Em novembro de 2025, um australiano de 42 anos foi condenado a mais de 7 anos de prisão por criar redes Wi-Fi falsas em voos e aeroportos. Com um dispositivo do tamanho de um carregador portátil, ele capturou credenciais de e-mail, fotos íntimas e dados pessoais de centenas de pessoas. As vítimas só queriam checar o WhatsApp antes do embarque.
Se você conecta no Wi-Fi do shopping, do café ou do aeroporto sem pensar duas vezes, saiba: a segurança no Wi-Fi público não depende de sorte. Depende de ações que a maioria das pessoas ignora. Este guia traz os 7 passos que funcionam, explica o que é teatro de segurança, mostra o que fazer se você já se expôs sem perceber e como você ter mais segurança no Wi-Fi público.
Veja mais vídeos como esse em nosso canal do YouTube!
O que acontece quando você conecta numa rede pública
No momento em que seu celular entra na rede de um café, três coisas mudam.
Primeiro: você compartilha o canal de comunicação com desconhecidos. Qualquer pessoa na mesma rede pode, com ferramentas gratuitas como Wireshark, interceptar pacotes de dados não criptografados. Isso se chama packet sniffing.
Segundo: você confia no roteador sem verificar quem o controla. Se alguém criar uma rede com o mesmo nome da legítima (o chamado “evil twin”), seu dispositivo pode conectar automaticamente na rede falsa. Tudo que você digitar passa pelo atacante. Foi exatamente assim que o australiano condenado operava: um dispositivo chamado WiFi Pineapple ouvia as “probe requests” dos celulares das vítimas e respondia com o mesmo nome da rede da companhia aérea.
Terceiro: você pode sofrer um ataque man-in-the-middle sem perceber. A Fortinet cataloga pelo menos cinco variações desse ataque, incluindo ARP spoofing, DNS spoofing e sequestro de sessão. O atacante se posiciona entre você e o servidor legítimo, vê o tráfego e pode alterá-lo em tempo real.
Em números: pesquisa da Panda Security (2025) mostra que 36% dos americanos suspeitam ter sofrido incidente em Wi-Fi público e quase 20% confirmam o comprometimento de dados. No Brasil, a CNN Brasil reporta que redes de shoppings e aeroportos carecem de monitoramento adequado, com CPF e e-mail sendo capturados em redes falsas. E a sofisticação cresce: a Cybercrime Magazine documentou em 2026 um aumento de 1.265% nas tentativas de phishing conduzidas por inteligência artificial, com atacantes usando IA para clonar SSIDs e gerar páginas de login indistinguíveis das originais.
Uma camada de defesa, porém, já funciona por padrão. Desde outubro de 2025, o Chrome tenta toda conexão via HTTPS automaticamente. Quando você acessa Gmail, Instagram ou o app do banco por HTTPS, o conteúdo viaja criptografado entre o navegador e o servidor de destino (não entre o aparelho e o roteador). Mesmo em rede aberta, o atacante vê que você acessou gmail.com, mas não lê o e-mail.
O problema? HTTPS protege o conteúdo da navegação. Não protege contra a rede falsa que captura suas credenciais antes de você chegar ao site legítimo, nem contra captive portals que coletam CPF na hora do login, nem contra DNS poisoning que redireciona você para uma página clonada. Para cobrir esses buracos, 7 ações práticas resolvem.

7 formas práticas de proteger seus dados no Wi-Fi público
Use VPN paga. Uma VPN criptografa todo o tráfego entre seu dispositivo e o servidor VPN, tornando o conteúdo invisível para o roteador (legítimo ou falso). A Kaspersky lista VPN como a primeira recomendação para Wi-Fi público. Opções confiáveis: NordVPN, ExpressVPN, Surfshark e Proton VPN (que tem plano gratuito limitado, mas funcional).
Confirme o nome da rede com o funcionário. Antes de conectar, pergunte qual é o SSID exato. Se houver duas redes com nomes parecidos (“Cafe_WiFi” e “Cafe_WiFi_Free”, por exemplo), uma delas pode ser um evil twin. Parece básico. O australiano condenado a 7 anos provou que funciona.
Desative a conexão automática. Seu celular memoriza redes já usadas e reconecta sozinho quando encontra o mesmo nome. O atacante explora exatamente isso. O CERT.br recomenda desativar a conexão automática e apagar redes visitadas das configurações do dispositivo.
Ative autenticação em dois fatores (2FA) em tudo. Mesmo que alguém capture sua senha num ataque MITM, o segundo fator (código no app, chave física, biometria) impede o acesso à conta. Prefira apps de autenticação (Google Authenticator, Authy) a SMS, que pode ser interceptado via SIM swap.
Force o modo HTTPS-only no navegador. No Chrome: Configurações > Privacidade e Segurança > “Usar sempre conexões seguras”. No Firefox: Configurações > Privacidade e Segurança > Modo somente HTTPS. Isso garante que sites sem HTTPS exibam um aviso antes de carregar qualquer conteúdo.
Esqueça a rede depois de usar. Vá em Configurações > Wi-Fi, encontre a rede utilizada e toque em “Esquecer”. Isso impede reconexão automática na próxima visita, ou na próxima rede falsa com o mesmo nome.
Use dados móveis para operações sensíveis. Precisa acessar o banco, fazer Pix ou entrar em sistema corporativo? Use 4G/5G. O custo de alguns megabytes é infinitamente menor que o custo de uma credencial bancária roubada. Se a cobertura for ruim, use tethering do próprio celular como hotspot pessoal.
A VPN aparece como primeiro passo, mas existe uma armadilha que leva milhões de pessoas a trocarem uma vulnerabilidade por outra: a VPN gratuita. Enquanto a VPN protege o tráfego, a chave de segurança da rede Wi-Fi define quem pode se conectar inicialmente.
VPN gratuita protege? Os dados dizem que não
A promessa é tentadora: proteção completa sem pagar nada. A realidade é outra. A IAPP (International Association of Privacy Professionals) concluiu que praticamente todas as grandes VPNs gratuitas vendem dados do usuário ou violam políticas de privacidade. Uma investigação do TheNextWeb foi mais específica: 26 de 117 serviços populares registravam tráfego mesmo afirmando o contrário.
A lógica é simples. Manter servidores VPN em dezenas de países custa dinheiro. Se o serviço é gratuito, o produto é você. Seus dados de navegação financiam o negócio.
O que procurar numa VPN paga:
- Política de no-logs auditada por terceiros independentes, não apenas declarada no site
- Sede em jurisdição com leis de privacidade favoráveis (Suíça, Panamá, Ilhas Virgens Britânicas)
- Protocolo WireGuard ou OpenVPN (evite PPTP, que já foi quebrado)
- Kill switch: desconecta a internet automaticamente se a VPN cair, evitando exposição acidental
A exceção entre as gratuitas é o Proton VPN Free: baseado na Suíça, sem anúncios, sem limite de dados (com velocidade reduzida). Para quem não pode investir agora, é a única opção gratuita que resiste a escrutínio técnico.
Mas a VPN protege o tráfego depois que você já está conectado. Para muitos brasileiros, o risco começa antes: no momento em que o captive portal pede seus dados pessoais.
O risco que começa no captive portal
Você já passou por isso. Conecta no Wi-Fi do shopping e, antes de navegar, uma tela pede nome completo, CPF, e-mail, telefone e data de nascimento. Em troca, recebe acesso à internet.
Usuários brasileiros já denunciam em fóruns que captive portals de redes Wi-Fi pedem dados sensíveis sem justificativa proporcional. O problema vai além do excesso: muitos desses portais operam sem HTTPS, o que significa que os dados digitados viajam sem criptografia até o servidor do operador.
Pela LGPD, o estabelecimento que coleta dados via Wi-Fi é o controlador e precisa cumprir obrigações claras: informar a finalidade da coleta, obter consentimento específico, garantir segurança técnica adequada (Art. 46) e permitir que o titular peça exclusão dos dados. Captive portals que pedem CPF “para liberar o Wi-Fi” sem política de privacidade acessível estão em desconformidade com a lei.
Do lado do usuário, três regras práticas ajudam:
- Use um e-mail secundário (ou descartável) para logins em Wi-Fi público
- Nunca forneça CPF em captive portal, a menos que exista justificativa legal explícita e documentada
- Verifique se o portal usa HTTPS (cadeado no navegador) antes de digitar qualquer dado
Do lado de quem oferece Wi-Fi, a questão é diferente. Captar dados do visitante pelo Wi-Fi é estratégia legítima de marketing e pode ser eficaz. Mas só funciona de forma legal e sustentável quando o captive portal segue a LGPD, usa HTTPS, coleta apenas o necessário e oferece opt-in transparente. É exatamente o que um hotspot social com captive portal configurado para Wi-Fi marketing resolve: captura de lead no momento da conexão, com consentimento claro, sem exposição de dados sensíveis desnecessários.
Saiba mais sobre segmentação de público em Wi-Fi para maximizar resultados de forma ética.
Até aqui, falamos de prevenção. Mas e se você já conectou numa rede que parecia estranha?
Conectou em rede suspeita? Faça isso agora
Se você percebeu algo errado (página de login estranha, redirecionamentos inesperados, notificações de login em contas que você não acessou), aja rápido:
- Desconecte imediatamente da rede Wi-Fi
- Ative o modo avião por 30 segundos para cortar qualquer comunicação residual
- Vá em Configurações > Wi-Fi e toque em “Esquecer rede” para a rede suspeita
- Troque as senhas de todas as contas que usou enquanto estava conectado (e-mail, banco, redes sociais), de preferência usando dados móveis ou Wi-Fi doméstico
- Verifique se há dispositivos desconhecidos logados nas suas contas (Gmail: Segurança > Seus dispositivos; Instagram: Configurações > Atividade de login)
- Rode um antivírus atualizado no dispositivo
- Acompanhe extratos bancários por pelo menos 30 dias e comunique ao banco qualquer movimentação suspeita pelo canal oficial
Para empresas cujos colaboradores viajam com frequência, a recomendação é formalizar uma política: hotspot pessoal 4G/5G como primeira opção, VPN corporativa obrigatória, 2FA via chave física (YubiKey ou similar) e proibição de acessar sistemas internos em Wi-Fi público sem túnel criptografado.
E se o seu estabelecimento oferece Wi-Fi para clientes, a responsabilidade pela segurança dos dados coletados é sua. Um captive portal com HTTPS, coleta mínima e consentimento conforme a LGPD protege o negócio e o visitante ao mesmo tempo. Fale com nosso time se quiser entender como isso funciona na prática do seu setor.

Perguntas frequentes
Wi-Fi público é perigoso? Devo evitar completamente?
Não precisa evitar, mas precisa se proteger. O risco principal está na ausência de criptografia e na possibilidade de redes falsas. Com VPN paga, HTTPS-only e 2FA ativados, o risco cai drasticamente. Para operações bancárias e Pix, prefira dados móveis.
HTTPS sozinho já protege no Wi-Fi público?
Protege o conteúdo da navegação (o que você digita e recebe nos sites), mas não protege contra redes evil twin, captive portals falsos ou DNS poisoning. HTTPS é uma camada necessária, não suficiente. Combine com VPN e 2FA para cobertura real.
Como sei se a rede é falsa (evil twin)?
Confirme o nome exato da rede (SSID) com um funcionário do local. Desconfie se houver duas redes com nomes parecidos ou se o captive portal pedir credenciais de redes sociais e e-mail sem justificativa clara. Ferramentas como NetSpot ajudam a identificar access points duplicados na mesma área.
Qual a melhor VPN para Wi-Fi público?
NordVPN, ExpressVPN, Surfshark e Proton VPN são opções com auditorias de no-logs publicadas. Evite VPNs gratuitas, pois a maioria monetiza dados de navegação. A exceção confiável é o Proton VPN Free: baseado na Suíça, sem anúncios e sem venda de dados.
O estabelecimento que oferece Wi-Fi é responsável pela segurança dos dados?
Sim. Pela LGPD, o controlador (estabelecimento) deve adotar medidas técnicas e administrativas para proteger dados pessoais coletados via captive portal (Art. 46). Isso inclui usar HTTPS no portal, coletar apenas dados necessários, obter consentimento explícito e manter política de privacidade acessível.
O que é um captive portal e por que ele pede meus dados?
É a tela de login que aparece quando você conecta no Wi-Fi de um shopping, café ou hotel. Ele pede dados para liberar o acesso e, em muitos casos, para captura de leads com fins de marketing. O problema acontece quando a coleta é excessiva (CPF, data de nascimento sem justificativa) ou quando o portal não usa HTTPS para proteger as informações digitadas.
