Configurar redes inalámbricas hoy en día va mucho más allá de elegir un nombre y una contraseña. El uso de perfiles WiFi y de red permite automatizar la conexión, reforzar la seguridad y adaptar el comportamiento de los dispositivos según estemos en casa, en la oficina, en un centro educativo o en una red pública. Bien diseñados, estos perfiles evitan errores de los usuarios, reducen incidencias y blindan mejor tus datos.
En este artículo vas a ver, de forma detallada, cómo se trabaja con perfiles WiFi y de red en distintos entornos. Además, repasaremos la red WiFi de invitados en el router doméstico, las opciones de autoconexión, AutoSwitch y las condiciones basadas en ubicación o tipo de red. La idea es que, al terminar, tengas una visión global de cómo sacarle partido a los perfiles de uso para cada escenario.
Qué es un perfil de red WiFi y por qué merece la pena usarlo
Un perfil de WiFi es, básicamente, un conjunto de parámetros que describe cómo debe conectarse un dispositivo a una red inalámbrica concreta. Incluye el SSID, el tipo de seguridad, la contraseña o certificados, la configuración de proxy, si se debe conectar automáticamente, si la red está oculta y, en muchos casos, ajustes avanzados de autenticación (EAP, 802.1X, etc.).
En entornos corporativos y educativos, estos perfiles se asignan a usuarios, grupos o dispositivos para que la conexión a la red sea automática. Así, alumnos, profesores o empleados no tienen que introducir a mano la contraseña cada vez ni preocuparse por los detalles técnicos. Simplemente, el dispositivo se conecta cuando detecta la red correcta dentro del rango.
Además, los perfiles permiten establecer políticas muy finas de seguridad y acceso: certificados de cliente, validación del servidor, uso de VPN, configuración de cortafuegos y proxy. Todo esto se puede preconfigurar y distribuir desde herramientas de administración centralizada como Configuration Manager, Intune for Education o la consola de administración de Google.
Perfiles WiFi en Configuration Manager (ConfigMgr)
Configuration Manager (rama actual) permite crear y desplegar perfiles Wi‑Fi a equipos Windows y a determinados dispositivos móviles mediante MDM local. De esta manera, los usuarios ven la red corporativa en la lista de redes disponibles y pueden conectarse sin complicaciones. Con toda la seguridad definida por el administrador.
El flujo típico en una empresa sería: crear un perfil Wi‑Fi con todos los parámetros necesarios y asignarlo a los usuarios o dispositivos objetivo. Por ejemplo, todos los portátiles Windows de la organización o aquellos que pertenezcan a una unidad organizativa concreta. El perfil integra tanto la parte de conectividad como la de seguridad.
Creación de un perfil WiFi en Configuration Manager
Desde la consola de Configuration Manager, el proceso se realiza en el área de trabajo de Activos y cumplimiento, dentro de Configuración de cumplimiento y Acceso a recursos de empresa, en el nodo específico de perfiles de WiFi. Allí se lanza el asistente para crear un nuevo perfil.
En la página General del asistente, se define el nombre y la descripción del perfil, el nivel de gravedad en caso de no cumplimiento y la posible importación desde un archivo existente.
Después se pasa a la sección específica de WiFi, donde se establecen datos clave como el nombre de red que verá el usuario, el SSID real, si debe conectarse automáticamente cuando esté al alcance, si se permite buscar otras redes mientras está conectado o si el dispositivo debe intentar unirse aunque el SSID no se esté emitiendo (red oculta).
Seguridad, cifrado y opciones avanzadas
En la parte de seguridad del asistente se elige el tipo de seguridad (por ejemplo WPA2 o redes abiertas), el protocolo de cifrado, el método de autenticación EAP y la forma de almacenar las credenciales. Es posible seleccionar Sin autenticación (Abierto) si se trata de una red sin contraseña, aunque en entornos corporativos no suele ser lo recomendable.
Cuando se utilizan métodos EAP avanzados, el administrador puede configurar certificados de servidor y de cliente, asociados a perfiles de certificados de ConfigMgr. Estos certificados sirven tanto para validar que el punto de acceso es legítimo como para autenticar al propio dispositivo o usuario sin necesidad de contraseña compartida.
El asistente también incluye una página de configuración avanzada. En ella es posible ajustar parámetros adicionales como el modo de autenticación, opciones de inicio de sesión único y otros detalles que dependen del tipo de seguridad elegido. Si la red requiere un servidor proxy, existe una sección dedicada para introducir su dirección, puerto y comportamiento.
Por último, se seleccionan las plataformas compatibles, es decir, las versiones de sistema operativo donde se va a aplicar el perfil Wi‑Fi, y se completa el asistente. A partir de ahí, la distribución a los dispositivos la gestiona Configuration Manager siguiendo las colecciones y reglas definidas.
Perfiles WiFi para centros educativos con Intune for Education
En el ámbito escolar, Intune for Education facilita la creación de perfiles WiFi específicos para dispositivos Windows e iOS, pensados para que alumnos y profesores se conecten a la red del centro sin tener que introducir manualmente los datos.
Estos perfiles se asignan a grupos (por ejemplo, cursos, departamentos o perfiles de profesor/alumno), de modo que todos los dispositivos de un grupo reciben exactamente la misma configuración WiFi. Esto asegura coherencia y evita que se filtren contraseñas o se utilicen redes no autorizadas.
Perfiles WiFi para Windows
Para crear un perfil en Windows dentro de Intune for Education hay que iniciar sesión en el portal, ir a Grupos, elegir el grupo destinatario y entrar en Configuración del dispositivo Windows. Dentro de la categoría Red y conectividad se añade un nuevo perfil WiFi.
En este asistente se introduce información como el nombre del perfil, el SSID, el tipo de seguridad (WPA2-Personal u Open), la contraseña y una breve descripción. Intune for Education, en este contexto, se centra en WPA2-Personal como mecanismo seguro y en redes abiertas cuando no existe autenticación, dejando claro que esta última opción no ofrece protección.
Configuración de redes WiFi, Ethernet, VPN y móviles en la consola de Google
Para organizaciones que trabajan con dispositivos Android y ChromeOS, la consola de administración de Google permite definir configuraciones de red centralizadas para WiFi, Ethernet, VPN y redes móviles. Estas políticas pueden aplicarse a la organización entera o a unidades organizativas concretas.
En el caso del WiFi, la consola admite plataformas como iOS, Android, dispositivos ChromeOS (por usuario o por dispositivo) y hardware de salas de reuniones de Google. Para Ethernet, la configuración se aplica a ChromeOS y equipos de salas. Para VPN, a dispositivos ChromeOS administrados.
Buenas prácticas y límites de configuración
Entre las recomendaciones de Google destaca la de definir al menos una red WiFi que se conecte automáticamente para la unidad organizativa principal. Garantizando así que los dispositivos puedan acceder a Internet incluso en la pantalla de inicio de sesión.
Cada unidad organizativa puede manejar hasta 300 redes WiFi preconfiguradas. Eso da juego para separar redes internas, de invitados, de pruebas, etc. Si no se indica contraseña al configurar una red, los usuarios podrán introducirla en el dispositivo. Si se define una contraseña desde la consola, esta prevalece y los usuarios no podrán modificarla.
Para escenarios con IP estáticas, se recomienda usar reservas en el servidor DHCP y combinarlo con otros mecanismos de autenticación para identificar los dispositivos. Hay que tener en cuenta que DHCP por sí mismo no autentica.
Creación de redes Wi‑Fi con seguridad avanzada (EAP, 802.1X)
Al crear una red WiFi en la consola, el administrador define nombre interno, SSID, si el SSID se emite, conexión automática y tipo de seguridad. Para redes con WPA/WPA2/WPA3 Enterprise (802.1X) o WEP dinámico, se eligen los métodos EAP soportados (PEAP, LEAP, EAP‑TLS, EAP‑TTLS, EAP‑PWD) y se configuran los parámetros específicos.
Esto incluye campos como identidad externa, nombre de usuario administrativo, contraseña, autoridad certificadora (CA) y coincidencia del sufijo de dominio del certificado de servidor. En Android 13 o superior, elegir CA y sufijos de dominio deja de ser opcional y pasa a ser un requisito de seguridad para prevenir ataques de tipo man-in-the-middle.
Para EAP‑TLS se añade además el método de aprovisionamiento de certificados de cliente: perfil SCEP o un patrón de certificado basado en una URL de inscripción. El certificado que entregue el servidor debe cumplir las condiciones estrictas del patrón de emisor o de sujeto. Si no coincide, no se utilizará ese certificado.
Proxy, DNS, portal cautivo y credenciales por política
Tanto en redes WiFi como Ethernet y VPN, la consola de Google permite definir el tipo de proxy de red: sin proxy, proxy manual, archivo PAC o detección automática WPAD. En el modo manual se indican los distintos hosts de proxy (incluyendo SOCKS), puertos y dominios excluidos (sin proxy), con soporte de comodines y rangos CIDR para IPv4.
También se pueden fijar servidores DNS estáticos y dominios de búsqueda. Si estos campos se dejan vacíos, se recurrirá a los valores proporcionados por DHCP. Eso suele ser suficiente en instalaciones estándar.
Otra pieza clave es la detección de portal cautivo, muy habitual en redes de invitados de hoteles, empresas o universidades. Se puede desactivar totalmente o activar para que ChromeOS detecte las páginas de autenticación. Existe incluso la opción de realizar solo sondeos HTTP si la infraestructura no maneja bien las peticiones HTTPS de comprobación.
Redes Ethernet, VPN y móviles (eSIM)
En Ethernet se configuran redes con o sin autenticación Enterprise (802.1X), reutilizando los mismos métodos EAP que en Wi‑Fi (PEAP, LEAP, EAP‑TLS, EAP‑TTLS, EAP‑PWD) y añadiendo opciones específicas como la versión máxima de TLS en EAP‑TLS o el aprovisionamiento de certificados mediante SCEP o patrones.
Para VPN, la consola permite crear perfiles con distintos tipos de VPN, incluyendo OpenVPN y L2TP/IPsec con clave precompartida. Se definen el host remoto, el puerto, el protocolo de transporte, las CA aceptadas para validar el servidor y, de ser necesario, la inscripción automática de certificados de cliente.
En redes móviles, la administración se centra en dispositivos ChromeOS compatibles con eSIM. El administrador crea una red móvil indicando la URL de activación SMDP+ o SM‑DS, que sirve para que el dispositivo descargue e instale el perfil de eSIM. Una vez activado, el perfil solo se puede eliminar reseteando la eSIM, por lo que conviene planificar bien la estrategia con el operador.
Autoconexión y prioridad de redes en ChromeOS
Google permite establecer que solo las redes administradas se conecten automáticamente en ChromeOS. De este modo se evita que los dispositivos se enganchen por su cuenta a redes abiertas o no gestionadas. Aun así, el usuario puede conectar manualmente a una red externa o a una Ethernet enchufando el cable.
En cuanto a la selección de red cuando hay varias disponibles, el sistema prioriza por tecnología (Ethernet sobre WiFi, y WiFi sobre móvil), redes preferidas por el usuario, redes administradas, nivel de seguridad (TLS por encima de PSK y abiertas solo si no hay otra alternativa) y, finalmente, redes configuradas por el usuario frente a las configuradas por el dispositivo.
Perfiles y programas para gestionar redes en Windows
Más allá de las herramientas corporativas, en entornos de usuario avanzado o pequeñas empresas hay aplicaciones para Windows que permiten crear perfiles de red muy completos y cambiar entre ellos con un clic. Y complementarlas con herramientas para controlar tu red y datos. Son especialmente útiles para portátiles que cambian de entorno con frecuencia (casa, oficina, cliente, universidad…).
Easy Net Switch
Easy Net Switch es una aplicación de pago que destaca por la gran cantidad de parámetros de red que permite agrupar en un único perfil. Aunque su interfaz recuerda a versiones antiguas de Windows, sigue siendo compatible desde Windows XP hasta Windows 11 y ofrece incluso un modo de línea de comandos para automatizar tareas.
Con este programa se pueden definir, por cada perfil, direcciones IP, máscara, puerta de enlace, DNS, WINS, NetBIOS, dirección MAC (con soporte de MAC spoofing), configuración de WiFi, VPN, proxy, firewall de Windows, fichero hosts, scripts a ejecutar, impresora predeterminada, unidades de red, rutas estáticas, zona horaria, cliente de correo y muchas otras opciones.
A nivel inalámbrico, permite crear perfiles WiFi indicando el SSID, escaneando redes cercanas y configurando tanto la autenticación PSK como RADIUS con EAP robusto. Incluso se puede configurar que el programa use una pila Wi‑Fi propia en lugar del método de autodetección del sistema operativo.
La aplicación informa al usuario del resultado al aplicar un perfil, mostrando si alguna tarea ha fallado y detallando los cambios realizados. También integra utilidades como ping y traceroute, y remite a la guía completa de comandos CMD para redes, además de un widget de escritorio con la configuración IP actual.
TCP/IP Manager, IP Shifter y NetSetMan
TCP/IP Manager es una solución gratuita y de código abierto que se centra en cambiar rápidamente entre perfiles de direccionamiento IP, DNS, proxy, nombre de grupo de trabajo y dirección MAC. Permite importar la configuración actual, asociar scripts batch y alternar perfiles con atajos de teclado.
IP Shifter, por su parte, ofrece un enfoque más sencillo: cambio rápido de IP, máscara, puerta de enlace y DNS sin reiniciar, soporte de múltiples adaptadores (Ethernet y WiFi), configuración de proxy para navegadores como Edge o Firefox, herramientas integradas de ping y descubrimiento de equipos en red local, y detección de la IP pública.
NetSetMan se parece a Easy Net Switch, pero con una potente edición gratuita. Permite gestionar muchos aspectos de la red: IP, DNS, grupo de trabajo, impresora predeterminada, unidades de red, tabla de rutas, servidor SMTP, nombre del PC, MAC, estado y velocidad de la tarjeta, configuración de VPN, WiFi, ejecución de scripts y programas externos, etc. La versión Pro añade soporte de proxy y dominios, con orientación clara a entornos empresariales, y elimina el límite de perfiles (la versión gratuita se limita a ocho).
Perfiles de red de invitados en el router doméstico
En casa, un uso muy práctico de los perfiles de red es la creación de una red WiFi de invitados separada de la red principal. Todos los routers domésticos actuales incluyen al menos una red principal, y muchos añaden la posibilidad de activar una o varias SSID de invitados. Además, es recomendable comprobar quién está conectado con herramientas para descubrir cuántos dispositivos están en tu red WiFi.
El objetivo es que los dispositivos de visitas no tengan acceso a tu red interna ni a equipos sensibles como un NAS o un PC con carpetas compartidas. Si conectas a los invitados a la red principal, pueden, en teoría, capturar tráfico e intentar ataques a otros dispositivos. O, si están infectados, propagar malware por tu LAN.
La red de invitados tiene un SSID propio, una contraseña distinta y suele integrar funciones como el aislamiento de clientes (AP Isolation). Esta característica impide que los dispositivos conectados a la red de invitados se vean entre sí. Algo muy típico en redes públicas de hoteles o aeropuertos para evitar contagios entre clientes.
Acceso al router y activación de la red de invitados
Para activarla, lo habitual es entrar a la configuración del router desde un navegador, usando la puerta de enlace predeterminada, que suele ser 192.168.1.1 aunque puede variar. En Windows se puede averiguar con el comando ipconfig, fijándose en el campo Puerta de enlace predeterminada o Gateway.
Tras introducir la contraseña de administración del router (suele estar en una pegatina o haber sido personalizada la primera vez), se accede al menú donde se configura el WiFi principal y, en una sección aparte, la red WiFi de invitados. Ahí se puede habilitar la red, definir el nombre y establecer la contraseña.
Es aconsejable que el SSID de invitados no use caracteres extraños ni tildes, y que la contraseña sea robusta pero relativamente fácil de dictar. Ten en cuenta que la vas a compartir con frecuencia. En muchos routers se genera un código QR que los invitados pueden escanear para conectarse sin escribir la clave.
Los routers de marcas como ASUS o AVM suelen ofrecer opciones adicionales para la red de invitados: limitador de ancho de banda, portal cautivo con una página de bienvenida o condiciones de uso, posibilidad (no recomendable) de permitir acceso a la intranet, control parental, subred separada y horarios de funcionamiento. Cuanto más completo sea el firmware, más fino podrás perfilar este «perfil de uso» para las visitas.
Perfiles de conexión y cortafuegos: redes privadas y públicas
Los perfiles de red no solo afectan a la forma de conectarse, sino también a cómo responde el cortafuegos según la clasificación de la red como privada o pública. Herramientas como las suites de seguridad o el propio sistema operativo aplican reglas distintas en función de si consideran la red como fiable (doméstica/oficina) o no fiable (pública).
Muchos productos de seguridad definen perfiles preestablecidos. Por ejemplo: Privado (red de confianza) y Público (red no de confianza). En el modo Privado se habilita el uso compartido de archivos e impresoras, la comunicación entrante necesaria para escritorio remoto, RPC, etc. En el modo Público se bloquean estas funcionalidades para reducir la superficie de ataque.
Algunos cortafuegos permiten crear perfiles de conexión personalizados con reglas específicas de firewall y condiciones de activación. Estas condiciones pueden basarse en el tipo de red, el SSID, el adaptador utilizado o incluso la presencia de determinadas direcciones IP de confianza, y se evalúan en un orden de prioridad configurable (arriba/abajo en la lista de perfiles).
Perfiles WiFi públicos en suites de seguridad
Un ejemplo muy claro es el perfil de redes Wi‑Fi públicas en soluciones como Bitdefender. Al detectar que el dispositivo se conecta a una WiFi considerada poco fiable, el producto cambia automáticamente a este perfil, ajustando varias capas de protección.
En ese contexto, se activan funciones como Defensa contra amenazas avanzadas, un cortafuegos más restrictivo con el adaptador inalámbrico en modo oculto, tipo de red pública y protección frente a ciberestafas y antiphishing.
El usuario puede entrar en el apartado de Perfiles o Utilidades del producto de seguridad y configurar que estos ajustes se apliquen siempre que se conecte a una red WiFi pública poco fiable. De esa manera, el perfil se activa de forma transparente, sin que la persona tenga que acordarse de cambiar nada cada vez que usa una red abierta de un bar, hotel o aeropuerto.
Activación automática de perfiles: AutoSwitch y disparadores personalizados
Algunos gestores de perfiles, como NetSetMan, ofrecen funciones de cambio automático de perfil (AutoSwitch) basadas en condiciones personalizadas. De este modo, el usuario no tiene que elegir manualmente el perfil adecuado cada vez que llega a una oficina, conexión VPN o red concreta.
Para cada perfil se pueden definir múltiples condiciones. Sin embargo, se recomienda mantenerlas sencillas para evitar comportamientos confusos. Las condiciones pueden requerir que se cumplan todas o, alternativamente, que baste con que se cumpla al menos una para activar ese perfil.
Si varias condiciones de distintos perfiles se cumplen a la vez, el orden de prioridad en la lista de perfiles decide cuál se aplica. En el panel de AutoSwitch, el usuario ve fácilmente qué condiciones están según el color:
- Verde (cumplidas).
- Rojo (no se cumplen).
- Gris (sin relevancia porque ya se ha encontrado un perfil anterior válido).
La activación automática puede configurarse para que muestre un mensaje con cuenta atrás que permita cancelar el cambio, utilice una notificación nativa de Windows o, directamente, cambie de perfil en segundo plano. En este último caso, el icono en la bandeja del sistema se anima y cambia temporalmente de color para indicar el proceso y su resultado.
Para ahorrar recursos, este tipo de software no compara continuamente toda la configuración actual con la del perfil. Si el usuario modifica manualmente ajustes de red, el programa no siempre detectará esos cambios. Conviene tenerlo en cuenta para evitar sorpresas si se tocan parámetros fuera del gestor de perfiles.
Todo este ecosistema de perfiles WiFi y de red —desde herramientas corporativas como Configuration Manager, Intune o la consola de Google hasta utilidades para Windows, redes de invitados en el router y perfiles de seguridad en suites antivirus— demuestra que definir bien los perfiles de uso es una de las formas más eficaces de ganar en comodidad, seguridad y control sobre cómo se conectan tus dispositivos. Tanto en redes de confianza como en WiFi públicas o entornos complejos de empresa y educación.
