El gran error del WiFi en tu local: TPV y datáfonos en la misma red

Compartir el WiFi del local con clientes o con el personal “porque es más cómodo” es una de las decisiones que más problemas causa: caídas, lentitud… y, lo más serio, un agujero de seguridad. Y con la llegada de VERI*FACTU, el impacto ya no es solo “me han entrado al TPV”, sino facturación y certificados digitales en riesgo.

En este artículo te explico (en lenguaje normal) cómo suelen estar montadas estas redes en bares, restaurantes y comercios, qué fallos se repiten, y cómo solucionarlo con un enfoque por niveles: desde “hoy mismo” hasta una red profesional con VLAN.

Wifi en restaurante

La red típica de un local: simple, barata… y peligrosa

La mayoría de locales funcionan así:

  • Router de la operadora (Movistar/Vodafone/Orange, etc.) haciendo de todo: Internet, WiFi, DHCP, cortafuegos “básico”.
  • Un switch (a veces) y varios equipos conectados por cable: TPV/caja, impresoras, cámaras, NAS, PC de oficina.
  • WiFi para clientes y para personal (a veces con dos nombres de red/SSID).
  • Mandos de comanda (PDA/tablet) conectados por WiFi. En algunos casos hay un punto de acceso “aparte”… pero acaba entrando en el mismo router y la misma red.
  • Datáfonos conectados por WiFi o cable. Y aunque el pago vaya “por el banco”, el terminal sigue siendo un dispositivo más dentro del local.

El problema es que, en muchísimos casos, todo cae en la misma red local (misma IP, misma puerta de enlace, misma “familia”). Da igual que haya “otra antena WiFi”: si ese punto de acceso está en modo puente (bridge) al router, los equipos conviven.

La confusión más común: “Tengo dos WiFi, así que estoy protegido”

Tener dos nombres de WiFi (por ejemplo “Local” y “Local_Invitados”) no garantiza separación real. Si no hay VLAN o red de invitados bien configurada, es como poner dos puertas que dan a la misma habitación.

¿Qué puede pasar cuando TPV, datáfonos y clientes comparten red?

Cuando cualquier dispositivo ajeno (móvil de un cliente, portátil de un empleado, una tablet sin actualizar…) entra en la misma red que tu TPV, se abre la puerta a:

  • Movimiento lateral: si un equipo se infecta, el malware busca otros equipos de la red (TPV, servidor, NAS, cámaras) para propagarse.
  • Robo de datos: el TPV suele gestionar ventas, cierres, usuarios, permisos, tickets, productos, a veces clientes/proveedores… y esa información vive en una base de datos.
  • Secuestro (ransomware): cifrado de la base de datos del TPV, de backups conectados, o del propio equipo. Resultado: local parado.
  • Suplantaciones: cambios en configuración, usuarios, permisos, o accesos remotos no autorizados.
  • Riesgos de cumplimiento (y dolores con auditorías): si el entorno de pago se mezcla con “la red general”, se complica todo.

En Control Táctil llevamos años insistiendo en buenas prácticas WiFi para empresas: contraseñas fuertes, configuración segura, y separar adecuadamente el acceso inalámbrico para reducir exposición. 

Por qué el TPV es un objetivo tan atractivo

Un TPV no es “solo una caja”. Es un ordenador con:

  • Base de datos (SQL o NoSQL): MySQL/MariaDB, SQL Server, PostgreSQL, SQLite… o motores embebidos. A veces está en el propio TPV; otras, en un “servidor” dentro del local.
  • Usuarios y permisos: quién anula, quién descuenta, quién abre cajón, etc.
  • Backups: muchas veces en carpetas compartidas o en un disco USB que se deja siempre conectado.
  • Accesos remotos: TeamViewer/AnyDesk/RDP “para que lo vea el informático”. Bien montado, ok; mal montado, es una autopista.

Si el TPV cae, no es solo un PC: es operación, caja, histórico, cierres, y continuidad del negocio.

Y ahora llega VERI*FACTU: el certificado digital entra en escena

Con VERI*FACTU, el sistema de facturación puede remitir registros a la AEAT en línea. La AEAT explica que los sistemas VERI*FACTU remiten los registros de forma continuada y segura, y que ese proceso de remisión incluye autenticación mediante certificado electrónico cualificado. Dicho de otro modo: en algún punto del sistema (TPV/servidor/entorno que remite) hay un certificado que se usa para autenticarse.

Además, la normativa/criterio de la AEAT diferencia entre sistemas VERI*FACTU (remiten) y sistemas no verificables (almacenan y deben garantizar integridad/inalterabilidad, etc.). En ambos casos, el valor de tu información fiscal aumenta: es más “jugosa” para un atacante.

Riesgos prácticos del certificado en un TPV mal protegido

  • Robo del certificado (o uso indebido si el equipo está comprometido).
  • Secuestro de la facturación: bloqueo del sistema, borrado/cifrado de registros, alteración de operativa.
  • Pérdida de información en incidentes (y problemas de continuidad si no hay backup sólido).

Ojo: no se trata de alarmismo. Se trata de asumir que si el TPV está en una red “como la de casa”, con dispositivos desconocidos conectándose, el riesgo sube muchísimo.

La seguridad de tu red

Los 9 fallos que vemos una y otra vez en locales

  1. Una sola red para todo (clientes, TPV, datáfonos, cámaras, oficina).
  2. Clave WiFi compartida durante años (y se la sabe medio barrio).
  3. Router de operadora saturado: poca CPU/RAM, WiFi justo, firmware desactualizado.
  4. WPS activado (comodidad que no compensa).
  5. Administración del router con credenciales débiles o por defecto.
  6. Puertos/UPnP abiertos “para que funcione X”.
  7. Acceso remoto sin control (sin MFA, sin lista blanca, sin VPN).
  8. Backups mal planteados: disco siempre conectado, carpeta compartida sin permisos, o “no se hacen”.
  9. Dispositivos WiFi “aparte” (antena/mesh) que al final puentean al mismo LAN: parece separado, pero no lo está.

Cómo solucionarlo: plan por niveles (de básico a profesional)

Nivel 1 — Medidas rápidas (mínimo imprescindible)

  • Red de invitados real (si tu equipo lo permite): que no vea dispositivos internos.
  • WPA2/WPA3 con contraseña larga y única; cambiarla periódicamente.
  • Desactivar WPS.
  • Actualizar firmware del router y puntos de acceso (si el ISP lo permite).
  • Separar por lo menos TPV/mandos del WiFi de clientes (aunque sea con otro router/AP bien aislado).

Nivel 2 — Lo recomendable en un negocio (VLAN + reglas)

Esto es el salto de “red casera” a “red de empresa”. Consiste en crear segmentos:

  • VLAN TPV: TPV, servidor de base de datos, impresoras de tickets.
  • VLAN Pagos: datáfonos/terminales si van por IP (según modelo y requisitos del proveedor).
  • VLAN Oficina: PC gestión, correo, contabilidad.
  • VLAN IoT: cámaras, TVs, música, domótica.
  • VLAN Invitados: clientes.

Luego se aplican reglas de cortafuegos del tipo: “Invitados solo salen a Internet”, “IoT no puede hablar con TPV”, “TPV solo habla con servidor y con los servicios necesarios”.

Esto no es capricho: incluso en el mundo PCI DSS se recomienda segmentar/redes separadas para reducir riesgo y alcance del entorno relacionado con pagos. (Guía de segmentación del PCI SSC.)

Nivel 3 — Entorno profesional (cuando quieres dormir tranquilo)

  • Router/firewall empresarial (UTM) + switches gestionables + APs profesionales.
  • WiFi por usuario o WPA-Enterprise (RADIUS) para el personal.
  • VPN para soporte remoto (y MFA), nada de “puertos abiertos”.
  • Monitorización y logs: saber qué se conecta, cuándo y desde dónde.
  • Backups 3-2-1 (con una copia offline o inmutable) y pruebas de restauración.
  • Gestión del certificado: protegerlo con permisos, cifrado, y minimizar dónde vive y quién puede usarlo.

Checklist rápido: ¿tu local está en riesgo?

  • ¿Los clientes se conectan al mismo WiFi que el TPV o los mandos?
  • ¿La contraseña del WiFi tiene años?
  • ¿El router es el de la compañía y está “tal cual vino”?
  • ¿Tenéis cámaras/TV/música en la misma red del TPV?
  • ¿El soporte remoto se hace sin VPN y sin MFA?
  • ¿Los backups están siempre conectados al TPV?
  • ¿Hay certificado digital en el TPV/servidor para procesos de facturación?

Si has marcado 2 o más “sí”, te compensa plantear una segmentación mínima. Normalmente, es más barato que un día de caja perdida.

Hackers en tu red

Preguntas frecuentes

¿Si uso datáfono “del banco” ya estoy a salvo?

Ayuda, pero no te hace inmune. Aunque el datáfono procese el pago con el banco, tu red puede seguir siendo la puerta de entrada para tumbar el TPV, robar datos internos o secuestrar la operativa.

¿Qué es una VLAN explicado fácil?

Es como convertir una única oficina abierta en salas separadas con llaves distintas. Siguen usando los mismos cables y equipos de red, pero no se “ven” entre ellas salvo que tú lo permitas.

¿Con VERI*FACTU es obligatorio tener Internet y “conectar con Hacienda”?

La AEAT indica que los SIF deben tener capacidad de remitir registros por medios electrónicos, y que en modalidad VERI*FACTU la remisión es en línea. La necesidad concreta depende de modalidad y configuración, pero el punto clave es: tu sistema debe estar preparado para comunicaciones y eso añade superficie de riesgo si la red no está bien diseñada.

¿Por qué el certificado digital es un tema de seguridad?

Porque la autenticación para la remisión puede apoyarse en certificado cualificado. Si el equipo que lo usa se compromete, el atacante no solo “rompe un PC”: puede afectar procesos fiscales y de facturación.

¿Qué mínimo recomiendas para un bar pequeño?

Como mínimo: WiFi de invitados aislado, TPV en red separada (idealmente VLAN), contraseñas y router bien asegurados, y backups correctos.

Conclusión

La red de un local es como la caja fuerte: si la dejas abierta para que entre cualquiera, tarde o temprano pasa algo. Y con la digitalización de la facturación (y VERI*FACTU), la red ya no es “un tema de internet”, es un tema de continuidad de negocio.

Si quieres, en ControlTáctil podemos ayudarte con una auditoría rápida de tu red (sin tecnicismos, con acciones concretas) y una propuesta de segmentación adaptada al tamaño de tu local.

No hay comentarios:

Publicar un comentario

Gracias por participar en el blog, si quieres contactar con nosotros de una manera mas rapida, recuerda que puedes enviar un correo a info@controltactil.com
Saludos

Suscribirse a: Enviar comentarios (Atom)