Portal cautivo

Un portal cautivo es un programa o mquina de una red informtica que vigila el

trfico HTTP y fuerza a los usuarios a pasar por una pgina especial si quieren navegar
por Internet de forma normal.1
El programa intercepta todo el trfico HTTP hasta que el usuario se autentifica. El portal se
encargar de hacer que esta sesin caduque al cabo de un tiempo. Tambin puede empezar a
controlar el ancho de banda usado por cada cliente (haciendo lo que se llama Calidad de
Servicio).

Usos
Se usan sobre todo en redes inalmbricas abiertas, donde interesa mostrar un mensaje de
bienvenida a los usuarios y para informar de las condiciones del acceso (puertos permitidos,
responsabilidad legal, etc.). Los administradores suelen hacerlo para que sean los propios
usuarios quienes se responsabilicen de sus acciones, y as evitar problemas mayores. Se
discute si esta delegacin de responsabilidad es vlida legalmente.
Muy habitualmente suele hacer un uso comercial del portal cautivo para fines de marketing y
comunicacin comercial. Para ello se ofrece acceso a Internet a travs de WIFI como
incentivo, a cambio de que el usuario permita el uso de los datos personales que proporciona
el propio usuario en un formulario o registro de usuario que muestra el propio portal cautivo.
Dicho formulario aparece abrindose directamente un navegador configurado de fbrica en el
dispositivo de acceso a internet (smartphone, tablet, ordenador) o bien, aparece cuando el
usuario abre su navegador e intenta visitar cualquier pgina. Es decir, el usuario est cautivo
sin poder navegar libremente, hasta que acepte los trminos, condiciones legales o visualice
la publicidad, que figuran en dicho formulario o pgina de bienvenida. Esto permite ofrecer al
proveedor de este servicio, mostrar o enviar publicidad a los usuarios que se conectan al
punto de acceso WIFl, este tipo de servicio tambin es conocido como WIFI Social, ya que se
suele pedir el login de una red social (Facebook por ejemplo) para dar difusin a su visita a un
determinado espacio fsico en el mundo digital de las redes sociales.
El usuario se puede encontrar todo tipo de contenido en dicho portal cautivo, y es frecuente el
permitir acceso a internet a cambio de visualizar un contenido o realizar una accin previa
(toma de datos para contacto comercial). En definitiva, el uso marketiniano del portal cautivo
es un herramienta para la generacin de leads (contactos comerciales o potenciales clientes).
Aunque habitualmente la informacin de contacto (email/telfono) recogida por el portal
cautivo es usada para el envo de newsletter (emailing) o campaas de publicidad masivas
(por ejemplo va SMS), que suelen ser mal recibidas por los usuarios, existen portales cautivos
avanzados para marketing, como son los de tipo Seeketing, 2 que permiten automatizar y hacer
un mejor uso comercial de los datos obtenidos en su portal cautivo para evitar que el usuario
perciba dichas comunicaciones como SPAM (envo masivo no autorizado) a pesar de que
realmente lo hayan autorizado en el formulario de registro en el portal cautivo. El motivo es
que reciben comunicaciones fuera del espacio y en momentos poco apropiados, con
informacin nada relevante para ellos.
El uso del portal cautivo avanzado de tipo Seeketing permite obtener informacin del
comportamiento de los visitantes situados alrededor del punto de acceso (o nodo), es decir
conocer si se trata de visitantes habituales o recurrentes, cuanto tiempo suelen estar en la
zona o que otras zonas cercanas recorren (donde existan otros nodos) incluso aunque no se
hayan conectado an al punto de acceso, pero a su vez permite conocer si los usuarios que
se hayan conectado al punto de acceso y hayan accedido al portal cautivo, tambin han
navegado anteriormente a la pgina web de cualquier marca/empresa, es decir, informan del

comportamiento online, de esas personas que se han registrado. Los nodos pueden envar
mensajes publicitarios (tpicamente a travs de SMS/whatsapp 3 /email) al smartpone/tablet de
los visitantes registrados en el portal cautivo en el momento que se acercan al punto de
acceso, por proximidad, es decir en el momento y lugar apropiados. Por tanto no hacen un
newsletter o envo masivo, sino un envo personalizado uno a uno a cada visitante, segn sus
gustos o comportamiento observado en la web o tienda online de la marca, y tambin segn el
comportamiento observado de ese mismo dispositivo en la tienda fsica (proximidad). De esta
forma el portal cautivo se convierte en una herramienta nica para generar contactos
comercailes de altsima calidad y gestionar automticamente un envo de publicidad no
intrusivo.
Un portal cautivo bsico, solo permite autorizar el acceso a internet a los dispositivos que se
conectan al punto de acceso, un portal cautivo avanzado permite tambin adems generar
informacin del comportamiento off-line (es decir, sin estar conectado, solo por la presencia en
el espacio fsico cercano) y on-line ( cuando el usuario visita la web o tienda online aunque ya
no est conectado al punto de acceso Wifi donde se registr inicialmente, y adems estos
portales cautivos avanzados permiten el envo de mensajes por proximidad utilizando la
informacin proporcionada por el usuario en el propio registro en el portal cautivo y la
informacin de los gustos y comportamiento del usuario que es observado.

Portales Cautivos por software

Ejemplos de programas que implementan un portal cautivo:

PepperSpot (Linux)

GRASE Hotspot (Linux)

NoCatAuth (Linux)

Chillispot (Linux)

CoovaChilli (Linux)

WifiDog (embedded Linux - OpenWRT, Linux, Windows)

Ewrt (embedded Linux - WRT54G, Linux)

HotSpotSystem.com (embedded Linux, WRT54GL, Mikrotik, etc)

FirstSpot (Windows)

m0n0wall (embedded FreeBSD)

OpenSplash (FreeBSD)

wicap (OpenBSD)

Public IP (Linux)

PfSense (FreeBSD)

AirMarshal (Linux)

Antamedia HotSpot Billing Software (Windows)

ZeroShell (Linux)

Easy Captive (Linux)

Microsolut Professional HotSpot Software (Windows)

Clicspot.com (Linux,Turnkey solution)

Ms, en [1]

Es especialmente til poder instalar uno de estos programas en un router de compra (en vez
de dedicarle un nuevo ordenador). En algunos es posible: por ejemplo, en
el WRT54G de Linksys, que lleva Linuxdentro, se puede instalar el portal NoCat usando
un firmware externo con distribuciones como Ewrt (mostrada en la lista).

Portales Cautivos por Hardware

Aparatos que lo implementan sin necesidad de ordenador:

Cisco BBSM-Hotspot

Cisco Site Selection Gateway (SSG) / Subscriber Edge Services (SESM)

Nomadix Gateway

Antamedia Hotspot Gateway

Aptilo Access Gateway

Antica PayBridge: Solucin Carrier-class para redireccin de usuarios 3/4G, Wimax,

xDSL, Wifi...

4ipnet Hotspot Gateway

Mikrotik RouterOS

Warriors Labs WD Portal Cautivo

Seeketing [2]

Captive Portal para la autenticacin de HotSpot

En algunas circunstancias, los protocolos para proteger el capa 2 de la red inalmbrica, como
WPA o WPA2 no son aplicables porque no son fciles de configurar para los usuarios finales si
el servicio de ayuda est disponible. Por otra parte, puede utilizar estos protocolos slo si el
hardware (puntos de acceso y tarjetas de red) y los sistemas operativos de apoyo. En otros
casos, es necesario proteger no slo los accesos mviles, pero los cables tambin. La
solucin a estos problemas se pueden mover el control de los accesos de la Capa 2 (Capa de
enlace de datos) y Capa 3 de la red, por ejemplo, mediante un Portal Cautivo. Con esta
tcnica el usuario tiene que introducir sus credenciales (usuario y contrasea o certificado
electrnico) en su navegador para ser autorizados a utilizar la red.
Portal Cautivo consiste en una puerta de enlace que es el router por defecto para la subred de
proteger. Tales bloques de puerta de enlace IP de los paquetes destinados hacia el exterior y
captura las peticiones http y https en los puertos TCP 80 y 443 a volver a dirigir a un servidor
web (denominado servidor de autenticacin) que muestran al usuario una pgina de
autenticacin. Si el usuario introduzca las credenciales correctas, se comunica el servidor de
autenticacin para la puerta de entrada que el host del usuario est autorizado y la puerta de
entrada hacia delante los paquetes fuera de la red de proteccin. ZeroShell implementa un
captive portal en forma nativa, sin necesidad de utilizar otros programas como NoCatAuth,
NoCatSplash o Chillispot. Las principales caractersticas del portal cautivo de ZeroShell se
describen a continuacin:

Que permite hacer una estructura multigateway en el que un nico servidor de

autenticacin puede proporcionar autenticacin weblogin a ms de puerta de enlace.
El servidor de autenticacin y la puerta de enlace pueden coexistir en el mismo equipo;

La puerta de enlace pueden trabajar ya sea en modo enrutado o en el modo de

bridge (o modo transparente):
o

En modo enrutado la puerta de enlace debe ser necesariamente el router por

defecto para la subred protegida por el portal cautivo. De esta manera solo los
paquetes IP pueden ser enviados desde una red a la otra si la autenticacin
ocurre correctamente, mientras que los otros protocolos que se encapsulan
directamente en la capa 2, como IPX, AppleTalk, NetBEUI y el nivel 2 de
broadcast quedan aislados;

En modo Bridge en su lugar, la puerta de enlace en cautividad funciona como

bridge entre dos o ms interfaces (tambin VPN sitio a sitio) de los cuales uno
protegerse de weblogin. Con esta modalidad cualquier tipo de protocolo y de
difusin de la lata se transmitir cuando la autenticacin se realiza
correctamente. En el modo bridge (o modo transparente) de la red protegida se
puede compartir con el resto de la LAN de la subred, el router por defecto y el
servidor de DHCP que permite que un cliente tenga siempre la misma
direccin IP en el rea protegida y en la red sin proteccin;

El portal cautivo puede ser activado para proteger tambin 802.1Q VLAN vez que una
interfaz de red completa;

Todas las interacciones entre el navegador web del usuario y el servidor de

autenticacin se cifran https utilizando para evitar que las credenciales se pueden
capturar en la red;

Los clientes son identificados por sus direcciones IP y MAC. Sin embargo, estos dos
parmetros pueden ser fcilmente falsificados. Con el fin de resolver el problema ms
tarde, la puerta de enlace en cautividad requiere que el navegador web del usuario
tienen un autenticador , que es un mensaje cifrado generada por el servidor de
autenticacin y que peridicamente tiene que ser renovado y se enva a la pasarela. El
autenticador se cifra utilizando el algoritmo de cifrado AES256 y no pueden ser
fcilmente falsificados antes de su expiracin. La validez del autenticador se puede
configurar por el administrador. Tenga en cuenta que la gestin

la duracin y el trfico de la conexin de un usuario.