Wi-Fi empresarial: diseño, seguridad y roaming sin cortes

El Wi-Fi ha pasado de ser una comodidad opcional a convertirse en infraestructura crítica de negocio. En muchas organizaciones, la mayor parte de los dispositivos conectados a la red corporativa —portátiles, smartphones, tablets, impresoras, cámaras IP, dispositivos IoT— lo hacen exclusivamente por Wi-Fi. Un despliegue mal planificado genera quejas constantes de usuarios, incidencias de conectividad que nunca tienen causa clara y, lo que es más preocupante, vulnerabilidades de seguridad que pueden ser aprovechadas por atacantes externos o internos.

Este artículo aborda el diseño de Wi-Fi empresarial desde tres dimensiones complementarias: la arquitectura y el dimensionado de la cobertura, la seguridad de la red inalámbrica, y el roaming de alta velocidad para usuarios móviles. Los conceptos son aplicables tanto a entornos de oficina convencionales como a almacenes, plantas industriales, hospitales o espacios exteriores, aunque cada uno tiene sus particularidades.

Fundamentos: estándares Wi-Fi actuales en entornos empresariales

El estándar dominante en despliegues empresariales actuales es 802.11ax (Wi-Fi 6), con adopción creciente de Wi-Fi 6E (que añade la banda de 6 GHz) y los primeros despliegues de Wi-Fi 7 (802.11be) en entornos de alta densidad. Entender las diferencias prácticas entre estándares es fundamental para justificar inversiones y dimensionar correctamente.

• Wi-Fi 5 (802.11ac, Wave 2): máximo teórico de varios Gbps en 5 GHz con MU-MIMO 4x4. Todavía mayoritario en el parque instalado.
• Wi-Fi 6 (802.11ax): introduce OFDMA, MU-MIMO 8x8, BSS Coloring para reducir interferencias y TWT (Target Wake Time) para IoT. Mejora significativamente el rendimiento en entornos de alta densidad de clientes.
• Wi-Fi 6E: extiende Wi-Fi 6 a la banda de 6 GHz, ofreciendo canales más anchos (hasta 160 MHz) con menos interferencias y mayor throughput agregado. Requiere que los clientes también soporten 6E.
• Wi-Fi 7 (802.11be): introduce MLO (Multi-Link Operation), canales de hasta 320 MHz y mayor eficiencia espectral. Especialmente relevante para aplicaciones de baja latencia y alta densidad.

Para la mayoría de las empresas que renuevan su infraestructura hoy, Wi-Fi 6 o Wi-Fi 6E es la elección óptima: ofrecen rendimiento más que suficiente, el ecosistema de clientes es maduro y el precio de los access points ha bajado considerablemente. Wi-Fi 7 tiene sentido en casos de uso específicos de muy alta densidad o requisitos de latencia ultra-baja.

Arquitectura del sistema: controlador, cloud-managed y soluciones autónomas

En entornos empresariales, los access points individuales autónomos (fat AP) son inadecuados por encima de un puñado de puntos de acceso. La gestión distribuida hace imposible garantizar coherencia de configuración, roaming sin fricción y visibilidad centralizada. Las tres arquitecturas predominantes son: controlador hardware en premisas, gestión cloud y soluciones mesh empresariales.

Los fabricantes más implantados en el segmento empresarial son Cisco Meraki (gestión cloud nativa), Aruba Networks (HPE, con controladores Mobility Controller y la plataforma Aruba Central cloud), Ubiquiti UniFi (muy extendida en pymes y mid-market por su relación calidad-precio), Ruckus Networks (Commscope, excelente en entornos de alta densidad como auditorios o estadios), y Extreme Networks. Juniper Mist es especialmente relevante por su uso de inteligencia artificial para la resolución de problemas.

Diseño de cobertura: el site survey como paso obligatorio

Uno de los errores más frecuentes en despliegues Wi-Fi empresariales es dimensionar el número de access points basándose únicamente en la superficie a cubrir, ignorando la densidad de usuarios, los obstáculos físicos, las interferencias existentes y los requisitos de throughput por usuario. El resultado suele ser una red que funciona aceptablemente vacía pero colapsa en reuniones o eventos con muchos dispositivos activos.

Un site survey profesional tiene dos fases. La primera es el predictive survey o diseño asistido por software: se importa el plano del edificio en herramientas como Ekahau Site Survey, iBwave Wi-Fi o la propia herramienta del fabricante, se modelan los materiales de las paredes (hormigón, vidrio, mamparas) y se simula la cobertura y la distribución de canal antes de comprar ningún hardware. La segunda fase es el post-deployment survey: una vez instalados los APs, se valida con mediciones reales que los niveles de señal (RSSI), la relación señal-ruido (SNR) y el throughput cumplen con los objetivos definidos.

Parámetros de diseño recomendados

• Nivel de señal (RSSI): mínimo -67 dBm en toda la zona de cobertura para aplicaciones de voz y video; -72 dBm aceptable para datos.
• SNR mínimo: 25 dB para voz/video; 20 dB para datos.
• Solapamiento de celda: 15-20% entre APs adyacentes para garantizar roaming fluido.
• Densidad de usuarios: estima el máximo de clientes simultáneos por zona y diseña para no superar 25-30 clientes activos por radio en entornos de alta demanda.
• Planificación de canales: en 5 GHz usa canales no solapados con ancho de 40 MHz (entornos densos) o 80 MHz (entornos con menos APs cercanos). En 2.4 GHz limítate a canales 1, 6 y 11.

Seguridad en redes Wi-Fi empresariales

La seguridad del Wi-Fi empresarial es sustancialmente más compleja que la de una red doméstica. WPA2-Personal (PSK) es completamente inadecuado en entornos corporativos: una clave compartida que conocen decenas o cientos de personas no puede considerarse un mecanismo de autenticación real. El estándar de facto en empresas es WPA2-Enterprise o WPA3-Enterprise, que usa 802.1X con un servidor RADIUS para autenticar cada cliente de forma individual.

Autenticación 802.1X con RADIUS

En este modelo, el access point actúa como autenticador (también llamado NAS, Network Access Server) y retransmite las credenciales del cliente a un servidor RADIUS (FreeRADIUS, Cisco ISE, Aruba ClearPass, Microsoft NPS). El servidor RADIUS valida las credenciales contra un directorio corporativo (Active Directory, LDAP) y devuelve al AP el resultado de la autenticación junto con posibles atributos de política (VLAN de asignación dinámica, por ejemplo).

El método EAP más recomendado en entornos corporativos es EAP-TLS, que usa certificados de cliente para la autenticación mutua y elimina completamente el riesgo de ataques de phishing de credenciales. Requiere una infraestructura de PKI (Public Key Infrastructure) y la distribución de certificados a los dispositivos, algo que en entornos con Microsoft AD y Intune/SCCM o con Jamf para macOS/iOS se puede automatizar. EAP-PEAP con MSCHAPv2 es más sencillo de desplegar pero es vulnerable si no se valida correctamente el certificado del servidor RADIUS.

Segmentación de redes: VLANs y SSIDs

Una práctica esencial en Wi-Fi empresarial es la segmentación mediante VLANs asociadas a SSIDs diferentes. La red Wi-Fi corporativa de empleados, la red de invitados, la red de dispositivos IoT y la red de sistemas de control deben estar completamente aisladas entre sí. Mezclar dispositivos IoT sin parches con portátiles corporativos en la misma VLAN es una práctica de seguridad inaceptable.

• SSID corporativo: autenticación 802.1X/EAP-TLS, VLAN corporativa, acceso completo a recursos internos con firewall.
• SSID de invitados: portal cautivo o PSK rotatoria, VLAN aislada con acceso solo a Internet, sin acceso a la red interna en absoluto.
• SSID IoT: PSK o certificados, VLAN de IoT con ACLs estrictas que solo permitan la comunicación necesaria hacia los servidores de gestión específicos.
• SSID de gestión/infraestructura: SSID oculto o solo para dispositivos de infraestructura, VLAN de gestión, acceso muy restringido.

Detección de rogue APs y ataques inalámbricos

Los access points no autorizados (rogue APs) son una amenaza real en entornos empresariales. Un empleado que conecta un AP doméstico a la red corporativa, consciente o inconscientemente, crea un punto de entrada sin controles de seguridad. Aún más peligrosos son los evil twin APs: dispositivos configurados por atacantes para suplantar el SSID corporativo y capturar credenciales.

Las soluciones Wi-Fi empresariales modernas incluyen módulos WIDS/WIPS (Wireless Intrusion Detection/Prevention System) que monitorizan el espectro radio de forma continua, detectan APs no autorizados y pueden tomar medidas activas (deauth) contra clientes que se conecten a ellos. Además, registran los intentos de deautenticación masiva (un indicador de ataques de desconexión) y alertan sobre cambios de BSSID o SSID sospechosos.

Roaming: 802.11r, 802.11k y 802.11v

El roaming entre access points es uno de los aspectos que más afecta a la experiencia de usuario en entornos con alta movilidad: salas de reuniones, almacenes con carretilleros con tablets, hospitales con enfermeras que se mueven entre plantas. Un roaming lento (más de 150-200 ms) provoca cortes audibles en llamadas de voz, congelaciones en videollamadas y timeouts en aplicaciones sensibles a la latencia.

Tres enmiendas al estándar 802.11 abordan específicamente el roaming:

• 802.11r (Fast BSS Transition, FT): permite que el cliente pre-negocie las claves de sesión con el AP destino antes de hacer el handoff, reduciendo el tiempo de roaming de cientos de milisegundos a menos de 50 ms.
• 802.11k (Radio Resource Management): permite al cliente solicitar al AP actual una lista de APs vecinos con su señal y carga, de modo que pueda tomar una decisión de roaming más informada y rápida.
• 802.11v (BSS Transition Management): permite al AP recomendar activamente al cliente que se cambie a otro AP cuando detecta que su señal se está degradando o que el AP está sobrecargado. Es la base del load balancing inalámbrico.

La combinación de los tres estándares (denominada a veces '802.11 kvr') es el requisito mínimo para un roaming de calidad en redes empresariales. Todos los fabricantes de gama business los soportan, pero deben habilitarse explícitamente y validarse que los clientes también los soporten. El soporte en clientes Windows, macOS, iOS y Android modernos es generalizado, pero algunos dispositivos IoT o controladores industriales pueden no implementarlos.

Band steering y airtime fairness

Dos mecanismos complementarios que mejoran el rendimiento global de la red inalámbrica son el band steering y el airtime fairness. El band steering incentiva a los clientes dual-band a asociarse a 5 GHz (o 6 GHz en Wi-Fi 6E) en lugar de 2.4 GHz, donde la congestión por interferencias de dispositivos legacy es mucho mayor. El AP puede implementar esto ignorando las sondas de asociación del cliente en 2.4 GHz durante un tiempo, forzándolo a reconectar en 5 GHz.

El airtime fairness resuelve un problema clásico del Wi-Fi: un cliente lento (por ejemplo, un dispositivo 802.11n con señal débil) puede monopolizar el canal, ya que necesita mucho más tiempo de antena para transmitir la misma cantidad de datos que un cliente moderno en buenas condiciones. Con airtime fairness, el AP asigna el mismo tiempo de canal a cada cliente, en lugar del mismo número de frames, protegiendo el rendimiento de los clientes más modernos.

Monitorización y troubleshooting de redes Wi-Fi

Una red Wi-Fi bien diseñada requiere monitorización continua. Los problemas en redes inalámbricas son especialmente traicioneros porque dependen de factores físicos variables (reorganización de mobiliario, nuevas fuentes de interferencia, cambios en la densidad de usuarios) que pueden degradar una red que funcionaba perfectamente sin que nadie haya tocado la configuración.

Las métricas más relevantes a monitorizar son: RSSI y SNR por cliente y por AP, tasa de error de paquetes por radio, utilización de canal (channel utilization) por AP, número de clientes por radio, tasa de roaming y distribución de velocidades de conexión (MCS index). Las plataformas cloud-managed (Meraki, Aruba Central, Ubiquiti UniFi) ofrecen estos dashboards de forma nativa. Para entornos con soluciones más heterogéneas, herramientas como Wifi Analyzer (en Windows) o WLAN Pi permiten diagnósticos puntuales.

Wi-Fi en entornos especiales: almacenes, plantas industriales y exteriores

Los entornos industriales presentan desafíos específicos. Las interferencias RF de motores, soldadoras y equipos industriales pueden degradar severamente el rendimiento. Las estructuras metálicas crean reflexiones y zonas de sombra. Los forklift con lectores de código de barras o los AGVs (vehículos guiados automáticamente) requieren roaming extremadamente rápido y fiable. En estos entornos es imprescindible un site survey predictivo específico y frecuentemente se requieren access points con características especiales: mayor potencia de transmisión, conectores para antenas externas direccionales y certificaciones IP para ambientes hostiles. Ruckus es un fabricante especialmente reconocido por su tecnología BeamFlex de antenas adaptativas, muy eficaz en estos entornos.

Gestión de clientes invitados y portales cautivos

La gestión de invitados es un caso de uso recurrente en oficinas corporativas, hoteles de negocio y centros de conferencias. Un portal cautivo bien implementado debe ofrecer autenticación por correo electrónico con confirmación, o integración con sistemas de reserva, limitar el ancho de banda por usuario y registrar los accesos con retención suficiente para cumplir con las obligaciones legales (en España, la Ley de Telecomunicaciones establece obligaciones de registro para ciertos tipos de proveedores de acceso). Soluciones como Cisco ISE, Aruba ClearPass o los portales integrados en Meraki y UniFi simplifican esta gestión.

El Wi-Fi empresarial no se diseña para dar señal: se diseña para garantizar una experiencia predecible a cada usuario, en cualquier punto del edificio, con cualquier aplicación y cualquier dispositivo.

Conclusión

Diseñar y operar una red Wi-Fi empresarial de calidad es un trabajo multidisciplinar que combina ingeniería de RF, diseño de redes, seguridad y gestión del ciclo de vida de dispositivos. Atajar los pasos de análisis previo (site survey, inventario de aplicaciones y dispositivos) para instalar access points a ojo de buen cubero es la causa raíz de la mayoría de los problemas crónicos de Wi-Fi que sufren las organizaciones.

Si tu organización está experimentando problemas recurrentes de conectividad inalámbrica, el primer paso es realizar un site survey con herramientas profesionales para entender el estado real de la red. Si estás planificando un nuevo despliegue, invierte en el diseño previo: el coste de un site survey predictivo se amortiza rápidamente en tiempo de soporte ahorrado y en la satisfacción de los usuarios. Y si no tienes equipo interno con esa especialización, los fabricantes y sus partners certificados ofrecen servicios de diseño y validación que merecen la pena.