Si cada vez que viene alguien a casa o a la oficina te pide la clave del WiFi, quizá ha llegado el momento de poner orden. Crear una red de invitados (o un hotspot con límite de velocidad) es una forma muy sencilla de prestar internet sin poner patas arriba la seguridad ni el rendimiento de tu red principal. Y lo mejor: en la mayoría de casos no necesitas comprar nada, solo conocer bien las opciones de tu router.
Más allá de la típica “WiFi de invitados” del menú, hoy casi todos los routers domésticos y profesionales permiten aislar a los invitados, limitar su ancho de banda, ponerles horario, tope de dispositivos y hasta portal cautivo. Vamos a ver, con calma y en detalle, cómo funciona todo esto, qué ventajas tiene y cómo montarlo tanto en casa como en un negocio, incluyendo el punto clave: poner un límite de velocidad para que nadie te deje sin ancho de banda.
¿Qué es una red WiFi de invitados y por qué te interesa?
Una red de invitados es, básicamente, un segundo punto de acceso WiFi separado de tu red principal. Desde fuera parece otra WiFi más (con su propio nombre y contraseña), pero internamente el router la aísla: los dispositivos que se conectan ahí salen a Internet, pero no ven ni tus ordenadores, ni tus móviles, ni tu impresora, ni tu NAS.
Este aislamiento puede hacerse de varias formas; en muchos equipos se combina el uso de un SSID independiente, una VLAN distinta y opciones como “Guest network” o “Client isolation”. El resultado práctico es que los invitados pueden navegar, usar redes sociales, ver vídeos, etc., pero sin poder “husmear” recursos compartidos ni lanzar ataques hacia tus dispositivos.
Además, las redes de invitados modernas suelen incorporar controles adicionales muy útiles: límite de velocidad, tope de clientes, horarios de uso, filtrado web o incluso portales cautivos como los que ves en aeropuertos, cafeterías o bibliotecas.
Riesgos de compartir tu WiFi principal con invitados
Dar tu contraseña de siempre puede parecer inofensivo, pero desde el punto de vista de seguridad equivale a entregar una copia de las llaves de tu casa o de tu negocio. A partir de ese momento, cualquier persona que tenga esa clave puede conectarse cuando quiera y, lo que es peor, su dispositivo pasa a convivir en la misma red que los tuyos.
Ese escenario implica varios peligros serios: exposición de archivos compartidos, acceso a impresoras o discos de red, o incluso a equipos críticos como TPV, cámaras IP o servidores. En un restaurante, por ejemplo, mezclar en la misma red los móviles de los clientes y los terminales de cobro es una invitación a problemas de seguridad.
Tampoco hay que olvidar el malware. Si el móvil o el portátil de tu invitado está infectado (y puede que ni lo sepa), al conectarse a tu WiFi principal ese software malicioso puede intentar propagarse por la red: desde la consola de juegos al portátil con el que trabajas, o cualquier dispositivo IoT poco protegido.
Por último, está el tema del uso indebido de tu conexión. Si alguien con tu clave realiza actividades ilegales (descargas, ataques, etc.), a efectos de investigación lo que aparece es tu dirección IP. Otra razón más para limitar quién entra y cómo.
Ventajas de usar una red de invitados con límite de velocidad
Configurar una WiFi de invitados no es solo una cuestión de seguridad; también es una excelente forma de gestionar mejor los recursos de tu conexión y mantener el control sobre lo que ocurre en tu red.
La primera ventaja clara es el aislamiento: los dispositivos invitados se organizan en su propio “corralito” y no alcanzan tus equipos personales o corporativos ni los servicios internos. Sin comunicación directa, es mucho más difícil que puedan curiosear carpetas compartidas o lanzar ataques de red.
Otro punto muy interesante es que la red de invitados tiene su propia contraseña y configuración independientes. Si sospechas que la clave se ha filtrado o simplemente han pasado demasiadas personas, puedes cambiarla sin necesidad de reconfigurar todos tus aparatos habituales ni dejar tu casa u oficina sin conexión mientras lo haces.
Donde entra en juego de lleno la consulta “Crea un hotspot con límite de velocidad para invitados” es en la parte de rendimiento. Casi todos los routers modernos permiten limitar el ancho de banda de la red de invitados mediante QoS o controles específicos de guest network. Así te aseguras de que, aunque medio bar esté viendo vídeos en streaming, tu videollamada, tu partida online o tu backup al NAS no se vayan al traste.
En entornos profesionales también puedes aprovechar la red de invitados para aplicar filtros de contenido, cuotas de tráfico o listas negras. De este modo evitas que alguien descargue malware o acceda a páginas problemáticas utilizando tu conexión, lo que además reduce el riesgo legal para ti.
¿Cómo crear una WiFi de invitados en tu router paso a paso?
En casa, la forma más habitual de montar una red de invitados es usar el propio router del operador o un router neutro. La mayoría ya traen una opción específica, aunque la ruta exacta del menú cambia según el modelo y la marca. Lo normal es algo así:
- Abre el navegador en un dispositivo conectado al router y escribe en la barra de direcciones 192.168.1.1 o 192.168.0.1. Son las direcciones más comunes; si no funcionan, en Windows puedes ejecutar ipconfig y buscar la puerta de enlace predeterminada.
- Inicia sesión con el usuario y contraseña de administración. Suelen venir en una pegatina bajo el router y, de fábrica, suelen ser combinaciones tipo admin/admin, admin/1234, users/1234… Lo ideal es cambiarlos cuanto antes por claves más robustas.
- En el panel de configuración, entra en la sección WiFi, Wireless o similar. Algunos equipos muestran claramente “Red de invitados”; en otros hay que ir a menús como “Advanced”, “Virtual Access Point” o “Guest SSID”.
- Activa la red de invitados (suele haber un interruptor tipo on/off) y asigna un nombre de red (SSID) y una contraseña propios. Muchos routers añadirán de forma automática etiquetas como “-guest” o “-invitados” al nombre principal.
- Elige el tipo de seguridad. A día de hoy lo recomendable es WPA2 o, si tu router lo permite, WPA3. Evita WEP o WPA “a secas”, que están obsoletos y se rompen con relativa facilidad.
- Marca las opciones de aislamiento de invitados si aparecen, algo del estilo “Bloquear acceso a intranet” o “Prohibir acceso a red local”. Es la clave para que la red de invitados no vea tus equipos internos.
- En muchos routers podrás elegir la banda. Para invitados, 2,4 GHz suele ser la más compatible, ya que hay móviles y dispositivos antiguos que no soportan 5 GHz.
- Guarda los cambios y prueba con el móvil. Conéctate a la nueva red, comprueba que tiene Internet y que no accede a tus dispositivos de la red principal (por ejemplo, no ver tus carpetas compartidas o tu impresora).
Algunos operadores, como Movistar, Orange o Vodafone, también ofrecen la activación de la WiFi de invitados desde sus propias apps móviles. En estos casos, basta con abrir la app (Smart WiFi, Mi Orange, etc.), ir al apartado “Mi WiFi”, “Mi Livebox”, “Configurar WiFi” o similar, y activar la red de invitados, cambiando nombre y clave desde el móvil. Suelen incluir incluso botones para compartir la clave por WhatsApp o mostrar un código QR.
Crea un hotspot con límite de velocidad: control de ancho de banda
Una vez que tienes levantada la red de invitados, el siguiente paso es convertirla en un hotspot con límite de velocidad, es decir, una WiFi para terceros que no pueda comerse todo tu ancho de banda. Aquí entran en juego las funciones de QoS (Quality of Service) o los controles específicos de invitados.
En muchos routers domésticos, dentro del menú de red de invitados o en la parte de configuración avanzada, verás opciones del tipo “Limitar ancho de banda”, “Guest bandwidth control” o “Número máximo de clientes”. Desde ahí puedes definir cuántas conexiones simultáneas aceptas y la velocidad máxima de subida y bajada que tendrán.
Lo habitual es poder asignar un porcentaje del total. Por ejemplo, si tienes 600 Mbps de fibra, podrías reservar 100-150 Mbps para la red de invitados y mantener el resto para tu uso principal. En algunos modelos se hace fijando valores absolutos (por ejemplo 20 Mbps de subida y 100 de bajada), y en otros mediante reglas de QoS más genéricas para todos los SSID.
Para un bar, restaurante, oficina con visitas frecuentes o un Airbnb, esta opción es imprescindible: con un límite de velocidad evitas que cuatro personas viendo vídeo en alta calidad dejen el resto de servicios tiritando. Y si el router lo permite, puedes combinarlo con un límite de dispositivos simultáneos para impedir que alguien vincule toda su colección de aparatos personales a la red de invitados.
Redes para invitados en routers de operadoras: ejemplos prácticos
Si utilizas el router que te ha dado tu operadora, es muy probable que ya traiga todo esto bastante masticado. Lo normal es que la red de invitados venga integrada, con un asistente sencillo al que se accede desde el navegador o desde la app.
En el caso de ciertos routers de Movistar, por ejemplo, la forma más cómoda es usar la aplicación Smart WiFi. Desde ella se entra en “Mi Red > Mi WiFi” y se activa la opción “Red WiFi de Invitados”, que al habilitarse permite cambiar nombre y contraseña y compartirlos fácilmente. El control de velocidad suele encontrarse en opciones de calidad de servicio o de ancho de banda.
En routers Livebox de Orange, la empresa indica que la WiFi de invitados solo tiene acceso a Internet y no a los equipos de tu casa. Se puede activar desde el panel web siguiendo la ruta “Básica > Wi-Fi > Acceso de Invitados”, eligiendo una nueva clave de invitados y activando el interruptor correspondiente. Desde la app Mi Orange también se puede gestionar, incluyendo planificación de horarios, apagado/encendido o cambio de nombre.
Vodafone ofrece algo similar: desde el área de clientes, entrando en “Mis Productos > Productos y Servicios > Fibra > Gestionar WiFi” se accede a los apartados donde habilitar la red inalámbrica de invitados. Alternativamente, desde la URL local del router se encuentran las mismas funciones, a menudo con más detalle para tocar límites de velocidad o dispositivos.
Opciones avanzadas: VLAN, portales cautivos y redes profesionales
En entornos con más tráfico o necesidades profesionales (oficinas grandes, hoteles, espacios de coworking), suele ser mejor ir un paso más allá y crear una red de invitados completamente separada a nivel de VLAN y firewall. Aquí ya no hablamos solo del SSID del router doméstico, sino de puntos de acceso profesionales y soluciones tipo pfSense, OPNsense o similares.
En estas configuraciones, lo habitual es dedicar uno o varios puntos de acceso exclusivamente a invitados, en una VLAN distinta con reglas de firewall estrictas que solo permiten salida a Internet y bloquean cualquier intento de acceder a la red interna. Además, se combinan con portales cautivos: redes abiertas o semiautónomas que redirigen al usuario a una página de login o aceptación de condiciones antes de navegar.
Es el tipo de sistema que ves en aeropuertos, bibliotecas o cafeterías grandes. El portal cautivo permite registrar usuarios, aplicar tiempos de sesión, limitar el ancho de banda por dispositivo y mostrar avisos legales. Eso sí, la puesta en marcha de estas plataformas suele requerir conocimientos de redes o una empresa especializada.
Para empresas más técnicas se pueden añadir herramientas de monitorización como NetAlertX u otras soluciones de análisis de tráfico, que facilitan ver 24/7 qué está ocurriendo en la red de invitados: qué dispositivos entran, consumos, patrones sospechosos, etc. Es un mundo aparte, pero muy interesante cuando la WiFi de invitados deja de ser algo anecdótico y pasa a ser un servicio clave.
Soluciones cuando tu router no soporta redes de invitados
No todos los routers, especialmente los modelos antiguos o muy básicos, disponen de una función de WiFi para invitados. En esos casos tienes varias vías para montar igualmente un hotspot aislado con límite de velocidad:
- Actualizar el router a un modelo más moderno que incluya red de invitados, QoS y soporte WPA3. Es la solución más limpia si quieres más control sobre tu red.
- Usar un router secundario como punto de acceso dedicado a invitados. Puedes conectar un segundo router al principal y configurarlo, por ejemplo, en una subred diferente o con NAT propio, asignando una WiFi exclusiva para visitas. De este modo, la LAN principal y la de invitados quedan separadas.
- Optar por un sistema de red de malla (mesh) tipo Google Nest WiFi, Eero, etc., que suelen traer una interfaz muy sencilla para crear y gestionar redes de invitados, a menudo con límites de dispositivos, horarios y acceso desde app móvil.
Si te manejas bien con redes, también podrías recurrir a soluciones como pfSense u OPNsense instaladas en un equipo dedicado, que actúe como cortafuegos y gestor de múltiples VLAN. Desde ahí podrías crear una LAN o VLAN de invitados con reglas muy afinadas, límites de velocidad por IP y portales cautivos a medida.
Buenas prácticas al configurar tu WiFi de invitados
Crear la red es solo la mitad del trabajo; para que sea realmente segura y funcional es importante tener en cuenta algunas recomendaciones muy concretas. La primera es no dejar la red abierta ni protegerla con una contraseña ridícula. Que sea “solo para invitados” no significa que pueda estar sin seguridad: tus visitas también merecen que su tráfico esté cifrado y protegido.
El segundo consejo es elegir siempre cifrado WPA2 o, si se puede, WPA3. Los estándares más antiguos como WEP o ciertos modos de WPA son fácilmente vulnerables y no deberían usarse en ningún entorno serio. Activar el cifrado adecuado es tan importante como poner una buena contraseña.
También conviene cambiar la clave de la red de invitados de vez en cuando, especialmente si la usas en un negocio con mucho tráfico de paso. Renovar la clave cada cierto tiempo reduce la probabilidad de que gente que ya no debería tener acceso siga conectándose meses después.
No olvides revisar las opciones de limitación de ancho de banda y número máximo de clientes. Una red de invitados con velocidad ilimitada y sin tope de dispositivos puede tumbar el rendimiento de la conexión principal, sobre todo si alguien empieza a hacer descargas pesadas o streaming en alta resolución.
Otro aspecto importante es aplicar filtros de contenido o bloqueo de sitios maliciosos si tu router lo permite. Un solo clic en una web con malware basta para infectar un dispositivo, y desde ahí intentar saltar a otros. Además, si alguien accede a contenidos ilegales, recuerda: externamente la IP es la tuya.
Por último, es muy recomendable monitorizar de vez en cuando qué dispositivos están conectados a tu red de invitados. Desde la propia interfaz del router podrás ver una lista de clientes; si detectas algo extraño, puedes expulsarlo, bloquear su MAC o cambiar la contraseña. Herramientas como Acrylic Wi-Fi Analyzer permiten auditar redes inalámbricas, ver clientes conectados y detectar comportamientos raros, incluso si no estás como tal conectado a esa WiFi.
Gestión de redes de invitados en empresas y MSP
En empresas medianas y grandes, o cuando un MSP gestiona la infraestructura de un cliente, el problema no es solo técnico, sino también de política de uso y control de acceso. Por ejemplo, con puntos de acceso Cisco Meraki es habitual habilitar una red de invitados usando Meraki NAT para que el tráfico no entre en la LAN interna.
En estos escenarios, si se usa una única clave precompartida (PSK), es muy frecuente que la contraseña se disperse y acaben conectándose decenas o cientos de dispositivos personales. Esto satura la red de invitados, obliga a aplicar límites estrictos de ancho de banda y a la larga degrada la experiencia de los verdaderos visitantes.
Para mitigar este problema hay varias estrategias: rotar la contraseña con frecuencia, limitar quién conoce la clave (por ejemplo, solo recepción o IT), o utilizar mecanismos de patrocinio y portales cautivos donde una persona autorizada valide el acceso de cada invitado. El reto aquí es combinar usabilidad y control: si cualquiera puede aprobar dispositivos sin trazabilidad, se vuelve al mismo punto de partida.
Sea cual sea la solución elegida, es crucial disponer de registros, informes básicos y visibilidad de qué dispositivos se conectan, cuándo y cuánto consumen. Sin esta información, es muy difícil justificar medidas de seguridad o explicar por qué la WiFi de invitados va lenta. Las plataformas cloud de muchos fabricantes (incluyendo Meraki) ofrecen al menos estadísticas y listados de clientes para facilitar esta tarea.
En general, ir hacia modelos con credenciales individuales, validez temporal de accesos y límites claros de velocidad y dispositivos es la mejor forma de mantener la red de invitados utilizable y segura en el tiempo, especialmente en oficinas con mucho tránsito.
Todo este planteamiento hace que una WiFi de invitados bien diseñada sea mucho más que “una clave extra”: al separar el tráfico, aplicar aislamiento de clientes, limitar su velocidad y controlar cuántos y quiénes se conectan, logras que tus visitas naveguen cómodamente mientras tus dispositivos y tu ancho de banda principal permanecen protegidos. Comparte esta información con otros usuarios y ayúdalos a crear un hotspot en casa.