Aeroporto, café, hotel, praça pública. O Wi-Fi está ali, aberto, e você precisa resolver algo agora. Checar e-mail, consultar mapa, transferir um Pix. Conecta sem pensar.
Esse gesto de dois segundos é exatamente o que criminosos brasileiros já exploram para interceptar dados bancários via redes clonadas, segundo alerta do NIC.br publicado em janeiro de 2026. Na Austrália, um homem foi preso em 2024 por criar redes Wi-Fi falsas durante voos domésticos, capturando credenciais de dezenas de passageiros.
Wi-Fi público não é proibido. Mas usá-lo sem cuidado é entregar dados de graça para quem você não vê. Os 9 cuidados ao utilizar Wi-Fi público a seguir são baseados em orientações do CERT.br, NIST e CISA, reforçados por casos criminais reais.
Veja mais vídeos como esse em nosso canal do YouTube!
O que torna o Wi-Fi público vulnerável
Redes Wi-Fi públicas, especialmente as abertas (sem senha), transmitem dados em texto claro. Qualquer pessoa na mesma rede, com software gratuito como Wireshark, consegue ler o que trafega: URLs, cookies de sessão, formulários não criptografados.
Três vetores de ataque dominam nesse ambiente:
- O Evil Twin (gêmeo maligno) é uma rede com nome idêntico ao da rede legítima. Seu celular conecta automaticamente, achando que é a rede de sempre. Todo o tráfego passa pelo dispositivo do criminoso.
- No Man-in-the-Middle (MITM), o atacante se posiciona entre você e o ponto de acesso, interceptando comunicações em tempo real sem que nenhum dos dois lados perceba.
- O packet sniffing é a captura passiva de pacotes que circulam na rede. Em conexões sem criptografia, senhas ficam expostas como texto legível.
Os números confirmam a escala do problema: 43% dos usuários de Wi-Fi público já sofreram alguma violação de dados, e 86% dessas violações envolveram credenciais comprometidas. No Brasil, 80% das cidades com mais de 500 mil habitantes oferecem Wi-Fi público gratuito, sem padronização obrigatória de segurança. A superfície de ataque é enorme.
Saber disso já muda o comportamento. Agora, ao que fazer na prática.

9 cuidados ao utilizar Wi-Fi público
1. Confirme o nome exato da rede
Antes de conectar, pergunte a um funcionário qual é o SSID correto da rede. Nomes como “Wi-Fi Grátis”, “Free_Airport_WiFi” ou qualquer variação genérica podem ser redes Evil Twin criadas por alguém sentado a dois metros de você.
O caso australiano de 2024 começou exatamente assim: um SSID imitando o serviço de bordo da companhia aérea. Passageiros conectaram sem conferir.
2. Use uma VPN
VPN (Virtual Private Network) cria um túnel criptografado entre seu dispositivo e um servidor remoto. Mesmo que alguém intercepte o tráfego, só verá dados embaralhados.
No Brasil, opções pagas confiáveis começam em R$ 9,90/mês (NordVPN) e vão até R$ 29/mês (ExpressVPN), segundo comparativo do TecMundo. VPN gratuita? A única com reputação sólida entre avaliadores independentes é o Proton VPN Free. As demais frequentemente revendem seus dados de navegação, o que anula todo o propósito de proteção.
3. Não acesse banco nem faça pagamentos
Se precisar fazer Pix, transferência ou compra com cartão, use a rede móvel (4G/5G). A conexão via operadora utiliza SIM autenticado com criptografia própria, incomparavelmente mais segura que qualquer Wi-Fi aberto.
O NIC.br foi direto nesse ponto em 2026: aplicativos bancários são o alvo número um dos ataques Evil Twin no Brasil.
4. Verifique o cadeado (HTTPS)
Antes de digitar qualquer dado, confira se a URL começa com “https://” e se o navegador exibe o ícone de cadeado. O HTTPS criptografa a comunicação entre seu navegador e o site, mesmo em rede aberta.
A maioria dos navegadores já bloqueia ou sinaliza sites HTTP. Ainda assim, ative o modo “somente HTTPS” (disponível no Firefox, Brave e Chrome) para eliminar exceções silenciosas.
5. Desative a conexão automática a redes Wi-Fi
Seu celular grava redes que você já usou e reconecta automaticamente quando detecta o mesmo nome. Isso é conveniente em casa. Em público, é uma porta aberta: basta alguém criar um SSID igual ao de uma rede que você já usou.
No iPhone: Ajustes > Wi-Fi > “Pedir para Conectar” ativado. No Android: Configurações > Rede > Wi-Fi > desative “Conectar automaticamente a redes abertas”.
6. Mantenha o dispositivo atualizado
Atualizações de sistema fecham brechas de segurança conhecidas. WPA3, o protocolo mais seguro de Wi-Fi hoje, exige suporte do sistema operacional. Se você roda iOS 16 ou Android 13, pode não ter acesso às proteções mais recentes.
Atualize antes da viagem, não durante. Na rede do hotel, o download demora e a janela de exposição aumenta.
7. Desligue o compartilhamento de arquivos
AirDrop (iOS), Nearby Share (Android) e compartilhamento de rede (Windows/macOS) expõem seu dispositivo na rede local. Em casa, isso facilita transferências. Em Wi-Fi público, permite que qualquer pessoa na mesma rede tente acessar seus arquivos ou detecte seu dispositivo.
Desative antes de conectar. Reative quando estiver em rede segura.
8. Ative autenticação em dois fatores (2FA)
Se sua senha for interceptada, o 2FA impede que o invasor acesse a conta. Use um app autenticador (Google Authenticator, Authy) em vez de SMS, que pode ser interceptado por SIM swap.
Ative em tudo que importa: e-mail, banco, redes sociais, serviços de nuvem.
9. Desconecte ao terminar e “esqueça” a rede
Fechar o navegador não é o mesmo que desconectar do Wi-Fi. Enquanto seu dispositivo estiver conectado, aplicativos em segundo plano continuam trafegando dados pela rede pública.
Desconecte manualmente e use a opção “Esquecer esta rede” para evitar reconexão automática na próxima visita ao local.
Esses 9 cuidados cobrem o essencial. Para entender o tamanho real do problema que cada um resolve, os casos a seguir ajudam.
Casos reais: quando esses cuidados foram ignorados
Dicas de segurança soam teóricas até você ver o que acontece quando são descartadas. Três casos documentados ilustram isso.
Evil Twin em voos australianos (2024)
A Polícia Federal Australiana indiciou um homem de 42 anos por criar redes Wi-Fi falsas durante voos domésticos. Usando um dispositivo portátil que cabe na bagagem de mão (custo: menos de US$ 100), ele emitia SSIDs idênticos aos da companhia aérea. Passageiros que conectavam tinham e-mails, credenciais bancárias e logins de redes sociais capturados.
Foi a primeira ação criminal do tipo na Austrália. O detalhe mais relevante: o hardware necessário cabe no bolso e custa menos que um jantar para duas pessoas.
Cryptojacking no Starbucks de Buenos Aires (2017)
O Wi-Fi de uma franquia Starbucks em Buenos Aires foi sequestrado para forçar os laptops dos clientes a minerar a criptomoeda Monero. Um código JavaScript era injetado através do captive portal da rede. O truque: a mineração durava apenas 10 segundos por página carregada, evitando travamentos perceptíveis.
Nenhum dado bancário foi roubado nesse caso. Mas o precedente é claro: se alguém consegue injetar código no seu dispositivo via Wi-Fi, os limites do dano dependem só da intenção.
DarkHotel: espionagem em hotéis de luxo (desde 2010)
O grupo APT DarkHotel, identificado pela Kaspersky, opera desde pelo menos 2010 atacando executivos em redes Wi-Fi de hotéis de luxo na Ásia-Pacífico. O método: um captive portal falso pede que o hóspede “atualize” um software. O download instala malware que rouba e-mails corporativos e credenciais de acesso.
Se você viaja a trabalho e acessa o Wi-Fi do hotel sem VPN, está no público-alvo preferencial desse tipo de operação.
Os três casos têm algo em comum: a vítima conectou sem verificar a rede, sem VPN, sem desconfiar. De todos os cuidados listados acima, a VPN é o mais citado por entidades como CERT.br, NIST, CISA e Banco do Brasil. Quanto ela custa no Brasil?
VPN no Brasil: opções e preços em 2026
| Provedor | Preço mensal (plano anual) | Dispositivos simultâneos | Plano gratuito? |
|---|---|---|---|
| NordVPN | R$ 9,90 | 10 | Não |
| Private Internet Access | R$ 10,45 | Ilimitados | Não |
| Surfshark | R$ 10,49 | Ilimitados | Não |
| CyberGhost | R$ 11,50 | 7 | Não |
| ExpressVPN | R$ 29,00 | 8 | Não |
| Proton VPN | R$ 0 (free) / ~R$ 55 (pago) | 1 (free) / 10 (pago) | Sim |
Um ponto que merece atenção: a adoção de VPN nos EUA caiu de 46% para 32% entre 2024 e 2025. A razão provável? HTTPS virou padrão na maioria dos sites, reduzindo a urgência percebida. Só que HTTPS protege a comunicação com o site. Não impede que uma rede Evil Twin capture suas requisições DNS, identifique quais serviços você usa e monte ataques de phishing sob medida. A VPN cobre essa lacuna.
Até aqui, falamos do lado de quem se conecta. Mas existe outro lado nessa equação: quem oferece a rede.
Quem oferece Wi-Fi público também tem responsabilidade
Se você é dono de café, academia, hotel ou qualquer negócio que disponibiliza Wi-Fi para clientes, os cuidados envolvem você diretamente.
A LGPD exige que o controlador proteja os dados pessoais coletados. Quando um cliente conecta no seu Wi-Fi e insere nome, CPF ou e-mail num captive portal, esses dados estão sob sua responsabilidade legal. E a pressão não é teórica: 64% das empresas brasileiras já são alvos de fraudes e ataques digitais com frequência média ou alta. Oferecer Wi-Fi sem segurança é adicionar mais uma porta de entrada.
O mínimo que um estabelecimento precisa garantir, incluindo políticas adequadas de senha para Wi-Fi:
- WPA2 ou WPA3 habilitado na rede
- Rede dos clientes isolada da rede operacional do negócio
- Captive portal com termos de uso e opt-in conforme a LGPD
- Logs de acesso mantidos para conformidade legal
- Firmware dos access points atualizado
Além da conformidade, um captive portal bem configurado transforma o Wi-Fi em canal de captura de leads. O cliente conecta, faz login via celular ou e-mail, e entra na sua base de contatos com consentimento registrado. É o que separa um Wi-Fi “senha no papel” de um Wi-Fi que funciona como canal real de marketing.
Se o seu estabelecimento ainda opera com a senha rabiscada no guardanapo, vale entender como transformar esse ponto de contato em resultado mensurável.

Perguntas frequentes
Wi-Fi público é sempre perigoso?
Não. Redes com WPA2/WPA3 combinadas com sites HTTPS oferecem proteção razoável. O risco alto está em redes abertas (sem senha) acessadas sem VPN. 18% dos usuários totais e 24% dos frequentes já tiveram problemas de segurança em redes públicas, segundo pesquisa da All About Cookies atualizada em 2026.
O que é Evil Twin e como identificar?
Evil Twin é uma rede falsa com nome idêntico ao de uma rede legítima. Seu dispositivo conecta achando que é a rede real, e todo o tráfego passa pelo atacante. Para se proteger: confirme o SSID com um funcionário do local, desconfie de redes duplicadas na lista e desative a reconexão automática no celular.
Usar 4G/5G é mais seguro que Wi-Fi público?
Sim, na grande maioria dos cenários. A rede móvel usa autenticação via SIM e criptografia própria da operadora. Para transações bancárias, o NIC.br recomenda explicitamente priorizar dados móveis em vez de Wi-Fi público.
VPN gratuita é confiável?
Quase nunca. Muitas VPNs gratuitas monetizam os dados dos usuários, vendendo informações de navegação para anunciantes. A exceção reconhecida por avaliadores independentes é o Proton VPN Free. As demais, no geral, transformam você no produto.
O Wi-Fi 7 vai resolver o problema de segurança em redes públicas?
Em parte. O Wi-Fi 7 torna obrigatório o WPA3 e introduz o Enhanced Open (OWE), que criptografa redes abertas automaticamente. No Brasil, a adoção em escala depende da regulamentação da Anatel para a faixa de 6 GHz, com previsão para 2027 ou 2028.
Quem oferece Wi-Fi público pode ser responsabilizado por vazamento de dados?
Sim. A LGPD estabelece que o controlador de dados (o estabelecimento que coleta informações via captive portal) é responsável pela proteção dessas informações. Multas podem chegar a 2% do faturamento, limitadas a R$ 50 milhões por infração.
