Quase 43% das pessoas que usam Wi-Fi público já tiveram dados pessoais comprometidos. Em redes domésticas, o cenário não melhora muito: roteadores com senha de fábrica, firmware de dois anos atrás e criptografia ultrapassada fazem o trabalho dos invasores antes mesmo de eles tentarem.
Se você está buscando segurança em redes Wi-Fi para proteger seus dados, este guia mostra o que realmente funciona. Desde configurações no roteador de casa até como se comportar em Wi-Fi público, passando pela responsabilidade legal de quem oferece Wi-Fi a clientes (sim, a LGPD tem muito a dizer sobre isso).
Veja mais vídeos como esse em nosso canal do YouTube!
Por que sua rede Wi-Fi é menos segura do que parece
A maioria das redes Wi-Fi no Brasil ainda roda WPA2. O WPA2 usa criptografia AES-CCMP, que é forte. Mas a configuração da chave de segurança da rede Wi-Fi e o handshake de 4 vias, o processo que conecta seu dispositivo ao roteador, têm uma falha conhecida desde 2017: o ataque KRACK.
O pesquisador Mathy Vanhoef demonstrou que, forçando o reuso de chaves criptográficas durante a conexão, um invasor consegue decriptar pacotes e interceptar tráfego. O problema foi corrigido via patches, mas quantos roteadores domésticos brasileiros receberam essa atualização? Pouquíssimos. A maioria dos modems instalados por operadoras nunca tem o firmware tocado depois da configuração inicial.
O WPA3 chegou em 2018 para resolver isso, trazendo um handshake novo (SAE/Dragonfly) com sigilo de encaminhamento perfeito. Só que a adoção real é outra história. Em julho de 2024, a Kaspersky analisou quase 25.000 pontos de Wi-Fi gratuito em Paris e descobriu que apenas 6% usavam WPA3, enquanto cerca de 25% tinham criptografia fraca ou inexistente. Se Paris, sede das Olimpíadas, estava nessa situação, imagine o cenário médio de um estabelecimento comercial brasileiro.
E nem o WPA3 é blindado. Em 2019, o mesmo Vanhoef publicou o Dragonblood: cinco vulnerabilidades no handshake Dragonfly que permitem ataques de downgrade e força bruta por menos de US$ 1 em servidores na nuvem.
A lição prática: “ter senha no Wi-Fi” não é sinônimo de segurança. O protocolo, a versão do firmware e a configuração do roteador definem o nível real de proteção. Saber disso é o primeiro passo. O segundo é entender como essas falhas viram ataques concretos, porque os métodos são mais simples do que você imagina.
Os ataques que exploram redes Wi-Fi no dia a dia
Você não precisa ser alvo de um hacker sofisticado para ter dados roubados via Wi-Fi. Ferramentas prontas, portáteis e baratas democratizaram os ataques. Eis os mais frequentes.
Evil Twin (gêmeo do mal)
O invasor cria um ponto de acesso com o mesmo nome da rede legítima: o Wi-Fi do hotel, do café, do aeroporto. Seu celular se conecta automaticamente, e todo o tráfego passa pelo atacante. O ciclo completo inclui captive portal falso, monitoramento de teclado e captura de credenciais. Em dezembro de 2025, o Anomali Cyber Watch documentou casos reais de Evil Twin combinados com DDoS de 29,7 Tbps, reforçando que esses ataques continuam baratos e fáceis de operar.
Sniffing em redes abertas
Redes Wi-Fi sem criptografia (ou com WEP, que é a mesma coisa que nada) permitem que qualquer pessoa na mesma frequência capture pacotes em texto claro. Senhas, e-mails, mensagens. Tudo legível. O protocolo OWE (Enhanced Open) resolve parte disso com troca de chaves Diffie-Hellman, mas a adoção em redes públicas ainda é marginal.
Força bruta via WPS
O WPS (Wi-Fi Protected Setup) foi criado para facilitar conexões com botão físico ou PIN. O problema: o PIN tem apenas 8 dígitos e pode ser quebrado em horas. Na análise da Kaspersky em Paris, cerca de 20% das redes gratuitas ainda tinham WPS habilitado. Se o seu roteador doméstico tem essa função ativa, desabilite hoje.
Captive portal falso
Variação do Evil Twin voltada para redes comerciais. O atacante replica a tela de login do Wi-Fi do estabelecimento e captura nome, e-mail, CPF, qualquer coisa que o portal solicite. O cliente pensa que está se conectando ao Wi-Fi do restaurante. Está entregando dados para um desconhecido.
Os ataques exploram duas frentes: redes mal configuradas e comportamento descuidado do usuário. Proteger a primeira frente começa pelo seu roteador.
Como proteger sua rede Wi-Fi doméstica
O Fascículo Redes do CERT.br, publicado em agosto de 2024, traz cinco recomendações que servem de base. Aqui vão elas, expandidas com o que faz diferença na prática.
1. Troque as credenciais de administração do roteador
A maioria dos roteadores chega com usuário “admin” e senha “admin” (ou variações previsíveis como “1234” ou o CNPJ da operadora). É o primeiro alvo de qualquer invasor. Crie uma senha forte com 12 ou mais caracteres, misturando letras, números e símbolos. E mude o SSID para algo que não revele marca, modelo, provedor ou endereço.
2. Ative WPA3 (ou WPA2/WPA3 no modo misto)
Se o roteador suporta WPA3, ative. Se tem dispositivos antigos que não conectam em WPA3 puro, use o modo misto WPA2/WPA3. Nunca use WEP ou WPA (sem o “2”). A diferença entre WEP e nenhuma criptografia é, na prática, zero.
3. Desabilite o WPS
A conveniência do botão WPS não compensa o risco de um PIN quebrável por força bruta em poucas horas.
4. Atualize o firmware
O patch que corrige o KRACK existe desde novembro de 2017. O que corrige o Dragonblood, desde 2019. Se o firmware do seu roteador não foi atualizado desde a instalação, essas correções simplesmente não estão lá. Ative atualização automática, quando disponível, ou crie o hábito de verificar a cada três meses.
5. Separe as redes por função
Crie uma rede para dispositivos pessoais e outra para visitantes. Se você tem câmeras, lâmpadas inteligentes ou assistentes de voz, coloque-os numa terceira VLAN. Implementar controle parental em redes Wi-Fi e segmentar dispositivos IoT são medidas essenciais, já que 36% das organizações citam o crescimento de IoT como principal vetor de ameaças wireless, segundo a Cisco.
6. Desative o gerenciamento remoto
A menos que você precise acessar o painel do roteador de fora de casa (cenário raro para uso doméstico), desative o acesso remoto à interface de administração. Isso elimina uma superfície inteira de ataque.
Esses seis passos resolvem a rede que você controla. Mas e quando o Wi-Fi não é seu?
Wi-Fi público: como se proteger fora de casa
Hotéis, aeroportos, cafés, coworkings. Em outubro de 2024, quase 4 em cada 10 adultos americanos que usaram Wi-Fi em cafés relataram comprometimento de dados pessoais. A premissa é simples: trate qualquer rede aberta como potencialmente hostil.
Use VPN. Sempre.
Uma VPN cria um túnel criptografado entre seu dispositivo e o servidor da VPN. Mesmo que o tráfego passe por um ponto de acesso malicioso, o invasor enxerga dados cifrados. Evite VPNs gratuitas que monetizam seus dados, porque isso derrota o propósito.
Confirme a rede com o estabelecimento
Antes de conectar, pergunte ao funcionário qual é o nome exato da rede. Atacantes criam SSIDs com variações sutis (“Hotel_Wifi” vs. “Hotel_WiFi_Free”). Essa verificação de dez segundos derrota a maioria dos Evil Twins.
Desabilite a conexão automática
Seu celular guarda histórico de redes e reconecta automaticamente quando encontra um nome conhecido. Um atacante com Evil Twin usa exatamente esse comportamento. Desabilite “conectar automaticamente” para redes públicas nas configurações do dispositivo.
Evite transações sensíveis
Acessar internet banking ou digitar número de cartão em Wi-Fi público, mesmo com VPN, adiciona risco desnecessário. Quando precisar, use a rede móvel do celular (4G/5G).
Verifique o HTTPS
O cadeado no navegador indica que a conexão entre o site e seu dispositivo é criptografada. Não resolve tudo (um Evil Twin ainda vê que você acessou o site, só não vê o conteúdo), mas é uma camada a mais que impede leitura em texto claro.
Até aqui, o foco foi em quem se conecta a uma rede. Se você é quem oferece Wi-Fi a clientes no seu ponto de venda, a responsabilidade muda de patamar, e a LGPD entra na conversa.
Se você oferece Wi-Fi a clientes, a LGPD cobra de você
Restaurantes, academias, hotéis, clínicas: todo estabelecimento que disponibiliza Wi-Fi coleta dados. No mínimo, o MAC address do dispositivo. Na maioria dos casos, coleta nome, e-mail ou CPF via captive portal. Isso configura tratamento de dados pessoais, e o artigo 46 da LGPD exige medidas de segurança técnicas e administrativas para proteger essas informações.
Na prática, isso significa:
- Criptografia na rede. WPA2-Enterprise com 802.1X ou WPA3. Rede aberta sem OWE é convite a sanção.
- Segmentação entre a rede de clientes e a rede interna do negócio. Se o cliente acessa a mesma rede do sistema de pagamento, qualquer incidente escala para dados financeiros.
- Opt-in claro no captive portal. O cliente precisa saber quais dados está cedendo, para que e por quanto tempo. Consentimento genérico (“aceito os termos”) sem especificação é insuficiente perante a lei.
- Registro de logs de acesso com retenção e descarte bem documentados. O Marco Civil da Internet exige guarda de registros por, no mínimo, seis meses em aplicações de internet.
- Auditorias periódicas. Access points desatualizados ou com WPS habilitado são vulnerabilidades que, em caso de incidente, demonstram negligência.
O ponto que muitos gestores de PDV ignoram: o Wi-Fi do estabelecimento não é só um “agrado” para o cliente. É um canal de captura de dados. E como tal, precisa operar dentro da lei. Quando bem configurado, com captive portal adequado e opt-in legítimo, esse canal vira um ativo de marketing (captura de leads, base ativa, remarketing por WhatsApp). Quando negligenciado, vira um passivo jurídico.
Se o Wi-Fi do seu negócio ainda funciona como roteador doméstico com senha colada no balcão, vale entender como um hotspot social com captive portal transforma essa fragilidade em canal de conversão, sem abrir mão da conformidade.
Proteger a rede e respeitar a LGPD são lados da mesma moeda. Falta cobrir o cenário que todo gestor teme: o que fazer nos primeiros minutos quando a prevenção não foi suficiente.
Sinais de que sua rede foi invadida (e o que fazer)
A Kaspersky Brasil lista 12 sinais de que um roteador foi hackeado. Os mais comuns no dia a dia:
- Internet lenta em vários dispositivos ao mesmo tempo, sem explicação aparente.
- Sites conhecidos redirecionando para páginas estranhas (sinal de DNS hijacking).
- Dispositivos desconhecidos aparecendo na lista de conexões do roteador.
- Configurações mudando sozinhas: senha de Wi-Fi, DNS, SSID.
- Consumo de dados disparando sem mudança de hábito.
- Pop-ups ou alertas falsos surgindo em dispositivos conectados.
Se você identificou um ou mais desses sinais, siga este roteiro:
- Desconecte o roteador da internet tirando o cabo WAN. Isso corta a comunicação do invasor com a rede.
- Faça reset de fábrica no roteador (botão físico, geralmente precisa de clipe de papel pressionado por 10 segundos). Qualquer configuração maliciosa é eliminada.
- Antes de reconectar, atualize o firmware. Baixe a versão mais recente direto do site do fabricante, de preferência via rede móvel do celular.
- Reconfigure do zero: novas credenciais de administração, novo SSID, nova senha Wi-Fi, WPA3 ou WPA2/WPA3 ativado, WPS desabilitado.
- Troque as senhas de todas as contas acessadas enquanto a rede estava comprometida. Ative autenticação de dois fatores onde possível.
- Monitore os dispositivos por algumas semanas. Se os sinais voltarem, considere trocar o roteador por um modelo que receba atualizações regulares do fabricante.
Para empresas, o incidente precisa ser documentado. A LGPD exige comunicação à ANPD em casos de vazamento de dados pessoais que possam gerar risco ou dano relevante aos titulares.
Perguntas frequentes
Qual a diferença entre WPA2 e WPA3?
O WPA2 usa criptografia AES-CCMP com handshake de 4 vias e chave pré-compartilhada (PSK). O WPA3 substitui o PSK pelo handshake SAE, que oferece sigilo de encaminhamento perfeito e resiste a ataques de dicionário offline. Na prática, o WPA3 impede que alguém capture tráfego e tente quebrar a senha posteriormente. Ambos exigem firmware atualizado para estarem efetivamente seguros.
VPN é realmente necessária em Wi-Fi público?
Sim. Mesmo redes com senha podem ter tráfego interceptado por outros usuários conectados ao mesmo access point. A VPN criptografa tudo entre o seu dispositivo e o servidor, tornando os dados ilegíveis para qualquer intermediário na rede local. Em redes abertas (sem senha e sem OWE), é a única camada de proteção efetiva contra sniffing passivo.
Meu roteador é antigo. Preciso trocar?
Se ele não recebe atualizações de firmware há mais de dois anos ou não suporta pelo menos WPA2 com AES, a recomendação é trocar. Roteadores sem patches carregam vulnerabilidades conhecidas (como o KRACK) que qualquer atacante pode explorar com ferramentas prontas e gratuitas.
O que é OWE e por que importa para Wi-Fi público?
OWE (Opportunistic Wireless Encryption) criptografa o tráfego em redes abertas sem exigir senha do usuário, usando troca de chaves Diffie-Hellman. Não autentica o ponto de acesso (Evil Twin ainda funciona), mas elimina o sniffing passivo, que é o ataque mais simples e comum em redes públicas. É uma camada silenciosa de proteção que deveria estar em todo Wi-Fi de hotel, café e aeroporto.
Ofereço Wi-Fi gratuito no meu negócio. Preciso me preocupar com LGPD?
Sim. Qualquer coleta de dados pessoais via captive portal (nome, e-mail, CPF, MAC address) configura tratamento de dados sob a LGPD. Você precisa de consentimento específico, base legal documentada, medidas técnicas de segurança e política de retenção com prazo definido. Um hotspot social com captive portal bem configurado resolve essa equação e ainda transforma a conexão em captura de lead.
Wi-Fi 7 resolve os problemas de segurança?
Parcialmente. O Wi-Fi 7 (802.11be) exige WPA3 e Protected Management Frames (PMF) na faixa de 6 GHz, fechando portas a ataques de desautenticação. A Dell’Oro Group projeta adoção acima de 90% no mercado corporativo até 2029. Mas hardware novo sem configuração adequada, firmware atualizado e segmentação de rede continua vulnerável. O padrão ajuda. A gestão decide.
