La guía empresarial para configurar WiFi de invitados: seguridad, segmentación y velocidad

Hable en un inglés británico con un tono seguro, autoritario y conversacional - como si fuera un consultor sénior de redes informando a un CTO antes de una reunión de consejo. Ritmo pausado, dicción clara, humor seco ocasional. Profesional pero no rígido: Bienvenido a la sesión técnica de Purple. Soy su anfitrión, y hoy cubriremos algo que se encuentra justo en la intersección de un dolor de cabeza de TI y una oportunidad de negocio real: configurar el WiFi para invitados de manera correcta. No la versión de "conectar un router y esperar lo mejor". La versión empresarial. La que mantiene contentos a sus auditores, conectados a sus invitados e intacta su red corporativa. [pausa corta] Comencemos con el contexto. El WiFi para invitados ya no es un lujo. Es infraestructura. La plataforma de Purple opera en más de 80,000 ubicaciones activas - desde hoteles Premier Inn hasta Manchester Airports Group, desde Harrods hasta McDonald's. ¿Y la única cosa que cada una de esas implementaciones tiene en común? En el momento en que el WiFi para invitados se cae, se vulnera o falla en una auditoría de cumplimiento, se convierte en la falla de TI más visible del edificio. Así que asegurémonos de que la suya no lo sea. [pausa corta] Sección uno: la arquitectura. ¿Qué estamos construyendo realmente? Una implementación de WiFi para invitados diseñada correctamente tiene tres zonas de red distintas, a veces cuatro. La zona uno es su red de invitados - solo acceso a Internet, completamente aislada de su infraestructura corporativa. La zona dos es su red de personal - autenticada, cifrada y con acceso a recursos internos. La zona tres es su red de IoT - sistemas de gestión de edificios, impresoras, sensores, todos aislados tanto de invitados como de personal. Y si se encuentra en el sector de retail o de hospitalidad, la zona cuatro es su LAN corporativa, que contiene sus sistemas de punto de venta y cualquier cosa que toque datos de titulares de tarjetas. La palabra clave aquí es aislada. No separada por una contraseña. No en un SSID diferente que por casualidad comparte la misma subred. Realmente aislada, a nivel de red, utilizando VLANs - Redes de Área Local Virtuales - con reglas de firewall de estado entre cada zona. [pausa corta] ¿Por qué importa tanto esto? Dos palabras: PCI-DSS. PCI-DSS - el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago - requiere que cualquier red que transporte datos de titulares de tarjetas esté completamente segregada de cualquier red a la que los invitados puedan acceder. Si su WiFi para invitados y sus terminales de punto de venta comparten el mismo segmento de red, toda su propiedad entra en el alcance de PCI. Eso significa escaneos trimestrales de vulnerabilidad externa, pruebas anuales de penetración y una carga de cumplimiento que cuesta mucho más que la configuración de VLAN que decidió omitir. La solución es sencilla. VLAN 10 para invitados. VLAN 20 para personal. VLAN 30 para IoT. VLAN 1 para su LAN corporativa. Reglas de firewall que denieguen explícitamente cualquier tráfico de la VLAN 10 a las VLANs 20 y 1. Listo. Su alcance de PCI se reduce drásticamente. [pausa corta] Ahora hablemos del cifrado. El estándar que debería estar implementando hoy en día es WPA3 - el estándar Wi-Fi Protected Access 3, ratificado por la Wi-Fi Alliance. WPA3 reemplaza a WPA2 y aborda dos vulnerabilidades críticas: elimina el vector de ataque KRACK e introduce la Autenticación Simultánea de Iguales - SAE - que evita los ataques de diccionario fuera de línea contra los apretones de manos (handshakes) capturados. Específicamente para redes de invitados, vale la pena entender WPA3 en modo Enhanced Open, también llamado OWE - Opportunistic Wireless Encryption. OWE cifra el tráfico entre cada dispositivo y el punto de acceso sin necesidad de una contraseña. Los invitados se conectan sin problemas, pero su tráfico se cifra en tránsito. Se acabó el rastreo pasivo en redes abiertas. Para la red de su personal, lo ideal es WPA3 Enterprise con autenticación 802.1X. 802.1X es el estándar IEEE para el control de acceso a la red basado en puertos. Utiliza un servidor RADIUS - Remote Authentication Dial-In User Service - para autenticar cada dispositivo de forma individual antes de conceder el acceso a la red. El dispositivo presenta las credenciales, el servidor RADIUS las valida frente a su proveedor de identidad - Microsoft Entra ID, Okta o Google Workspace son las opciones canónicas - y solo entonces el punto de acceso abre el puerto. [pausa corta] Esto nos lleva a los métodos de autenticación. Dentro de 802.1X, existen varias variantes de EAP - Extensible Authentication Protocol. EAP-TLS utiliza autenticación mutua basada en certificados. Tanto el servidor como el cliente presentan certificados. Es la opción más segura y la recomendada para cualquier entorno en el que esté implementando dispositivos gestionados. EAP-TTLS y PEAP - Protected EAP - utilizan un certificado del lado del servidor con credenciales de usuario y contraseña del cliente. Son más fáciles de implementar pero ligeramente menos seguros. Para las redes de invitados, no se utiliza 802.1X. Se utiliza un Captive Portal - una página web que intercepta la sesión del navegador del invitado y requiere que se autentique antes de concederle acceso a internet. El Captive Portal es donde entra en juego el GDPR. [pausa corta] El GDPR - Reglamento General de Protección de Datos - exige que cualquier dato personal que recopile en el Captive Portal tenga una base jurídica. Para el WiFi de invitados, esa base es casi siempre el consentimiento. Y el consentimiento bajo el GDPR debe ser libre, específico, informado e inequívoco. Las casillas previamente marcadas no cuentan. Vincular el consentimiento de marketing con el acceso a la red tampoco cuenta. Lo que sí cuenta es lo que Purple denomina suscripciones de elección consciente. El invitado ve una opción clara y honesta: conectarse al WiFi y, opcionalmente, marcar esta casilla si desea recibir comunicaciones de marketing. El acceso a la red y el consentimiento de marketing son decisiones independientes. Eso cumple con el GDPR. Eso también, de paso, explica por qué los datos que recopila son de mayor calidad - porque las personas que optaron por participar realmente querían hacerlo. Purple cuenta con las certificaciones ISO 27001, GDPR, CCPA y Cyber Essentials. Eso significa que al implementar Purple como tu capa de Captive Portal, el marco de cumplimiento ya viene integrado. No estás empezando desde cero. [pausa corta] Sección dos: profundización técnica. Hablemos específicamente sobre hardware y despliegue. Purple es agnóstico al hardware. Se despliega como una superposición en la nube en tus puntos de acceso existentes. La lista oficial de hardware compatible incluye Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. Si utilizas cualquiera de ellos, configuras tu SSID de invitados para que apunte al endpoint de RADIUS o del Captive Portal de Purple, y la plataforma se encarga de la autenticación, la captura de datos y el análisis a partir de ahí. La secuencia de despliegue para un hotel o centro de conferencias típico es la siguiente. Primero, configuras tus VLAN en el switch principal. Segundo, creas tus SSID en el controlador inalámbrico - uno para invitados, uno para el personal y uno para IoT. Tercero, asignas cada SSID a su VLAN correspondiente. Cuarto, configuras las reglas de tu firewall para forzar el aislamiento de zonas. Quinto, apuntas tu SSID de invitados al Captive Portal de Purple. Sexto, configuras tu SSID de personal para autenticarse contra tu servidor RADIUS, que a su vez consulta a tu proveedor de identidad. Esa es la estructura básica. Los detalles le dan forma. [pausa corta] Sobre la gestión del ancho de banda: las redes de invitados necesitan políticas de QoS - calidad de servicio - para evitar que un solo dispositivo sature tu enlace de subida. Un punto de partida sensato es de 10 megabits por segundo de descarga y 5 megabits por segundo de subida por dispositivo, con un límite estricto a nivel de SSID. Para lugares con despliegues de alta densidad - como estadios o centros de conferencias - querrás evaluar el band steering para dirigir a los dispositivos compatibles hacia la banda de 5 gigahertz, y potencialmente de 6 gigahertz si tus puntos de acceso son compatibles con WiFi 6E. Sobre DNS: tu VLAN de invitados debe utilizar un solucionador DNS que filtre dominios maliciosos. Esto no es opcional si te encuentras en el sector salud o educativo - es una medida de protección para evitar que tu red se use para acceder a contenido dañino. El complemento Purple Shield proporciona esto a nivel de plataforma. [pausa corta] Sección tres: errores comunes de implementación y cómo evitarlos. Error uno: redes planas. Todavía veo esto en entornos de retail. Un SSID, una subred, invitados y terminales de punto de venta en el mismo dominio de difusión. Esto incumple el requisito 1.3 de PCI-DSS, el cual exige la segmentación de red entre redes no confiables y el entorno de datos de tarjetahabientes. Corrígelo con VLAN antes de tu próxima visita de QSA. Error dos: certificados autofirmados en los Captive Portals. Cuando un invitado se conecta a tu red y su navegador muestra una advertencia de certificado, o bien hacen clic para avanzar - lo que los acostumbra a ignorar las advertencias de seguridad - o se van. Utiliza un certificado TLS válido de una autoridad de certificación reconocida en tu Captive Portal. Let's Encrypt es gratuito. No hay excusa. Tercer error: sin tiempo de espera de sesión. Las sesiones de invitados deben expirar. Un tiempo de espera de sesión de 24 horas es razonable para el sector hotelero. Un tiempo de espera de 4 horas es adecuado para el comercio minorista. Sin un tiempo de espera, un dispositivo conectado hace seis meses todavía tiene una sesión activa - y potencialmente todavía aparece en tus analíticas como un "visitante". Cuarto error: falta de registros de acceso. El GDPR y la mayoría de las regulaciones nacionales de telecomunicaciones exigen conservar los registros de conexión - dirección IP, dirección MAC, marca de tiempo, duración de la sesión - durante un periodo definido. Purple conserva estos registros automáticamente y los exporta en formatos compatibles con las solicitudes de las fuerzas del orden. Si utilizas un Captive Portal de desarrollo propio, asegúrate de que tu registro esté configurado y tu política de retención esté documentada. [short pause] Sección cuatro: preguntas rápidas. ¿Necesito un SSID independiente para los dispositivos IoT? Sí. Los dispositivos IoT son el vector más común para los ataques de movimiento lateral. Aíslaos. ¿Puedo utilizar un único punto de acceso para invitados y personal? Sí, siempre que admita múltiples SSIDs mapeados a diferentes VLANs. La mayoría de los puntos de acceso empresariales lo hacen. Solo asegúrate de que el puerto troncal en el switch esté configurado correctamente. ¿WPA3 causa problemas con los dispositivos más antiguos? Algunos dispositivos antiguos no son compatibles con WPA3. Configura tu SSID en modo de transición WPA2/WPA3 para mantener la compatibilidad con versiones anteriores mientras ofreces WPA3 a los dispositivos que lo admitan. ¿Cuál es la diferencia entre Passpoint y un Captive Portal? Passpoint - también conocido como Hotspot 2.0 - permite que los dispositivos se conecten automáticamente utilizando una credencial preaprovisionada, sin necesidad de interactuar con un Captive Portal. Es ideal para visitantes frecuentes o miembros de programas de fidelización. Purple es compatible con Passpoint y OpenRoaming, lo que amplía la conexión automática a través de una red federada de establecimientos participantes. [short pause] Sección cinco: resumen y próximos pasos. Esto es lo que debes llevarte de esta sesión. Uno: segmenta tu red. Invitados, personal, IoT y LAN corporativa en VLANs independientes con reglas de firewall explícitas entre ellas. Esto es lo más importante que puedes hacer por la seguridad y el cumplimiento normativo. Dos: implementa WPA3 donde tu hardware lo admita. WPA3 Enterprise para el personal. WPA3 Enhanced Open o un Captive Portal para invitados. Tres: haz que tu Captive Portal cumpla con el GDPR. Separa el acceso a la red del consentimiento de marketing. Utiliza opciones de suscripción de elección consciente. Conserva los registros de conexión. Cuatro: utiliza una plataforma en la nube independiente del hardware como Purple. Te ofrece una experiencia de invitado consistente en todo tu patrimonio, independientemente del proveedor de puntos de acceso que utilices. Y convierte tu WiFi de invitados de un centro de costos en una fuente de datos de origen. Cinco: mídelo. La plataforma de analíticas de Purple te ofrece datos de afluencia, tiempo de permanencia, tasas de visitas recurrentes e información demográfica - todo derivado de los datos de conexión WiFi. Ese es el tipo de inteligencia que justifica la inversión en infraestructura ante una junta directiva que no se preocupa por las VLANs pero sí por los ingresos. [short pause] Si desea profundizar en cualquiera de estos temas, la guía escrita completa está disponible en el sitio web de Purple. Cubre la configuración de VLAN, la configuración de RADIUS, el mapeo de datos de GDPR y ejemplos prácticos de implementaciones en hotelería, retail y estadios. Gracias por escuchar el Purple Technical Brief. Nos vemos en el próximo.