Si vas saltando cada día entre la WiFi de casa, la red de la oficina, la de la universidad o el hotspot del móvil, estar cambiando la configuración de red a mano es un auténtico suplicio. Por suerte, en Windows y en otros sistemas tienes formas de crear perfiles automáticos según la red WiFi a la que te conectas, controlar qué interfaz se activa en cada momento y aplicar políticas de seguridad o firewall adaptadas a cada entorno.
En este artículo vas a ver, con todo lujo de detalles, cómo funcionan los perfiles de red, qué permiten hacer en Windows, cómo integrarlos con herramientas como Intune o con soluciones de seguridad, qué programas de terceros tienes para ir más allá, y cómo encaja todo esto con conceptos como ubicaciones, grupos de prioridad de interfaces o perfiles IPsec en routers empresariales.
¿Qué es un perfil de red y por qué te interesa usarlo?
Un perfil de red es básicamente un conjunto de parámetros predefinidos que se aplican a una conexión (o a varias) en función de ciertas condiciones: la red WiFi a la que te conectas, la interfaz activa, la ubicación, etc. Estos parámetros pueden abarcar desde la IP y el DNS hasta reglas de cortafuegos, uso de VPN, impresoras, recursos compartidos o incluso scripts personalizados.
En Windows, el sistema ya clasifica las redes como públicas o privadas. Cuando te conectas por primera vez a una WiFi o a una LAN, el sistema pregunta si es una red de confianza. Si dices que sí, se considera privada; si no, pública. Sobre esa decisión ajusta el firewall y la visibilidad de tu equipo en la red, relajando la seguridad en redes domésticas u oficinas pequeñas, y endureciéndola en redes de hoteles, aeropuertos o cafeterías.
En una red privada, Windows asume que controlas quién se conecta y que los dispositivos son conocidos. Esto permite, por ejemplo, descubrir otros equipos en la red, acceder a carpetas compartidas, enviar trabajos a impresoras en red o usar funciones como grupos de hogar o streaming hacia una Smart TV. El sistema reduce restricciones porque entiende que el entorno es relativamente seguro.
En una red pública, Windows da por hecho que la red no es de confianza. Por ello, desactiva la detección de equipos, el uso compartido de archivos e impresoras y otros servicios que te expondrían a ataques de otros dispositivos conectados, o a vulnerabilidades como la de WhatsApp. Sigues navegando por Internet, pero tu equipo queda aislado del resto, algo crucial cuando te conectas al WiFi de un centro comercial, un aeropuerto o una red abierta.
El problema aparece cuando un mismo ordenador portátil se mueve por múltiples redes con requisitos muy diferentes: una puede exigir IP estática, otra usar DHCP, en una necesitas pasar por un proxy corporativo, en otra activar una VPN y en otra no. Ir cambiando a mano cada vez es tedioso y propenso a errores. Ahí entran en juego los perfiles de red avanzados, tanto en Windows como a través de programas especializados.
Automatizar configuraciones al cambiar de red WiFi en Windows
Windows permite definir distintos parámetros por perfil de red (público o privado) y por conexión concreta, pero la gestión integrada se queda corta si quieres cambiar IP, DNS, proxy, VPN y firewall de una tacada cada vez que detectas un SSID distinto. Para eso lo habitual es combinar lo que ofrece el sistema con herramientas externas que gestionan perfiles avanzados.
En la interfaz gráfica de administración de redes de algunos entornos (por ejemplo, distribuciones que usan conceptos similares a los NCP de Solaris) se distinguen perfiles de red reactivos y fijos. El perfil reactivo «Automatic» intenta primero levantar una conexión cableada y, si no puede, recurre a una inalámbrica. El perfil fijo «DefaultFixed» define un conjunto estático de interfaces que se mantienen siempre igual hasta que se cambian con herramientas de línea de comandos.
Estos perfiles controlan qué interfaces se pueden activar o desactivar en cada momento. En un portátil típico con Ethernet y WiFi, puede interesarte usar solo Ethernet cuando hay cable disponible y apagar la WiFi por seguridad, o justo lo contrario. La GUI de Preferencias de red suele ofrecer vistas de estado de conexión, de perfil de red y de propiedades de conexión, donde ves el estado actual, qué perfil está activo y las propiedades específicas (dirección IP, IPv4/IPv6, redes inalámbricas favoritas, etc.).
Además, puedes definir ubicaciones que agrupan ajustes como servicios de nombres, firewall o IPsec, y que se activan manualmente o de forma condicional según reglas (por ejemplo, una ubicación «Oficina» si obtienes una IP de cierto rango, y otra «Casa» con otras políticas). Solo una ubicación puede estar activa a la vez, y se puede cambiar desde el icono de estado de red o con comandos como netadm en sistemas tipo Solaris.
Programas para crear perfiles automáticos por red WiFi
Para ir más allá de lo que ofrece Windows de serie, existen herramientas específicas que permiten crear y aplicar perfiles de red completos en función de la red (SSID) a la que te conectes o del adaptador activo. Muchas de ellas soportan desde Windows XP hasta Windows 11.
Easy Net Switch
Easy Net Switch es un programa de pago para Windows que destaca por la enorme cantidad de ajustes de red que puede manejar. Aunque su interfaz recuerda a épocas de Windows XP, sigue siendo compatible con Windows XP, 7, 8, 10 y 11, e incluye tanto GUI como modo de línea de comandos para usuarios avanzados.
Con Easy Net Switch puedes definir perfiles que controlan prácticamente todo: dirección IP, máscara, puerta de enlace, DNS, WINS, NetBIOS, MAC spoofing, WiFi, VPN, proxy, firewall, impresora predeterminada, unidades de red, rutas estáticas, e incluso ejecutar scripts o modificar el archivo hosts. Cada parámetro es opcional; puedes limitarte a la IP y DNS o montar un perfil muy complejo para un entorno corporativo.
La creación de un perfil suele hacerse desde el botón «New», con un asistente básico que luego puedes retocar a tu gusto. En la sección «Network» eliges si la IP y DNS se obtienen por DHCP o si son estáticos, y en «Advanced» puedes modificar WINS, NetBIOS, cambiar la dirección MAC, purgar la caché DNS y mucho más. El programa muestra al aplicar un perfil un resumen de los cambios y si ha habido errores, lo que facilita el diagnóstico si algo no funciona.
En el apartado WiFi, Easy Net Switch permite definir perfiles inalámbricos vinculados a SSID concretos. Puedes escanear redes disponibles o introducir el nombre manualmente, y ajustar la autenticación: desde claves precompartidas (PSK) hasta autenticación robusta con RADIUS y distintos protocolos EAP. Eso te permite que, por ejemplo, cada vez que veas el SSID de la empresa se prepare automáticamente el perfil con la clave, la autenticación EAP adecuada y, si hace falta, la VPN.
El programa también gestiona configuración de proxy corporativo (incluida autenticación), Dial-Up, VPN, y hasta ofrece herramientas como ping y traceroute integradas, además de un widget de escritorio para ver en todo momento la IP actual. Entre sus opciones se incluye arrancar con Windows, minimizar a la bandeja del sistema, desactivar la autodetección de redes WiFi o proteger el acceso al programa con contraseña para evitar cambios no autorizados.
TCP/IP Manager
TCP/IP Manager es un proyecto de código abierto y gratuito que, aunque no se actualiza desde hace años, sigue funcionando bien en versiones recientes de Windows. Se centra en crear perfiles de red ilimitados que cambian rápidamente la configuración IP, máscara, gateway, DNS, proxy, nombre de grupo de trabajo y dirección MAC.
Una de sus ventajas es que permite importar la configuración actual del sistema para crear un perfil a partir de lo que ya tienes, sin tener que escribir todo a mano. También da la opción de asociar archivos batch a cada perfil, de manera que al activarlo se ejecuten automáticamente comandos adicionales (por ejemplo, montar unidades de red o lanzar una VPN).
El cambio entre perfiles se puede hacer desde la propia interfaz o mediante teclas de acceso rápido, ideal para usuarios que necesitan moverse deprisa entre entornos (red corporativa, laboratorio, cliente, etc.). Además, el programa se actualiza por web automáticamente cuando hay versiones nuevas, sin que tengas que descargarlas manualmente.
IP Shifter
IP Shifter es una opción ligera y gratuita pensada para quienes necesitan algo más sencillo. Soporta Windows XP y versiones posteriores, incluido Windows 10 y Windows 11, y funciona con distintos adaptadores, tanto Ethernet como WiFi.
Su función principal es permitirte cambiar sin reiniciar la configuración IP, máscara, puerta de enlace y DNS de los adaptadores. También maneja configuraciones de proxy para navegadores como Microsoft Edge o Firefox, integra un comando ping rápido y puede detectar los equipos presentes en la LAN, así como mostrar la IP pública que ve Internet.
No tiene el nivel de profundidad de Easy Net Switch o NetSetMan, pero para cambiar entre dos o tres entornos básicos (por ejemplo, IP fija en una red industrial y DHCP en tu casa) suele ser suficiente.
NetSetMan
NetSetMan es probablemente la alternativa gratuita más potente a Easy Net Switch. Dispone de una versión sin coste con hasta ocho perfiles y una versión Pro (de pago) con perfiles ilimitados y más opciones orientadas a empresas. Su filosofía es que con un solo clic puedas activar un conjunto completo de ajustes de red.
Entre las configuraciones que permite están las clásicas (IP, máscara, gateway, DNS), el grupo de trabajo, la impresora predeterminada, unidades de red, tabla de enrutamiento, servidor SMTP, nombre del PC, dirección MAC, estado de la tarjeta de red, velocidad de la interfaz, MTU, VLAN y mucho más. También puedes definir parámetros de servidores VPN, lanzar scripts en bat, vbs o js al cambiar de perfil, ejecutar otros programas e incluso administrar detalladamente la configuración WiFi.
La versión Pro añade funciones como las configuraciones de proxy avanzadas y dominios de red, muy útiles para integrarse con entornos de dominio corporativo y servidores proxy centralizados. Eso sí, la versión gratuita no puede utilizarse en Windows Server y limita el número de perfiles a ocho, algo a tener en cuenta si gestionas muchas ubicaciones.
Perfiles WiFi gestionados con Microsoft Intune
En entornos corporativos donde gestionas cientos o miles de dispositivos, no puedes depender de que cada usuario configure su red WiFi correctamente. Aquí entra Microsoft Intune, que permite crear perfiles WiFi y distribuirlos a equipos Windows, Android, iOS, macOS y otros, de manera centralizada.
Un perfil WiFi de Intune es un conjunto de parámetros de conexión (SSID, tipo de seguridad, método de autenticación, contraseña o certificados, etc.) que se asigna a grupos de usuarios o dispositivos. Una vez que el dispositivo recibe el perfil, la red aparece en la lista de redes conocidas y, si está dentro de cobertura, el equipo puede conectarse automáticamente sin que el usuario tenga que tocar la configuración.
Para crear un perfil de WiFi estándar en Intune, se sigue un proceso similar al de otras directivas: accedes al Centro de administración de Microsoft Intune, entras en Dispositivos, Configuración, creas una nueva directiva, eliges la plataforma (Android, iOS, macOS, Windows 10/11, etc.) y como tipo de perfil seleccionas «Wi-Fi» o la plantilla correspondiente. Luego defines el nombre del perfil, una descripción y configuras las opciones específicas según la plataforma: SSID, tipo de autenticación (WPA2, WPA3, EAP-TLS, etc.), uso de certificados, parámetros avanzados, y finalmente asignas el perfil a los grupos adecuados.
La asignación puede filtrarse con etiquetas de ámbito, útiles para separar responsabilidades entre distintos equipos de TI (por ejemplo, un equipo de soporte local gestionando solo un país). Una vez distribuido, el perfil se muestra en la lista de perfiles de Intune y se aplica automáticamente cuando los dispositivos se sincronizan.
Perfiles WiFi con PSK y configuración XML mediante Intune
Además de los perfiles WiFi estándar, Intune permite definir perfiles WiFi basados en clave precompartida (PSK) y EAP usando directivas personalizadas y CSP de WiFi. Esto se hace a través de archivos XML que describen el perfil inalámbrico y que se envían a los dispositivos mediante OMA-URI.
Las claves precompartidas se usan habitualmente para autenticar usuarios en redes WiFi domésticas o pequeñas LAN inalámbricas. Con Intune puedes crear una directiva de configuración de dispositivos personalizada que contenga el perfil WiFi en XML y una configuración de OMA-URI que lo entregue al sistema operativo. Esta opción está disponible para Android (incluyendo modos Enterprise y perfil de trabajo), Windows y redes basadas en EAP.
Para que funcione, necesitas preparar un archivo XML que describa el perfil, incluyendo nombre del perfil, SSID (en texto y en hexadecimal), tipo de autenticación, tipo de encriptación, clave, modo de conexión, si la red es oculta, etc. Opcionalmente, puedes extraer este XML desde un equipo Windows que ya tenga configurada la red mediante comandos netsh.
La creación de la directiva personalizada en Intune implica ir de nuevo a Dispositivos, Configuración, crear una nueva directiva, elegir la plataforma y seleccionar tipo «Personalizado». Dentro de las opciones de configuración añades una nueva entrada OMA-URI indicando:
- Nombre y descripción de la configuración.
- El OMA-URI adecuado, por ejemplo:
- En Android: ./Vendor/MSFT/WiFi/Profile/{SSID}/Settings
- En Windows: ./Vendor/MSFT/WiFi/Profile/{SSID}/WlanXml
- Tipo de datos «Cadena».
- En «Valor», el XML completo del perfil WiFi.
Es importante que el valor de {SSID} en el OMA-URI coincida con el nombre descriptivo de la red en el perfil XML. Si el nombre contiene espacios, deben codificarse como %20 en el OMA-URI. Además, en el XML el campo <protected> debe permanecer en false para que la clave se envíe en texto claro (cifrada por el canal de gestión, pero no ofuscada dentro del XML). Si se establece a true, el dispositivo podría esperar una contraseña cifrada y fallar la conexión.
Un ejemplo genérico de perfil WiFi con PSK incluiría un bloque <WLANProfile> con el nombre, el SSID en hex y texto, <connectionType>ESS</connectionType>, <connectionMode>auto</connectionMode>, un bloque <authEncryption> con el tipo de autenticación (por ejemplo, WPA2PSK) y encriptación (AES), y un bloque <sharedKey> con <keyType>passPhrase</keyType>, <protected>false</protected> y <keyMaterial>password</keyMaterial>, donde «password» es la clave en texto plano.
Para redes basadas en EAP, el XML es mucho más complejo porque incluye configuraciones de EapHostConfig, certificados, validación de servidor, listas de hashes de CA, EKU, etc.. Se definen parámetros como el tipo EAP (por ejemplo, 13 para EAP-TLS), la fuente de credenciales (almacén de certificados), si se permite o no la validación de servidor, y posibles filtros de certificados mediante EKU de autenticación de cliente.
Una vez creada la directiva personalizada, se asigna a los mismos grupos que podrías usar con un perfil WiFi estándar. Al registrarse o sincronizar, el dispositivo recibe el XML, lo importa como perfil inalámbrico y queda listo para conectarse automáticamente a esa red.
Crear el XML desde una conexión WiFi existente
En muchos casos es más cómodo dejar que Windows genere el XML a partir de una conexión ya configurada y funcional. Para ello, en un equipo Windows se pueden seguir estos pasos básicos para exportar el perfil WiFi:
- Crear una carpeta local, por ejemplo, c:\WiFi.
- Abrir un símbolo del sistema como administrador.
- Ejecutar netsh wlan show profiles para ver los nombres de los perfiles existentes.
- Exportar el perfil deseado con
netsh wlan export profile name=»NombrePerfil» folder=c:\WiFi.
Si el perfil incluye una clave precompartida y quieres que el XML contenga la contraseña en claro (necesario para que Intune pueda usarla correctamente), se añade el parámetro key=clear al comando de exportación. El archivo XML generado (con nombre similar a Wi-Fi-NombrePerfil.xml) puede abrirse con un editor de texto, revisarse y copiarse directamente en el valor de la configuración OMA-URI de Intune.
Hay que vigilar ciertos detalles, como que el elemento <name> del perfil exportado no incluya espacios que puedan causar errores de asignación al usar Intune, o que el valor <hex> coincida con el SSID indicado. Además, los caracteres especiales en XML (como el ampersand &) deben escaparse correctamente para evitar errores de procesamiento.
Buenas prácticas al usar PSK y rotar claves
Cuando se gestionan redes WiFi con PSK en un entorno corporativo, es fundamental planificar bien la rotación de contraseñas. Cambiar la clave de golpe sin previsión puede dejar sin conexión a un montón de dispositivos que dependen de esa red para comunicarse con Intune y recibir la nueva configuración.
Es recomendable comprobar primero que los dispositivos pueden conectarse directamente al punto de acceso con la configuración prevista, y diseñar el cambio de claves de forma que exista una conexión alternativa a Internet: una red de invitados, otra WiFi paralela temporal o datos móviles. De este modo, aunque la WiFi corporativa cambie de PSK, los dispositivos pueden usar la vía secundaria para recibir el nuevo perfil.
También conviene programar el despliegue de nuevos perfiles en horario de baja actividad y avisar a los usuarios de que la conectividad puede verse afectada durante un tiempo. Esto reduce el impacto en la productividad y facilita la supervisión de errores o anomalías durante el proceso.
Perfiles de conexión de red y reglas de cortafuegos
Algunas soluciones de seguridad, como suites de protección de endpoint (Hexlock), permiten definir perfiles de conexión de red personalizados que se aplican a conexiones concretas según disparadores o condiciones. Estos perfiles añaden una capa más sobre la configuración de Windows, ajustando el cortafuegos, la visibilidad del equipo y otras protecciones según la red.
En la consola de configuración avanzada, suele existir un apartado de «Perfiles de conexión de red» con perfiles predefinidos como Privado y Público que no se pueden modificar ni eliminar. El perfil Privado está pensado para redes de confianza (hogar u oficina), donde se permite el acceso a archivos compartidos, impresoras, comunicación RPC entrante y escritorio remoto. El perfil Público, en cambio, bloquea el uso compartido de archivos y recursos y se destina a redes no confiables.
Además de estos perfiles, puedes crear perfiles personalizados y ajustar parámetros como nombre, descripción, direcciones de confianza adicionales, si la conexión se considera de confianza (añadiendo subredes completas al área segura), y habilitar funciones como «Informe sobre cifrado WiFi débil», que avisa cuando te conectas a redes abiertas o con protección deficiente.
Cada perfil puede tener activadores, es decir, condiciones que deben cumplirse para que se aplique a una conexión: direcciones IP del gateway, SSID de la WiFi, tipo de red, etc. Los perfiles se evalúan siguiendo un orden de prioridad, y el primero que coincide con las condiciones es el que se aplica. Esto permite, por ejemplo, tener un perfil específico para la WiFi de la empresa, otro genérico para redes domésticas y uno muy restrictivo para cualquier red pública desconocida.
Gestión de perfiles y ubicaciones en entornos avanzados
En sistemas más avanzados o en redes empresariales con Solaris u otras plataformas, el concepto de perfil de red se combina con NCU (Network Configuration Units), grupos de prioridad y ubicaciones. A través de una interfaz gráfica de Preferencias de red o de comandos como ipadm, dladm, netcfg y netadm se pueden crear perfiles reactivos, fijos, agrupar interfaces y definir reglas de activación.
En la vista de Perfil de red de la GUI se muestra una lista de perfiles disponibles, con indicadores de cuál está activo. Los perfiles definidos por el sistema, como «Automatic» y «DefaultFixed», no se pueden editar ni borrar, pero puedes crear múltiples perfiles reactivos propios. Cada perfil incluye un conjunto de conexiones (NCU) que se activan o desactivan cuando el perfil entra en vigor.
Para organizar interfaces se usan grupos de prioridad con tres tipos principales:
- Exclusive: solo una conexión del grupo puede estar activa, y mientras haya una activa no se tocan grupos de menor prioridad.
- Shared: se activan todas las conexiones posibles del grupo, y mientras al menos una esté activa no se recurre a grupos inferiores.
- All: todas deben estar activas; si una falla, se desactivan todas, sin intentar grupos de menor prioridad.
El perfil «Automatic», por ejemplo, suele tener en el grupo de máxima prioridad las interfaces cableadas, y en un grupo de menor prioridad las inalámbricas. Así, si hay cable disponible, se prioriza siempre Ethernet y se evita usar WiFi salvo que sea imprescindible.
En cuanto a las ubicaciones de red, estas agrupan ajustes de servicios de nombres (DNS, LDAP, etc.) y seguridad (archivos de configuración para firewall IP y IPsec). Se pueden definir ubicaciones de sistema (Automatic, NoNet, DefaultFixed), manuales o condicionales. Las manuales se activan a mano a través del cuadro de diálogo de Ubicaciones, mientras que las condicionales se activan en función de reglas (por ejemplo, tipo de red, dirección IP obtenida, etc.).
Desde la GUI puedes cambiar el modo de activación de una ubicación, fijarla a «solo manual» o «activada por reglas», y editar esas reglas para definir exactamente en qué situaciones se usa cada conjunto de políticas. La activación de una nueva ubicación desactiva siempre la anterior, garantizando que solo una esté vigente en cada momento.
Perfiles IPsec en routers para conexiones seguras
Todo este juego de perfiles no se queda en los dispositivos finales. En routers profesionales, como las series Cisco RV160 y RV260, se manejan perfiles IPsec que definen cómo se protege el tráfico entre sedes mediante VPN.
Un perfil IPsec agrupa los algoritmos y parámetros usados en la negociación de claves (fase I e IKE) y en el cifrado de datos (fase II). Incluye aspectos como el algoritmo de cifrado (3DES, AES-128, AES-192, AES-256), el método de autenticación (MD5, SHA1, SHA2-256), el grupo Diffie-Hellman (por ejemplo, Grupo 2 de 1024 bits o Grupo 5 de 1536 bits), la duración de las asociaciones de seguridad (SA) y si se usa modo automático de claves (IKEv1 o IKEv2) o modo manual.
La fase I establece una comunicación autenticada segura entre los dos extremos de la VPN, negociando las claves y autenticando a los pares. En esta fase se elige IKEv1 o IKEv2, el grupo DH, el algoritmo de cifrado y el hash de autenticación, así como el tiempo de vida de la SA (por ejemplo, 28800 segundos). IKEv2 suele ser preferible porque es más eficiente, requiere menos intercambio de paquetes y soporta más opciones de autenticación.
La fase II se encarga de cifrar el tráfico real. Se define si se usa ESP (para cifrado y, opcionalmente, autenticación) o AH (solo autenticación, sin confidencialidad), se elige de nuevo algoritmo de cifrado y hash, se marca si se quiere Perfect Forward Secrecy (PFS) y se ajusta el tiempo de vida de la SA IPsec (por ejemplo, 3600 segundos). La recomendación suele ser que el tiempo de vida de la fase I sea mayor que el de la fase II, de forma que se renueven con más frecuencia las claves de datos que las de canal.
En la configuración de un RV160/RV260, se entra en el menú VPN > IPSec VPN > IPSec Profiles, se añade un nuevo perfil, se le da nombre (por ejemplo, «HomeOffice»), se escoge el modo de creación de claves (Automático), la versión IKE (idealmente IKEv2 si ambos extremos la soportan), los parámetros de fase I y fase II, se habilita PFS si es posible y se selecciona de nuevo el grupo DH para la fase II. Finalmente se aplica y se guarda la configuración para que persista entre reinicios copiando la configuración en ejecución a la de inicio.
Es crucial que los dos extremos de un túnel de sitio a sitio tengan los mismos parámetros de perfil (mismos algoritmos, tiempos de vida, versión de IKE, PSK o certificados, etc.). De lo contrario, la negociación fallará y el túnel no se levantará.
Vista en conjunto, toda esta combinación de perfiles WiFi, perfiles de red, ubicaciones, configuración con Intune y perfiles IPsec en routers permite construir entornos donde tu equipo, portátil o móvil se adapta casi solo a la red en la que está: elige la interfaz adecuada, aplica la seguridad correcta, se conecta al WiFi sin intervención del usuario, levanta la VPN cuando toca y ajusta el firewall al contexto. Esa es, al final, la forma más práctica y segura de crear perfiles automáticos según la red WiFi que utilices. Comparte esta información para que más usuarios conozcan del tema.