Tres SSIDs para gobernarlos a todos: guía de configuración de WiFi para invitados, Passpoint e IoT

Esta guía técnica proporciona un modelo definitivo para implementar el diseño de tres SSIDs WiFi en instalaciones empresariales. Detalla la configuración de un Captive Portal de WiFi de invitados abierto, la incorporación automatizada de Passpoint y la autenticación xPSK por dispositivo para lograr una segmentación de VLAN completa y un acceso a la red de confianza cero.

📖 5 min de lectura📝 1,176 palabras🔧 2 ejemplos resueltos❓ 3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast

Bienvenido a la serie de sesiones informativas técnicas de Purple. Hoy cubriremos el diseño de WiFi de tres SSID: una arquitectura de red que consolida el acceso de invitados, la incorporación automatizada segura y la gestión de dispositivos IoT bajo tres redes inalámbricas diseñadas a la medida. Si opera WiFi en un hotel, un complejo comercial, un estadio o un centro de convenciones, este es el diseño que debería implementar en 2025 y el futuro.

[medium pause]

Permítame poner el contexto primero. La mayoría de los establecimientos que encontramos todavía operan con dos SSIDs en el mejor de los casos: una red de invitados y algo vagamente llamado red de personal. El problema es que esas dos redes terminan transportando de todo. Las terminales de tarjetas se encuentran en el mismo segmento que los teléfonos inteligentes de los invitados. Los contratistas se conectan al mismo SSID que su señalización digital. Los sensores de IoT comparten el ancho de banda con los visitantes que transmiten video. Eso no es una postura de seguridad. Es una vulnerabilidad.

El diseño de tres SSID resuelve esto al darle a cada clase de dispositivo y usuario su propia red dedicada, su propia VLAN y su propio método de autenticación. Tres SSIDs. Tres VLANs. Una arquitectura de seguridad coherente.

[medium pause]

Repasemos cada una.

El SSID número uno es su WiFi de invitados abierto. Esta es la red tradicional con Captive Portal: la que sus visitantes ven cuando abren su teléfono y se conectan. Es abierta, lo que significa que no requiere clave precompartida, porque lo que se busca es cero fricción en el punto de conexión. La autenticación ocurre a nivel de portal. El visitante se conecta, es redirigido a una página de inicio, acepta sus términos de servicio y, opcionalmente, proporciona una dirección de correo electrónico o número de teléfono. Esa es su opción de consentimiento expreso para el cumplimiento de GDPR. La plataforma de Purple maneja esto de forma nativa: el portal captura datos de origen (first-party data), registra la marca de tiempo del consentimiento y mapea la sesión a la VLAN 10, que es su segmento de invitados. La VLAN 10 solo obtiene acceso a internet. No puede acceder a sus sistemas POS, sus servidores de back-office ni a ningún otro recurso interno. Las reglas de firewall imponen esto en el perímetro.

Desde el punto de vista del cumplimiento, este SSID hace el trabajo pesado. El GDPR exige que registre el consentimiento, la base jurídica para el tratamiento y la marca de tiempo. Purple registra todo eso de forma automática. Si se encuentra en un establecimiento sujeto a PCI DSS (un hotel con terminales de pago en las habitaciones, por ejemplo), el SSID de invitados debe estar completamente aislado de cualquier entorno de datos de titulares de tarjetas. La segmentación de VLAN con una política de firewall inter-VLAN lo consigue.

[medium pause]

El SSID número dos es su red Passpoint, también conocida como Hotspot 2.0. Aquí es donde el diseño se vuelve verdaderamente interesante. Passpoint es un estándar IEEE 802.11u que permite a un dispositivo descubrir, autenticar y conectarse automáticamente a una red WiFi sin ninguna interacción del usuario. Sin portal. Sin solicitudes de contraseña. El dispositivo negocia la autenticación en segundo plano mediante EAP (Protocolo de Autenticación Extensible) y se conecta de forma cifrada desde el primer paquete.

¿Cómo sabe un dispositivo que debe conectarse? Tiene instalado un perfil de Passpoint. Con Purple, ese perfil se entrega a través de la aplicación de Purple o mediante un SDK que usted inserta en su propia aplicación de marca. Cuando un visitante que regresa entra a su establecimiento, su dispositivo detecta que su SSID de Passpoint está emitiendo una respuesta ANQP, la compara con el perfil instalado y se conecta de forma automática. Todo el proceso toma menos de dos segundos. El usuario nunca toca su teléfono.

El flujo de autenticación utiliza EAP-TLS o EAP-TTLS con PEAP, según su configuración. El dispositivo presenta una credencial a su servidor RADIUS (Purple actúa como ese servidor RADIUS en la nube) y el servidor devuelve un RADIUS Access-Accept con un atributo de asignación de VLAN. Ese atributo le indica al punto de acceso en qué VLAN debe colocar esa sesión. Por lo tanto, el usuario de una aplicación de lealtad podría ingresar en la VLAN 20, que tiene acceso a su plataforma de lealtad y a contenido más completo. Un miembro del personal que use el mismo SSID de Passpoint con una credencial diferente ingresará en la VLAN 30, que tiene acceso a los sistemas internos. Un solo SSID. Asignación dinámica de VLAN. Política aplicada por identidad.

[medium pause]

El SSID número tres es su red xPSK. xPSK es un término general que abarca iPSK, PPSK, DPSK y MPSK: todas variaciones del mismo concepto de claves precompartidas por dispositivo o por grupo. La idea es sencilla: en lugar de tener una sola contraseña compartida para sus dispositivos IoT y contratistas, cada dispositivo o grupo recibe su propia clave única. Esa clave se asocia a una VLAN específica. Cuando una terminal de tarjeta se conecta con su clave, ingresa en la VLAN 40, que es su red de pago bajo el alcance de PCI. Cuando un reproductor de señalización digital se conecta con su clave, ingresa en la VLAN 50, que tiene acceso a su servidor de gestión de contenidos y a nada más. Cuando un contratista se conecta con una clave temporal, ingresa en la VLAN 60, que tiene acceso a internet y a nada interno. Cuando usted revoca la clave de ese contratista, este queda fuera de la red de inmediato. Sin necesidad de cambiar la contraseña en cada dispositivo.

El mecanismo detrás de xPSK varía según el fabricante. En Cisco Meraki se llama iPSK (Identity PSK) y funciona a través de RADIUS. En HPE Aruba, el equivalente es MPSK, también gestionado por RADIUS. Ruckus lo llama DPSK (Dynamic PSK). Juniper Mist utiliza PPSK con asignación dinámica de VLAN a través del panel en la nube de Mist. Ubiquiti UniFi admite el Control de Acceso a la Red con asignación de VLAN por cliente en versiones recientes de firmware. Purple se integra con estas cinco plataformas como proveedor de RADIUS en la nube.

[medium pause]

Ahora hablemos de la secuencia de implementación. El orden importa.

Comience con el diseño de su VLAN antes de tocar la configuración inalámbrica. Defina primero sus VLANs en la capa del switch. Configure su política de enrutamiento inter-VLAN y asegúrela en el firewall antes de que se conecte cualquier dispositivo. Este es el error más común que vemos: los equipos configuran primero la red inalámbrica y luego intentan adaptar la segmentación de VLAN. Hágalo al revés.

Segundo, configura tu servidor RADIUS. En la plataforma de Purple, navega a la sección de configuración de RADIUS, genera tus credenciales de servidor y toma nota de las direcciones IP primaria y secundaria, el puerto de autenticación (normalmente 1812) y el secreto compartido.

Tercero, crea tus SSIDs. Para el SSID de invitados, establece la seguridad como abierta, habilita la redirección al Captive Portal y apunta la URL de redirección a tu portal de Purple. Para el SSID de Passpoint, habilita 802.11u y configura tus elementos ANQP: tu NAI Realm, tu Roaming Consortium OI si participas en OpenRoaming, y la información de tu establecimiento. Establece WPA2-Enterprise o WPA3-Enterprise como tipo de seguridad. Para el SSID de xPSK, configura los ajustes de MPSK o DPSK específicos del proveedor y apunta la autenticación a tu endpoint de RADIUS de Purple.

Cuarto, configura tu walled garden para el SSID de invitados. Incluye los dominios del portal de Purple, tu proveedor de DNS y los endpoints de detección de captive portal que utilizan iOS y Android: captivedetect.apple.com de Apple y connectivitycheck.gstatic.com de Google.

[medium pause]

Dos ejemplos del mundo real.

Un hotel de 350 habitaciones en el centro de Londres implementó esta arquitectura en 28 puntos de acceso con hardware HPE Aruba. Antes de la implementación, las terminales de tarjetas compartían un segmento de red con los dispositivos de los invitados, lo que representaba un fallo de cumplimiento con PCI. El rediseño de tres SSIDs trasladó las terminales de tarjetas a una VLAN dedicada con reglas de firewall que solo permitían HTTPS de salida hacia el procesador de pagos. La auditoría PCI se aprobó en el siguiente ciclo. La captura de datos de invitados aumentó un 34% en los primeros tres meses porque la experiencia del portal fue más rápida y el flujo de consentimiento (opt-in) fue más sencillo.

Una cadena de tiendas de retail con 80 sucursales en todo el Reino Unido redujo su número de SSIDs por tienda de un promedio de 4.2 a tres. Las terminales EPOS y la señalización se trasladaron al SSID de xPSK con claves por dispositivo gestionadas de forma centralizada a través de Purple. El personal se trasladó a un SSID de Passpoint utilizando sus credenciales de Microsoft Entra ID a través de EAP-TTLS. El equipo de TI reportó una reducción del 60% en los tickets de soporte relacionados con WiFi en el primer trimestre posterior al lanzamiento.

[medium pause]

Algunos errores de implementación comunes que debes evitar.

Configuración del tiempo de espera (timeout) de RADIUS: si tus puntos de acceso no pueden comunicarse con el servidor RADIUS de Purple dentro del tiempo de espera configurado, rechazarán la conexión. Configura siempre las direcciones de servidor RADIUS tanto primaria como secundaria.

Etiquetado de VLAN en puertos troncales (trunk): cada puerto de enlace ascendente (uplink) del punto de acceso debe configurarse como un troncal que transporte todas las VLAN que utilizan tus SSIDs. Un error común es configurar la VLAN en el controlador pero olvidar agregarla al troncal en el puerto del switch.

Configuración de Passpoint ANQP: la lista de NAI Realm debe coincidir exactamente con la que se encuentra en el perfil de Passpoint instalado en el dispositivo. Una discrepancia hará que los dispositivos omitan tu red durante la detección. Realiza pruebas con un dispositivo de confianza antes de realizar el lanzamiento a producción.
Rotación de claves xPSK: las claves de contratistas deben tener una fecha de expiración configurada al momento del aprovisionamiento. El panel de Purple le permite revocar claves individuales sin afectar a ningún otro dispositivo en la red.

[medium pause]

Preguntas rápidas.

¿Puedo ejecutar los tres SSIDs en el mismo punto de acceso? Sí. Mantenga el conteo total de SSID por punto de acceso en seis o menos para minimizar la sobrecarga de beacons.

¿Requiere Passpoint una aplicación específica? Con Purple, requiere la aplicación de Purple o un SDK integrado en su propia aplicación de marca. El SDK gestiona el aprovisionamiento de perfiles de forma silenciosa en segundo plano.

¿Cumple xPSK con PCI para terminales de tarjeta? Sí, siempre que la VLAN que transporta el tráfico de los dispositivos de pago esté correctamente segmentada y las reglas del firewall restrinjan el tráfico únicamente a lo que requiere el procesador de pagos.

¿Qué sucede si el portal de un SSID de invitados se cae? Configure una redirección de respaldo o una página de inicio local en el controlador del punto de acceso. La plataforma de Purple funciona con un 99.999% de tiempo de actividad, pero una configuración de doble seguridad siempre es una buena práctica.

[medium pause]

En resumen. El diseño de tres SSIDs le ofrece una red de invitados con un Captive Portal en cumplimiento para la captura de datos, una red Passpoint para un inicio de sesión seguro y automatizado a través de la aplicación de Purple o un SDK con asignación dinámica de VLAN, y una red xPSK que consolida dispositivos IoT, terminales de tarjetas, señalización digital, contratistas y BYOD bajo claves por dispositivo asignadas a VLAN específicas. El resultado es una postura de seguridad más limpia, una mejor experiencia para el visitante y una red que es genuinamente manejable a escala.

Comience con su diseño de VLAN, configure RADIUS, cree sus SSIDs y configure su walled garden. El equipo de incorporación de Purple puede guiarlo a través de la configuración para su plataforma de hardware específica.

La guía escrita completa está disponible en purple.ai. Busque "three SSIDs to rule them all" para obtener la referencia de configuración paso a paso con detalles específicos del proveedor para Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist y Ubiquiti UniFi.

Gracias por escuchar.

Puntos clave

✓Consolide redes inalámbricas complejas en tres SSIDs especialmente diseñados: Guest, Passpoint y xPSK.
✓Utilice el SSID Guest abierto con un captive portal para garantizar el cumplimiento de GDPR y recopilar datos de primera mano.
✓Implemente Passpoint para ofrecer una incorporación cifrada y sin fricciones para visitantes recurrentes y personal a través de la app o SDK de Purple.
✓Proteja los dispositivos IoT sin interfaz de usuario (headless), las terminales de tarjetas y a los contratistas mediante xPSK, asignando claves únicas para eliminar las contraseñas compartidas.
✓Aplique la seguridad de confianza cero (zero-trust) asignando dinámicamente dispositivos autenticados a VLANs aisladas a través del RADIUS en la nube de Purple.
✓Configure siempre las VLANs del switch y las políticas de enrutamiento del firewall antes de implementar la configuración inalámbrica.
✓Limite las transmisiones de SSID para reducir la sobrecarga de RF y mejorar el rendimiento general de la red.

📚 Parte de nuestra serie principal: Seguridad y autenticación de WiFi empresarial: la guía completa →

Resumen Ejecutivo

La mayoría de las sedes empresariales aún operan arquitecturas inalámbricas heredadas que colapsan todo el tráfico en uno o dos SSIDs. Este enfoque genera un riesgo inaceptable al colocar dispositivos IoT no administrados, hardware de contratistas y visitantes públicos en segmentos de red compartidos. El diseño de WiFi de tres SSIDs elimina esta vulnerabilidad asignando a cada clase de dispositivo y usuario su propia red dedicada, su propia VLAN y su propio método de autenticación. Esta guía proporciona un plan detallado paso a paso para implementar tres SSIDs distintos: una red de Guest WiFi abierta para cumplimiento y captura de datos, una red Passpoint (Hotspot 2.0) para acceso seguro automatizado a través de la aplicación o SDK de Purple, y una red xPSK que consolida todos los dispositivos sin pantalla bajo claves por dispositivo. Al estandarizar esta arquitectura, los equipos de TI pueden lograr una segmentación estricta de VLAN, reducir la sobrecarga de radiofrecuencia y optimizar las operaciones de red en implementaciones de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist y Ubiquiti UniFi.

Escuchar la sesión informativa

Análisis profundo de la arquitectura técnica

El diseño de tres SSIDs es un enfoque de confianza cero (zero-trust) aplicado al extremo inalámbrico. Se basa en el principio de que el SSID es simplemente el punto de entrada; el límite de seguridad real es la asignación de VLAN dictada por el método de autenticación.

1. Guest WiFi (SSID abierto)

El primer SSID es una red abierta con un Captive Portal. Sirve para visitantes, huéspedes temporales y usuarios casuales. Debido a que es abierta, no hay fricción en el punto de conexión. El punto de control de seguridad se traslada a la capa del portal. Cuando un dispositivo se conecta, se le asigna una dirección IP de una subred fuertemente restringida y se le coloca en un entorno limitado (walled garden). El usuario es redirigido a una página de inicio (splash page) donde acepta los términos de servicio y, opcionalmente, proporciona datos de identidad.

Este SSID es fundamental para el cumplimiento normativo. Bajo el GDPR, debe registrar el consentimiento y la base legal para el procesamiento de datos. Purple maneja esto de forma nativa, registrando la marca de tiempo del consentimiento y capturando datos de primera mano. Una vez autenticada, la sesión se asigna a la VLAN 10. Las reglas del firewall imponen que la VLAN 10 solo tenga acceso a internet, completamente aislada de los sistemas internos. Para las sedes sujetas a PCI DSS, esta segmentación garantiza que el tráfico de invitados nunca toque el entorno de datos de los titulares de tarjetas.

2. Passpoint (Hotspot 2.0)

El segundo SSID aprovecha el estándar IEEE 802.11u Passpoint para proporcionar un acceso automatizado y cifrado. Esto está diseñado para huéspedes frecuentes, miembros de programas de fidelización y personal. En lugar de un Captive Portal, Passpoint utiliza un perfil instalado para negociar la autenticación en segundo plano a través de EAP-TLS o EAP-TTLS con PEAP.

Cuando un usuario con la aplicación de Purple (o su propia aplicación que integre el SDK de Purple) entra al establecimiento, su dispositivo detecta el SSID de Passpoint que transmite elementos específicos de ANQP (Access Network Query Protocol). El dispositivo compara estos elementos con su perfil y se conecta automáticamente. Purple actúa como el servidor RADIUS en la nube, procesando la credencial y devolviendo un mensaje de RADIUS Access-Accept. Es fundamental destacar que este mensaje incluye atributos de asignación de VLAN (como Tunnel-Private-Group-ID). Un miembro de fidelización podría asignarse a la VLAN 20, mientras que un miembro del personal que utiliza el mismo SSID se asigna a la VLAN 30. Esta asignación dinámica de VLAN permite la aplicación de políticas por identidad en lugar de por SSID.

3. xPSK (IoT y BYOD)

El tercer SSID consolida todos los demás casos de uso (terminales de tarjetas, señalización digital, impresoras, contratistas y BYOD) mediante xPSK (iPSK, PPSK, DPSK o MPSK). En lugar de una única contraseña compartida, cada dispositivo o grupo recibe una clave precompartida única.

Cuando un dispositivo se conecta, el punto de acceso envía la dirección MAC del dispositivo y la PSK específica utilizada al servidor RADIUS de Purple. Purple valida la clave y devuelve la asignación de VLAN correspondiente. Una terminal de tarjetas se asigna a la VLAN 40 (dentro del alcance de PCI), mientras que un reproductor de señalización digital se asigna a la VLAN 50. Si se revoca la clave de un contratista, su acceso se interrumpe de inmediato sin afectar a ningún otro dispositivo. Esto elimina la necesidad de listas de omisión de autenticación de MAC (MAB) y contraseñas compartidas.

Guía de implementación

Desplegar esta arquitectura requiere una secuencia estricta. No configure los controladores inalámbricos hasta que la red cableada subyacente esté preparada.

Paso 1: Configuración de switches y firewalls

Defina sus VLAN primero en la capa del switch. Cree VLAN independientes para cada clase de dispositivo (por ejemplo, VLAN 10 Guest, VLAN 20 Secure, VLAN 30 IoT, VLAN 40 PCI). Configure políticas de enrutamiento inter-VLAN en su firewall para aplicar un aislamiento estricto. Las VLAN Guest e IoT normalmente solo deben tener acceso de salida a internet. Asegúrese de que todos los puertos de enlace ascendente de los puntos de acceso estén configurados como enlaces troncales (trunks) que transporten todas las VLAN requeridas.

Paso 2: Integración del servidor RADIUS

Navegue al portal de Purple y genere sus credenciales de RADIUS. Tome nota de las direcciones IP primaria y secundaria, el puerto de autenticación (normalmente 1812), el puerto de contabilidad (1813) y el secreto compartido. Ingrese estos detalles en la configuración AAA de su controlador inalámbrico. Establezca el tiempo de espera (timeout) de RADIUS en al menos dos segundos para adaptarse a la latencia de la nube.

Paso 3: Configuración de SSID

Configure los tres SSIDs de acuerdo con la implementación específica de su proveedor:

SSID de invitados: Establezca la seguridad en Abierta (Open). Habilite la redirección de Captive Portal y diríjala a la URL de su portal de Purple. Configure el walled garden para permitir el acceso a los dominios de Purple, a su solucionador de DNS y a los endpoints de detección de Captive Portal del sistema operativo (por ejemplo, captivedetect.apple.com).

SSID de Passpoint: Habilite 802.11u/Hotspot 2.0. Configure los elementos ANQP, asegurándose de que el NAI Realm coincida exactamente con el perfil desplegado por la aplicación de Purple. Establezca la seguridad en WPA2-Enterprise o WPA3-Enterprise y dirija la autenticación a los servidores RADIUS de Purple.

SSID de xPSK: Habilite la función xPSK específica del proveedor (por ejemplo, iPSK en Cisco Meraki, MPSK en HPE Aruba). Dirija la autenticación MAC a los servidores RADIUS de Purple y habilite la asignación dinámica de VLAN.

Mejores prácticas

Limitar el número de SSIDs: Nunca transmita más de cuatro SSIDs por punto de acceso. El exceso de SSIDs aumenta la sobrecarga de balizas (beacons), lo que degrada el rendimiento general de la red. El diseño de tres SSIDs optimiza el uso del tiempo aire (airtime).
Precisión del walled garden: Mantenga su walled garden lo más delimitado posible. Incluya únicamente los dominios esenciales para el flujo del portal y la detección del sistema operativo. Los rangos de IP amplios crean brechas de seguridad.
Gestión del ciclo de vida de las claves: Establezca un ciclo de vida estricto para las claves xPSK. Defina fechas de vencimiento para las claves de contratistas al momento del aprovisionamiento. Revise y rote las claves de IoT anualmente.

Resolución de problemas y mitigación de riesgos

Tiempos de espera de RADIUS (Timeouts): Si los dispositivos no logran conectarse a las redes Passpoint o xPSK, verifique la configuración de tiempo de espera de RADIUS en el controlador. Cloud RADIUS requiere un tiempo de espera ligeramente superior al de los servidores locales. Asegúrese de que estén configuradas tanto la IP de RADIUS de Purple primaria como la secundaria.
Fallos en el etiquetado de VLAN: Si un dispositivo se autentica correctamente pero no obtiene una dirección IP, el problema casi siempre se debe a la falta de una etiqueta VLAN en el puerto del switch del punto de acceso. Verifique la configuración del trunk.
Problemas de descubrimiento de Passpoint: Si los dispositivos ignoran el SSID de Passpoint, verifique la configuración de ANQP NAI Realm. Incluso un error tipográfico menor hará que el dispositivo rechace la red de forma silenciosa.

ROI e impacto comercial

La implementación del diseño de tres SSIDs ofrece un valor comercial medible. Al consolidar los SSIDs, los establecimientos reducen la interferencia de RF y mejoran el rendimiento de los clientes. La asignación dinámica de VLAN a través de Passpoint y xPSK reduce significativamente los tickets de soporte de TI relacionados con el restablecimiento de contraseñas y la lista blanca de direcciones MAC. Además, la sólida segmentación garantiza el cumplimiento de PCI DSS y GDPR, mitigando el riesgo financiero de las violaciones de datos y maximizando la recopilación de datos de primera mano a través del portal de Guest WiFi .

Definiciones clave

Passpoint (Hotspot 2.0)

Un estándar IEEE 802.11u que permite a los dispositivos móviles descubrir y conectarse automáticamente de forma segura a redes WiFi sin interacción del usuario.

Crucial para ofrecer experiencias de roaming similares a las de las redes celulares y un acceso seguro y cifrado para los visitantes recurrentes y el personal.

xPSK

Un término general para las implementaciones específicas de cada proveedor (iPSK, PPSK, DPSK, MPSK) que permiten múltiples claves precompartidas únicas en un solo SSID, donde cada clave se asigna a una VLAN específica.

Se utiliza para proteger dispositivos IoT sin interfaz de usuario, impresoras y terminales de tarjetas que no son compatibles con la autenticación empresarial 802.1X.

Captive Portal

Una página web que los usuarios están obligados a ver e interactuar con ella antes de que se les conceda acceso a una red WiFi pública.

El mecanismo principal para capturar datos de primera mano y garantizar el cumplimiento de la GDPR mediante el consentimiento explícito.

Segmentación de VLAN

La práctica de dividir una red física en múltiples redes lógicas para aislar el tráfico y aplicar políticas de seguridad.

Esencial para aislar el tráfico de invitados no confiable de los sistemas internos sensibles y de los dispositivos de pago dentro del alcance de PCI.

RADIUS

Remote Authentication Dial-In User Service; un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA).

El motor que alimenta Passpoint y xPSK, validando las credenciales e indicando al punto de acceso qué VLAN asignar.

ANQP

Access Network Query Protocol; un protocolo utilizado por los dispositivos para descubrir información de la red (como consorcios de roaming y tipos de autenticación) antes de asociarse con un punto de acceso.

El mecanismo que utiliza Passpoint para determinar si un dispositivo tiene el perfil correcto para conectarse automáticamente.

Walled Garden

Un entorno limitado que controla el acceso del usuario al contenido web antes de que se haya autenticado por completo.

Debe configurarse correctamente para permitir que los dispositivos lleguen al captive portal y a los endpoints de detección del sistema operativo.

EAP-TLS

Protocolo de autenticación extensible - Seguridad de la capa de transporte; un marco de autenticación que utiliza certificados tanto para la validación del cliente como del servidor.

El método de autenticación altamente seguro que suelen utilizar los perfiles de Passpoint para garantizar conexiones cifradas.

Ejemplos resueltos

Un hotel de 350 habitaciones necesita proteger sus terminales de tarjetas y, al mismo tiempo, capturar datos de los huéspedes para su programa de fidelidad. Actualmente, todos los dispositivos comparten un único SSID WPA2-Personal.

Implemente la arquitectura de tres SSIDs. Cree la VLAN 10 para invitados, la VLAN 20 para miembros del programa de fidelidad y la VLAN 40 para terminales de pago. Configure el SSID de invitados como abierto con un Captive Portal de Purple para la captura de datos. Configure el SSID de Passpoint para los miembros del programa de fidelidad utilizando la aplicación de Purple. Configure el SSID de xPSK para las terminales de tarjetas. En el panel de Purple, genere PSK únicas para cada terminal y asígnelas a la VLAN 40. En el firewall, restrinja la VLAN 40 para permitir únicamente el tráfico HTTPS saliente a las direcciones IP del procesador de pagos.

Comentario del examinador: Este enfoque resuelve de inmediato el fallo de conformidad con PCI al aislar el entorno de datos de los titulares de tarjetas. También moderniza la experiencia de los huéspedes, trasladando a los visitantes frecuentes a un acceso Passpoint sin fricciones, al tiempo que captura valiosos datos de primera mano de los nuevos huéspedes.

Una cadena minorista con 80 tiendas experimenta graves problemas de rendimiento de WiFi debido a la transmisión de cinco SSIDs por tienda (invitados, personal, POS, señalización, escáneres).

Consolide las redes utilizando el diseño de tres SSIDs. Conserve el SSID de invitados con un Captive Portal. Implemente un SSID de Passpoint para el personal, autenticándose contra Microsoft Entra ID a través de la integración RADIUS de Purple, asignándolos a una VLAN de personal. Combine POS, señalización y escáneres en un único SSID xPSK. Asigne claves únicas a cada categoría de dispositivo, asignando POS a la VLAN 40, señalización a la VLAN 50 y escáneres a la VLAN 60.

Comentario del examinador: Reducir el número de SSIDs de cinco a tres disminuye significativamente la sobrecarga de tramas de administración, lo que mejora de inmediato el tiempo de transmisión disponible y el rendimiento del cliente. El equipo de TI obtiene un control detallado sobre los dispositivos sin interfaz de usuario (headless) sin la carga administrativa de mantener listas MAB.

Preguntas de práctica

Q1. El director de TI de un estadio quiere implementar Passpoint para los aficionados que utilizan la app oficial del equipo, pero le preocupa que los ajustes de tiempo de espera de RADIUS provoquen fallas de conexión durante eventos de alta densidad. ¿Cuál es el enfoque recomendado?

Sugerencia: Considere la latencia de la autenticación basada en la nube frente a los controladores locales.

Ver respuesta modelo

Configure el tiempo de espera de RADIUS en los controladores inalámbricos a un mínimo de dos a tres segundos. En entornos de alta densidad, las respuestas de RADIUS en la nube pueden tardar un poco más que las de los servidores locales. Además, asegúrese de que estén configuradas tanto la dirección IP primaria como la secundaria de Purple RADIUS para proporcionar redundancia por falla.

Q2. Está configurando el SSID xPSK para una flota de nuevos escáneres de códigos de barras inalámbricos. Los escáneres se conectan al SSID con éxito, pero no pueden comunicarse con el servidor de inventario. ¿Cuál es la causa más probable?

Sugerencia: Piense en la ruta entre el punto de acceso y el switch principal.

Ver respuesta modelo

La causa más probable es la falta de una etiqueta VLAN en el puerto del switch del punto de acceso. Aunque Purple RADIUS está asignando correctamente el escáner a la VLAN de inventario, si esa VLAN no está permitida en el puerto troncal que conecta el punto de acceso al switch, el tráfico se descartará.

Q3. Un hotel necesita permitir que los huéspedes accedan a su motor de reservas directas antes de que se autentiquen a través del captive portal. ¿Cómo se debe configurar esto?

Sugerencia: Esto implica controlar el tráfico de preautenticación.

Ver respuesta modelo

El equipo de TI debe agregar los dominios y las direcciones IP del motor de reservas a la configuración del walled garden en el controlador inalámbrico. Esto permite que el tráfico de preautenticación llegue a esos destinos específicos mientras se bloquea todo el demás acceso a Internet hasta que se complete el flujo del captive portal.

Continúe leyendo esta serie

Tres SSIDs para gobernarlos a todos: guía de configuración de WiFi para invitados, personal e IoT

Esta guía de referencia técnica autorizada proporciona un plan paso a paso para implementar una arquitectura WiFi de tres SSIDs. Explica cómo segmentar el tráfico de invitados, personal e IoT utilizando captive portals, 802.1X RADIUS y PSK por dispositivo (xPSK) para optimizar el rendimiento y garantizar el cumplimiento de PCI DSS.

Autenticación WiFi empresarial sin Active Directory ni un servidor local

Esta guía explica cómo implementar una autenticación WiFi WPA2/3-Enterprise segura sin un Active Directory local, Windows NPS o servidor RADIUS. Cubre la incompatibilidad de protocolos entre los proveedores de identidad en la nube y 802.1X, los argumentos a favor de EAP-TLS sobre PEAP-MSCHAPv2 y cómo implementar RADIUS en la nube con certificados emitidos por MDM contra Microsoft Entra ID, Okta o Google Workspace. Escrita para líderes de TI en organizaciones cloud-first y con un alto uso de Mac/Chromebook que están listas para retirar la infraestructura local.

Cómo revocar el acceso a WiFi cuando un empleado se va

Esta guía detalla cómo revocar el acceso a WiFi cuando un empleado se va, reemplazando las contraseñas compartidas inseguras con certificados 802.1X por usuario o iPSK. Cubre el desaprovisionamiento automatizado a través de SCIM para cumplir con los requisitos de auditoría de ISO 27001 y SOC 2.