Un Wi-Fi que "funciona" en la oficina no es lo mismo que un Wi-Fi empresarial diseñado. El primero llena el espacio con señal hasta donde llega; el segundo se diseña con cobertura calculada, múltiples SSIDs con VLAN, autenticación por usuario y roaming fluido entre access points. La diferencia se nota en productividad, seguridad y vida útil de la inversión.
Esta guía recorre los elementos clave de un Wi-Fi empresarial moderno: site survey, vendors, seguridad con WPA3-Enterprise, Wi-Fi 6/6E y prácticas de diseño validadas. Referencia técnica: Wi-Fi Alliance. Regulación chilena: SUBTEL autorizó el uso de 6 GHz indoor en 2022.
Contenido
Wi-Fi empresarial vs doméstico
Un router Wi-Fi de supermercado y un access point empresarial no comparten prácticamente nada más allá de que ambos emiten señal. Las diferencias que importan en operación:
| Aspecto | Wi-Fi doméstico | Wi-Fi empresarial |
|---|---|---|
| Gestión | Por dispositivo | Controlador centralizado (cloud o local) |
| SSIDs | 1-2 (corp + guest) | Multiple SSID con VLAN |
| Autenticación | PSK compartida | 802.1X por usuario / WPA3-Enterprise |
| Roaming | Cliente decide (mal) | Asistido: 802.11k/v/r |
| RF management | Manual o automático básico | RRM: ajuste de canal y potencia continuos |
| Densidad | 5-15 clientes | 30-50+ por AP |
| Monitoreo | Inexistente | Dashboards, alertas, analytics |
| PoE | No (fuente externa) | PoE+/PoE++ por switch gestionado |
Site survey: el paso que todos saltan
Desplegar Wi-Fi empresarial sin site survey es como construir una casa sin planos. Hay dos momentos:
Predictive survey (diseño en planos)
Con Ekahau AI Pro, iBwave, Hamina o Cisco DNA Plan se carga el plano CAD, se mapean materiales (concreto, vidrio, muros yeso), se ubican APs virtuales y el software predice cobertura, SNR e interferencia. Entrega BoM aproximado y ubicaciones sugeridas.
On-site survey (medición real)
Post-deploy (o pre, si el espacio existe) se camina el área con el equipo midiendo RSSI, SNR, throughput y canales vecinos. Detecta interferencias reales (microondas, bluetooth industrial, APs rogue) y ajusta potencia/canal/ubicación final.
Wi-Fi 6, 6E y 7: qué elegir
Wi-Fi 6 (802.11ax, 2.4/5 GHz)
Estándar maduro, soportado masivamente en laptops post-2020. Introduce OFDMA (múltiples clientes por canal), MU-MIMO bidireccional, TWT (ahorro energía para IoT) y BSS coloring (reducción interferencia). Es la base mínima para un despliegue nuevo.
Wi-Fi 6E (agrega 6 GHz)
Abre la banda de 6 GHz con ~1200 MHz adicionales de espectro limpio (en Chile, SUBTEL autorizó el rango indoor en 2022). Menos interferencia, más canales de 80/160 MHz. Requiere que el cliente también soporte 6 GHz.
Wi-Fi 7 (802.11be)
En despliegue inicial a fines de 2024. Agrega MLO (Multi-Link Operation), modulación 4096-QAM y canales 320 MHz. Todavía pocos clientes; evalúa solo si hay casos de uso específicos (VR corporativa, streaming masivo).
Seguridad: WPA3-Enterprise y 802.1X
WPA2-Personal con contraseña compartida es el patrón típico de PYME, y también el más inseguro: si un empleado filtra la clave (o se va con ella), toda la red queda comprometida.
WPA3-Enterprise
Publicado por Wi-Fi Alliance en 2018, mejora WPA2 con:
- SAE (Simultaneous Authentication of Equals) para resistir dictionary attacks
- Forward secrecy: comprometer una sesión no compromete las anteriores
- Modo 192-bit para entornos de alta seguridad (GCMP-256, HMAC-SHA384)
- Integración con 802.1X + RADIUS obligatoria
802.1X con RADIUS
Cada usuario se autentica con sus credenciales corporativas (normalmente integradas con Active Directory o Microsoft Entra ID) contra un servidor RADIUS. Combinado con MFA para endpoints sensibles.
EAP methods: cuál usar
- EAP-TLS: certificado en servidor y cliente. Máxima seguridad, exige PKI
- PEAP-MSCHAPv2: certificado solo en servidor, usuario/contraseña cliente. Compromiso aceptable
- EAP-TTLS: similar a PEAP, más flexible en métodos internos
- Evita: LEAP (deprecated) y EAP-MD5 (nunca para Wi-Fi)
Múltiples SSIDs con VLAN
Un diseño empresarial típico usa 3-5 SSIDs, cada uno asignado a una VLAN específica (ver segmentación con VLANs):
| SSID | Seguridad | VLAN | Uso |
|---|---|---|---|
| Corp-WiFi | WPA3-Enterprise + 802.1X | 30 (USERS) | Empleados con credenciales corporativas |
| BYOD-WiFi | WPA2/3-Enterprise + MDM enrollment | 35 (BYOD) | Dispositivos personales gestionados |
| Guest-WiFi | Captive portal + WPA3-Personal | 70 (GUEST) | Visitas con voucher o social login |
| IoT-WiFi | WPA3-Personal (PSK dedicada) | 60 (IOT) | Cámaras, sensores, printers |
Vendors: Aruba, Ubiquiti, Meraki, Ruckus
| Vendor | Producto | Fortalezas | Casos típicos |
|---|---|---|---|
| HPE Aruba | InstantOn / Mobility | AirMatch, AI ops, excelente roaming | Enterprise, educación, salud |
| Cisco Meraki | MR-Series | Dashboard cloud, UI simple | Retail multi-sucursal, PYME |
| Ubiquiti UniFi | U6/U7 series | Mejor costo/beneficio, controller gratuito | PYMES, co-working, startups |
| Ruckus (CommScope) | R-Series | Excelente en alta densidad (estadios, eventos) | Hotelería, educación |
| Fortinet | FortiAP | Integración nativa con FortiGate Security Fabric | Clientes Fortinet existentes |
| Extreme Networks | ExtremeWireless | AI-driven, buen roaming | Enterprise con despliegue existente |
| TP-Link Omada | EAP series | Muy económico, funcional | Micro-empresas, oficinas pequeñas |
Mejores prácticas operativas
Diseño RF
- Usar solo canales no-solapados: 1, 6, 11 en 2.4 GHz (o deshabilitar 2.4 GHz si es posible)
- En 5 GHz preferir canales UNII-1 y UNII-3 (evitar DFS en zonas con radar)
- Configurar ancho de canal 40 MHz en 5 GHz; 80 MHz solo en entornos bajos de densidad
- Reducir potencia TX para evitar "gritar": 14-17 dBm típicamente, nunca max (20+)
- Habilitar 802.11k, 802.11v y 802.11r para roaming asistido
Cableado e infraestructura
- Cat6 o Cat6A al AP; Cat6A obligatorio si el AP hace 2.5/5 Gbps o 10 GbE
- PoE+ (30W) mínimo para Wi-Fi 6; PoE++ (60W) para Wi-Fi 6E de alta gama
- Switch con suficiente budget PoE agregado (no solo por puerto)
- Cable al techo, no a pared; antenas omnidireccionales emiten hacia abajo
Gestión y monitoreo
- Firmware actualizado trimestral (revisar CVEs críticos mensualmente)
- Integración con monitoreo proactivo (syslog, SNMP, API)
- Alertas por AP caído, interferencia alta, clientes con autenticación fallida repetida
- Reporte mensual: uso, clientes conectados, top applications
- Auditoría semestral de configuración y seguridad
Combina Wi-Fi empresarial con SD-WAN bien diseñado y segmentación VLAN correcta para una experiencia de usuario moderna y segura.
¿Diseñamos tu Wi-Fi empresarial?
UpTech realiza site surveys, diseña e implementa Wi-Fi empresarial con Aruba, Ubiquiti, Meraki y Fortinet en Chile.
Ver Redes e Infraestructura →Preguntas frecuentes
¿Qué diferencia hay entre Wi-Fi empresarial y Wi-Fi doméstico?
El Wi-Fi empresarial usa controladores centralizados, múltiples SSIDs con VLAN, roaming asistido (802.11k/v/r), autenticación 802.1X por usuario, gestión RF continua y monitoreo permanente. El doméstico es plug-and-play con una PSK y pocos clientes concurrentes.
¿Wi-Fi 6 o Wi-Fi 6E para empresa?
Wi-Fi 6E agrega la banda de 6 GHz con más canales limpios. En Chile, SUBTEL autorizó el uso del rango indoor en 2022. Si el presupuesto lo permite y tienes clientes recientes (Intel AX210, iPhone 15+), Wi-Fi 6E es la mejor inversión. Si no, Wi-Fi 6 puro sigue siendo válido.
¿Cuántos usuarios soporta un access point?
Entre 20 y 50 usuarios concurrentes reales en tareas ofimáticas, dependiendo del modelo, banda y tipo de tráfico. APs de alta gama como Aruba AP-655 o Ubiquiti U7 Pro soportan más. Diseña por densidad real, no por área teórica.
¿WPA2 sigue siendo suficiente?
WPA2-Enterprise es aún aceptable para entornos estándar, pero WPA3-Enterprise es el estándar recomendado hoy, con protección contra dictionary attacks y forward secrecy. En contextos de alta seguridad, usa WPA3-Enterprise 192-bit suite.
¿Puedo mezclar vendors de APs?
Técnicamente sí (todos hablan 802.11), pero pierdes beneficios clave: roaming optimizado, RF management centralizado y dashboard unificado. Mejor estandarizar por ubicación/sitio en un solo vendor y usar otro solo si hay justificación específica.
¿Los invitados pueden comprometer la red corporativa?
Con diseño correcto, no. El SSID Guest debe ir en una VLAN aislada con salida directa a internet y sin acceso a la red interna. Idealmente usa captive portal con voucher temporal. Ningún invitado debería recibir una PSK corporativa.