google.com` y `*.gstatic.com`.
El inicio de sesión de Facebook falla con un error de CORS	Los subdominios de la CDN de Facebook (`*.fbcdn.net`) no están en la lista de permitidos.	Agregue entradas de comodín para `.fbcdn.net` y `.facebook.com`.
El inicio de sesión funciona inicialmente pero falla de forma intermitente	Lista de permitidos de IP estática; las direcciones IP de la CDN han rotado.	Habilite la resolución de DNS dinámico en el controlador.
Los invitados ven advertencias de certificado TLS	El controlador está interceptando el tráfico HTTPS hacia dominios no permitidos.	Agregue a la lista de permitidos todos los dominios requeridos para que el tráfico HTTPS pase sin interrupciones.
La página de pago no se carga	Los dominios de la CDN o de la API de la pasarela de pago no están en la lista de permitidos.	Agregue `.stripe.com` o `.paypal.com` según corresponda.
Los usuarios de IPv6 no pueden acceder al portal	Las ACL del walled garden son solo para IPv4.	Extienda todas las reglas del walled garden para cubrir los rangos de direcciones IPv6.
Mitigación de riesgos: El sobre-whitelisting es un riesgo real y poco valorado. Cuando ocurren fallas intermitentes, la respuesta tentadora es agregar entradas de comodín progresivamente más amplias hasta que el problema desaparezca. Este enfoque puede dar como resultado un walled garden que esté efectivamente abierto, lo que permite a los usuarios invitados no autenticados acceder a grandes porciones de internet sin completar el flujo de inicio de sesión. Esto anula el propósito del Captive Portal, socava la recopilación de datos para fines de marketing y puede generar responsabilidades bajo el GDPR si los invitados pueden acceder a la red sin aceptar los términos y condiciones. Siempre diagnostique el dominio bloqueado específico antes de agregar entradas.

ROI e impacto empresarial

Un walled garden correctamente implementado ofrece un valor comercial medible en múltiples dimensiones. En el sector de la hospitalidad, una experiencia de inicio de sesión de WiFi para invitados fluida se correlaciona directamente con las puntuaciones de satisfacción de los huéspedes. La investigación de J.D. Power identifica constantemente el rendimiento de WiFi como uno de los principales factores de satisfacción de los huéspedes de hotel. Un portal que no se carga, debido a que el walled garden está mal configurado, crea una primera impresión negativa que afecta la experiencia de toda la estancia.

Para los operadores de retail, el walled garden es la puerta de entrada al programa de lealtad. Cada invitado que inicia sesión con éxito a través del Captive Portal proporciona una identidad verificada que se puede vincular al comportamiento de compra, lo que permite campañas de marketing personalizadas con tasas de conversión demostrablemente más altas que la publicidad anónima. Un walled garden mal configurado que impide el inicio de sesión reduce directamente el volumen de datos de primera mano capturados, con un impacto cuantificable en el ROI de marketing.

En el sector de eventos (estadios, centros de conferencias, salas de exposiciones), el walled garden debe diseñarse para escalar. En el momento de máxima carga, decenas de miles de dispositivos intentarán autenticarse simultáneamente. Un walled garden que depende de un solucionador de DNS lento o sobrecargado creará un cuello de botella que se manifestará como un portal lento o que no responde, incluso si la infraestructura de red subyacente tiene el tamaño correcto. Implementar un solucionador de DNS local con almacenamiento en caché que sea autoritativo para los dominios del walled garden es una práctica estándar para implementaciones de alta densidad.

Para las organizaciones del sector público, el walled garden es también un instrumento de cumplimiento. Bajo las Regulaciones de Sistemas de Información y Redes (NIS) del Reino Unido y el marco más amplio del GDPR, las organizaciones deben demostrar que el acceso a las redes públicas está controlado y es auditable. Un walled garden configurado correctamente, combinado con un Captive Portal que cumpla con las normas, proporciona la base técnica para este registro de auditoría.

El costo de configurar incorrectamente el walled garden no es meramente técnico. Se mide en el volumen de llamadas a la mesa de ayuda, los puntajes de satisfacción de los huéspedes, la pérdida de datos de marketing y la posible exposición regulatoria. La inversión en configurar y mantener un walled garden robusto es modesta en relación con estos riesgos, y el retorno —en forma de mayores tasas de adopción del Captive Portal, datos de primera mano más enriquecidos y una menor fricción operativa— es tanto medible como significativo.

Definiciones clave

Walled Garden

Un conjunto controlado de dominios y rangos de direcciones IP preaprobados a los que un dispositivo invitado puede acceder en una red WiFi antes de completar la autenticación. Todo el tráfico hacia dominios fuera de esta lista se bloquea o se redirige al Captive Portal.

Este es el mecanismo fundamental que permite el funcionamiento de un Captive Portal. Sin él, el portal en sí —y todos los proveedores de inicio de sesión social de los que depende— serían inaccesibles para los dispositivos no autenticados.

Captive Portal

Una página web que intercepta el tráfico de internet de un usuario de WiFi recién conectado y le solicita que complete una acción —como iniciar sesión, aceptar los términos o realizar un pago— antes de otorgarle acceso total a la red.

El Captive Portal es el punto principal de interacción para los invitados. Es el mecanismo a través del cual los operadores recopilan datos de primera mano, hacen cumplir los términos de servicio y gestionan los niveles de acceso de pago.

OAuth 2.0

Un estándar abierto de autorización que permite a los usuarios otorgar a una aplicación de terceros acceso limitado a su cuenta en otro servicio, sin compartir su contraseña. Es el protocolo que sustenta "Iniciar sesión con Google" e "Iniciar sesión con Facebook".

Cada opción de inicio de sesión social en un Captive Portal depende de OAuth 2.0. Los endpoints de OAuth de cada proveedor deben estar incluidos en la lista de permitidos del Walled Garden para que el flujo de inicio de sesión se complete con éxito.

Dynamic DNS Resolution

Una función del controlador de red que vuelve a resolver periódicamente los nombres de dominio de la lista de permitidos a sus direcciones IP actuales y actualiza las ACL de cumplimiento en consecuencia, en lugar de utilizar una lista de IP estáticas.

Esto es esencial para la confiabilidad del Walled Garden. Sin esto, las direcciones IP almacenadas en caché al momento de la implementación quedarán obsoletas a medida que las CDN roten su infraestructura, lo que provocará fallas de inicio de sesión intermitentes y difíciles de diagnosticar.

Content Delivery Network (CDN)

Una red de servidores distribuida geográficamente que entrega contenido web a los usuarios desde la ubicación más cercana disponible, mejorando el rendimiento y la disponibilidad.

Los Captive Portals y los proveedores de inicio de sesión social dependen de las CDN para servir scripts, fuentes e imágenes. Los subdominios de CDN (por ejemplo, *.gstatic.com para Google, *.fbcdn.net para Facebook) deben incluirse en el Walled Garden.

Captive Network Assistant (CNA)

Una función integrada de los sistemas operativos modernos (iOS, Android, Windows, macOS) que detecta automáticamente la presencia de un Captive Portal mediante el sondeo de un endpoint HTTP conocido después de conectarse a una nueva red WiFi.

El CNA es lo que hace que la ventana de inicio de sesión del portal aparezca automáticamente en el dispositivo de un invitado. Si el dominio de prueba está bloqueado por el Walled Garden, el CNA no puede detectar el portal y el invitado no verá ninguna solicitud de inicio de sesión.

Pre-Authentication ACL

Una lista de control de acceso (ACL) que se aplica a una sesión de red antes de que el usuario se haya autenticado. Define qué tráfico está permitido (el Walled Garden) y cuál está bloqueado o redirigido.

Esta es la implementación técnica del Walled Garden en los controladores de red empresariales. Los equipos de TI configuran las ACL de preautenticación en los ajustes del Captive Portal de sus controladores inalámbricos.

PCI DSS

El Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago es un conjunto de normas de seguridad diseñadas para garantizar que todas las empresas que aceptan, procesan, almacenan o transmiten información de tarjetas de crédito mantengan un entorno seguro.

Relevante para cualquier implementación de WiFi para invitados con un nivel de acceso de pago. El Walled Garden debe permitir conexiones TLS 1.2+ al gateway de pago sin interceptación, y la red de invitados debe estar segmentada de cualquier entorno de datos de titulares de tarjetas.

HTTP Strict Transport Security (HSTS)

Un mecanismo de política de seguridad web que indica a los navegadores que interactúen con un servidor únicamente mediante HTTPS, lo que evita ataques de degradación de protocolo y el secuestro de cookies.

HSTS provoca que la interceptación de HTTPS por parte de un controlador de Captive Portal falle por completo para los dominios principales, ya que el navegador se niega a aceptar un certificado en el que no confía. Esto refuerza el argumento a favor de un Walled Garden correctamente configurado en lugar de un enfoque de interceptación HTTPS.

Ejemplos resueltos

Un hotel de lujo de 500 habitaciones está implementando una nueva red WiFi para huéspedes utilizando hardware Cisco Meraki y la plataforma Purple. Necesitan admitir inicios de sesión con Google y Facebook, y ofrecer un nivel de velocidad premium de pago a través de Stripe. ¿Cuál es el conjunto mínimo de dominios que deben incluirse en la lista de permitidos (walled garden) de Meraki y cómo deben configurarse?

Se deben ingresar los siguientes dominios en el panel de Meraki en Wireless > Configure > Splash Page > Walled Garden Ranges:

Plataforma Purple: *.purple.ai (cubre los subdominios cdn, portal y api)
Google OAuth: accounts.google.com, oauth2.googleapis.com, apis.google.com, *.gstatic.com
Facebook OAuth: www.facebook.com , graph.facebook.com, connect.facebook.net, *.fbcdn.net
Pagos con Stripe: *.stripe.com
Sondas de SO: captive.apple.com, connectivitycheck.gstatic.com, www.msftconnecttest.com

Cisco Meraki realiza la resolución DNS dinámica de forma nativa para las entradas del walled garden, por lo que no se requiere configuración adicional para la resolución de IP. El hotel también debe asegurarse de que la URL de su política de privacidad sea accesible desde el walled garden para cumplir con el GDPR. Después de la implementación, el equipo de TI debe realizar pruebas con un dispositivo iOS restablecido de fábrica y un dispositivo Android restablecido de fábrica para verificar el flujo de inicio de sesión completo para ambos métodos de inicio de sesión social.

Comentario del examinador: Esta solución es exhaustiva y precisa. Identifica correctamente las cinco categorías de dominios esenciales para este escenario específico. La inclusión de los dominios de sonda de SO es un detalle crítico que se pasa por alto con frecuencia. La referencia a la ruta de configuración específica de Meraki demuestra un conocimiento práctico y aplicable. La nota sobre el cumplimiento del GDPR añade el contexto empresarial que distingue la respuesta de un profesional senior de una puramente técnica.

Una cadena minorista nacional con 200 tiendas está experimentando fallas intermitentes en el inicio de sesión de Google en su WiFi para huéspedes. Las fallas son aleatorias: algunas tiendas no se ven afectadas, otras presentan fallas en ciertos días o a ciertas horas. La red utiliza controladores Fortinet FortiGate. ¿Cuál es la causa raíz más probable y cómo la resolvería?

La causa raíz más probable es que el walled garden de FortiGate está utilizando una lista de IP estáticas para los dominios de OAuth de Google, y la CDN de Google ha rotado sus direcciones IP en algunas ubicaciones. La naturaleza intermitente y específica de la ubicación de las fallas es un indicador clásico de la rotación de IP de la CDN: las listas de IP almacenadas en caché de algunas tiendas siguen siendo válidas, mientras que las de otras han caducado.

Pasos para la resolución:

Inicie sesión en la consola de administración de FortiGate en una tienda afectada y navegue a la configuración del walled garden del Captive Portal.
Verifique si los dominios de OAuth de Google están configurados como nombres de dominio o como direcciones IP estáticas.
Si hay IP estáticas presentes, reemplácelas con entradas basadas en dominios: accounts.google.com, oauth2.googleapis.com, apis.google.com, *.gstatic.com.
Habilite los objetos de dirección basados en FQDN de FortiGate con un intervalo de actualización corto (recomendado: 60 segundos) para garantizar que la resolución DNS dinámica esté activa.
Implemente este cambio de configuración en las 200 tiendas a través de FortiManager para garantizar la coherencia.
Monitoree las tiendas afectadas durante 48 horas después del cambio para confirmar la resolución.

Comentario del examinador: Este diagnóstico identifica correctamente el problema de IP estática / rotación de CDN como la causa raíz de las fallas intermitentes y distribuidas geográficamente. La resolución es técnicamente precisa y demuestra conocimiento de la función de objetos de dirección FQDN de FortiGate. La recomendación de usar FortiManager para una implementación centralizada refleja la realidad operativa de un despliegue de 200 tiendas y muestra conciencia de la gestión de cambios a escala.

Preguntas de práctica

Q1. Estás diseñando el WiFi de invitados para una nueva terminal de aeropuerto internacional. Los requisitos incluyen el inicio de sesión a través de Google, Apple y WeChat, además de un nivel de acceso premium vendido a través de PayPal. ¿Qué desafíos únicos presenta este escenario para la configuración de tu walled garden y cómo los abordarías?

Sugerencia: Considera la naturaleza geográfica y específica de la aplicación del flujo de inicio de sesión de WeChat, y las implicaciones de una base de usuarios globalmente diversa para la resolución de IP de CDN.

Ver respuesta modelo

Surgen tres desafíos únicos. Primero, el inicio de sesión de WeChat: a diferencia de OAuth estándar basado en web, el flujo de inicio de sesión de WeChat en dispositivos móviles a menudo intenta abrir la aplicación nativa de WeChat a través de un enlace profundo en lugar de completar el flujo en un navegador web. Esto puede romper por completo el flujo del Captive Portal. La solución es configurar el portal para forzar un flujo de código QR basado en web y permitir en la lista blanca los dominios específicos de Tencent que sirven el código QR y manejan el intercambio de autenticación (por ejemplo, open.weixin.qq.com, wx.qq.com). Segundo, la resolución global de CDN: un aeropuerto internacional atiende a usuarios de todas las regiones. La resolución de DNS dinámico es crítica, ya que Google, Apple y PayPal sirven su contenido desde nodos CDN distribuidos geográficamente. El controlador debe volver a resolver los dominios del walled garden con frecuencia para garantizar que se incluyan en la lista blanca las direcciones IP regionales correctas. Tercero, la localización de PayPal: PayPal utiliza dominios y CDN específicos de cada país para ofrecer experiencias de pago localizadas. Además de *.paypal.com, es posible que debas incluir en la lista blanca *.paypalobjects.com y variantes regionales. Se recomienda realizar una auditoría exhaustiva del flujo de pago de PayPal desde múltiples configuraciones regionales de dispositivos antes del lanzamiento.

Q2. Un estadio con capacidad para 60,000 personas experimenta fallas generalizadas en el inicio de sesión del portal durante los primeros 15 minutos de cada evento, después de lo cual el rendimiento se normaliza. La infraestructura tiene el tamaño correcto para la carga de usuarios. ¿Cuál es el cuello de botella probable y cómo lo resolverías?

Sugerencia: Piensa en lo que sucede cuando 60,000 dispositivos intentan conectarse y resolver los mismos dominios simultáneamente.

Ver respuesta modelo

El cuello de botella es casi con certeza la resolución DNS. Cuando 60,000 dispositivos se conectan simultáneamente, todos intentan resolver los mismos dominios del walled garden (CDN del portal, Google OAuth, Apple Sign In, etc.) al mismo tiempo. Si el resolver DNS ascendente (normalmente el resolver recursivo del ISP o un servicio DNS en la nube) no puede manejar esta ráfaga de consultas, la latencia de resolución se dispara, lo que hace que el portal parezca lento o no responda, aunque la red en sí esté funcionando correctamente. El rendimiento se normaliza después de la prisa inicial porque la caché del resolver se calienta y las consultas posteriores se sirven desde la caché. La solución es implementar un resolver DNS local con almacenamiento en caché (por ejemplo, Unbound o un dispositivo dedicado) dentro de la infraestructura de red del estadio. Este resolver debe precargarse con los dominios del walled garden antes de que comience el evento, de modo que todas las consultas DNS para esos dominios se respondan desde la caché local con una latencia de menos de un milisegundo. La configuración DHCP del controlador debe apuntar los dispositivos de los invitados a este resolver local.

Q3. Tu empresa está adquiriendo una cadena de hoteles boutique que utiliza la plataforma de Captive Portal de un competidor. Tienes la tarea de migrarlos a Purple. El equipo de TI existente no tiene documentación de su configuración actual de walled garden. ¿Cómo abordarías la migración para garantizar que no haya interrupciones para los huéspedes?

Sugerencia: Antes de construir lo nuevo, debes entender lo antiguo. Considera tanto el descubrimiento técnico como los requisitos comerciales.

Ver respuesta modelo

La migración debe realizarse en cuatro etapas. Etapa 1 — Descubrimiento: Conecta una laptop al WiFi de invitados existente en un estado no autenticado y utiliza una herramienta de captura de paquetes (Wireshark) para registrar todas las consultas DNS y solicitudes HTTP/HTTPS realizadas durante el flujo de autenticación. Esto produce una lista definitiva de cada dominio del que depende el portal existente, independientemente de lo que esté o no documentado. Etapa 2 — Categorización: Mapea los dominios descubiertos a las categorías estándar (plataforma de portal, OAuth, CDN, sondas de sistema operativo, pagos). Identifica cualquier dominio no estándar; estos pueden indicar integraciones personalizadas (por ejemplo, una API de programa de lealtad, una plataforma de marketing local) que deben preservarse en la nueva configuración. Etapa 3 — Implementación paralela: Configura la plataforma Purple con la lista de dominios descubiertos e impleméntala en un SSID de prueba junto con el portal existente. Ejecuta el protocolo de prueba completo en ambos SSID simultáneamente para validar que la configuración de Purple sea funcionalmente equivalente. Etapa 4 — Transición: Una vez validada, migra el SSID de producción a Purple durante un período de poco tráfico (por ejemplo, a las 3:00 a. m. de una noche de semana). Monitorea las tasas de adopción del portal y los tickets de soporte técnico durante las siguientes 48 horas para confirmar una transición limpia.

Continúe leyendo esta serie

Cómo configurar un Captive Portal en Starlink: Una guía para ubicaciones remotas y marítimas

Esta guía detalla cómo omitir el hardware nativo de Starlink e integrar un Captive Portal administrado en la nube utilizando equipos de enrutamiento empresariales. Aprenderá cómo superar la limitación de CGNAT, aplicar la segmentación de VLAN, administrar las restricciones de ancho de banda satelital y garantizar el cumplimiento normativo.

Mejores prácticas de Captive Portal: Diseñando para una alta conversión y cumplimiento

Esta guía técnica ofrece a los gerentes de TI, arquitectos de red y directores de operaciones de establecimientos un plan completo para implementar captive portals que equilibren la seguridad de la red con una alta conversión de usuarios. Cubre toda la arquitectura, desde la segmentación de VLAN y la autenticación RADIUS hasta el diseño de consentimiento conforme a GDPR y la selección del método de autenticación. Basada en la experiencia operativa de Purple en más de 80,000 establecimientos y 440 millones de inicios de sesión en 2024, cada recomendación se fundamenta en datos reales de implementación.

Cómo optimizar los captive portals para una máxima seguridad de red y conversión de usuarios

Esta guía proporciona un plan técnico completo para optimizar los captive portals en entornos empresariales, abarcando la arquitectura de segmentación de red, la selección del método de autenticación, el diseño de consentimiento conforme a GDPR y la optimización de la conversión. Está dirigida a gerentes de TI, arquitectos de red y CTOs en hoteles, cadenas de retail, estadios y organizaciones del sector público que necesitan equilibrar la seguridad de la red con la captura de datos de primera mano. Purple opera la infraestructura de captive portal en más de 80,000 establecimientos con 440 millones de inicios de sesión en 2024, y los marcos de trabajo aquí presentados reflejan esa experiencia operativa.