São Paulo ultrapassou 1 bilhão de acessos acumulados nos seus 7.923 hotspots públicos. O Brasil ocupa a quarta posição mundial em número de hotspots, com quase 365 mil pontos mapeados. Wi-Fi público deixou de ser conveniência. É infraestrutura urbana.
A experiência de usar essa infraestrutura, porém, não acompanhou a escala.
Rede que cai no meio do trabalho. Captive portal que engole minutos de espera. Velocidade que oscila sem explicação. Se você é quem usa o Wi-Fi de um café, aeroporto ou praça, conhece essa frustração. Se é quem oferece o Wi-Fi no estabelecimento e só ouve “tá lento”, conhece o outro lado.
Este guia endereça as duas pontas de como melhorar a experiência no Wi-Fi público. Começa pelo que causa a frustração, passa pelo que cada lado pode fazer, entra no ponto cego que quase ninguém discute (o captive portal) e fecha com o que as novas tecnologias estão mudando na prática.
Por que a experiência no Wi-Fi público ainda frustra
O problema não é falta de ponto de acesso. São centenas de milhares, só no Brasil. O problema se divide em três frentes que raramente são tratadas juntas.
A primeira é performance. A maioria dos hotspots públicos opera em 2.4 GHz, a faixa mais congestionada do espectro. Em locais com dezenas ou centenas de pessoas conectadas ao mesmo tempo, um único access point simplesmente não dá conta. O sinal existe, a internet não funciona. Sobreposição de APs mal posicionados e escolha errada de canal são os dois erros mais recorrentes em redes públicas densas.
A segunda é segurança percebida. Muita gente evita Wi-Fi público por medo de ter dados interceptados. E não é sem razão: ataques como evil twin, man-in-the-middle e rogue access points continuam no topo das ameaças. Só que o pânico é desproporcional ao risco real de 2026, quando a maioria dos sites e apps já opera sobre HTTPS. O perigo concreto está nas redes falsas que imitam nomes familiares, não na rede pública em si.
A terceira, e mais ignorada, é a fricção no login. Antes de usar o Wi-Fi, o usuário precisa passar pelo captive portal: a tela que pede cadastro, aceite de termos ou login social. Em muitos estabelecimentos, esse portal é lento, exige campos demais, quebra em celulares e expira rápido. É o maior destruidor de experiência no Wi-Fi público. E quase nenhum guia fala dele.
Esses três eixos (performance, segurança, fricção no login) precisam ser tratados em conjunto. Resolver um e ignorar os outros dois ainda resulta em rede que ninguém quer usar. Vamos começar pelo que está ao alcance de quem usa.
O que o usuário pode fazer agora (sem depender de ninguém)
Você não controla a infraestrutura do Wi-Fi público. Mas controla como se conecta e o que faz depois. Seis práticas que fazem diferença real:
1. Prefira a banda de 5 GHz ou 6 GHz. Muitos hotspots modernos transmitem em mais de uma frequência. Se o SSID tiver uma versão com sufixo “5G” ou “6G” (não confunda com 5G celular), conecte nessa. A faixa de 5 e 6 GHz tem menos interferência, mais largura de banda e menos dispositivos competindo. O alcance é menor, então você precisa estar mais perto do access point, mas a velocidade compensa.
2. Fique perto do AP. Em praças de alimentação, o access point costuma ficar no teto, no centro do salão. Em aeroportos, perto dos portões de embarque. Se a conexão está ruim, mudar dois metros de posição pode resolver.
3. Corte o que roda em segundo plano. Backup automático de fotos, sincronização de e-mail a cada 30 segundos, atualizações de apps. Em uma rede pública congestionada, esses processos competem pela mesma largura de banda que sua videochamada. Desative a sincronização automática enquanto estiver no Wi-Fi público.
4. Confirme o nome da rede com alguém do local. O ataque de evil twin funciona porque o nome do SSID é fácil de copiar. “WiFi_Cafe_Gratis” pode ser a rede legítima ou um dispositivo de interceptação a dois metros de você. Pergunte ao funcionário qual é o nome exato e, se possível, a senha. Relatos em fóruns de segurança indicam que evil twins são mais comuns do que parece, especialmente em locais com muita movimentação.
5. HTTPS é seu escudo básico. A imensa maioria dos sites e aplicativos já usa HTTPS (o cadeado no navegador). Mesmo em rede aberta, os dados entre seu dispositivo e o servidor estão criptografados. Não insira dados sensíveis em páginas sem HTTPS. Para o resto, está coberto.
6. VPN: útil, mas não obrigatória. A VPN cria um túnel criptografado entre seu dispositivo e um servidor remoto. Era praticamente obrigatória em 2016. Hoje, com HTTPS generalizado, ela agrega valor em cenários específicos: acessar sistemas corporativos, ocultar tráfego do operador da rede ou contornar restrições geográficas de conteúdo. Para navegação geral, e-mails e apps bancários (que têm criptografia própria), o HTTPS resolve.
Essas seis ações estão na mão do usuário. Mas quando o Wi-Fi é ruim na fonte, ajuste nenhum de configuração resolve. A responsabilidade muda de lado.
O que o gestor do Wi-Fi público precisa resolver
Se você administra um estabelecimento que oferece Wi-Fi (restaurante, hotel, clínica, coworking, evento, shopping), o que seus clientes experimentam é reflexo direto de decisões de infraestrutura. Não existe “rede boa com hardware ruim” ou “experiência boa com planejamento zero.”
O erro mais comum é o posicionamento dos access points. AP no canto da parede, atrás do balcão, coberto por equipamentos de cozinha: acontece o tempo todo. O resultado é sinal irregular, com zonas mortas no meio do salão. APs precisam ficar em posição central ao ambiente, sem obstruções metálicas entre eles e os dispositivos. Guias de referência como os da Ubiquiti e Ekahau convergem no mesmo ponto: posição é mais importante que potência.
Na faixa de 2.4 GHz, só existem três canais que não se sobrepõem: 1, 6 e 11. Se todos os seus APs estão no mesmo canal, eles competem entre si. Em 5 GHz e 6 GHz a quantidade de canais limpos é muito maior, mas exige configuração intencional. APs no modo “automático” frequentemente escolhem mal, especialmente em ambientes com redes vizinhas.
Capacidade é outro gargalo silencioso. Um access point padrão aguenta entre 30 e 50 dispositivos simultâneos com qualidade. Acima disso, a experiência degrada rápido. Em um restaurante com 80 lugares, um AP provavelmente não basta. Em um evento com 500 pessoas, a conta é outra: múltiplos APs com potência ajustada para evitar sobreposição de células.
O melhor AP do mercado, porém, não compensa um link de internet fraco. O backhaul (a conexão entre o access point e a internet) precisa ser fibra dedicada, com banda suficiente para o pico de uso. Estabelecimentos que rodam o Wi-Fi de clientes no mesmo link da operação administrativa criam gargalo duplo: o caixa trava e o cliente reclama.
Mais duas práticas que separam redes amadoras de redes profissionais: manter rede administrativa e rede de visitantes em VLANs separadas (para proteger sistemas de vendas, câmeras e servidores internos) e rodar um site survey profissional a cada 12 a 18 meses. O ambiente físico muda. Um novo móvel, uma parede de drywall, uma geladeira industrial reposicionada: tudo afeta propagação de sinal.
Infraestrutura bem resolvida garante que o sinal chega forte e estável. Mas entre o sinal e o uso efetivo, existe um momento que define se o cliente vai de fato acessar a rede ou desistir dela: o login.
Captive portal: onde a experiência morre (ou nasce)
O captive portal é a tela que aparece quando o dispositivo se conecta ao Wi-Fi e pede alguma ação antes de liberar o acesso. Cadastro, login social, aceite de termos, código por SMS.
Na teoria, simples. Na prática, é onde a maioria dos Wi-Fi públicos perde o usuário.
Os problemas mais comuns:
- Formulários longos pedindo nome, e-mail, CPF, data de nascimento e telefone antes de liberar qualquer acesso. O cliente queria 10 minutos de internet, não uma ficha de matrícula.
- Portal que não abre automaticamente no celular. O usuário fica conectado ao Wi-Fi, sem acesso real à internet, sem entender por quê.
- Redirect loops em dispositivos iOS e Android que tentam detectar o captive portal e falham.
- Sessão que expira a cada 30 minutos, forçando re-login no meio do uso.
- Design não responsivo: texto cortado, botões fora da tela, campos que o teclado do celular cobre.
Cada um desses problemas é uma porta de saída. O cliente fecha a tela, desiste do Wi-Fi e usa o 4G. Ou pior: associa seu estabelecimento a uma experiência ruim.
O que funciona: login via redes sociais (Google, Apple), autenticação por SMS com um campo só, aceite de termos em um toque. O portal deve carregar em menos de 3 segundos, funcionar em qualquer tamanho de tela e não pedir informação que não será usada.
Do ponto de vista do gestor, o captive portal não é apenas um filtro de acesso. É o primeiro ponto de contato digital com o cliente dentro do estabelecimento. O login via rede social captura nome e e-mail automaticamente (com consentimento, dentro da LGPD). O login via celular captura o número de telefone. São dados reais, de pessoas que estão fisicamente no seu PDV, naquele momento — a base para estratégias de retenção via Wi-Fi.
O WiFi Livre SP, por exemplo, opera dentro da LGPD e do Marco Civil da Internet sem coleta de dados pessoais, priorizando o acesso universal. Já para estabelecimentos comerciais, o equilíbrio é outro: um captive portal inteligente entrega experiência fluida para o cliente e, ao mesmo tempo, constrói uma base de contatos ativa para o negócio. Essa é a diferença entre tratar Wi-Fi como custo de operação e tratá-lo como canal de captura.
Com o login resolvido, sobra a pergunta que ainda afasta muita gente do Wi-Fi público: é seguro?
Segurança no Wi-Fi público: o que importa de verdade
A narrativa “Wi-Fi público é perigoso, nunca use” nasceu em uma época em que a maioria dos sites não usava HTTPS, apps enviavam credenciais em texto puro e WPA2 era novidade. Essa época passou.
Não significa que Wi-Fi público é 100% seguro. Significa que o nível de risco mudou, e as recomendações precisam acompanhar.
O que mudou: HTTPS cobre a imensa maioria do tráfego web e de apps. Mesmo que alguém intercepte pacotes na rede, o conteúdo está criptografado entre o dispositivo e o servidor. Apps bancários operam com camadas adicionais de criptografia, tokens e autenticação biométrica. Sistemas de e-mail corporativo (Microsoft 365, Google Workspace) usam TLS obrigatório. Para o uso cotidiano, o canal já está protegido.
O que continua perigoso é mais específico. O evil twin (gêmeo maligno) é o vetor mais eficaz: o atacante cria uma rede com o mesmo nome do Wi-Fi legítimo, o dispositivo conecta automaticamente e todo o tráfego passa pelo atacante. Rogue access points fazem algo similar, operando dentro do alcance da rede legítima com sinal mais forte para atrair dispositivos. Captive portals falsos replicam a tela de login para capturar credenciais. Esses ataques não dependem de vulnerabilidade sofisticada. Dependem de desatenção.
Para o usuário, a principal defesa é confirmar o SSID com funcionários do local e desativar conexão automática a redes abertas. Para o gestor da rede, a lista é mais técnica: WPA3-Enterprise com 802.1X sempre que viável (elimina senha compartilhada), 802.11w para proteger frames de gerência, segmentação de VLAN para isolar visitantes do tráfego operacional e monitoramento de rogue APs pelo controlador (Meraki, Aruba e Fortinet detectam APs não autorizados automaticamente).
O maior risco para quem oferece Wi-Fi público não é o ataque em si: é a falta de visibilidade sobre o que acontece na rede. Sem monitoramento, um rogue AP pode operar por semanas dentro do seu estabelecimento sem ser detectado.
A boa notícia: a próxima geração de padrões Wi-Fi resolve parte desses problemas na raiz.
Wi-Fi 6E, Wi-Fi 7 e Passpoint: o que muda na prática
Três tecnologias estão redesenhando o que “Wi-Fi público de qualidade” significa. Nenhuma é futurismo. Todas já operam em escala.
A Anatel liberou a faixa de 5.925 MHz a 7.125 MHz para Wi-Fi 6E em 2021, abrindo até 1.200 MHz de espectro contíguo no Brasil. Na prática: canais largos e limpos, com pouca interferência de dispositivos legados. Para venues densos (estádios, shoppings, eventos), a diferença de estabilidade é brutal. Quem opera rede pública exclusivamente em 2.4 GHz está desperdiçando essa capacidade.
O Wi-Fi 7 (802.11be) ainda é embrionário. Apenas 1,8% das amostras globais rodavam Wi-Fi 7 no primeiro trimestre de 2026, segundo a Ookla. Mas a trajetória é clara. A Anatel já aprovou certificação de dispositivos 802.11be, e os primeiros APs empresariais Wi-Fi 7 (como a série Aruba 730 e o Ruckus na Oakland Arena) estão em operação. O ganho está na capacidade: mais dispositivos simultâneos com menos degradação. Para quem planeja infraestrutura hoje, comprar AP Wi-Fi 6E é decisão segura. Wi-Fi 7 é investimento preparatório.
A mudança mais transformadora para o usuário final, porém, é o Passpoint. Baseado no Hotspot 2.0, o Passpoint permite que o celular se conecte automaticamente a redes parceiras, sem captive portal, sem login, sem senha, com criptografia ativa desde o primeiro pacote. O OpenRoaming, federação mantida pela Wireless Broadband Alliance (WBA), escala isso entre múltiplos provedores: você configura uma vez e está conectado em qualquer rede da federação.
Números concretos: a federação OpenRoaming ultrapassou 1 milhão de hotspots em 2022 e já passa de 3 milhões. 81% dos executivos do setor Wi-Fi planejam deployments de OpenRoaming entre 2025 e 2026. Aeroportos como Guarulhos, venues como London Stadium e universidades via eduroam (mais de 10.000 hotspots acadêmicos no mundo) já operam nesse modelo.
Para prefeituras e operadores de venues no Brasil, a recomendação é direta: aderir ao OpenRoaming ou eduroam (no caso de instituições de ensino) em vez de criar captive portals proprietários reduz custo, aumenta adesão e entrega uma experiência que o usuário nem percebe. Porque quando a conexão funciona sem que você precise fazer nada, a experiência é perfeita.
Tecnologia resolve a parte técnica. Mas implementação depende de modelo, orçamento e governança. Vale olhar como isso funciona na prática.
Casos reais no Brasil (e o que eles ensinam)
Experiência boa em Wi-Fi público não é acidente. É resultado de escala bem executada, modelo de operação sustentável e atenção ao detalhe regulatório.
WiFi Livre SP: escala com compliance. O programa municipal de São Paulo opera desde 2014 e chegou a 7.923 hotspots em 2026. Desses, 3.200 estão em áreas de alta vulnerabilidade social. O programa Wi-Fi Livre Comunidades, sozinho, acumulou mais de 763 milhões de conexões desde 2024. Funciona em conformidade com a LGPD e o Marco Civil, sem coleta de dados pessoais. Lição: gratuidade com escala e compliance gera adoção massiva.
Wi-Fi Brasil (federal): capilaridade rural. O programa federal operava 12.715 hotspots em dezembro de 2020, com capacidade para até 28.000 pontos e cerca de 9.500 cobrindo escolas rurais. A velocidade média: 20 Mbps, raio de aproximadamente 200 metros, uso ilimitado. A combinação satélite (Telebras) e infraestrutura terrestre resolve a barreira geográfica. Lição: backhaul via satélite é viável onde fibra não chega.
Wi-Fi nas Escolas (Minas Gerais): marco legal como alavanca. O programa estadual investiu R$ 65 milhões para modernizar o Wi-Fi em mais de 2.100 escolas, beneficiando cerca de 1,3 milhão de alunos. Os recursos vieram da União pela Lei 14.172/2021 (Lei da Conectividade). Lição: marco legal federal estruturado destrava investimento estadual. Sem a lei, o programa não existiria.
Wi-Fi BH: consistência municipal. Belo Horizonte opera Wi-Fi gratuito em praças e órgãos públicos desde 2017. O programa atravessou trocas de gestão. Lição: o que sustenta Wi-Fi público municipal não é vontade política de um mandato. É institucionalização.
Super Bowl 59 (contra-exemplo): infraestrutura sem estratégia de adoção. Em fevereiro de 2025, o Wi-Fi do Caesars Superdome em Nova Orleans teve queda drástica no uso porque a Verizon não disponibilizou seu SSID de offload celular, que historicamente empurrava os usuários para o Wi-Fi. A infraestrutura estava funcionando. Os usuários simplesmente não aderiram. Lição: Wi-Fi público funcionando não basta. A experiência inclui fazer o usuário saber que a rede existe, confiar nela e — para estabelecimentos comerciais — convertê-la em tempo de permanência qualificado.
Esses casos confirmam uma constante: a experiência depende de decisões que vão além da tecnologia. Modelo de operação, compliance, comunicação e sustentabilidade financeira pesam tanto quanto o hardware.
Para estabelecimentos comerciais, a equação é diferente de programas públicos. O Wi-Fi não é serviço social: é canal de relacionamento. Cada cliente que se conecta é um lead. Cada visita é um dado de frequência. Cada login é uma oportunidade de recontato. Se o seu estabelecimento ainda trata o Wi-Fi como commodity de internet, é aqui que isso muda. Um hotspot social com captive portal otimizado captura o lead no momento da conexão, e a integração com WhatsApp Empresarial fecha o ciclo no automático. Provedores, empresas de TI e agências que queiram revender essa solução para múltiplos PDVs encontram no modelo white label uma operação SaaS completa com marca própria e receita recorrente.
Perguntas frequentes
Wi-Fi público é seguro para acessar banco e fazer compras?
Na maioria dos cenários de 2026, sim. Apps bancários usam criptografia própria além do HTTPS, com tokens e biometria. O risco real está em redes falsas (evil twin) que imitam SSIDs legítimos. Confirme o nome exato da rede com funcionários do local e verifique se o site exibe HTTPS antes de inserir dados sensíveis.
Por que o Wi-Fi público é tão lento em locais movimentados?
Na maior parte dos casos, porque muitos access points operam em 2.4 GHz com dezenas ou centenas de dispositivos no mesmo canal. Do lado do usuário, busque a banda de 5 ou 6 GHz. Do lado do gestor, a solução passa por aumentar o número de APs, distribuir canais corretamente e garantir backhaul de fibra com banda dimensionada para o pico.
Preciso usar VPN em Wi-Fi público?
Depende do que você faz. Para navegação geral, e-mails e apps bancários, o HTTPS já protege o conteúdo em trânsito. A VPN agrega valor real quando você acessa sistemas corporativos sem criptografia nativa, quando quer ocultar seu tráfego do operador da rede ou quando está em país com restrições de conteúdo.
O que é Passpoint e como melhora o Wi-Fi público?
Passpoint é um padrão que elimina o captive portal. O celular se conecta automaticamente a redes parceiras, com criptografia ativada desde o primeiro pacote. O OpenRoaming expande isso entre múltiplos provedores no mundo todo. Na prática, você configura uma vez e está conectado em aeroportos, hotéis e venues sem precisar fazer login.
Como saber se o Wi-Fi público é legítimo?
Pergunte ao funcionário do local o nome exato da rede (SSID) e, se houver, a senha. Desconfie de redes com nomes genéricos como “Wi-Fi Grátis” sem associação clara ao estabelecimento. Desative a conexão automática a redes abertas no celular para evitar que ele se conecte a rogue APs sem sua autorização.
Como um estabelecimento pode oferecer Wi-Fi público bom e seguro?
Três fundamentos: APs bem posicionados e dimensionados para a capacidade do local, rede de visitantes separada (VLAN) da rede operacional, e captive portal rápido com login simplificado (social ou SMS). Para segurança, WPA3-Enterprise e monitoramento de rogue APs. Para retorno de negócio, um hotspot social que transforme cada conexão em lead identificado.
