Cuando un cliente, proveedor o visita llega a tu oficina y pide la clave del Wi-Fi, ¿qué le das? Si la respuesta es la misma contraseña que usan tus empleados para acceder a los sistemas de la empresa, tienes un problema de seguridad que probablemente nadie te ha mencionado.
Y no es solo un problema de seguridad — también es de rendimiento. Una red Wi-Fi de oficina bien diseñada resuelve dos cosas al mismo tiempo: cobertura total sin zonas muertas para los empleados, y conectividad cómoda para visitas sin que eso represente ningún riesgo para la empresa.
El problema de la red única para todos
Cuando todos — empleados, visitas, proveedores, dispositivos IoT, impresoras — se conectan a la misma red Wi-Fi, ocurren varias cosas problemáticas al mismo tiempo:
Problema de seguridad
Un dispositivo de visita conectado a tu red corporativa puede ver otros dispositivos en esa red — dependiendo de la configuración, esto incluye servidores de archivos, impresoras, equipos de empleados y cámaras IP. Si ese dispositivo tiene malware o está siendo usado maliciosamente, tiene acceso directo a recursos que no debería ver.
Más aún: si le das la contraseña del Wi-Fi corporativo a una visita, esa contraseña queda guardada en su dispositivo. Cuando esa persona se vaya de tu oficina y esté en el estacionamiento o en el edificio de al lado dentro del rango de señal, seguirá conectada a tu red con la misma contraseña.
Problema de rendimiento
El ancho de banda de tu conexión a internet es compartido entre todos los dispositivos conectados. Si una visita decide ver YouTube en 4K o descargar un archivo grande mientras tus empleados están en videoconferencia, la calidad de Teams o Zoom se degrada para todos. Sin segmentación y sin políticas de QoS, no hay forma de priorizar el tráfico crítico del negocio sobre el tráfico de visitas.
Problema legal y de responsabilidad
Si alguien conectado a tu red realiza actividades ilegales — descarga de contenido protegido, acceso a sitios prohibidos — la IP pública que queda registrada es la de tu empresa. La separación de redes con registros de acceso te protege ante este escenario.
La solución: dos redes, un solo equipo
La buena noticia es que no necesitas equipamiento adicional para tener dos redes separadas. Los Access Points empresariales modernos — Ubiquiti UniFi, TP-Link Omada, Cisco Meraki — permiten transmitir múltiples SSIDs (nombres de red) desde el mismo equipo, cada uno en su propia VLAN.
Lo que ve el usuario final: dos redes Wi-Fi diferentes con nombres distintos.
Lo que ocurre por debajo: tráfico completamente separado, controlado por el firewall, con políticas independientes para cada segmento.
Red corporativa — solo para empleados y dispositivos de la empresa
- Contraseña segura conocida solo por el equipo
- Acceso completo a recursos internos: servidores, impresoras, sistemas de gestión
- Tráfico priorizado con QoS para videoconferencias y aplicaciones críticas
- Monitoreo activo de dispositivos conectados
- Segmentada del tráfico de visitas por VLAN
Red de visitas — para clientes, proveedores y visitas
- Contraseña diferente, rotada periódicamente o con portal cautivo
- Solo acceso a internet — completamente bloqueada de recursos internos
- Ancho de banda limitado para no afectar la red corporativa
- Client isolation activado — las visitas no pueden ver los dispositivos de otros visitantes
- Sin acceso a la impresora, servidores ni equipos de empleados
¿Qué es el client isolation y por qué importa?
Cuando varios dispositivos se conectan a la misma red Wi-Fi, por defecto pueden comunicarse entre sí. Esto está bien en una red corporativa donde los empleados necesitan compartir archivos o acceder a impresoras.
En la red de visitas es un problema. Si dos proveedores están conectados a tu red de visitas al mismo tiempo, sus equipos pueden verse mutuamente — y si alguno tiene malware, puede intentar infectar los demás dispositivos conectados.
El client isolation es una configuración que bloquea la comunicación entre dispositivos de la misma red. Cada visitante conectado solo puede acceder a internet, no a los demás dispositivos. Es una configuración de un clic en la mayoría de los equipos empresariales.
Portal cautivo: control profesional del acceso de visitas
El portal cautivo es la pantalla que aparece cuando alguien se conecta a la red de visitas antes de tener acceso a internet. Permite implementar distintos modelos de acceso:
- Contraseña simple rotativa: La contraseña cambia cada semana o cada mes. La recepcionista la entrega verbalmente a cada visita. Los dispositivos de visitas anteriores quedan sin acceso automáticamente cuando cambia.
- Cupón por tiempo: Cada visita recibe un código de acceso válido por X horas. Cuando vence, la conexión se corta automáticamente.
- Formulario de registro: La visita ingresa nombre y empresa antes de conectarse. Queda un registro de quién se conectó y cuándo — útil para auditoría.
- SMS o correo: El sistema envía un código al celular o correo de la visita. Control total sobre quién accede.
Para la mayoría de las oficinas chilenas, la contraseña rotativa semanal es el balance correcto entre seguridad y comodidad. Para empresas con mayor necesidad de control — estudios de abogados, consultorios, empresas financieras — el cupón por tiempo o el formulario de registro son más adecuados.
Cobertura total en la oficina: cómo diseñarla correctamente
Una red de visitas separada no sirve de nada si la señal no llega a la sala de reuniones, la recepción o el área de estar donde generalmente se atienden las visitas. El diseño de cobertura debe considerar todos los espacios donde se necesita conectividad, no solo las áreas de trabajo.
Zonas que suelen quedar sin cobertura
- Salas de reuniones con paredes gruesas: Las salas interiores con paredes de hormigón o yeso con estructura metálica atenúan significativamente la señal desde APs ubicados en el pasillo.
- Recepción y sala de espera: Frecuentemente alejadas del área principal de trabajo donde están los APs.
- Baños y áreas comunes: Rara vez cubiertos intencionalmente, pero donde las visitas suelen usar el celular.
- Terraza o área exterior: Si la empresa tiene espacio exterior de uso común, la señal interior rara vez llega con calidad suficiente.
La solución no siempre es más potencia
El error más común al intentar mejorar la cobertura es aumentar la potencia del AP existente. Más potencia no resuelve el problema de las paredes — solo aumenta la interferencia en zonas ya cubiertas y genera problemas de sticky client donde los dispositivos se aferran al AP aunque estén lejos.
La solución correcta es agregar APs estratégicamente ubicados, con potencia calibrada para cubrir su zona sin solaparse excesivamente con los demás. Un AP bien ubicado en la sala de reuniones, con potencia moderada, da mejor resultado que un AP potente en el pasillo que "intenta" llegar.
Cuántos APs necesita una oficina según su tamaño
Como referencia general para oficinas chilenas con construcción estándar:
- Hasta 100 m²: 1-2 APs bien ubicados, según la distribución de paredes
- 100 a 300 m²: 2-4 APs con cobertura solapada del 20-30%
- 300 a 600 m²: 4-6 APs con diseño de cobertura basado en plano
- Más de 600 m² o múltiples pisos: Diseño con site survey previo, 6+ APs
Estos son valores orientativos — la cantidad real depende de la densidad de paredes, la cantidad de usuarios simultáneos y los tipos de actividad (videoconferencias consumen más que navegación).
Lista de verificación: ¿tu red Wi-Fi de oficina está bien diseñada?
- ☐ ¿Existe una red Wi-Fi separada para visitas con nombre distinto?
- ☐ ¿La red de visitas está bloqueada de los recursos internos por VLAN?
- ☐ ¿El client isolation está activado en la red de visitas?
- ☐ ¿La contraseña de la red de visitas es diferente a la corporativa?
- ☐ ¿La contraseña de visitas se rota periódicamente?
- ☐ ¿Hay cobertura de señal en salas de reuniones y recepción?
- ☐ ¿El ancho de banda de visitas está limitado para no afectar la red corporativa?
- ☐ ¿Se monitorea qué dispositivos están conectados a la red corporativa?
Si marcaste menos de 5, tu red Wi-Fi de oficina tiene brechas de seguridad o de cobertura que vale la pena resolver.
¿Cuánto cuesta implementarlo correctamente?
Para una oficina mediana en Chile de 100 a 300 m²:
- 2-3 APs empresariales con controladora: $300.000 – $600.000 CLP según marca y modelo
- Configuración de VLANs, portal cautivo y QoS: $100.000 – $200.000 CLP
- Total referencial: $400.000 – $800.000 CLP instalado y funcionando
Para oficinas que ya tienen APs instalados pero sin la segmentación correcta, el costo es solo de configuración: entre $80.000 y $150.000 CLP dependiendo del equipamiento existente.
En Union-TI diseñamos e implementamos redes Wi-Fi de oficina en Chile con cobertura total y segmentación corporativa/visitas correctamente configurada. Solicita un diagnóstico gratuito — evaluamos tu espacio y te decimos exactamente qué necesitas.