1. Introducción y Contextualización en el Servicio Andaluz de Salud

1.1. Relevancia para el Técnico/a Especialista en Informática del SAS

Como Técnico Especialista en Informática del SAS, vas a ser responsable directo de la planificación, implementación, mantenimiento y resolución de problemas en las redes LAN de tu centro. No es un trabajo sencillo porque las infraestructuras sanitarias tienen características muy particulares. Tenemos áreas donde la disponibilidad debe ser del 99.99% (quirófanos, UCIs, urgencias), zonas con restricciones especiales por equipamiento médico sensible a interferencias electromagnéticas, necesidades de movilidad extrema para el personal sanitario, y requerimientos de seguridad altísimos debido al manejo de datos de salud (categoría especial según el RGPD).

Además, el SAS gestiona una red corporativa que interconecta más de 1.500 centros sanitarios en toda Andalucía. Cada hospital de referencia, cada hospital comarcal, cada centro de salud, cada consultorio… todos están conectados a través de la Red Corporativa de Telecomunicaciones de la Junta de Andalucía, pero dentro de cada centro es tu red LAN la que hace que todo funcione. Y aquí viene lo importante: tú no solo debes conocer los conceptos teóricos de redes, sino entender cómo se aplican en el contexto específico de un entorno sanitario regulado, con normativa específica de seguridad (ENS nivel MEDIO o ALTO según el sistema), con requerimientos de trazabilidad y auditoría constantes, y con una complejidad técnica considerable.

1.2. Marco Normativo Específico del SAS

El diseño e implementación de redes LAN en el SAS no es algo que hagamos a nuestro libre albedrío. Existe un marco normativo estricto que debemos cumplir, y esto cae constantemente en el examen. La normativa principal que debes conocer es la Orden de 2 de junio de 2017, por la que se regulan los requisitos necesarios para el diseño e implementación de infraestructuras de red de área local (cableadas e inalámbricas) y enlaces inalámbricos en la Administración Pública de la Junta de Andalucía. Esta orden establece requisitos técnicos mínimos, medidas de seguridad obligatorias, y procedimientos de implementación que aplican a todos los centros del SAS.

Además, las redes LAN del SAS deben cumplir con el Esquema Nacional de Seguridad (Real Decreto 311/2022), que clasifica nuestros sistemas en diferentes niveles de seguridad. Por ejemplo, la red que soporta Diraya en un hospital es categoría MEDIO o ALTO en disponibilidad, integridad y confidencialidad, lo que implica implementar medidas específicas como segregación de red mediante VLANs, sistemas NAC (Network Access Control) con autenticación 802.1X, cifrado de comunicaciones inalámbricas mediante WPA3, y sistemas de detección de intrusiones (IDS/IPS) a nivel de red.

1.3. Sistemas Corporativos del SAS que Dependen de la Red LAN

Para que entiendas la criticidad de las redes LAN en el SAS, déjame contarte qué sistemas corporativos dependen directamente de tu red local. Primero, tenemos Diraya, la Historia Digital de Salud que utilizan más de 100.000 profesionales sanitarios cada día. Diraya es un sistema web que funciona bajo arquitectura cliente-servidor con bases de datos Oracle RAC en alta disponibilidad, y cada consulta que hace un médico genera tráfico de red entre su terminal y los servidores de aplicación. Si tu red LAN tiene latencias altas, packet loss, o problemas de ancho de banda, Diraya se vuelve lento y frustra a los clínicos.

Luego está el sistema de receta electrónica (Receta XXI), que debe funcionar en tiempo real porque cuando un médico prescribe un medicamento, esa información debe estar instantáneamente disponible en cualquier farmacia de Andalucía. Tenemos los sistemas PACS (Picture Archiving and Communication System) para imagen médica, que manejan archivos enormes de resonancias, TACs y radiografías. Una sola resonancia magnética puede ocupar varios gigabytes, y cuando un radiólogo la abre para informarla, esos datos viajan por la red LAN desde el servidor de almacenamiento hasta su estación de trabajo. Si no has dimensionado correctamente tu red, con switches de 10 Gigabit en la troncal y VLANs específicas para tráfico de imagen médica con calidad de servicio (QoS) garantizada, el sistema será inutilizable.

También tenemos sistemas de telefonía IP (VoIP) implementados sobre la red LAN, que requieren calidad de servicio especial porque la voz es sensible a jitter y latencia. Los teléfonos IP necesitan además alimentación mediante PoE (Power over Ethernet), así que tu electrónica de red debe soportar estándares 802.3af/at/bt. Y no olvidemos los dispositivos médicos conectados: monitores de constantes vitales, bombas de infusión inteligentes, equipos de telemedicina, tablets y smartphones del personal sanitario… todo conectado a tu red, todo crítico, todo dependiendo de que hayas hecho bien tu trabajo.

2. Conceptos Fundamentales de Redes de Área Local (LAN)

2.1. Definición y Características de una Red LAN

Una Red de Área Local (LAN, por sus siglas en inglés Local Area Network) es una red de comunicaciones que interconecta dispositivos informáticos dentro de un área geográfica limitada, típicamente un edificio, un campus o un conjunto de edificios próximos. En el contexto del SAS, podemos hablar de la LAN del Hospital Universitario Virgen Macarena, que abarca todos los edificios del complejo hospitalario, o de la LAN de un centro de salud, más pequeña pero igualmente crítica.

Las características definitorias de una red LAN son varias y debes conocerlas bien porque caen en el examen. Primera característica: alcance geográfico limitado, generalmente de unos pocos metros hasta varios kilómetros como máximo. Este límite geográfico tiene implicaciones técnicas importantes, como las tecnologías de transmisión que podemos usar (Ethernet principalmente) y las velocidades que podemos alcanzar. Segunda característica: altas velocidades de transmisión. Las LANs modernas operan típicamente a velocidades de 1 Gigabit por segundo (1 Gbps) en puestos de trabajo, 10 Gbps en enlaces troncales entre switches, y hasta 40 o 100 Gbps en backbones de centros de datos. Tercera característica: baja tasa de errores. Al tratarse de distancias cortas y medios controlados (cables de cobre o fibra óptica en interiores), la tasa de errores en transmisión es muy baja, del orden de 10^-9 o inferior.

Cuarta característica, y muy importante: propiedad privada. Una red LAN pertenece a una organización (en nuestro caso, al SAS) y es gestionada completamente por esa organización. Esto contrasta con las redes WAN, donde parte de la infraestructura puede ser propiedad de operadores de telecomunicaciones. El hecho de que la LAN sea de propiedad privada implica que nosotros tenemos control total sobre su diseño, configuración y gestión, pero también toda la responsabilidad sobre su funcionamiento. Quinta característica: topología y arquitectura específicas. Las LANs usan topologías determinadas (estrella, árbol, malla) con protocolos específicos, principalmente de la familia IEEE 802.

2.2. Diferenciación entre LAN, MAN y WAN

Es fundamental que sepas diferenciar claramente entre estos tres tipos de redes porque aparece constantemente en preguntas tipo test. Una LAN (Local Area Network) cubre un área limitada, como ya hemos explicado, típicamente un edificio o campus. Las velocidades son altas (Gbps), la latencia es baja (submilisegundos), el ancho de banda es abundante, y la tecnología predominante es Ethernet en sus diversas variantes (802.3). En el SAS, cada hospital tiene su propia LAN, cada centro de salud tiene su LAN, cada edificio administrativo tiene su LAN.

Una MAN (Metropolitan Area Network) es una red que cubre un área más amplia, típicamente una ciudad o área metropolitana, con distancias de decenas de kilómetros. Las velocidades siguen siendo altas pero algo menores que en LAN, la latencia aumenta ligeramente, y se usan tecnologías como Metro Ethernet, anillos SDH/SONET, o fibra oscura. En el contexto del SAS, podríamos considerar que la red que interconecta todos los hospitales y centros de una ciudad como Sevilla (Virgen del Rocío, Virgen Macarena, Virgen de Valme, centros de salud…) forma una especie de MAN sanitaria, aunque en la práctica esto se integra dentro de la Red Corporativa de Telecomunicaciones de la Junta.

Una WAN (Wide Area Network) cubre áreas geográficas extensas, regiones, países o incluso el mundo entero. Internet es el ejemplo más claro de WAN. Las velocidades son más variables (desde Mbps a Gbps dependiendo de los enlaces), la latencia es mayor (milisegundos a decenas de milisegundos), y se usan tecnologías de operadores de telecomunicaciones como MPLS, líneas dedicadas, enlaces satélite, etc. La Red Corporativa de Telecomunicaciones de la Junta de Andalucía, que interconecta los 1.500+ centros del SAS distribuidos por toda la geografía andaluza, es claramente una WAN.

2.3. El Modelo OSI y la Capa de Enlace de Datos

Las redes LAN operan fundamentalmente en las dos capas inferiores del modelo OSI: la capa física (capa 1) y la capa de enlace de datos (capa 2). Es imprescindible que tengas claro este concepto porque muchas preguntas de examen te piden identificar en qué capa trabaja un dispositivo o protocolo determinado. La capa física se encarga de la transmisión de bits a través del medio físico (cables, aire en el caso de wireless), definiendo aspectos como el tipo de cable, el conector, las características eléctricas de las señales, la codificación de bits, etc. Por ejemplo, el estándar 1000BASE-T (Gigabit Ethernet sobre cable de cobre) especifica en su capa física el uso de cable Cat 5e o superior, conectores RJ-45, codificación 4D-PAM5, etc.

La capa de enlace de datos tiene funciones más complejas y se divide tradicionalmente en dos subcapas: LLC (Logical Link Control) y MAC (Media Access Control). La subcapa MAC es especialmente importante en redes LAN porque se encarga del control de acceso al medio compartido, el direccionamiento mediante direcciones MAC de 48 bits, y la detección de errores mediante el Frame Check Sequence (FCS). Cuando un switch Ethernet recibe una trama, examina la dirección MAC de destino (en la capa 2) y decide por qué puerto debe reenviar esa trama. Un router, en cambio, trabaja en capa 3 (red) y toma decisiones de reenvío basándose en direcciones IP.

Este concepto de las capas es fundamental para entender el funcionamiento de los dispositivos de red. Un hub (ya en desuso) era un dispositivo de capa 1 que simplemente repetía las señales eléctricas recibidas por todos sus puertos sin ninguna inteligencia. Un switch es un dispositivo de capa 2 que aprende direcciones MAC, construye una tabla de direcciones MAC-puerto, y reenvía tramas de forma inteligente solo hacia el puerto de destino correcto. Un switch de capa 3 (también llamado switch multicapa o L3 switch) puede además realizar funciones de enrutamiento IP, operando tanto en capa 2 como en capa 3. Un router es un dispositivo de capa 3 que interconecta diferentes redes IP y toma decisiones de enrutamiento. Y finalmente, un firewall moderno puede trabajar hasta la capa 7 (aplicación), inspeccionando el contenido de los paquetes para aplicar políticas de seguridad avanzadas.

3. Componentes de una Red LAN

3.1. Dispositivos Finales (End Devices)

Los dispositivos finales son los equipos que generan o consumen información en la red, es decir, los que se encuentran en los extremos de la comunicación. En el contexto hospitalario del SAS, los dispositivos finales son muy diversos y cada uno tiene sus características y requisitos particulares. Tenemos estaciones de trabajo médicas (PCs de consulta, ordenadores de enfermería), que típicamente se conectan mediante cable Ethernet a 1 Gbps para garantizar fiabilidad, pero también es cada vez más frecuente encontrar ordenadores con conectividad inalámbrica exclusiva.

Otro tipo de dispositivos finales son los servidores de aplicaciones, como los servidores de Diraya, los servidores de bases de datos Oracle RAC, los servidores web de portales corporativos, etc. Estos servidores suelen estar en salas de servidores o CPD dedicados, con conexiones de red redundantes (bonding o teaming de tarjetas de red) a 10 Gbps o más para garantizar alto rendimiento y disponibilidad. Los servidores críticos tienen dos o más tarjetas de red conectadas a switches diferentes, de manera que si falla un switch o un cable, el servidor mantiene conectividad mediante el segundo enlace.

También tenemos dispositivos médicos conectados a red, que son especialmente delicados. Equipos de radiología digital, monitores de constantes vitales en UCI, bombas de infusión inteligentes, equipos de laboratorio automatizado, etc. Muchos de estos dispositivos tienen sistemas operativos embebidos (a menudo versiones antiguas de Windows o Linux) y no pueden actualizarse fácilmente. Esto plantea retos de seguridad considerables, y es común aislar estos dispositivos en VLANs específicas con políticas de firewall muy restrictivas. Además, algunos dispositivos médicos son sensibles a latencia y jitter, especialmente los de imagen en tiempo real o monitorización crítica, lo que obliga a implementar QoS (Quality of Service) en la red.

Finalmente, tenemos los dispositivos móviles: smartphones y tablets corporativas de los profesionales sanitarios, que acceden a Diraya móvil, a aplicaciones de consulta de analíticas, a sistemas de prescripción electrónica, etc. Estos dispositivos se conectan exclusivamente por WiFi, y aquí es crucial tener una red inalámbrica WLAN robusta con cobertura total del hospital, roaming transparente entre puntos de acceso, y autenticación segura mediante 802.1X con certificados digitales o credenciales de Active Directory.

3.2. Dispositivos de Interconexión de Red

Los dispositivos de interconexión son los que permiten que todos esos dispositivos finales se comuniquen entre sí. Empecemos por el switch, que es el dispositivo fundamental de una red LAN moderna. Un switch Ethernet es un dispositivo de capa 2 que tiene múltiples puertos (típicamente 24, 48 o más) y que aprende dinámicamente qué direcciones MAC están alcanzables a través de cada puerto. Cuando recibe una trama Ethernet, examina la dirección MAC de destino, consulta su tabla de direcciones MAC (también llamada CAM table), y reenvía la trama solo por el puerto correcto. Esto es mucho más eficiente que un hub, que enviaba todas las tramas por todos los puertos creando colisiones y desperdiciando ancho de banda.

Los switches que desplegamos en el SAS son switches gestionables (managed switches), que permiten configuración avanzada mediante interfaz web, CLI (línea de comandos), o protocolos como SNMP. Podemos crear VLANs (Virtual LANs) para segregar el tráfico, configurar spanning tree para evitar bucles de red, implementar link aggregation para agregar ancho de banda de múltiples enlaces, habilitar PoE (Power over Ethernet) para alimentar teléfonos IP y puntos de acceso WiFi, configurar QoS para priorizar tráfico sensible, habilitar seguridad de puertos para prevenir accesos no autorizados, y muchísimas funciones más.

También existen switches de capa 3 (L3 switches), que además de las funciones de capa 2 pueden realizar enrutamiento IP entre VLANs. Por ejemplo, en un hospital podríamos tener una VLAN para Diraya, otra VLAN para imagen médica, otra para telefonía IP, otra para dispositivos médicos, y otra para navegación a Internet. Un switch de capa 3 en el core de la red puede enrutar tráfico entre estas VLANs de forma mucho más eficiente que un router tradicional. Los switches de core en hospitales grandes del SAS suelen ser equipos de gama alta con puertos 10/40/100 Gigabit, con arquitectura modular que permite añadir tarjetas de puertos según necesidades, con redundancia de fuentes de alimentación y ventiladores, y con capacidades de switching de varios terabits por segundo.

Luego tenemos los routers, que interconectan diferentes redes. En una LAN hospitalaria típica, tendremos un router de borde (edge router) que conecta nuestra red local con la Red Corporativa del SAS. Este router implementa políticas de seguridad mediante ACLs (Access Control Lists), puede hacer NAT (Network Address Translation) si usamos direccionamiento privado internamente, establece túneles VPN para comunicaciones seguras con otros centros, y ejecuta protocolos de enrutamiento dinámico como OSPF para intercambiar rutas con la red corporativa. Los routers que usa el SAS suelen ser de fabricantes como Cisco o Juniper, con capacidades de varios Gbps de throughput y funcionalidades avanzadas de seguridad y QoS.

No podemos olvidar los firewalls, que son dispositivos especializados de seguridad que inspeccionan todo el tráfico que entra y sale de nuestra red, aplicando políticas de seguridad estrictas. Un firewall moderno (también llamado NGFW – Next Generation Firewall) no solo filtra por direcciones IP y puertos, sino que puede inspeccionar el contenido de los paquetes (deep packet inspection), detectar y bloquear malware, prevenir intrusiones, filtrar contenido web, descifrar tráfico SSL para inspeccionarlo, y aplicar políticas basadas en aplicaciones y usuarios. En el SAS es obligatorio tener firewalls según el ENS, con configuraciones específicas dependiendo del nivel de seguridad del sistema.

3.3. Puntos de Acceso Inalámbricos (Wireless Access Points)

Los puntos de acceso inalámbricos (APs o WAPs) son dispositivos que permiten que dispositivos WiFi se conecten a la red LAN cableada. Un AP se conecta mediante cable Ethernet a un switch de acceso (recibiendo además alimentación PoE) y emite señales de radio en las bandas de 2.4 GHz y/o 5 GHz (y ahora también 6 GHz con WiFi 6E) para que dispositivos inalámbricos puedan conectarse. Los APs modernos soportan estándares 802.11ac Wave 2 o 802.11ax (WiFi 6), con velocidades de varios Gbps, múltiples antenas MIMO para mejorar rendimiento y cobertura, y tecnologías como beamforming para dirigir la señal hacia los clientes.

En un hospital del SAS necesitamos una densidad alta de puntos de acceso para garantizar cobertura total (incluyendo pasillos, ascensores, escaleras, aparcamientos) y capacidad suficiente para soportar cientos o miles de dispositivos conectados simultáneamente. Los médicos y enfermeras se mueven constantemente por el hospital con sus tablets y smartphones, y el roaming entre APs debe ser transparente y sin cortes de conexión, lo cual requiere un diseño de red inalámbrica con solape de cobertura entre APs adyacentes y protocolos de fast roaming (802.11r).

Los APs que desplegamos en el SAS no son dispositivos autónomos, sino que están gestionados centralmente por un controlador WLAN (Wireless LAN Controller). El controlador se encarga de la configuración de todos los APs, la gestión de la seguridad WiFi, la optimización automática de canales y potencias de transmisión para evitar interferencias, el balanceo de carga entre APs, y la generación de informes de uso y rendimiento de la red inalámbrica. Marcas comunes en el SAS son Cisco (con sus controladores WLC), Aruba (HPE), Ruckus, etc.

4. Medios y Modos de Transmisión

4.1. Medios de Transmisión Guiados

Los medios de transmisión guiados son aquellos en los que la señal se propaga a través de un camino físico definido. En redes LAN, los medios guiados son fundamentalmente cables de cobre y fibra óptica. Empecemos con el cable de par trenzado de cobre, que es el medio más común en LANs para conectar puestos de trabajo y dispositivos finales. El estándar más utilizado es el cable UTP (Unshielded Twisted Pair – Par Trenzado No Apantallado), concretamente categorías Cat 5e, Cat 6, Cat 6A, Cat 7 y ahora Cat 8. Cada categoría tiene especificaciones de ancho de banda y frecuencia máxima soportada: Cat 5e soporta hasta 1 Gbps a 100 metros, Cat 6 soporta 1 Gbps a 100 metros y 10 Gbps hasta 55 metros, Cat 6A soporta 10 Gbps a 100 metros, Cat 7 mejora el apantallamiento para reducir interferencias, y Cat 8 soporta hasta 40 Gbps en distancias cortas (30 metros).

El cable de par trenzado funciona mediante el principio de que al trenzar los pares de cables (generalmente hay 4 pares en un cable), las interferencias electromagnéticas se cancelan mutuamente. Sin embargo, el cobre tiene limitaciones: es susceptible a interferencias electromagnéticas (EMI) y radioeléctricas (RFI), sufre atenuación de señal con la distancia (por eso la limitación de 100 metros en Ethernet), y no es seguro contra escuchas (alguien podría pinchar el cable y capturar el tráfico). Por estas razones, en enlaces troncales entre switches, en conexiones a servidores críticos, y en entornos con mucha interferencia electromagnética (como áreas de radiología o resonancia magnética) preferimos usar fibra óptica.

La fibra óptica transmite datos en forma de pulsos de luz a través de un núcleo de vidrio o plástico. Hay dos tipos principales: fibra monomodo (SMF – Single Mode Fiber) y fibra multimodo (MMF – Multimode Fiber). La fibra monomodo tiene un núcleo muy estrecho (8-10 micras) y permite que viaje un solo modo de luz, lo que resulta en distancias de transmisión muy largas (decenas de kilómetros) sin amplificación y anchos de banda enormes (100 Gbps y más). La fibra multimodo tiene un núcleo más ancho (50 o 62.5 micras) que permite múltiples modos de luz, pero esto causa dispersión modal que limita la distancia a unos pocos cientos de metros. Sin embargo, la fibra multimodo es más barata en transceivers y es adecuada para distancias dentro de un edificio.

En el SAS usamos fibra monomodo para los backbones principales que conectan edificios (por ejemplo, entre el edificio principal del hospital y el edificio de consultas externas separado 500 metros), y fibra multimodo para conexiones dentro de un mismo edificio entre salas de telecomunicaciones. Las ventajas de la fibra óptica son múltiples: inmunidad total a interferencias electromagnéticas, no hay atenuación significativa de señal, permite distancias mucho mayores, anchos de banda enormes, y es muy segura porque es extremadamente difícil pinchar una fibra sin que se detecte. La desventaja es que es más cara en equipamiento (transceivers ópticos son más caros que los eléctricos) y requiere más cuidado en la instalación y mantenimiento.

4.2. Estándares de Cableado Estructurado

El cableado estructurado es un sistema estandarizado de cableado que permite una administración sencilla y una migración fácil a nuevas tecnologías. Los estándares principales son los de TIA/EIA (Telecommunications Industry Association / Electronic Industries Alliance), concretamente ANSI/TIA-568 y sus revisiones. Este estándar define la topología de cableado (estrella jerárquica), los tipos de cable permitidos, las distancias máximas, los tipos de conectores, el esquema de pineado (T568A y T568B para conectores RJ-45), la identificación y etiquetado de cables, y los requisitos de los espacios de telecomunicaciones (armarios de comunicaciones, salas de servidores).

En el contexto del SAS, la Orden de 2 de junio de 2017 hace referencia explícita a estos estándares y obliga a que todo el cableado estructurado nuevo cumpla con la normativa TIA/EIA. Esto significa que cuando renovamos la red de un hospital o implementamos red en un centro de salud nuevo, debemos seguir estrictamente estas normas: usar cable certificado de la categoría apropiada, respetar radios de curvatura mínimos para no dañar el cable, no superar los 100 metros de distancia entre switch y dispositivo final (90 metros de cableado horizontal más 10 metros de latiguillo), usar patch panels organizados y etiquetados correctamente, mantener documentación actualizada del cableado, etc.

La topología de cableado estructurado sigue un modelo jerárquico de tres niveles. En el nivel más bajo tenemos el cableado horizontal, que va desde los armarios de telecomunicaciones de cada planta hasta las rosetas de puestos de trabajo. Este cableado se instala en canaletas o bandejas portacables y termina en patch panels en el armario. El nivel intermedio es el cableado vertical o backbone, que interconecta los armarios de telecomunicaciones de diferentes plantas. Aquí se usa típicamente fibra óptica. Y el nivel superior es el backbone de campus, que conecta diferentes edificios, también con fibra óptica monomodo para las distancias largas.

4.3. Medios de Transmisión No Guiados (Inalámbricos)

Los medios no guiados transmiten información mediante ondas electromagnéticas a través del aire u otro medio no confinado. En redes LAN inalámbricas (WLAN), la transmisión se realiza mediante ondas de radio en bandas de frecuencia específicas. Las bandas más utilizadas en WiFi son la banda de 2.4 GHz (específicamente 2.400-2.4835 GHz) y la banda de 5 GHz (múltiples subbandas entre 5.150 y 5.850 GHz). Con el estándar WiFi 6E ha llegado también la banda de 6 GHz, que ofrece canales adicionales con menos congestión.

La banda de 2.4 GHz tiene ventajas e inconvenientes. Sus ventajas son mayor alcance de la señal (las frecuencias más bajas atraviesan mejor los obstáculos como paredes) y mejor compatibilidad con dispositivos antiguos. Los inconvenientes son que tiene solo 3 canales no solapados (1, 6 y 11), por lo que es más propensa a interferencias, especialmente en entornos densos como hospitales donde además de nuestros propios APs puede haber redes WiFi de visitantes, dispositivos Bluetooth, microondas, etc. Las velocidades máximas en 2.4 GHz son también más limitadas.

La banda de 5 GHz ofrece más canales disponibles (hasta 24 canales no solapados dependiendo de la regulación del país), lo que permite desplegar más APs en un área sin interferencias mutuas. Las velocidades son más altas, especialmente con tecnologías como 802.11ac y 802.11ax que utilizan canales de 80 o 160 MHz de ancho. El inconveniente es que el alcance es menor y la penetración a través de paredes y obstáculos es más limitada, lo que requiere una mayor densidad de APs para cubrir la misma área.

Para Bluetooth, que también usamos en entornos sanitarios para conectar dispositivos médicos inalámbricos, monitores portátiles, auriculares de comunicación, etc., la tecnología opera en la banda de 2.4 GHz pero usando una técnica de salto de frecuencia (FHSS – Frequency Hopping Spread Spectrum) que minimiza las interferencias. Bluetooth tiene un alcance típico de 10-100 metros dependiendo de la clase de potencia, y las versiones modernas (Bluetooth 5.x) ofrecen velocidades de hasta 2 Mbps y funcionalidades de bajo consumo (BLE – Bluetooth Low Energy) muy útiles para dispositivos alimentados por batería.

5. Topologías de Red

5.1. Concepto de Topología

La topología de red se refiere a la disposición física o lógica de los nodos de la red y las conexiones entre ellos. Es importante distinguir entre topología física (cómo están físicamente dispuestos y conectados los cables y dispositivos) y topología lógica (cómo fluye la información a través de la red independientemente de la disposición física). Por ejemplo, Ethernet moderna usa topología física en estrella (todos los dispositivos conectados a un switch central) pero topología lógica de bus (todos los dispositivos comparten conceptualmente el mismo medio de transmisión y deben arbitrar el acceso mediante CSMA/CD, aunque en switches esto se mitiga con full-duplex).

La elección de la topología tiene implicaciones importantes en coste, fiabilidad, rendimiento, facilidad de mantenimiento y escalabilidad de la red. En el SAS, donde la disponibilidad de la red es crítica, tendemos hacia topologías redundantes (malla o estrella con enlaces redundantes) que eviten puntos únicos de fallo. Vamos a ver las topologías más importantes que debes conocer para el examen.

5.2. Topología en Bus

En la topología de bus, todos los dispositivos están conectados a un único cable o backbone común. Las señales enviadas por cualquier dispositivo se propagan en ambas direcciones a lo largo del bus y son recibidas por todos los demás dispositivos, aunque solo el destinatario procesa la información. El bus debe tener terminadores en ambos extremos para evitar reflexiones de señal. Esta topología fue común en las primeras redes Ethernet (10BASE2 y 10BASE5) con cable coaxial, pero ya está obsoleta en LANs modernas.

Las ventajas de la topología en bus son que es simple y económica, requiere menos cable que otras topologías, y es fácil de extender añadiendo más dispositivos. Los inconvenientes son graves: el fallo del cable principal deja inoperativa toda la red, es difícil diagnosticar problemas, el rendimiento se degrada al añadir más dispositivos (todos compiten por el medio compartido), y es poco segura (todos los dispositivos ven todo el tráfico). Por estas razones no se usa en redes hospitalarias modernas.

5.3. Topología en Estrella

En la topología en estrella, cada dispositivo está conectado mediante un cable punto a punto a un nodo central, que puede ser un switch, un hub (obsoleto), o un router. Esta es la topología más común en redes LAN modernas y la que usamos en todo el SAS. Cada estación de trabajo en un hospital tiene un cable Ethernet que va desde su roseta de red hasta el patch panel del armario de telecomunicaciones de la planta, donde se conecta a un switch de acceso. Ese switch a su vez está conectado mediante cables de fibra óptica a un switch de distribución, y así sucesivamente formando una jerarquía en estrella.

Las ventajas de la topología en estrella son múltiples y explican su popularidad. Primero, es fácil añadir o quitar dispositivos sin afectar al resto de la red, simplemente conectándolos o desconectándolos del switch. Segundo, el fallo de un cable o de un dispositivo final solo afecta a ese dispositivo, no a toda la red (aunque el fallo del nodo central sí dejaría inoperativa toda la red, por eso usamos switches con fuentes de alimentación redundantes y tenemos switches de respaldo). Tercero, es fácil diagnosticar problemas porque podemos verificar cada conexión individualmente. Cuarto, el rendimiento es bueno porque cada dispositivo tiene un canal dedicado hacia el switch con el ancho de banda completo (especialmente en full-duplex, donde no hay colisiones). Y quinto, es segura porque los switches modernos envían las tramas solo al puerto de destino, no a todos los puertos.

Los inconvenientes son que requiere más cableado que la topología en bus (aunque esto es un coste asumible), y existe un punto único de fallo en el switch central (mitigable con redundancia). En el SAS, nuestra red es fundamentalmente en estrella jerárquica o en árbol: switches de acceso en estrella conectando puestos de trabajo, switches de acceso conectados en estrella a switches de distribución, y switches de distribución conectados en estrella a switches de core.

5.4. Topología en Anillo

En la topología en anillo, cada dispositivo está conectado a exactamente dos dispositivos vecinos, formando un camino circular cerrado para las señales. Los datos circulan en una dirección (anillo unidireccional) o en ambas direcciones (anillo bidireccional) alrededor del anillo, y cada dispositivo actúa como repetidor, regenerando y retransmitiendo la señal. Esta topología fue usada en redes Token Ring (IEEE 802.5) y en FDDI (Fiber Distributed Data Interface), que fueron comunes en los años 80 y 90 pero están obsoletas para LANs de usuario final.

Sin embargo, la topología en anillo no ha desaparecido completamente. Se sigue usando en redes metropolitanas (MANs) con tecnologías como SDH/SONET o Ethernet resiliente (como RPR – Resilient Packet Ring), donde la topología en anillo con protección ofrece recuperación automática ante fallos. En el contexto del SAS, podrías encontrar topologías en anillo en la Red Corporativa de Telecomunicaciones que interconecta centros hospitalarios de una misma ciudad, aunque esto está más en el ámbito de WAN/MAN que de LAN.

Las ventajas del anillo son que no requiere un nodo central, todos los nodos tienen acceso equitativo al medio, y se pueden implementar mecanismos de recuperación ante fallos (como en anillos bidireccionales). Los inconvenientes son que añadir o quitar dispositivos puede interrumpir temporalmente la red, un fallo en cualquier cable o dispositivo puede dejar inoperativo todo el anillo (a menos que haya redundancia con doble anillo), y puede haber latencias mayores cuando el anillo es grande.

5.5. Topología en Malla

En la topología en malla, cada dispositivo está conectado directamente con varios o todos los demás dispositivos. En una malla completa (full mesh), cada nodo tiene una conexión directa con todos los demás nodos. En una malla parcial, los nodos tienen múltiples conexiones pero no necesariamente con todos los demás. La topología en malla ofrece alta disponibilidad y redundancia porque hay múltiples caminos entre cualquier par de nodos. Si un enlace falla, el tráfico puede enrutarse por un camino alternativo.

En el contexto del SAS, no es común tener topologías en malla completa en LANs por el coste del cableado (una malla completa de n nodos requiere n(n-1)/2 enlaces), pero sí usamos mallas parciales en el core de la red. Por ejemplo, en un hospital grande podríamos tener dos switches de core con enlaces redundantes entre ellos y múltiples enlaces a switches de distribución, formando una malla parcial que garantiza que el fallo de cualquier enlace o switch no deje sin conectividad a ninguna parte del hospital. Los protocolos de spanning tree (STP, RSTP, MSTP) se encargan de prevenir bucles en estas topologías redundantes.

Las topologías en malla inalámbrica (wireless mesh) son muy interesantes para WiFi. En lugar de que cada AP se conecte mediante cable a un switch, los APs forman una red inalámbrica entre ellos donde unos actúan como nodos de acceso (conectados por cable) y otros como nodos de repetición (conectados solo por wireless a otros APs). Esto permite extender la cobertura WiFi a áreas donde es difícil o imposible llevar cable, como edificios antiguos protegidos, áreas exteriores, aparcamientos, etc.

5.6. Topologías en Redes Inalámbricas

Las redes inalámbricas WiFi (802.11) pueden operar en diferentes modos topológicos. El modo más común es el de infraestructura, donde hay puntos de acceso (APs) fijos conectados a la red cableada, y los dispositivos cliente (stations) se asocian a un AP para comunicarse con la red. Esta es la topología que usamos en el SAS: tenemos APs desplegados por todo el hospital, y los smartphones y tablets de los profesionales se conectan a ellos. Los APs están conectados mediante cable Ethernet a switches de la red cableada, actuando como puentes entre la red inalámbrica y la cableada.

También existe el modo ad-hoc (también llamado IBSS – Independent Basic Service Set), donde los dispositivos inalámbricos se comunican directamente entre sí sin necesidad de un AP, formando una red peer-to-peer temporal. Este modo no se usa en entornos corporativos del SAS por razones de seguridad y gestión, pero puede ser útil en situaciones de emergencia o desastres donde la infraestructura normal no está disponible. Los servicios de emergencia a veces despliegan redes ad-hoc para comunicaciones en el lugar del incidente.

Finalmente, la topología de malla inalámbrica (mesh) que mencionamos antes permite que múltiples APs se comuniquen entre sí de forma inalámbrica, creando una red auto-configurable y auto-reparable. Los protocolos de mesh routing (como HWMP – Hybrid Wireless Mesh Protocol en 802.11s) encuentran dinámicamente las mejores rutas a través de la malla. Esta topología es útil para cubrir áreas grandes o complejas con menos necesidad de cableado.

6. Modos de Acceso al Medio

6.1. El Problema del Acceso al Medio Compartido

En cualquier red donde múltiples dispositivos comparten el mismo medio de transmisión (ya sea un cable, el aire en wireless, etc.), surge el problema fundamental de cómo coordinar el acceso para evitar que dos dispositivos transmitan simultáneamente, lo que causaría una colisión y corrupción de las señales. Los métodos de acceso al medio (MAC – Media Access Control) resuelven este problema mediante diferentes estrategias. Las dos grandes familias de métodos son los basados en contención (donde los dispositivos compiten por el medio) y los sin contención (donde hay control centralizado o distribuido que asigna turnos de transmisión).

En el contexto de redes LAN, el método más importante es CSMA/CD (Carrier Sense Multiple Access with Collision Detection) usado en Ethernet cableado, y CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance) usado en WiFi. Aunque en redes Ethernet modernas con switches y full-duplex las colisiones ya no son un problema (cada enlace es punto a punto dedicado), es importante entender estos conceptos porque siguen siendo relevantes en redes WiFi, aparecen en preguntas de examen, y son fundamentales para comprender el funcionamiento histórico y actual de Ethernet.

6.2. CSMA/CD en Ethernet

CSMA/CD (Carrier Sense Multiple Access with Collision Detection) es el método de acceso al medio que define el estándar IEEE 802.3 (Ethernet). Funciona mediante tres mecanismos. Primero, Carrier Sense: antes de transmitir, una estación escucha el medio para detectar si hay alguna otra transmisión en curso. Si el medio está ocupado, espera a que se libere. Si está libre, transmite. Segundo, Multiple Access: múltiples estaciones pueden acceder al medio, pero siguiendo el protocolo de escuchar antes de transmitir. Tercero, Collision Detection: mientras transmite, la estación sigue monitorizando el medio, y si detecta que su señal ha colisionado con otra (porque dos estaciones empezaron a transmitir casi simultáneamente), detiene inmediatamente la transmisión, envía una señal de jam (atasco) para asegurar que todas las estaciones detectan la colisión, y espera un tiempo aleatorio antes de reintentar.

El algoritmo de backoff exponencial binario determina cuánto tiempo debe esperar una estación después de una colisión antes de reintentar. En el primer intento, elige aleatoriamente entre 0 y 1 slot times. Si colisiona de nuevo, en el segundo intento elige entre 0 y 3 slot times. En el tercer intento, entre 0 y 7, y así hasta un máximo de 1023 slot times. Después de 16 intentos fallidos, se renuncia y se reporta un error a las capas superiores. Este mecanismo hace que bajo alta carga de red, cuando hay muchas colisiones, las estaciones espacien más sus retransmisiones, lo que ayuda a que la red se estabilice.

Sin embargo, en redes Ethernet modernas con switches y operación full-duplex, CSMA/CD ya no se usa. En half-duplex (donde el mismo par de cables transmite y recibe), sí hay que usar CSMA/CD porque dos estaciones no pueden transmitir simultáneamente sin colisiones. Pero en full-duplex, hay pares de cables dedicados para transmisión y recepción separados, por lo que una estación puede transmitir y recibir simultáneamente sin colisiones. Esto duplica el ancho de banda efectivo (una conexión Gigabit full-duplex puede transmitir 1 Gbps y recibir 1 Gbps simultáneamente, para un throughput total de 2 Gbps). Además, al ser enlaces punto a punto entre la estación y el switch, no hay posibilidad de colisión porque solo hay dos dispositivos en el enlace. Por tanto, CSMA/CD se desactiva en full-duplex y cada dispositivo puede transmitir en cualquier momento.

6.3. CSMA/CA en Redes Inalámbricas

CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance) es el método de acceso usado en redes WiFi (IEEE 802.11). La diferencia fundamental con CSMA/CD es que en wireless es muy difícil detectar colisiones mientras se transmite, porque la señal propia de transmisión es mucho más fuerte que cualquier señal colisionada, y porque hay problemas como el nodo oculto (dos estaciones que no se escuchan entre sí pero ambas transmiten al mismo AP, causando colisión en el AP). Por tanto, en lugar de detectar colisiones, WiFi intenta evitarlas mediante varios mecanismos.

Primero, antes de transmitir, la estación escucha el medio para detectar si hay transmisión en curso (carrier sense físico). Además, todas las estaciones mantienen un NAV (Network Allocation Vector), un contador que indica el tiempo que el medio estará ocupado según los mensajes RTS/CTS o las cabeceras de las tramas recibidas (carrier sense virtual). Si el medio está libre tanto física como virtualmente, la estación espera un tiempo DIFS (DCF Interframe Space), y si sigue libre, transmite. Si está ocupado, espera a que se libere, luego espera un DIFS, y luego espera un tiempo aleatorio adicional (backoff) antes de intentar transmitir. Este backoff aleatorio es crucial para evitar que múltiples estaciones que estaban esperando transmitan todas simultáneamente en cuanto el medio se libera.

Segundo, opcionalmente se puede usar el mecanismo RTS/CTS (Request to Send / Clear to Send). Una estación que quiere transmitir una trama grande primero envía una pequeña trama RTS al AP. El AP responde con una trama CTS que todas las estaciones escuchan. El CTS indica que el medio estará reservado por el tiempo especificado, y todas las demás estaciones actualizan su NAV y se abstienen de transmitir. Luego la estación original transmite su trama de datos. Este mecanismo resuelve el problema del nodo oculto y reduce el coste de las colisiones (mejor que colisione una pequeña trama RTS que una trama de datos grande).

Finalmente, WiFi usa confirmaciones (ACK). Después de recibir correctamente una trama de datos, el receptor (normalmente el AP) envía una trama ACK después de un tiempo SIFS (Short Interframe Space, más corto que DIFS, para dar prioridad a los ACKs). Si el transmisor no recibe el ACK en el tiempo esperado, asume que hubo una colisión o un error de transmisión, e intenta retransmitir después de un tiempo de backoff exponencial. Este mecanismo asegura la fiabilidad de la transmisión inalámbrica a pesar de las condiciones cambiantes del medio.

6.4. Otros Métodos de Acceso

Aunque CSMA/CD y CSMA/CA son los más relevantes para LANs, existen otros métodos de acceso al medio que debes conocer. Token Passing es un método sin contención usado en redes Token Ring (IEEE 802.5) y FDDI. Un «token» (testigo) circula continuamente por el anillo, y solo la estación que posee el token puede transmitir. Esto elimina las colisiones y garantiza un acceso equitativo al medio, pero añade latencia porque hay que esperar a que llegue el token, y un token perdido puede paralizar la red.

Polling es otro método sin contención donde un controlador central pregunta (polls) a cada estación si tiene datos para transmitir, y le da permiso de transmisión. Esto garantiza que no hay colisiones y permite implementar prioridades, pero requiere un controlador central y puede ser ineficiente si muchas estaciones no tienen datos para enviar. Se usa en algunos protocolos industriales y en sistemas de control.

TDMA (Time Division Multiple Access) divide el tiempo en slots y asigna slots específicos a cada estación. Cada estación solo puede transmitir en sus slots asignados. Esto elimina colisiones y garantiza ancho de banda, pero puede ser ineficiente si algunas estaciones no tienen datos para enviar en sus slots. TDMA se usa más en redes de telefonía y enlaces satelitales que en LANs.

7. Protocolos y Estándares IEEE 802

7.1. La Familia de Estándares IEEE 802

El Institute of Electrical and Electronics Engineers (IEEE) es la organización responsable de los estándares más importantes en redes de área local a través de su grupo de trabajo 802. El estándar IEEE 802 se divide en múltiples subestándares, cada uno cubriendo un aspecto específico de las LANs. Debes conocer los principales porque aparecen constantemente en el examen, especialmente en su aplicación al SAS. Vamos a repasarlos sistemáticamente.

El estándar 802.1 cubre aspectos de arquitectura de red, gestión de red, y protocolos que funcionan por encima de la capa MAC pero dentro de la capa de enlace. Aquí tenemos varios subestándares críticos. IEEE 802.1D define el protocolo Spanning Tree Protocol (STP), que previene bucles de red en topologías redundantes detectando y bloqueando enlaces redundantes. IEEE 802.1Q define VLANs (Virtual LANs), que permiten segmentar lógicamente una red física en múltiples redes virtuales aisladas, fundamental para segregar tráfico en el SAS. IEEE 802.1X define el control de acceso a red basado en puertos (port-based NAC), que autentica dispositivos antes de darles acceso a la red, obligatorio según el ENS y la normativa del SAS. IEEE 802.1p define calidad de servicio (QoS) a nivel de capa 2 mediante priorización de tramas.

7.2. IEEE 802.3: Ethernet

IEEE 802.3 es el estándar que define Ethernet, la tecnología de LAN cableada más exitosa y universalmente adoptada. Ethernet ha evolucionado desde sus orígenes en los años 70 hasta las implementaciones actuales de 100 Gigabit y más, manteniendo compatibilidad hacia atrás. Las especificaciones de Ethernet se nombran mediante una convención que indica la velocidad, el método de señalización, y el medio físico. Por ejemplo, 1000BASE-T significa 1000 Mbps (1 Gigabit), transmisión en banda base (BASE), sobre cable de par trenzado (T). 10GBASE-SR significa 10 Gigabit, banda base, sobre fibra óptica de corto alcance (Short Range) usando multimodo.

Las variantes más importantes que debemos conocer para el SAS son: 100BASE-TX (Fast Ethernet a 100 Mbps sobre cable Cat 5 o superior, hasta 100 metros), que ya está siendo reemplazada por Gigabit. 1000BASE-T (Gigabit Ethernet sobre cable Cat 5e o superior, hasta 100 metros), que es el estándar actual para conexiones de puestos de trabajo. 1000BASE-SX/LX (Gigabit Ethernet sobre fibra óptica multimodo/monomodo), usada para enlaces entre switches. 10GBASE-T (10 Gigabit Ethernet sobre cable Cat 6A/7, hasta 100 metros), cada vez más común para conectar servidores y switches de distribución. 10GBASE-SR/LR (10 Gigabit sobre fibra óptica corto/largo alcance), estándar para backbones de campus. Y 40GBASE/100GBASE en múltiples variantes de fibra óptica para centros de datos y backbones de alto rendimiento.

Un subestándar importante es IEEE 802.3af, 802.3at y 802.3bt, que definen Power over Ethernet (PoE). PoE permite transmitir energía eléctrica junto con los datos por el mismo cable Ethernet, alimentando dispositivos como teléfonos IP, puntos de acceso WiFi, cámaras IP, etc. 802.3af (PoE original) proporciona hasta 15.4W de potencia. 802.3at (PoE+) proporciona hasta 30W. 802.3bt (PoE++ o 4PPoE) proporciona hasta 60W (Type 3) o 100W (Type 4). En el SAS, PoE es crítico porque nos permite desplegar teléfonos IP y APs WiFi sin necesidad de alimentación local, simplificando las instalaciones y proporcionando alimentación centralizada que puede estar respaldada por UPS.

7.3. IEEE 802.11: Wireless LAN (WiFi)

IEEE 802.11 es la familia de estándares que define las redes de área local inalámbricas, conocidas comercialmente como WiFi. Desde el estándar original 802.11 de 1997, ha habido múltiples revisiones que han mejorado dramáticamente las velocidades y funcionalidades. Las enmiendas más importantes que debes conocer son las siguientes. IEEE 802.11b (1999) operaba en 2.4 GHz con velocidades hasta 11 Mbps, fue el primer estándar WiFi ampliamente adoptado pero ya está obsoleto. IEEE 802.11a (1999) operaba en 5 GHz con velocidades hasta 54 Mbps, ofrecía más canales pero menor alcance, y tuvo menor adopción que 802.11b por ser más caro.

IEEE 802.11g (2003) combinó lo mejor de ambos mundos: operaba en 2.4 GHz como 802.11b pero alcanzaba 54 Mbps como 802.11a, y era compatible hacia atrás con 802.11b. Fue muy popular pero la banda de 2.4 GHz estaba congestionada. IEEE 802.11n (2009), también conocido como WiFi 4, fue un salto cualitativo importante. Podía operar en 2.4 GHz y/o 5 GHz, introducía MIMO (Multiple Input Multiple Output) con hasta 4 antenas, permitía canales de 40 MHz de ancho, y alcanzaba velocidades teóricas de hasta 600 Mbps. Esto hizo WiFi viable para aplicaciones más exigentes.

IEEE 802.11ac (2014), conocido como WiFi 5, opera exclusivamente en 5 GHz, introduce MIMO masivo (hasta 8 antenas), canales de hasta 160 MHz, y velocidades teóricas superiores a 1 Gbps. Las dos ondas (Wave 1 y Wave 2) mejoran sucesivamente las capacidades. Este es el estándar que se ha desplegado masivamente en los últimos años en hospitales del SAS. IEEE 802.11ax (2019), conocido como WiFi 6, es la última generación. Opera en 2.4 y 5 GHz (y 6 GHz en WiFi 6E), introduce tecnologías como OFDMA que mejoran la eficiencia en entornos densos con muchos clientes, Target Wake Time para dispositivos IoT de baja potencia, y velocidades teóricas de varios Gbps. WiFi 6 es especialmente beneficioso en hospitales donde hay cientos de dispositivos inalámbricos en una zona reducida.

Otros subestándares importantes de 802.11 incluyen: 802.11i que define seguridad WiFi mediante WPA2 con cifrado AES, reemplazando el inseguro WEP. 802.11e que define calidad de servicio (QoS) para priorizar tráfico de voz y video. 802.11r que define fast roaming para minimizar la latencia al cambiar de AP. 802.11k y 802.11v que proporcionan información de gestión de radio a los clientes para tomar decisiones inteligentes de roaming. Y 802.11w que protege tramas de gestión contra ataques de desautenticación.

7.4. IEEE 802.1X: Control de Acceso a Red (NAC)

El estándar IEEE 802.1X, también conocido como Port-Based Network Access Control, es absolutamente crítico en el SAS y cae con frecuencia en el examen. 802.1X define un mecanismo de autenticación para controlar quién puede acceder a la red. En lugar de permitir que cualquier dispositivo que se conecte a un puerto de switch o a un AP WiFi tenga inmediatamente acceso completo a la red, 802.1X requiere que el dispositivo (supplicant) se autentique primero ante un servidor de autenticación (típicamente RADIUS) antes de que el switch o AP (authenticator) le permita el acceso.

El funcionamiento de 802.1X se basa en el protocolo EAP (Extensible Authentication Protocol). Cuando un dispositivo se conecta a un puerto de switch o a un AP WiFi configurado con 802.1X, el puerto está inicialmente bloqueado (solo se permite tráfico EAP de autenticación). El dispositivo inicia el proceso de autenticación enviando sus credenciales (que pueden ser certificados digitales, usuario/contraseña, tokens hardware, etc.) encapsuladas en mensajes EAP. El authenticator (switch o AP) actúa como intermediario, reenviando estos mensajes al servidor RADIUS mediante el protocolo RADIUS. El servidor RADIUS valida las credenciales contra una base de datos (Active Directory, LDAP, etc.) y responde con acceso concedido o denegado. Si se concede acceso, el authenticator desbloquea el puerto y permite que el dispositivo acceda a la red (opcionalmente asignándolo a una VLAN específica según su identidad).

En el SAS, 802.1X es obligatorio según la política de seguridad TIC y el Esquema Nacional de Seguridad. Todos los dispositivos corporativos (ordenadores, tablets, smartphones, teléfonos IP, impresoras de red, etc.) deben autenticarse mediante 802.1X antes de acceder a la red. Esto previene que dispositivos no autorizados se conecten a la red, reduce drásticamente el riesgo de intrusiones internas, permite auditar qué dispositivos han accedido a la red y cuándo, y facilita la implementación de políticas de seguridad diferenciadas según el tipo de dispositivo y usuario.

7.5. IEEE 802.1Q: Virtual LANs (VLANs)

IEEE 802.1Q define las VLANs (Virtual LANs), una tecnología fundamental para segmentar lógicamente las redes físicas. Una VLAN es un dominio de broadcast lógico que agrupa dispositivos como si estuvieran en la misma LAN física, aunque físicamente puedan estar en switches diferentes o en ubicaciones diferentes. Las VLANs proporcionan segregación de tráfico (dos VLANs diferentes no pueden comunicarse entre sí directamente, necesitan un router o switch de capa 3), mejoran la seguridad (se pueden aplicar políticas de seguridad específicas por VLAN), optimizan el rendimiento reduciendo dominios de broadcast, y facilitan la gestión organizando la red según criterios funcionales en lugar de físicos.

El estándar 802.1Q define cómo se etiquetan (tag) las tramas Ethernet para identificar a qué VLAN pertenecen. Se inserta un campo de 4 bytes en la cabecera Ethernet (entre las direcciones MAC y el campo Type/Length) que contiene, entre otros campos, un identificador de VLAN de 12 bits, lo que permite hasta 4096 VLANs diferentes (aunque la VLAN 0 y 4095 están reservadas, y la VLAN 1 es la VLAN por defecto). Los switches aprenden qué VLANs están asociadas a qué puertos y solo reenvían tramas de una VLAN por los puertos que pertenecen a esa VLAN.

En un hospital del SAS es común tener múltiples VLANs. Por ejemplo: VLAN 10 para Diraya y aplicaciones clínicas, VLAN 20 para PACS y sistemas de imagen médica (con ancho de banda garantizado mediante QoS), VLAN 30 para telefonía IP (con QoS para baja latencia y jitter), VLAN 40 para dispositivos médicos (aislada con políticas de firewall restrictivas), VLAN 50 para invitados y visitantes (con acceso solo a Internet, no a recursos internos), VLAN 60 para administración y gestión de equipos de red, VLAN 70 para servidores de aplicaciones, etc. Esta segregación mejora la seguridad (un dispositivo comprometido en la VLAN de invitados no puede atacar directamente Diraya en su VLAN) y el rendimiento (el tráfico de PACS no congestiona la VLAN de Diraya).

8. Gestión de Redes de Área Local

8.1. Gestión de Configuración

La gestión de redes LAN en el SAS es una tarea compleja que abarca múltiples aspectos: configuración, monitorización, resolución de problemas, seguridad, rendimiento, y planificación de capacidad. Empecemos por la gestión de configuración, que se refiere a mantener un registro actualizado de todos los elementos de red (switches, routers, firewalls, APs), sus configuraciones, sus versiones de firmware, y sus relaciones de conectividad. Esta información es crítica para el mantenimiento, la resolución de problemas, y el cumplimiento normativo (el ENS exige mantener un inventario actualizado de activos TIC).

En el SAS usamos sistemas de gestión de configuración que automatizan la recopilación y almacenamiento de configuraciones. Por ejemplo, herramientas como Ansible, SolarWinds NCM, o Cisco Prime pueden conectarse periódicamente a todos los switches y routers, descargar sus configuraciones running-config, detectar cambios respecto a la última versión conocida, alertar si hay cambios no autorizados, y mantener un histórico de versiones que permite restaurar configuraciones anteriores si algo falla. También implementamos change management: cualquier cambio en la configuración de dispositivos críticos debe seguir un proceso formal de solicitud, aprobación, implementación, y verificación, documentado en el sistema de ticketing (en el SAS usamos herramientas como ayudaDIGITAL basado en OTRS).

8.2. Monitorización y Gestión de Rendimiento

La monitorización continua de la red es esencial para detectar problemas antes de que afecten a usuarios, identificar cuellos de botella de rendimiento, planificar ampliaciones de capacidad, y generar evidencias para auditorías. Usamos múltiples herramientas y protocolos para la monitorización. El protocolo SNMP (Simple Network Management Protocol) permite que dispositivos de red expongan información de estado y rendimiento (tráfico, errores, utilización de CPU y memoria, estado de puertos, etc.) que sistemas de monitorización centralizados (como Nagios, Zabbix, PRTG, SolarWinds, etc.) recopilan y visualizan.

También usamos syslog para centralizar logs de todos los dispositivos de red en un servidor de logs central, donde podemos buscar, correlacionar y analizar eventos. Cuando hay un problema de red, revisar los logs sincronizados de múltiples dispositivos es fundamental para entender la secuencia de eventos. NetFlow (o sFlow, IPFIX) nos permite analizar el tráfico de red a nivel de flujos: qué aplicaciones están generando más tráfico, qué usuarios o departamentos consumen más ancho de banda, qué protocolos se están usando, qué destinos internos y externos son los más accedidos, etc. Esta información es vital para dimensionamiento, detección de anomalías (un equipo infectado con malware puede generar patrones de tráfico anómalos detectables por NetFlow), y auditoría de uso de red.

Además, realizamos pruebas activas de rendimiento mediante herramientas de monitorización sintética que simulan transacciones de usuario (por ejemplo, acceder a Diraya, abrir una resonancia en el PACS) y miden tiempos de respuesta desde diferentes puntos de la red. Esto nos permite detectar degradaciones de rendimiento antes de que los usuarios se quejen masivamente. Para WiFi, usamos herramientas de site survey y spectrum analysis que mapean la cobertura, identifican interferencias, miden la calidad de señal, y optimizan la ubicación y configuración de APs.

8.3. Gestión de Problemas y Troubleshooting

Cuando hay problemas de red (y los hay, créeme, constantemente), necesitamos metodologías y herramientas eficaces para diagnosticar y resolver rápidamente. Seguimos un enfoque estructurado basado en el modelo OSI, diagnosticando desde la capa física hacia arriba. Capa 1: verificamos conectividad física (cable enchufado correctamente, sin daños visibles, LEDs del puerto encendidos, estado del enlace en el switch). Capa 2: verificamos que el switch ha aprendido la dirección MAC, que no hay errores de CRC o FCS, que el puerto está en la VLAN correcta, que no hay bucles de spanning tree. Capa 3: verificamos conectividad IP mediante ping, traceroute, verificamos configuración de dirección IP, máscara de subred, gateway, DNS.

Usamos múltiples herramientas de diagnóstico. Ping para verificar alcanzabilidad IP. Traceroute para ver el camino que siguen los paquetes y detectar dónde falla la conectividad. Nslookup/dig para diagnosticar problemas de DNS. Arp para verificar resolución de direcciones IP a MAC. Wireshark para capturar y analizar tráfico de red en detalle (absolutamente imprescindible para diagnosticar problemas complejos). Iperf para medir ancho de banda efectivo entre dos puntos. Y las herramientas de diagnóstico incorporadas en los propios dispositivos de red (comandos show en switches Cisco, estadísticas de interfaces, logs, etc.).

Los problemas típicos que encontramos en redes hospitalarias del SAS incluyen: cables dañados o mal crimpados (especialmente frecuente en zonas de obras), puertos de switch saturados o defectuosos, configuración incorrecta de VLANs causando que dispositivos no se puedan comunicar, problemas de spanning tree creando bucles de red o bloqueando enlaces incorrectamente, sobrecarga de puntos de acceso WiFi por exceso de clientes, interferencias en la banda de 2.4 GHz de WiFi (microondas, dispositivos Bluetooth, equipos médicos), dispositivos con direcciones IP duplicadas, tablas ARP corruptas, problemas de DNS causando que los nombres no resuelvan, firewalls bloqueando tráfico legítimo por reglas mal configuradas, ataques de red (broadcast storms, ataques de suplantación ARP, intentos de intrusión), etc.

8.4. Gestión de Seguridad en LANs

La seguridad de las redes LAN en el SAS es un aspecto crítico dado que manejamos información sanitaria protegida por el RGPD. Implementamos múltiples capas de seguridad. A nivel de puerto de switch, habilitamos port security para limitar cuántas direcciones MAC pueden conectarse a cada puerto y prevenir ataques de MAC flooding. Configuramos DHCP snooping para prevenir servidores DHCP no autorizados que podrían asignar configuraciones maliciosas. Habilitamos Dynamic ARP Inspection (DAI) para prevenir ataques de envenenamiento de caché ARP. Implementamos 802.1X como ya discutimos para autenticar todos los dispositivos antes de darles acceso.

Segmentamos la red mediante VLANs y aplicamos políticas de firewall entre VLANs (micro-segmentation). Los dispositivos médicos antiguos que no pueden actualizarse se aíslan en VLANs restringidas con reglas de firewall muy estrictas que solo permiten el tráfico necesario para su funcionamiento. Monitorizamos el tráfico de red en busca de anomalías mediante sistemas IDS/IPS (Intrusion Detection/Prevention Systems). Ciframos tráfico sensible mediante VPNs o TLS. En WiFi, usamos WPA3 con autenticación 802.1X (no usamos PSK – Pre-Shared Key – en entornos corporativos porque no permite identificar individualmente a los usuarios). Mantenemos los firmwares y sistemas operativos de dispositivos de red actualizados con los últimos parches de seguridad.

Realizamos auditorías de seguridad periódicas, incluyendo escaneos de vulnerabilidades de dispositivos de red, revisiones de configuraciones contra baselines de seguridad (STIG, CIS Benchmarks), pruebas de penetración de red, y revisiones de logs en busca de eventos sospechosos. Toda esta actividad se documenta para demostrar cumplimiento del ENS y otras normativas.

9. Redes de Área Local Inalámbricas (WLAN)

9.1. Arquitectura de WLANs Empresariales

Las redes WLAN en entornos empresariales y sanitarios como el SAS tienen características muy diferentes a las redes WiFi domésticas. En lugar de tener un único AP autónomo, desplegamos decenas o cientos de APs coordinados por un sistema de gestión centralizado. La arquitectura típica en el SAS es basada en controlador WLAN. Tenemos un Wireless LAN Controller (WLC), que puede ser un appliance físico o una máquina virtual, ubicado centralmente (típicamente en el CPD del hospital o en el datacenter regional del SAS). Todos los puntos de acceso del hospital establecen túneles CAPWAP (Control And Provisioning of Wireless Access Points) o similar hacia el controlador. A través de estos túneles, el WLC envía configuraciones a los APs, recibe estadísticas, coordina el roaming de clientes, gestiona la seguridad WiFi, etc.

Hay dos modelos de forwarding del tráfico de datos. En el modelo centralizado o tunneling, todo el tráfico de usuarios WiFi se envía desde los APs al WLC a través de los túneles, y el WLC lo inyecta en la red cableada. Esto simplifica la gestión (el WLC puede aplicar políticas de seguridad, QoS, etc. centralizadamente) pero crea un potencial cuello de botella en el WLC. En el modelo distribuido o local breakout, el tráfico de datos se inyecta localmente en la red cableada por el AP, mientras que solo el tráfico de control y gestión va al WLC. Esto es más escalable pero más complejo de gestionar. Las implementaciones modernas suelen usar modelos híbridos: tráfico de aplicaciones críticas corporativas como Diraya va tunneling al WLC (donde se aplican políticas estrictas), mientras que el tráfico de invitados/visitantes a Internet va en local breakout.

9.2. Diseño de Cobertura y Planificación de Capacidad WLAN

Diseñar la red WLAN de un hospital es un ejercicio de ingeniería complejo. No basta con esparcir APs aleatoriamente; necesitamos una planificación cuidadosa basada en site surveys (estudios de cobertura y capacidad). Un site survey implica recorrer físicamente todas las áreas del hospital con equipos especializados, medir la propagación de señales de radio, identificar fuentes de interferencia, determinar la ubicación óptima de APs, y validar que la cobertura y capacidad son adecuadas.

Los factores que afectan la cobertura WiFi en un hospital son múltiples. Primero, los materiales de construcción: paredes de hormigón armado, estructuras metálicas, cristales metalizados, ascensores y escaleras, salas blindadas (como las de resonancia magnética), todo esto atenúa o bloquea las señales de radio. Segundo, las interferencias: equipos médicos que emiten en 2.4 GHz (diatermia, algunos equipos de electrocirugía), redes WiFi de edificios adyacentes, dispositivos Bluetooth, microondas en cafeterías, etc. Tercero, la densidad de usuarios: en zonas como urgencias, salas de espera, cafeterías, puede haber cientos de dispositivos WiFi conectados simultáneamente, lo que requiere APs de alta capacidad y una buena planificación de canales.

La planificación incluye determinar cuántos APs necesitamos y dónde ubicarlos. Calculamos la cobertura de cada AP (típicamente unos 30-50 metros de radio en interiores dependiendo de obstáculos, frecuencia, y potencia) y aseguramos un solapamiento de cobertura del 15-20% entre APs adyacentes para permitir roaming sin cortes. También calculamos la capacidad: cada AP 802.11ac/ax puede soportar eficientemente unos 30-50 clientes activos simultáneos, así que en zonas de alta densidad necesitamos varios APs en un área relativamente pequeña, cuidadosamente planificados en canales no solapados.

Para 5 GHz, tenemos hasta 24 canales no solapados disponibles (dependiendo de la regulación local), lo que permite una reutilización de canales intensiva: podemos tener múltiples APs en la misma zona usando canales diferentes sin interferirse. Para 2.4 GHz, solo tenemos canales 1, 6 y 11, así que la reutilización es mucho más limitada. Por esta razón, en entornos de alta densidad como hospitales, intentamos que los clientes usen preferentemente 5 GHz, configurando los APs para band steering (dirigir clientes dual-band hacia 5 GHz en lugar de 2.4 GHz).

9.3. Seguridad en Redes WLAN

La seguridad WiFi es especialmente crítica en el SAS porque las ondas de radio no respetan límites físicos: alguien con un receptor en un aparcamiento o edificio adyacente podría capturar tráfico WiFi si no está adecuadamente cifrado. Por tanto, implementamos múltiples capas de seguridad. Primero, autenticación fuerte mediante 802.1X con servidores RADIUS integrados con Active Directory. Cada usuario y dispositivo corporativo tiene credenciales únicas (certificados digitales preferentemente, o usuario/contraseña) que se verifican antes de permitir acceso. No usamos PSK (Pre-Shared Key) en redes corporativas porque implica que todos comparten la misma contraseña, lo cual no permite identificación individual ni auditoría.

Segundo, cifrado robusto del tráfico inalámbrico mediante WPA3 (WiFi Protected Access 3), que usa cifrado AES (Advanced Encryption Standard) de 128 bits o más, proporcionando confidencialidad completa. WPA3 mejora sobre WPA2 ofreciendo protección contra ataques de diccionario offline mediante SAE (Simultaneous Authentication of Equals), forward secrecy (una clave de sesión comprometida no permite descifrar sesiones anteriores), y cifrado individualizado por cliente en redes abiertas mediante OWE (Opportunistic Wireless Encryption). Sin embargo, muchos dispositivos antiguos aún no soportan WPA3, así que mantenemos compatibilidad con WPA2 en modo transition.

Tercero, ocultación parcial del SSID (Service Set Identifier). Aunque ocultar el SSID no es una medida de seguridad efectiva (es trivial detectar SSIDs ocultos con herramientas de sniffing), sí reduce la visibilidad de la red corporativa a usuarios casuales. Cuarto, deshabilitación de capacidades inseguras heredadas: deshabilitamos WEP (totalmente inseguro), WPA1 (obsoleto y vulnerable), y limitamos las velocidades mínimas para prevenir que se usen tasas de modulación antiguas y lentas que reducen el rendimiento de toda la red.

Quinto, gestión de APs no autorizados (rogue APs). Monitorizamos constantemente el espectro de radio en busca de APs que no pertenecen a nuestra red pero que están emitiendo en las mismas áreas. Un empleado que conecta un AP personal sin autorización, o un atacante que instala un AP falso para intentar que clientes se conecten a él (evil twin attack), se detecta y localiza. Los controladores WLAN modernos tienen capacidades de RF scanning que les permiten detectar y geo-localizar APs no autorizados.

Finalmente, la red WiFi para invitados y visitantes está completamente segregada de la red corporativa. Los visitantes se conectan a un SSID dedicado que los coloca en una VLAN aislada con acceso solo a Internet (a través de un firewall restrictivo), previa aceptación de términos de uso en un portal captive. Esta red tiene limitaciones de ancho de banda y políticas de contenido que previenen usos indebidos. Los logs de uso se retienen según requerimientos legales.

9.4. Roaming y Movilidad en WLANs

Una característica fundamental de WiFi es permitir que los usuarios se muevan libremente por el área de cobertura sin perder conectividad. Cuando un dispositivo WiFi se mueve de la zona de cobertura de un AP a otro, debe realizar un proceso de roaming (cambio de asociación de un AP a otro). Para que este roaming sea transparente y no cause interrupciones en aplicaciones sensibles como voz sobre IP o acceso a Diraya, debe ser muy rápido (idealmente menos de 50 milisegundos).

El roaming tradicional (legacy roaming) puede ser lento porque el cliente debe buscar APs (scanning), desautenticarse del AP actual, autenticarse con el nuevo AP (incluyendo el proceso completo de 802.1X si se usa, que puede tardar segundos), y completar el handshake de seguridad (4-way handshake en WPA2). Este proceso puede tardar varios segundos, causando cortes perceptibles en llamadas de voz o sesiones interactivas.

Para mejorar esto, se desarrolló el estándar IEEE 802.11r (Fast Transition o Fast BSS Transition). Con 802.11r, el cliente y el WLC realizan pre-autenticación: cuando el cliente está conectado al AP-A, ya pre-autentica con los APs vecinos AP-B, AP-C, etc., de manera que cuando se mueve al área de AP-B, solo necesita completar un handshake rápido (no necesita repetir toda la autenticación 802.1X). Esto reduce el tiempo de roaming a decenas de milisegundos, haciéndolo transparente para aplicaciones de voz.

Además, los estándares 802.11k y 802.11v proporcionan información adicional a los clientes para tomar decisiones inteligentes de roaming. Con 802.11k (Radio Resource Management), los APs informan a los clientes sobre qué otros APs vecinos existen, su intensidad de señal, su carga de clientes, etc., de manera que el cliente puede tomar una decisión informada sobre cuándo hacer roaming y a qué AP. Con 802.11v (Wireless Network Management), el WLC puede sugerir o dirigir a clientes que se cambien de AP (por ejemplo, para balancear carga), y puede coordinar el roaming de forma más eficiente.

10. Bluetooth en Entornos Sanitarios

10.1. Tecnología Bluetooth: Conceptos Básicos

Bluetooth es una tecnología de comunicación inalámbrica de corto alcance que opera en la banda ISM (Industrial, Scientific and Medical) de 2.4 GHz, la misma que WiFi pero usando técnicas diferentes para compartir el espectro. Bluetooth fue diseñado originalmente para reemplazar cables en dispositivos personales (auriculares, teclados, ratones, etc.) pero ha evolucionado hasta convertirse en una tecnología versátil con aplicaciones en múltiples sectores, incluyendo el sanitario. La tecnología Bluetooth es relevante en el SAS porque muchos dispositivos médicos modernos la usan para conectividad inalámbrica con aplicaciones móviles, sistemas de monitorización remota, y equipamiento auxiliar.

Bluetooth opera mediante una técnica llamada FHSS (Frequency Hopping Spread Spectrum – Espectro Ensanchado por Salto de Frecuencia). Divide la banda de 2.4 GHz en 79 canales de 1 MHz de ancho, y cambia de canal 1600 veces por segundo siguiendo una secuencia pseudo-aleatoria conocida por el transmisor y el receptor. Esta técnica hace que Bluetooth sea muy resistente a interferencias: si un canal está ocupado o ruidoso, el siguiente salto irá a un canal diferente que probablemente esté limpio. También hace que sea difícil interceptar comunicaciones Bluetooth sin el equipamiento adecuado.

Hay dos principales variantes de Bluetooth. Bluetooth Clásico (BR/EDR – Basic Rate / Enhanced Data Rate) ofrece velocidades de hasta 3 Mbps y se usa para aplicaciones que requieren throughput relativamente alto o streaming continuo, como audio de alta calidad. Bluetooth Low Energy (BLE o Bluetooth Smart) prioriza el bajo consumo de energía sobre el throughput, con velocidades de hasta 2 Mbps en Bluetooth 5.x pero diseñado para transmitir ráfagas cortas de datos con largos periodos de inactividad. BLE permite que dispositivos funcionen durante meses o años con baterías pequeñas, lo cual es ideal para sensores médicos portables, wearables de monitorización de salud, etc.

10.2. Aplicaciones de Bluetooth en el SAS

En el entorno hospitalario del SAS, Bluetooth tiene múltiples aplicaciones prácticas. Una de las más comunes es la conectividad de dispositivos médicos portables y wearables. Monitores de glucosa continuos, tensiómetros digitales, pulsioxímetros, monitores de ECG portátiles, bandas de actividad y monitores de parámetros vitales en pacientes ambulatorios o en domicilio, todos estos dispositivos modernos suelen tener conectividad Bluetooth para transmitir datos automáticamente a aplicaciones móviles en smartphones o tablets del paciente o del personal sanitario. Esto facilita la monitorización remota de pacientes crónicos (un pilar de las estrategias de telemedicina del SAS) y reduce la carga de trabajo de transcripción manual de datos.

Otra aplicación es el posicionamiento y localización en interiores (indoor positioning). Mediante beacons Bluetooth (pequeños dispositivos BLE que emiten señales periódicas), se pueden rastrear la ubicación de activos móviles dentro del hospital: carros de medicación, equipos médicos portables (bombas de infusión, monitores, respiradores), incluso pacientes con pulseras con beacon integrado (útil en áreas de psiquiatría o geriatría donde hay riesgo de desorientación). Las aplicaciones móviles del personal sanitario pueden mostrar mapas con la ubicación en tiempo real de equipamiento o pacientes.

También usamos Bluetooth para periféricos de personal sanitario. Auriculares Bluetooth para comunicaciones telefónicas manos libres (especialmente en quirófano donde la esterilidad es crítica), lectores de código de barras Bluetooth para identificación de medicamentos y pacientes, impresoras portátiles Bluetooth para etiquetado de muestras en el punto de extracción, teclados y ratones Bluetooth para estaciones de trabajo móviles (COWs – Computers on Wheels), etc. La ventaja de Bluetooth sobre WiFi para estos dispositivos es el menor consumo de energía (mayor duración de batería) y la facilidad de emparejamiento.

10.3. Seguridad en Bluetooth

La seguridad en Bluetooth es importante porque, aunque el alcance es corto (típicamente 10-100 metros dependiendo de la clase de potencia), un atacante podría estar físicamente cerca del hospital e intentar interceptar o manipular comunicaciones Bluetooth. Bluetooth implementa varias capas de seguridad. Primero, el proceso de emparejamiento (pairing) establece una relación de confianza entre dos dispositivos mediante el intercambio de claves de enlace. En versiones modernas (Bluetooth 4.2 y posteriores con Secure Connections), este emparejamiento usa ECDH (Elliptic Curve Diffie-Hellman) para intercambiar claves de forma segura.

Segundo, una vez emparejados, las comunicaciones se cifran mediante algoritmos como AES-CCM de 128 bits. Esto protege la confidencialidad (nadie puede escuchar el contenido) y la integridad (nadie puede modificar los mensajes sin ser detectado) de las comunicaciones. Tercero, hay mecanismos de autenticación que aseguran que un dispositivo es realmente quien dice ser y no un impostor.

Sin embargo, Bluetooth no está exento de vulnerabilidades. Versiones antiguas de Bluetooth (especialmente Bluetooth Classic anterior a 2.1) tenían debilidades criptográficas conocidas. Ataques como Bluejacking (envío de mensajes no solicitados), Bluesnarfing (acceso no autorizado a datos en el dispositivo), o ataques de man-in-the-middle durante el emparejamiento son posibles si no se usan versiones modernas del protocolo y procedimientos de emparejamiento seguros. Por tanto, en el SAS debemos asegurarnos de que todos los dispositivos Bluetooth usen versiones modernas del estándar, que el emparejamiento se realice de forma controlada (idealmente en modo Just Works para dispositivos sin interfaz, o mediante PIN o confirmación numérica en dispositivos con pantalla), y que los dispositivos Bluetooth se actualicen con parches de seguridad cuando se descubren vulnerabilidades.

11. Control de Acceso a la Red (NAC)

11.1. Concepto y Necesidad del NAC

El Control de Acceso a la Red (NAC – Network Access Control) es un enfoque de seguridad que verifica que los dispositivos que intentan conectarse a la red cumplen con políticas de seguridad antes de permitirles el acceso completo. Tradicionalmente, cuando conectabas un dispositivo a un puerto de switch o a WiFi, obtenías inmediatamente acceso a toda la red. Esto es un riesgo de seguridad enorme: un dispositivo no autorizado, mal configurado, o infectado con malware podría conectarse y comprometer la red. NAC resuelve este problema implementando un punto de control: antes de dar acceso a la red, el dispositivo debe identificarse, autenticarse, y potencialmente someterse a verificaciones de conformidad de seguridad (¿tiene antivirus actualizado? ¿está parcheado con las últimas actualizaciones? ¿cumple las políticas corporativas?).

En el SAS, donde manejamos información sanitaria extremadamente sensible, NAC es obligatorio según el Esquema Nacional de Seguridad y nuestras políticas de seguridad TIC. No podemos permitir que dispositivos desconocidos o no autorizados accedan a redes donde circulan datos de millones de pacientes. Además, la diversidad de dispositivos en un entorno hospitalario (ordenadores corporativos, tablets y smartphones personales bajo BYOD – Bring Your Own Device, dispositivos médicos, sistemas IoT, dispositivos de contratistas y visitantes) hace que sea imposible confiar implícitamente en todo lo que se conecta. NAC nos permite aplicar políticas diferenciadas según el tipo de dispositivo, el usuario, la ubicación, el nivel de seguridad del dispositivo, etc.

11.2. Implementación de NAC con IEEE 802.1X

La implementación más común y robusta de NAC en redes corporativas es mediante el estándar IEEE 802.1X, que ya mencionamos anteriormente pero profundizaremos ahora en el contexto de NAC completo. 802.1X define tres roles: el supplicant (el dispositivo que quiere acceder a la red, por ejemplo un PC o una tablet), el authenticator (el dispositivo de red que controla el acceso, típicamente un switch o un AP WiFi), y el authentication server (el servidor que verifica las credenciales, típicamente un servidor RADIUS integrado con Active Directory o LDAP).

El proceso funciona así: cuando el supplicant se conecta físicamente a un puerto de switch o se asocia a un AP WiFi, el authenticator mantiene el puerto en un estado bloqueado (solo permite tráfico EAP de autenticación, nada más). El supplicant inicia el proceso de autenticación mediante el protocolo EAP. Existen múltiples métodos EAP: EAP-TLS usa certificados digitales X.509 (el más seguro, recomendado para el SAS), EAP-PEAP y EAP-TTLS usan un túnel TLS protegido dentro del cual se transmiten credenciales de usuario/contraseña, EAP-MD5 es antiguo e inseguro (no se usa). Los mensajes EAP del supplicant son encapsulados por el authenticator en mensajes RADIUS y enviados al servidor RADIUS. El servidor RADIUS valida las credenciales (por ejemplo, verificando el certificado digital contra su CA, o validando usuario/contraseña contra Active Directory). Si la autenticación es exitosa, el servidor RADIUS envía un mensaje de Access-Accept al authenticator, opcionalmente incluyendo atributos adicionales como la VLAN a la que debe asignarse el dispositivo, límites de ancho de banda, duración de la sesión, etc. El authenticator entonces desbloquea el puerto y el dispositivo tiene acceso a la red.

En el SAS configuramos 802.1X en todos los switches de acceso y en toda la infraestructura WiFi. Los ordenadores corporativos tienen certificados digitales instalados (emitidos por la PKI corporativa de la Junta de Andalucía) que usan para autenticarse automáticamente mediante EAP-TLS. Los usuarios que se conectan con dispositivos personales (BYOD) pueden usar sus credenciales de Active Directory mediante PEAP-MSCHAPv2. Los dispositivos médicos que no soportan 802.1X se autentican mediante MAB (MAC Authentication Bypass): el switch captura su dirección MAC y la envía al servidor RADIUS, que verifica si esa MAC está en una lista blanca de dispositivos autorizados.

11.3. NAC Avanzado: Posture Assessment y Profiling

Las soluciones NAC modernas van más allá de la simple autenticación de identidad. Implementan también posture assessment (evaluación de conformidad de seguridad) y device profiling (identificación automática del tipo de dispositivo). El posture assessment verifica que el dispositivo cumple con políticas de seguridad corporativas antes de darle acceso completo. Por ejemplo, podríamos configurar políticas que requieran: sistema operativo actualizado con los últimos parches, antivirus instalado y con definiciones actualizadas, firewall personal habilitado, cifrado de disco habilitado, no ejecutando aplicaciones prohibidas, etc.

Cuando un dispositivo se autentica, un agente de posture (un pequeño software instalado en el dispositivo, o verificaciones sin agente mediante técnicas pasivas) recopila información sobre el estado de seguridad del dispositivo y la reporta al sistema NAC. Si el dispositivo cumple todas las políticas, se le da acceso completo. Si tiene deficiencias menores (por ejemplo, antivirus desactualizado), se le coloca en una VLAN de cuarentena con acceso limitado solo a servidores de actualización de antivirus, y se le notifica que debe remediar el problema. Si tiene deficiencias graves (malware detectado, sistema operativo sin parchar con vulnerabilidades críticas conocidas), se le bloquea el acceso completamente.

El device profiling identifica automáticamente qué tipo de dispositivo se está conectando (PC con Windows, Mac, iPad, teléfono Android, impresora de red, teléfono IP, dispositivo médico específico, etc.) mediante técnicas como análisis de comportamiento de red, identificación de servicios activos, fingerprinting de pila TCP/IP, consulta a bases de datos de MACs del fabricante, etc. Una vez identificado el tipo de dispositivo, se le aplica automáticamente la política apropiada. Por ejemplo, un teléfono IP se coloca automáticamente en la VLAN de voz con QoS apropiado, una impresora de red se coloca en la VLAN de impresoras con acceso limitado, un dispositivo médico se coloca en la VLAN de dispositivos médicos con políticas restrictivas, etc.

12. Evolución y Tendencias en Redes LAN

12.1. De Megabit a Terabit: La Evolución de las Velocidades

Las redes de área local han experimentado una evolución espectacular en velocidades. Ethernet comenzó en 1980 con 10 Mbps (10BASE5, cable coaxial grueso), avanzó a 100 Mbps (Fast Ethernet, 100BASE-TX, 1995), luego 1 Gbps (Gigabit Ethernet, 1000BASE-T, 1999), 10 Gbps (10GBASE-T, 2006), 40/100 Gbps (2010), y actualmente 200/400 Gbps e incluso 800 Gbps y 1.6 Tbps en enlaces de backbone de centros de datos masivos. Esta progresión exponencial ha sido impulsada por las crecientes demandas de ancho de banda de aplicaciones modernas: video de alta definición, imagen médica de alta resolución, virtualización de servidores y escritorios, computación en cloud, big data, etc.

En el SAS, la velocidad estándar actual para puestos de trabajo es 1 Gbps. Esto es más que suficiente para aplicaciones de ofimática, navegación web, acceso a Diraya, correo electrónico, etc. Sin embargo, en estaciones de trabajo especializadas como las de radiología (que manejan estudios de imagen de varios gigabytes), en servidores de aplicaciones, en enlaces troncales entre switches, y en conexiones a sistemas de almacenamiento, necesitamos 10 Gbps o más. Los switches de core en hospitales grandes operan a 40/100 Gbps en sus enlaces de backbone. La tendencia es que las velocidades sigan aumentando: ya se están desplegando switches con puertos 25/50 Gbps para servidores, y 100/400 Gbps para backbones.

12.2. Virtualización de Redes y SDN

Una tendencia importante en redes modernas es la virtualización de funciones de red y las redes definidas por software (SDN – Software-Defined Networking). Tradicionalmente, cada switch o router era un dispositivo físico con su plano de datos (hardware que reenvía paquetes a alta velocidad) y su plano de control (software que toma decisiones de reenvío, ejecuta protocolos de enrutamiento, etc.) integrados en el mismo equipo. SDN separa estos dos planos: el plano de datos permanece en los switches (que se convierten en dispositivos más simples y baratos), pero el plano de control se centraliza en un controlador SDN que toma decisiones de reenvío y programa las tablas de flujo de todos los switches mediante protocolos como OpenFlow.

Las ventajas de SDN incluyen gestión centralizada (configurar la red desde un solo punto en lugar de dispositivo por dispositivo), automatización (cambios de configuración pueden programarse y aplicarse automáticamente), agilidad (aprovisionamiento de nuevos servicios de red en minutos en lugar de días), y flexibilidad (políticas de red complejas que serían difíciles de implementar de forma distribuida se implementan fácilmente de forma centralizada). Sin embargo, SDN también introduce nuevos riesgos: el controlador se convierte en un punto único de fallo (requiere redundancia), un controlador comprometido podría controlar toda la red, y hay complejidad adicional de gestión.

En el SAS, SDN se está explorando especialmente para redes de centros de datos donde la agilidad y automatización son críticas. Por ejemplo, en un entorno virtualizado con cientos de máquinas virtuales (VMs) que se crean, destruyen y migran constantemente, SDN permite que la red se reconfigure automáticamente para seguir a las VMs sin intervención manual. También se usa SDN para implementar micro-segmentación: políticas de seguridad granulares a nivel de VM o contenedor, imposibles de implementar con firewalls tradicionales.

12.3. WiFi 6/6E/7 y el Futuro de las Redes Inalámbricas

Las redes inalámbricas continúan evolucionando rápidamente. WiFi 6 (802.11ax), que se está desplegando actualmente en el SAS, introduce múltiples mejoras: OFDMA (Orthogonal Frequency Division Multiple Access) que permite transmitir a múltiples clientes simultáneamente en el mismo canal mediante asignación de diferentes subportadoras, mejorando dramáticamente la eficiencia en entornos de alta densidad; MU-MIMO (Multi-User MIMO) en downlink y uplink, permitiendo comunicaciones simultáneas con hasta 8 clientes; BSS Coloring para reducir interferencias entre redes vecinas; Target Wake Time para dispositivos IoT que permite programar cuándo despertar y transmitir, ahorrando energía; y velocidades teóricas de hasta 9.6 Gbps.

WiFi 6E extiende WiFi 6 a la banda de 6 GHz (5.925-7.125 GHz), proporcionando 1200 MHz adicionales de espectro limpio sin dispositivos legacy, lo que permite hasta 59 canales no solapados de 20 MHz, o 14 canales de 80 MHz, o 7 canales de 160 MHz. Esto es revolucionario para entornos de alta densidad como hospitales. Sin embargo, la adopción de 6 GHz está sujeta a regulación: en Europa la aprobación llegó en 2021-2022 y el despliegue de dispositivos está en curso.

WiFi 7 (802.11be), cuya ratificación se espera para 2024, promete velocidades de hasta 30 Gbps mediante canales extremadamente anchos (hasta 320 MHz), modulación 4096-QAM, y Multi-Link Operation (MLO) que permite usar múltiples bandas simultáneamente (por ejemplo, 5 GHz y 6 GHz al mismo tiempo para un mismo cliente, agregando throughput y reduciendo latencia). WiFi 7 posicionará a las redes inalámbricas como alternativas viables incluso para aplicaciones de misión crítica que actualmente requieren cableado.

12.4. Redes LAN para IoT y Edge Computing

El Internet de las Cosas (IoT) está transformando el sector sanitario con dispositivos médicos conectados, sensores ambientales, sistemas de localización en tiempo real (RTLS), wearables de pacientes, etc. Estos dispositivos tienen características diferentes de los clientes tradicionales de red: suelen transmitir pequeñas cantidades de datos de forma intermitente, requieren muy bajo consumo de energía, no necesitan anchos de banda altos, pero sí necesitan alta fiabilidad y en algunos casos latencias muy bajas.

Las redes LAN deben adaptarse para soportar eficientemente estos dispositivos IoT. WiFi tradicional no es óptimo porque consume demasiada energía. Tecnologías como Bluetooth Low Energy, Zigbee, LoRaWAN, y variantes de WiFi optimizadas para IoT (como HaLow – 802.11ah, que opera en frecuencias sub-GHz con mayor alcance y menor consumo) están ganando tracción. En el SAS, estamos viendo despliegues de redes IoT superpuestas a la red LAN tradicional: gateways IoT conectados a la LAN corporativa que agregan datos de cientos o miles de sensores de bajo consumo.

Edge computing complementa esto: en lugar de enviar todos los datos al centro de datos o cloud para procesamiento, se procesa localmente en el «edge» (el borde de la red, cerca de donde se generan los datos). Por ejemplo, cámaras de video inteligentes con procesamiento de IA local para detección de caídas de pacientes, monitorización de signos vitales con algoritmos de IA en el propio dispositivo médico que solo envían alertas críticas a la red en lugar de streams continuos de datos, etc. Esto reduce latencia, reduce tráfico de red, y mejora privacidad (datos sensibles no tienen que salir del dispositivo).

13. Cuestionario de Preguntas

A continuación encontrarás 30 preguntas tipo test basadas en exámenes reales de convocatorias anteriores del SAS y en el contenido del tema. Cada pregunta tiene 4 opciones (A-D), una sola es correcta. Te recomiendo que primero intentes responder todas sin mirar las soluciones, anotes tus respuestas, y luego revises las explicaciones detalladas. Esta es la mejor forma de identificar lagunas de conocimiento y reforzar el aprendizaje.

14. Mapa Conceptual

El siguiente mapa conceptual resume los componentes clave del Tema 28, mostrando las interrelaciones entre conceptos, tecnologías, estándares, y aplicaciones en el SAS. Úsalo como herramienta de revisión rápida y para visualizar la estructura global del tema.

REDES DE ÁREA LOCAL (LAN)
│
├─── 📋 DEFINICIÓN Y CLASIFICACIÓN
│    ├─── Características: área limitada, alta velocidad, baja latencia, propiedad privada
│    ├─── Clasificación por alcance: LAN, WLAN, VLAN, MAN, WAN
│    └─── Contexto SAS: LAN en hospitales, interconexión edificios
│
├─── 🏗️ COMPONENTES DE RED
│    ├─── Hardware Activo
│    │    ├─── Hubs (obsoletos): capa 1, broadcast, colisiones
│    │    ├─── Switches: capa 2/3, conmutación MAC, VLANs
│    │    ├─── Routers: capa 3, enrutamiento IP, interconexión redes
│    │    ├─── APs (Access Points): WiFi, 802.11, controladores WLAN
│    │    └─── SAS: switches Cisco/HP/Aruba managed, APs Cisco/Aruba centralizados
│    │
│    ├─── Medios de Transmisión
│    │    ├─── Cobre: UTP Cat 5e/6/6A, 100 m máx, TIA-568, RJ-45
│    │    ├─── Fibra Óptica: multimodo OM3/OM4, monomodo OS2, LC/SC
│    │    ├─── Inalámbrico: 2.4 GHz, 5 GHz, 6 GHz, WiFi 4/5/6/7
│    │    └─── SAS: Cat 6A en reformas, fibra OM4 backbone, WiFi 6 en despliegue
│    │
│    └─── Hardware Pasivo
│         ├─── Patch panels, racks, armarios de telecomunicaciones
│         ├─── Canalización: bandejas, conductos, cableado estructurado
│         └─── SAS: normalización TIA-568, etiquetado, documentación CMDB
│
├─── 🔀 TOPOLOGÍAS DE RED
│    ├─── Topologías Lógicas
│    │    ├─── Bus: cable compartido, obsoleto (10BASE-2)
│    │    ├─── Estrella: nodo central, usada en Ethernet moderno
│    │    ├─── Anillo: Token Ring (802.5), obsoleto
│    │    ├─── Malla: full mesh alta disponibilidad, partial mesh práctico
│    │    └─── Árbol/Jerárquica: acceso-distribución-core, escalable
│    │
│    ├─── Topologías Físicas
│    │    └─── Coinciden mayormente con lógicas en redes modernas
│    │
│    ├─── Topologías Inalámbricas
│    │    ├─── Infraestructura: clientes → APs → red cableada (estándar corporativo)
│    │    ├─── Ad-hoc: peer-to-peer, no corporativo
│    │    └─── Mesh: APs interconectados inalámbricamente
│    │
│    └─── SAS: Topología Jerárquica en Estrella
│         └─── Switches acceso → distribución → core, enlaces redundantes LACP
│
├─── 🌐 PROTOCOLOS Y ESTÁNDARES
│    ├─── IEEE 802.3 (Ethernet)
│    │    ├─── 10BASE-T: 10 Mbps, Cat 3
│    │    ├─── 100BASE-TX (Fast Ethernet): 100 Mbps, Cat 5
│    │    ├─── 1000BASE-T (Gigabit): 1 Gbps, Cat 5e/6
│    │    ├─── 10GBASE-T: 10 Gbps, Cat 6A
│    │    ├─── 10GBASE-SR: 10 Gbps, fibra MM, hasta 400m
│    │    ├─── 40GBASE-SR4: 40 Gbps, fibra MM
│    │    └─── 100GBASE-SR4: 100 Gbps, fibra MM
│    │
│    ├─── IEEE 802.11 (WiFi)
│    │    ├─── 802.11n (WiFi 4): hasta 600 Mbps, 2.4/5 GHz
│    │    ├─── 802.11ac (WiFi 5): hasta varios Gbps, 5 GHz, MU-MIMO
│    │    ├─── 802.11ax (WiFi 6/6E): hasta 9.6 Gbps, OFDMA, 6 GHz
│    │    └─── 802.11be (WiFi 7): hasta 30 Gbps, 320 MHz, MLO
│    │
│    ├─── IEEE 802.1 (Gestión de Red)
│    │    ├─── 802.1Q: VLANs, etiquetado, trunk
│    │    ├─── 802.1p: QoS, priorización tráfico (CoS)
│    │    ├─── 802.1X: autenticación puerto, NAC, RADIUS
│    │    ├─── 802.1D/w/s: STP, RSTP, MSTP (prevención bucles)
│    │    └─── 802.1AB: LLDP (descubrimiento vecinos)
│    │
│    ├─── 802.1AX (antes 802.3ad): LACP
│    │    └─── Agregación enlaces, redundancia, balanceo carga
│    │
│    └─── SAS: Cumplimiento Estándares
│         └─── IEEE 802.x, TIA-568, ISO/IEC 11801, CCN-STIC

├─── 🔐 SEGURIDAD EN LAN
│    ├─── Seguridad Cableada
│    │    ├─── Port Security: limitar MACs, sticky learning
│    │    ├─── DHCP Snooping: prevenir DHCP rogue
│    │    ├─── Dynamic ARP Inspection: prevenir ARP spoofing
│    │    ├─── 802.1X/NAC: autenticación antes de acceso
│    │    └─── ACLs en switches: filtrado capa 2/3
│    │
│    ├─── Seguridad Inalámbrica
│    │    ├─── WEP: obsoleto, inseguro
│    │    ├─── WPA: transitorio, RC4+TKIP
│    │    ├─── WPA2: AES-CCMP, 802.11i, actual estándar
│    │    ├─── WPA3: SAE, forward secrecy, 192-bit Enterprise
│    │    ├─── 802.1X/EAP: autenticación empresa (EAP-TLS, PEAP)
│    │    ├─── Gestión RF: IDS/IPS inalámbrico, detección rogues
│    │    └─── Segmentación: SSIDs múltiples, VLANs por SSID
│    │
│    └─── SAS: Política Seguridad de Red
│         ├─── WPA3-Enterprise en WiFi corporativo
│         ├─── 802.1X con RADIUS integrado en AD
│         ├─── NAC para BYOD con evaluación postura
│         ├─── Segmentación estricta por VLANs
│         ├─── Monitorización continua (SIEM, NMS)
│         └─── Auditorías periódicas ENS

├─── ⚡ TECNOLOGÍAS AVANZADAS
│    ├─── Power over Ethernet (PoE)
│    │    ├─── 802.3af (PoE): 15.4W
│    │    ├─── 802.3at (PoE+): 30W
│    │    ├─── 802.3bt (PoE++): 60W/100W
│    │    └─── SAS: alimentación APs, teléfonos IP, cámaras
│    │
│    ├─── Virtualización de Red
│    │    ├─── VLANs: segmentación lógica capa 2
│    │    ├─── VXLANs: overlay capa 2 sobre IP (data center)
│    │    └─── SDN: separación control/data plane, programabilidad
│    │
│    ├─── Alta Disponibilidad
│    │    ├─── Redundancia física: dual uplinks, múltiples switches
│    │    ├─── LACP: agregación enlaces, failover automático
│    │    ├─── STP/RSTP: prevención bucles, convergencia rápida
│    │    ├─── Stacking: switches apilados, gestión unificada
│    │    └─── Virtualización: VSS, VPC, MC-LAG
│    │
│    ├─── Quality of Service (QoS)
│    │    ├─── 802.1p/CoS: priorización capa 2
│    │    ├─── DSCP: marcado capa 3
│    │    ├─── Colas de prioridad: strict priority, WRR, CBWFQ
│    │    ├─── Traffic shaping/policing: control ancho de banda
│    │    └─── SAS: priorización VoIP, aplicaciones clínicas críticas
│    │
│    ├─── Bluetooth
│    │    ├─── Bluetooth Classic: hasta 3 Mbps, consumo alto
│    │    ├─── BLE (Low Energy): hasta 1 Mbps, consumo ultra-bajo
│    │    └─── SAS: dispositivos médicos IoT, beacons RTLS
│    │
│    └─── IoT y Edge Computing
│         ├─── Redes IoT: sensores, actuadores, bajo consumo
│         ├─── Protocolos: Zigbee, LoRaWAN, 802.11ah (HaLow)
│         ├─── Edge computing: procesamiento local, baja latencia
│         └─── SAS: monitorización pacientes, localización activos, ambientación

├─── 🎛️ GESTIÓN Y OPERACIÓN
│    ├─── Gestión Centralizada
│    │    ├─── Controladores WLAN: Cisco WLC, Aruba Mobility Master
│    │    ├─── NMS: SolarWinds, PRTG, LibreNMS
│    │    ├─── Configuración: CLI (SSH), Web UI, APIs
│    │    ├─── Monitorización: SNMP, syslog, NetFlow
│    │    └─── SAS: gestión centralizada desde CPD regional
│    │
│    ├─── Troubleshooting
│    │    ├─── Herramientas: ping, traceroute, tcpdump, Wireshark
│    │    ├─── Logs: syslog, event logs, SNMP traps
│    │    ├─── Monitorización: dashboards, alertas, baselines
│    │    └─── Documentación: topología, configuraciones, procedures
│    │
│    ├─── Cableado Estructurado
│    │    ├─── Normas: TIA-568, ISO/IEC 11801
│    │    ├─── Subsistemas: horizontal, vertical/backbone, área trabajo
│    │    ├─── Certificación: test cobre (fluke), test fibra (OTDR)
│    │    └─── SAS: proyectos normalizados, certificación obligatoria
│    │
│    └─── Ciclo de Vida
│         ├─── Planificación: diseño, presupuesto, compras
│         ├─── Implantación: instalación, configuración, pruebas
│         ├─── Operación: monitorización, soporte, mantenimiento
│         ├─── Optimización: tuning, actualizaciones, mejoras
│         └─── Retirada: desmantelamiento, reciclaje

├─── 📊 GESTIÓN DE CAPACIDAD Y RENDIMIENTO
│    ├─── Baseline de tráfico: perfiles normales
│    ├─── Monitorización utilización: ancho de banda, CPU, errores
│    ├─── Capacity planning: proyecciones, crecimiento
│    └─── SAS: monitorización 24/7, alertas, informes mensuales

└─── 🔮 EVOLUCIÓN Y TENDENCIAS
     ├─── WiFi 6E/7: 6 GHz, 320 MHz, MLO, <1 ms latencia
     ├─── Ethernet 400G/800G: data center, IA/ML workloads
     ├─── SDN/SD-WAN: orquestación automática, políticas centralizadas
     ├─── Zero Trust Network: microsegmentación, verificación continua
     ├─── 5G privado: alternativa WiFi, ultra-confiable, baja latencia
     ├─── WiFi 7 + 5G convergencia: seamless handover
     ├─── IA en gestión red: detección anomalías, auto-remediación
     └─── SAS: evaluación tecnologías emergentes, pilotos, roadmap 2025-2030
    

15. Referencias Normativas y Bibliográficas

15.1. Estándares Técnicos

IEEE (Institute of Electrical and Electronics Engineers)

• IEEE 802.3 - Ethernet Standards (todas las variantes de Ethernet cableado: 10BASE-T, 100BASE-TX, 1000BASE-T, 10GBASE-T, etc.)
• IEEE 802.11 - Wireless LAN Standards (WiFi 4/5/6/6E/7: 802.11n, 802.11ac, 802.11ax, 802.11be)
• IEEE 802.1Q - Virtual LANs (VLANs), trunk tagging
• IEEE 802.1p - Traffic Class Expediting and Dynamic Multicast Filtering (QoS en Ethernet)
• IEEE 802.1X - Port-Based Network Access Control (autenticación de puerto, NAC)
• IEEE 802.1D/w/s - Spanning Tree Protocol, Rapid STP, Multiple STP
• IEEE 802.1AB - Link Layer Discovery Protocol (LLDP)
• IEEE 802.1AX (antes 802.3ad) - Link Aggregation (LACP)
• IEEE 802.15.1 - Bluetooth wireless personal area network
• IEEE 802.15.4 - Low-Rate Wireless Personal Area Networks (base para Zigbee)

Cableado Estructurado

• ANSI/TIA-568-C - Commercial Building Telecommunications Cabling Standard (especificaciones categorías de cable, conectores, pineado)
• ANSI/TIA-569-D - Telecommunications Pathways and Spaces (diseño de espacios de telecomunicaciones, armarios)
• ANSI/TIA-606-B - Administration Standard for Telecommunications Infrastructure (etiquetado y documentación)
• ISO/IEC 11801 - Information technology – Generic cabling for customer premises (equivalente internacional a TIA-568)
• EN 50173 - Information technology – Generic cabling systems (norma europea de cableado)

Seguridad WiFi

• IEEE 802.11i - Wireless Network Security (base de WPA2)
• WPA3 Specification - Wi-Fi Alliance (especificaciones WPA3 Personal y Enterprise)
• RFC 5216 - The EAP-TLS Authentication Protocol (autenticación basada en certificados)
• RFC 5281 - Extensible Authentication Protocol Tunneled Transport Layer Security Authenticated Protocol Version 0 (EAP-TTLSv0)

15.2. Normativa de Seguridad y Protección de Datos

• Real Decreto 311/2022 - Esquema Nacional de Seguridad (ENS) - Aplicable a todas las infraestructuras TIC del sector público, incluidas redes LAN del SAS
• CCN-STIC-817 - Esquema Nacional de Seguridad: Gestión de Ciberincidentes
• CCN-STIC-801 - Responsabilidades y Funciones en el ENS
• Reglamento (UE) 2016/679 (RGPD) - Reglamento General de Protección de Datos
• Ley Orgánica 3/2018 (LOPDGDD) - Protección de Datos Personales y garantía de los derechos digitales
• Guía CCN-STIC-811 - Interconexión en el ENS (conectividad segura entre redes)

15.3. Normativa Específica del SAS y Junta de Andalucía

• Decreto 534/2021 - Administración Electrónica y Servicios Digitales del Servicio Andaluz de Salud
• Política de Seguridad de las Tecnologías de la Información del SAS - Documento interno que establece directrices de seguridad aplicables a redes
• Normativa de Diseño e Implementación de Infraestructuras de Red de Área Local en la Junta de Andalucía - Especificaciones técnicas para despliegues de red
• Plan de Transformación Digital del SAS 2022-2027 - Estrategia de modernización tecnológica incluyendo infraestructuras de red
• Plan de Ciberseguridad del SSPA - Marco de ciberseguridad para el Sistema Sanitario Público de Andalucía

15.4. Bibliografía Técnica Recomendada

Libros de Referencia sobre Redes

• Tanenbaum, Andrew S.; Wetherall, David J. - "Computer Networks" (6th Edition), Pearson, 2021 - Texto fundamental de redes de computadores, cubre todos los aspectos desde capa física hasta aplicación.
• Kurose, James F.; Ross, Keith W. - "Computer Networking: A Top-Down Approach" (8th Edition), Pearson, 2021 - Excelente enfoque didáctico, énfasis en protocolos de Internet.
• Comer, Douglas E. - "Computer Networks and Internets" (6th Edition), Pearson, 2015 - Equilibrio perfecto entre teoría y práctica.
• Stallings, William - "Data and Computer Communications" (10th Edition), Pearson, 2013 - Profundidad en protocolos y estándares.

Libros Específicos sobre LAN y Switching

• Lammle, Todd - "CCNA Certification Study Guide" (Latest Edition), Sybex - Aunque orientado a certificación Cisco, excelente cobertura de fundamentos de LAN, switching, VLANs, STP.
• Cisco Press - "Cisco LAN Switching Fundamentals" - Profundiza en arquitecturas de switching empresarial.
• Gast, Matthew S. - "802.11 Wireless Networks: The Definitive Guide" (2nd Edition), O'Reilly, 2005 - Aunque algo antiguo, sigue siendo la referencia más completa sobre WiFi a nivel técnico profundo.

Recursos Online y Documentación Oficial

• IEEE Standards Association - https://standards.ieee.org - Estándares oficiales IEEE 802.x
• Wi-Fi Alliance - https://www.wi-fi.org - Certificaciones WiFi, documentación WPA2/WPA3
• TIA (Telecommunications Industry Association) - https://www.tiaonline.org - Estándares de cableado estructurado
• CCN-CERT (Centro Criptológico Nacional) - https://www.ccn-cert.cni.es - Guías CCN-STIC sobre ENS y ciberseguridad
• Cisco Networking Academy - https://www.netacad.com - Cursos gratuitos (CCNA, networking basics)
• Juniper Networks Learning Portal - Documentación técnica sobre switching y routing

Revistas y Publicaciones Técnicas

• IEEE Communications Magazine - Artículos de investigación sobre redes y comunicaciones
• Network World - Noticias y análisis del sector de redes
• Light Reading - Cobertura de tecnologías de red y telecomunicaciones

16. Consejos Finales de Estudio y Estrategia de Examen

16.1. Estrategia de Estudio para Este Tema

El Tema 28 sobre Redes de Área Local es uno de los más técnicos y prácticos del temario. Tiene la ventaja de que mucho contenido es tangible y observable en tu entorno de trabajo diario en el SAS, lo que facilita la comprensión y memorización. Sin embargo, la amplitud del tema (desde fundamentos de Ethernet hasta WiFi 7) puede resultar abrumadora si no te organizas bien.

Fase 1: Comprensión de Fundamentos (1-2 semanas)

Comienza asegurándote de que dominas los conceptos base que sustentan todo lo demás: el modelo OSI y dónde operan los diferentes dispositivos (hub capa 1, switch capa 2, router capa 3), qué es una dirección MAC y cómo la usan los switches, cómo funciona Ethernet a nivel fundamental (tramas, CSMA/CD aunque sea obsoleto), y las diferencias fundamentales entre redes cableadas e inalámbricas. No pases a temas avanzados hasta que estos conceptos sean sólidos como una roca. Una base débil aquí causará confusión constante más adelante.

Complementa la lectura del tema con videos educativos (YouTube tiene excelentes canales como NetworkChuck, David Bombal, Profesor Daniel Rodríguez) que visualizan estos conceptos de forma más dinámica. A veces ver cómo funciona un switch learning MACs en una animación aclara más que párrafos de texto.

Fase 2: Tecnologías y Protocolos (2-3 semanas)

Una vez sólidos los fundamentos, avanza sistemáticamente por cada tecnología: dedica días específicos a temas concretos. Por ejemplo: Lunes - Cableado estructurado y TIA-568 (tipos de cable, categorías, distancias, certificación). Martes - Estándares Ethernet (10/100/1000/10G, diferencias, aplicaciones). Miércoles - VLANs (concepto, configuración, trunk, ventajas, aplicación en SAS). Jueves - STP y redundancia (por qué es necesario, cómo funciona, RSTP vs MSTP). Viernes - Repaso y consolidación de la semana con ejercicios prácticos. Esta segmentación evita la sobrecarga cognitiva.

Para cada tecnología, hazte tres preguntas: ¿Qué problema resuelve? ¿Cómo funciona técnicamente? ¿Cómo se usa en el SAS? Esto te da contexto, comprensión, y aplicación práctica.

Fase 3: WiFi y Seguridad (1-2 semanas)

El WiFi merece atención especial porque es un área donde los exámenes suelen profundizar. Estudia la evolución de los estándares 802.11 cronológicamente (b/g/n/ac/ax/be), no para memorizar fechas, sino para entender QUÉ mejoró en cada generación (velocidad, técnicas de modulación, eficiencia espectral) y POR QUÉ. Presta especial atención a seguridad: la evolución WEP → WPA → WPA2 → WPA3 es una pregunta casi garantizada. Comprende las vulnerabilidades de cada protocolo y las mejoras del siguiente.

Los conceptos de roaming, hand-off, BSS/ESS, channels, band steering son frecuentes en preguntas. Si tienes acceso a la configuración de los controladores WLAN del SAS (pregunta a tu supervisor), dedica tiempo a explorarla. Ver la configuración real de SSIDs, VLANs asignadas, políticas de seguridad, canales en uso, etc., solidifica enormemente el conocimiento teórico.

Fase 4: Integración y Contextualización SAS (1 semana)

Una vez estudiadas todas las tecnologías individualmente, dedica una semana a integrar todo en el contexto del SAS. Crea un documento mental (o real) donde describas la red completa de tu hospital: switches de core (modelo, ubicación, conectividad), switches de distribución por edificio/área, switches de acceso por planta, topología de la red (estrella jerárquica), VLANs definidas y su propósito (VLAN 10 gestión, VLAN 20 servidores, etc.), red WiFi (modelo de APs, ubicación de controladores, SSIDs), enlaces de fibra óptica para backbone, uplinks redundantes con LACP, implementación de STP/RSTP, políticas de QoS, seguridad (802.1X, Port Security), y gestión (NMS usado).

Este ejercicio te prepara perfectamente para casos prácticos del examen que podrían pedirte "diseñar la red LAN de un nuevo centro de salud" o "diagnosticar un problema de conectividad intermitente". También es muy útil para la fase de concurso (puntuación de méritos y experiencia) donde puedes tener que explicar proyectos en los que has participado.

Fase 5: Práctica con Preguntas (continuo)

Desde la primera semana de estudio, haz preguntas tipo test regularmente. Empieza con 10-15 preguntas diarias de nivel básico. A medida que avanzas, aumenta dificultad y cantidad. En la última semana antes del examen, haz simulacros completos con 50-75 preguntas en tiempo limitado (90-120 minutos, simulando condiciones de examen real). Analiza cada error: ¿fue falta de conocimiento? ¿lectura apresurada de la pregunta? ¿confusión entre opciones similares? Corrige patrones de error.

16.2. Estrategias Durante el Examen

Primera lectura rápida del examen completo: Antes de empezar a responder, dedica 3-5 minutos a ojear rápidamente todas las preguntas del examen. Esto te da una visión general, identifica preguntas fáciles que puedes resolver rápidamente para ganar confianza, y activa tu memoria sobre todo el temario (a veces una pregunta posterior te da pistas para una anterior).

Técnica de las dos pasadas: Primera pasada: responde todas las preguntas que sabes con seguridad inmediata. Marca las dudosas para revisarlas después. No pierdas tiempo atorado en una pregunta difícil en minuto 5 del examen. Segunda pasada: vuelve a las preguntas marcadas con más tiempo y calma. Aplica técnicas de eliminación de opciones incorrectas.

Lectura cuidadosa de enunciados: Las preguntas de redes suelen tener "trampas" sutiles. Presta atención a palabras clave: "cuál de las siguientes NO...", "cuál es la principal...", "según el estándar X...", "en redes del SAS...". Una sola palabra cambia completamente la respuesta correcta. Lee cada pregunta DOS VECES antes de responder.

Técnica de eliminación: Cuando dudes entre opciones, elimina primero las claramente incorrectas. Generalmente en preguntas de 4 opciones, puedes eliminar fácilmente 1-2 opciones que son obviously wrong. Esto mejora tus probabilidades incluso si finalmente tienes que adivinar entre las restantes. Busca opciones con términos inventados o absurdos, afirmaciones extremas ("siempre", "nunca"), o que mezclan conceptos de diferentes contextos.

Casos prácticos: Si el examen incluye casos prácticos (describen un escenario y hacen varias preguntas sobre él), lee el escenario completo primero, subraya datos clave (velocidades de enlace, número de usuarios, aplicaciones críticas, problemas reportados), y luego lee las preguntas. A menudo las preguntas mismas te dan pistas sobre qué aspectos del escenario son relevantes.

Gestión del tiempo: Calcula cuánto tiempo tienes por pregunta y ajusta tu ritmo. Por ejemplo, si son 75 preguntas en 120 minutos, tienes ~1.6 minutos por pregunta. Si llevas 30 minutos y solo has respondido 15 preguntas, vas retrasado y necesitas acelerar. Deja las preguntas más difíciles o que requieren cálculos complejos para el final si el tiempo apremia.

Confía en tu primera intuición: Estudios demuestran que la primera respuesta que te viene a la mente suele ser correcta. Solo cámbiala si al releer encuentras un error claro en tu razonamiento inicial. Evita el overthinking que te hace dudar y cambiar respuestas correctas por incorrectas.

16.3. Áreas de Enfoque Basadas en Exámenes Anteriores

Basándome en el análisis de convocatorias anteriores del SAS para este tipo de plazas, estas son las áreas que aparecen con más frecuencia en preguntas sobre redes LAN:

• Estándares IEEE 802.x: Preguntas que piden identificar qué estándar corresponde a qué tecnología (802.3 = Ethernet, 802.11 = WiFi, 802.1Q = VLANs, etc.). Memoriza los números más importantes.
• Seguridad WiFi: Diferencias entre WPA2 y WPA3, qué protocolos de cifrado usan, qué es SAE, cómo funciona 802.1X/EAP, configuración de seguridad en entornos corporativos.
• VLANs: Qué son, para qué sirven, cómo se configuran trunk ports, diferencia entre access port y trunk port, etiquetado 802.1Q.
• Cableado estructurado: Categorías de cable (Cat 5e vs 6 vs 6A), distancias máximas (100 m cobre), estándares TIA-568, pineado T568A vs T568B.
• Componentes de red: Diferencias entre hub/switch/router, en qué capa OSI operan, qué tabla mantienen (switches = MAC table, routers = routing table).
• Alta disponibilidad: STP/RSTP para prevenir bucles, LACP para agregar enlaces, conceptos de redundancia.
• QoS: Cómo priorizar tráfico (802.1p/CoS), por qué es importante para VoIP, aplicaciones en SAS.
• PoE: Qué es, estándares (802.3af/at/bt), qué dispositivos alimenta, ventajas en despliegues.

Dedica tiempo extra a estas áreas, sin descuidar el resto. Una pregunta sobre cualquier parte del tema puede aparecer.

16.4. Última Semana Antes del Examen

En los últimos 7 días, cambia tu estrategia de estudio profundo a repaso y consolidación. Ya no es momento de aprender cosas nuevas, sino de reforzar lo estudiado. Haz repasos rápidos del tema completo cada día (lectura rápida + revisión de tus esquemas/apuntes + revisión del mapa conceptual). Haz simulacros de examen completo en días alternos. Duerme bien: la fatiga causa errores tontos. Evita estudiar la noche antes del examen; dedica esa noche a relajarte y descansar.

El día del examen, confía en tu preparación. Has dedicado semanas/meses a estudiar este tema y todo el temario. Estás preparado. Mantén la calma, lee cuidadosamente, gestiona tu tiempo, y da lo mejor de ti.