Red de invitados en la oficina: ¿cómo separar a los visitantes de tu red corporativa?

Que los visitantes se conecten a tu WiFi es normal. Que estén en el mismo segmento de red que tu NAS, no lo es. La segmentación básica la tienes lista en 10 minutos.

Muchas oficinas de pymes tienen una sola red WiFi. El visitante recibe la contraseña y listo. El problema: ese visitante queda dentro de tu capa de red "de confianza" — con acceso potencial a impresoras, NAS, cámaras IP y servidores internos.

El mínimo: dos redes

• Red corporativa: empleados, portátiles de empresa, impresoras corporativas. Autenticación mediante WPA2-Enterprise o 802.1X cuando la empresa crezca.
• Red de invitados: visitantes, dispositivos desconocidos, IoT (smart TV, termostato). Aislada de la red corporativa mediante VLAN o client isolation.

Configuración en 10 minutos

1. Accede al panel de administración de tu router o punto de acceso.
2. Activa la opción "Red de invitados" (Ubiquiti, Ruckus e incluso routers domésticos lo permiten).
3. Habilita el aislamiento de clientes: los dispositivos invitados no podrán verse entre sí.
4. Aplica limitación de ancho de banda (p. ej., máx. 10 Mbps por cliente) para evitar abusos.
5. Usa una contraseña distinta, muéstrala en recepción o pon un código QR.

¿Qué va en cada red?

• Corporativa: portátiles de empleados, impresora de empresa.
• Invitados: dispositivos de visitantes, smart TV de la sala de reuniones, cámaras IP (el IoT suele estar sin parchear).

Siguiente paso: tres redes

Si tienes más de 30 empleados o operas en un sector con requisitos de seguridad estrictos, divide en corporativa / IoT / invitados. El IoT tiene su propia VLAN porque estos dispositivos rara vez se actualizan.

Consulta también: pilar de seguridad.