Cerca de 90% das autenticações Wi-Fi corporativas ainda rodam WPA2. O protocolo tem mais de 20 anos e foi quebrado publicamente em 2017.
Se a rede da sua empresa está nesse grupo, cada dispositivo conectado é um vetor de exposição. Dados de clientes, transações, credenciais internas, tudo trafegando pelo ar com uma criptografia que um notebook e um tutorial de 10 minutos conseguem interceptar.
A criptografia em redes Wi-Fi empresariais não é só pauta de TI. É pauta de risco jurídico (LGPD e Anatel), de continuidade operacional e, para quem usa o Wi-Fi como canal de captura de leads via captive portal, de confiança do cliente. Este artigo explica o que cada protocolo faz, onde falha, o que a legislação brasileira exige e como migrar para o WPA3 sem substituir toda a infraestrutura.
Veja mais vídeos como esse em nosso canal do YouTube!
De WEP a WPA3: quatro gerações em resumo
Antes de decidir o que implementar, vale entender o mapa completo. A tabela abaixo resume a genealogia da criptografia Wi-Fi:
| Protocolo | Ano | Algoritmo principal | Status em 2026 |
|---|---|---|---|
| WEP | 1997 | RC4 (40/104 bits) | Morto. Quebrável em segundos. |
| WPA | 2003 | TKIP / RC4 (intermediário) | Obsoleto. Solução temporária que nunca deveria ter durado. |
| WPA2 | 2004 | AES-CCMP (128 bits) | Dominante, mas vulnerável ao KRACK (2017). |
| WPA3 | 2018 | AES-GCM (128 bits) + SAE, com opção 192-bit (GCMP-256) | Atual. Obrigatório em Wi-Fi 6E e Wi-Fi 7. |
O salto entre WPA2 e WPA3 merece atenção especial. O WPA2 usa um handshake de 4 vias com chave pré-compartilhada (PSK). Em outubro de 2017, Mathy Vanhoef e Frank Piessens, da KU Leuven, demonstraram o ataque KRACK (Key Reinstallation Attack), que explorava exatamente essa troca de chaves. O atacante conseguia reinstalar a chave criptográfica e descriptografar pacotes em tempo real.
O WPA3 resolveu essa falha na raiz, substituindo o handshake PSK pelo SAE (Simultaneous Authentication of Equals), que autentica ambas as partes de forma equivalente e adiciona forward secrecy: mesmo que a senha atual vaze, sessões anteriores continuam protegidas.
A diferença prática? No WPA2-Personal, se alguém descobre a senha do Wi-Fi (e em restaurantes, hotéis e academias, a senha costuma estar num adesivo na recepção), pode voltar no tempo e decifrar tudo que capturou. No WPA3, cada sessão tem sua própria chave derivada. Comprometer uma não compromete as anteriores.
Mas protocolo sozinho não protege nada. A criptografia é a camada do canal. Para ambientes corporativos, o que define a segurança real é como os dispositivos se autenticam antes de entrar na rede.
WPA3-Enterprise na prática: o que muda para o seu negócio
WPA3-Enterprise não é uma configuração de roteador. É um conjunto de decisões sobre como sua rede trata cada conexão.
As três mudanças com impacto direto:
1. SAE substitui PSK. No modo Personal (redes menores), o SAE elimina a vulnerabilidade do handshake de 4 vias. No modo Enterprise, a autenticação já usava 802.1X, mas agora com proteção adicional contra ataques de dicionário offline.
2. Proteção de Quadros de Gestão (PMF/802.11w) passa a ser obrigatória. Quadros de desautenticação e desassociação, que antes trafegavam sem proteção, agora são cifrados. Isso bloqueia ataques de negação de serviço que “derrubam” clientes e os forçam a reconectar em redes falsas.
3. Modo 192-bit (Suite B/CNSA) para ambientes regulados. Bancos, hospitais e órgãos governamentais que lidam com dados sensíveis podem ativar GCMP-256 + curvas elípticas de 384 bits + EAP-TLS exclusivo. Essa configuração exige que tanto o servidor quanto o cliente tenham certificados digitais (PKI funcional), o que limita sua viabilidade em PMEs sem infraestrutura de certificação.
Para redes de visitantes (aquela que o cliente acessa no restaurante, no hotel ou na academia), o WPA3 trouxe o OWE (Opportunistic Wireless Encryption). Ele cifra o tráfego mesmo em redes abertas, sem exigir senha. Não resolve autenticação (qualquer pessoa pode se conectar), mas impede que outros dispositivos na mesma rede interceptem o tráfego alheio.
Se a sua operação usa Wi-Fi como canal de captura via captive portal, o OWE é a base mínima para proteger os dados que o cliente insere na tela de login (e-mail, telefone, CPF) antes mesmo de chegar ao seu servidor.
Tudo isso soa robusto no papel. Mas a criptografia do canal é só metade da equação. A outra metade é como o dispositivo prova quem é antes de receber acesso.
802.1X, RADIUS e EAP-TLS: a tríade da autenticação corporativa
Em uma rede Wi-Fi residencial, a autenticação é uma senha compartilhada. Todo mundo usa a mesma. Em uma rede corporativa com 802.1X, cada dispositivo ou usuário se autentica individualmente. A arquitetura funciona assim:
- Supplicant (o dispositivo do funcionário ou visitante) envia uma solicitação de acesso via protocolo EAPOL.
- Authenticator (o access point) repassa a solicitação, sem tomar decisão. Ele é um porteiro, não um juiz.
- Authentication Server (RADIUS ou TACACS+) verifica as credenciais contra um diretório (Active Directory, LDAP, banco de identidades) e devolve “aceito” ou “rejeitado”.
Os dois métodos EAP mais usados na prática:
| Método | Como funciona | Segurança | Complexidade | Melhor para |
|---|---|---|---|---|
| EAP-TLS | Certificado digital no cliente E no servidor. Autenticação mútua. | Máxima (sem senhas para vazar) | Alta (exige PKI + MDM) | Empresas com Intune, Jamf ou infraestrutura de certificados |
| PEAP-MSCHAPv2 | Túnel TLS com certificado apenas no servidor. Cliente autentica com usuário/senha. | Média-alta (depende da força da senha) | Média | Empresas sem PKI, com AD |
O EAP-TLS é considerado o padrão-ouro porque elimina completamente credenciais textuais. Sem senha, sem phishing de senha, sem funcionário colando senha em post-it. Cada dispositivo carrega seu certificado, emitido automaticamente via SCEP (protocolo de inscrição de certificado) integrado ao MDM (Intune, Jamf).
Na prática, PMEs brasileiras raramente têm PKI pronta. O caminho mais comum é PEAP-MSCHAPv2 com rotação de senha trimestral e monitoramento do RADIUS. Não é o ideal, mas é significativamente melhor que PSK compartilhada.
Um ponto que a SERP não cobre e que faz diferença no dia a dia: em ambientes com alta rotatividade de pessoas (coworkings, redes de franquias, academias com planos mensais), a PSK compartilhada vira um pesadelo operacional. Cada pessoa que sai leva a senha. Trocar a PSK significa desconectar todos os dispositivos. O 802.1X resolve isso por design: revogar o acesso de um usuário é uma operação individual no RADIUS, sem impacto nos demais.
O stack técnico está claro. Falta entender o que a lei brasileira exige de tudo isso.
LGPD, Anatel e o custo de ignorar a criptografia
A maioria dos gestores trata criptografia Wi-Fi como decisão de TI. A legislação brasileira discorda. Vazamentos de dados em Wi-Fi público demonstram as consequências práticas de negligenciar a criptografia adequada.
Ato 77/21 da Anatel
O Ato 77/21 da Anatel exige que equipamentos CPE (roteadores, gateways, firewalls) homologados no Brasil atendam a requisitos mínimos de segurança cibernética. Entre eles: troca obrigatória de senhas padrão de fábrica no primeiro uso, ausência de backdoors, secure boot, criptografia obrigatória para dados pessoais em trânsito e em repouso, e manutenção de atualizações por pelo menos dois anos.
O Ato 2436/2023 operacionalizou esses requisitos na avaliação de conformidade. Em termos práticos: se o roteador da sua empresa foi homologado depois de 2024, ele precisa ter documentação de conformidade criptográfica. Se foi antes, a obrigação de atualização (firmware) transfere parte da responsabilidade para o fabricante, mas a de configuração continua com quem opera a rede.
LGPD e captive portals
Se o Wi-Fi do seu estabelecimento coleta qualquer dado via captive portal (e-mail, telefone, nome, CPF, MAC address), isso é tratamento de dado pessoal nos termos da LGPD. A lei não especifica algoritmos, mas obriga “medidas técnicas e administrativas aptas a proteger dados pessoais”.
Na prática, isso significa:
- Consentimento explícito com opt-in (não pode vir pré-marcado).
- Criptografia do canal Wi-Fi (no mínimo WPA2-Enterprise; idealmente WPA3 ou OWE para rede de visitantes).
- TLS no captive portal (HTTPS obrigatório na página de login).
- Criptografia dos dados armazenados (AES-256 em repouso).
- Anonimização de MAC address via hash rotativo.
- Política de retenção documentada no RIPD (Relatório de Impacto à Proteção de Dados).
Ignorar isso tem custo real. O Brasil registrou mais de 3 mil vazamentos de dados em apenas 7 meses, com parte significativa atribuível a falhas em redes corporativas. Para quem usa o Wi-Fi como ferramenta de marketing (captura de leads, pesquisa de satisfação, redirecionamento para WhatsApp), a criptografia não é custo de TI. É pré-requisito legal para que a operação funcione.
O caso TJX: US$ 256 milhões de prejuízo por criptografia fraca
O exemplo mais citado em qualquer discussão sobre segurança Wi-Fi corporativa é o ataque à varejista TJX em 2007: invasores comprometeram três access points em uma loja, exploraram criptografia WEP/TKIP e capturaram mais de 45 milhões de números de cartão. O prejuízo total superou US$ 256 milhões. O caso acelerou a adoção do WPA2 globalmente e é, até hoje, a prova de que o ROI de uma criptografia negligenciada é negativo na casa dos milhões.
Compliance e dinheiro falam alto. Mas a pergunta seguinte é inevitável: contra quais ataques, exatamente, a criptografia do seu Wi-Fi precisa resistir hoje?
Os ataques que sua rede precisa resistir em 2026
A paisagem de ameaças evolui, e WPA3 não é escudo universal. Três vetores merecem atenção:
KRACK e o legado WPA2
Descoberto em 2017, o KRACK continua relevante porque o WPA2 continua dominante. Todo AP ou dispositivo sem patch aplicado permanece exposto. A mitigação: atualizar firmware de APs e supplicants, ou migrar para WPA3.
SSID Confusion (CVE-2023-52424)
Apresentado na WiSec 2024 por Mathy Vanhoef e Héloïse Gollier (KU Leuven), este ataque explora uma falha de design do IEEE 802.11: o SSID não é autenticado durante a fase de descoberta. Um atacante pode forjar beacons com o nome da rede corporativa e capturar dispositivos que se conectam automaticamente via perfil salvo.
O detalhe que preocupa: o ataque funciona mesmo em redes com WPA3-Enterprise e 802.1X/EAP, porque o SSID não entra no cálculo da chave mestra (PMK). Afeta especialmente ambientes com BYOD, onde contratantes e visitantes carregam perfis Wi-Fi salvos de redes anteriores.
Mitigações: atualizar firmware, não reutilizar credenciais entre SSIDs, e manter VPN e EDR ativos mesmo em redes corporativas.
CVE-2023-52160 (wpa_supplicant)
Esta vulnerabilidade no wpa_supplicant afeta a maioria dos dispositivos Android, Linux e ChromeOS. Permite que um atacante engane o cliente para se conectar a uma rede maliciosa que imita a rede legítima. Em 2024, um caso documentado nos EUA mostrou um ataque “near-neighbor” que explorou essa falha para bypassar MFA e VPN em uma empresa de médio porte.
A ameaça quântica no horizonte
Para quem planeja infraestrutura com ciclo de 5 a 10 anos, vale considerar: um estudo da Universidade de Tübingen analisou 8 protocolos Wi-Fi (incluindo WPA2, WPA3-SAE, WPA-Enterprise e OWE) e concluiu que todos são vulneráveis a um computador quântico criptograficamente relevante (CRQC). A agência BSI alemã estima a chegada desse computador em aproximadamente 15 anos.
A recomendação do estudo é preparar PKI híbrida com algoritmos pós-quânticos (ML-KEM para troca de chaves, ML-DSA para assinaturas), já padronizados pelo NIST em 2024. Implementações em Wi-Fi devem aparecer no Wi-Fi 8 ou em uma eventual “WPA4”, ainda não ratificada.
Conhecer as ameaças é metade do caminho. A outra metade é saber como migrar sem explodir o orçamento.
Como migrar para WPA3 sem trocar tudo de uma vez
A barreira mais comum que ouço de gestores: “meus equipamentos não suportam WPA3”. Nem sempre é verdade, mas quando é, existe caminho.
Passo 1: auditar o que você tem
Antes de comprar qualquer coisa, mapeie dois elementos: os access points (fabricante, modelo, firmware) e os dispositivos clientes (sistema operacional, chipset Wi-Fi). O WPA3 exige suporte dos dois lados. APs de 2020 para cá geralmente suportam WPA3 via atualização de firmware. Dispositivos com Windows 10/11, macOS 10.15+, iOS 13+ e Android 10+ suportam WPA3-Personal. O suporte a WPA3-Enterprise com EAP-TLS varia.
Passo 2: ativar o Transition Mode
O WPA3 Transition Mode permite que o mesmo SSID aceite conexões WPA2 e WPA3 simultaneamente. Dispositivos compatíveis usam WPA3; legados continuam em WPA2. Documentação da Cisco Meraki confirma que essa é a configuração recomendada para migração gradual. A desvantagem: a segurança da rede é limitada pelo protocolo mais fraco ativo. Use como ponte, não como estado permanente.
Passo 3: segregar SSIDs por perfil de risco
Em vez de tentar encaixar tudo em uma rede, separe:
- SSID corporativo (funcionários): WPA3-Enterprise com 802.1X (EAP-TLS se tiver PKI, PEAP se não tiver). VLAN dedicada.
- SSID de visitantes/clientes: OWE ou captive portal com TLS. VLAN isolada, sem acesso à rede interna.
- SSID IoT (câmeras, sensores, impressoras): WPA2-PSK com VLAN dedicada, MAC filtering e monitoramento. Documente essa exceção e planeje substituição em 2 a 3 anos.
Essa segmentação resolve o problema de compatibilidade com dispositivos legados sem comprometer os segmentos mais sensíveis.
Passo 4: planejar compras novas com Wi-Fi 7 em mente
Se você vai trocar APs nos próximos 12 meses, considere Wi-Fi 7 (802.11be). A IDC aponta que 10,2% da receita de APs no 4T24 já veio do Wi-Fi 7. Todo AP Wi-Fi 7 é obrigado a suportar WPA3 + GCMP-256 + PMF + Beacon Protection. Comprar Wi-Fi 6 agora significa comprar obsolescência em 3 anos.
Passo 5: documentar tudo para LGPD e Anatel
A migração não termina na configuração do AP. Documente: qual protocolo está ativo em cada SSID, como os dados do captive portal são cifrados em trânsito e em repouso, qual a política de retenção de logs, e como funciona o processo de revogação de acesso. Esse documento alimenta o RIPD e serve como evidência em caso de auditoria ou incidente.
Se a sua operação já usa Wi-Fi como canal de conversão (captura de lead no hotspot, redirecionamento para WhatsApp, pesquisa de satisfação pós-visita), a criptografia bem configurada é o que separa uma base de dados utilizável de um passivo jurídico. Veja como o Wi-Fi Marketing da DT Network integra captive portal com conformidade para transformar conexão em lead qualificado, sem expor os dados do cliente.
Perguntas frequentes
Qual a diferença prática entre WPA2 e WPA3 para uma empresa?
O WPA3 substitui o handshake PSK pelo SAE, que impede ataques de dicionário offline e garante forward secrecy (sessões passadas ficam protegidas mesmo se a senha vazar). Além disso, torna obrigatória a proteção de quadros de gestão (PMF), bloqueando ataques de desautenticação que forçam dispositivos a se reconectar em redes falsas.
Minha empresa precisa de WPA3-Enterprise 192-bit?
Depende do setor. Bancos, hospitais com dados de saúde e órgãos governamentais que operam sob PCI-DSS v4.0, resoluções do Banco Central ou tratam dados sensíveis pela LGPD se beneficiam do 192-bit (GCMP-256 + EAP-TLS). Para comércio, alimentação e serviços, WPA3-Enterprise com PEAP ou EAP-TLS padrão (128 bits) já é um salto significativo sobre WPA2-PSK.
O Ato 77/21 da Anatel se aplica ao meu roteador?
Sim, se o roteador foi homologado após a vigência do ato. Ele se aplica a CPEs (roteadores, gateways, firewalls) e exige criptografia de dados pessoais em trânsito e repouso, ausência de credenciais padrão de fábrica, secure boot e atualizações por no mínimo dois anos.
O que é OWE e quando devo usar?
OWE (Opportunistic Wireless Encryption) cifra o tráfego em redes abertas sem exigir senha. Não autentica o usuário, apenas protege a confidencialidade dos dados. Use em redes de visitantes onde a usabilidade importa mais que a identificação individual, como hotéis, restaurantes e eventos.
PSK compartilhada é aceitável em redes empresariais?
Não como padrão. PSK compartilhada não oferece rastreabilidade por usuário, não permite revogação individual e, em ambientes com rotatividade (academias, coworkings, franquias), vira um risco operacional. Use 802.1X para funcionários e captive portal para visitantes. PSK só deve existir como exceção documentada em SSIDs de IoT legado.
O ataque SSID Confusion afeta redes com WPA3?
Sim. O CVE-2023-52424 explora uma falha de design do IEEE 802.11 (o SSID não é autenticado na fase de descoberta), afetando inclusive redes WPA3-Enterprise com 802.1X/EAP. As mitigações são: atualizar firmware de APs e clientes, não reutilizar credenciais entre SSIDs e manter VPN ativa mesmo em redes corporativas.
