Você conecta no Wi-Fi do aeroporto, do shopping, da cafeteria. Todo mundo faz. E todo mundo subestima o que acontece nos bastidores dessa conexão.
O vazamento de dados em Wi-Fi público não é cenário hipotético. O Brasil lidera o ranking mundial de dados vazados na internet, com 7 bilhões de registros de usuários brasileiros circulando na dark web, crescimento de 250% em um único ano. Parte significativa desse volume começa na rede “grátis” que você usa sem pensar duas vezes.
Este guia mostra como esses vazamentos acontecem na prática, o que protege de verdade (e o que é teatro de segurança), e um ponto que quase ninguém aborda: a responsabilidade legal de quem oferece o Wi-Fi ao público.
Veja mais vídeos como esse em nosso canal do YouTube! Aproveite e se inscreva!
Como o vazamento acontece na prática
A rede Wi-Fi pública funciona por radiofrequência. Quando ela não tem criptografia (ou usa criptografia fraca), qualquer dispositivo nas proximidades pode interceptar o que trafega entre o seu celular e o roteador. Em termos simples: seus dados passam “abertos” pelo ar. Na prática, quatro tipos de ataque respondem pela maioria dos vazamentos em redes públicas.
Man-in-the-Middle (MITM)
O atacante se posiciona entre você e o ponto de acesso. Tudo o que você envia (senhas, mensagens, dados de cartão) passa primeiro por ele. Em redes abertas, qualquer dispositivo pode usar modo promíscuo para capturar tráfego não criptografado. Sem VPN e sem HTTPS, seus dados trafegam em texto puro, legíveis para qualquer pessoa na mesma rede.
Evil Twin (rede falsa)
O criminoso cria um ponto de acesso com nome idêntico ao da rede legítima. “Shopping_WiFi_Free” ao lado de “Shopping_WiFi_Free”, mesmo nome, roteador diferente. Seu celular, com auto-connect habilitado, se associa automaticamente à rede falsa. Especialistas em cibersegurança classificam ataques evil twin como ameaça crescente em aeroportos e cafés.
Packet sniffing
Softwares como Wireshark em modo monitor capturam pacotes que trafegam sem criptografia (HTTP, POP3, FTP sem TLS). Basta o atacante estar na mesma rede. Não precisa de acesso físico ao roteador, não precisa de senha administrativa. São especialmente perigosos em portas 80 e protocolos legados.
Sequestro de sessão (sidejacking)
O invasor rouba cookies de sessão HTTP. Mesmo que você já esteja logado no seu e-mail ou rede social, ele copia o cookie e assume sua conta. Não precisa da sua senha: o cookie faz o papel dela. E aqui está o detalhe que torna isso mais grave: trocar a senha depois não invalida necessariamente o cookie roubado.
Os quatro ataques exploram o mesmo ponto fraco: redes sem proteção adequada. E a questão que fica é: se isso acontece no nível individual, qual é a escala real do problema no Brasil?
O Brasil no topo do ranking mundial de vazamentos
Não é força de expressão. O Brasil ocupa o primeiro lugar no mundo em volume de dados vazados, segundo levantamento da NordVPN que analisou 94 bilhões de cookies expostos em 235 países. Dos 7 bilhões de registros brasileiros identificados, 550 milhões ainda estavam em uso ativo por hackers no momento da descoberta.
Em 2023, o número era 2 bilhões. Em 2025, 7 bilhões. A escalada é alimentada por malwares do tipo infostealer (RedLine responde por 57% dos crimes virtuais recentes no país, seguido pelo Vidar). Esses programas rodam em segundo plano em máquinas comprometidas e capturam cookies de sessão em tempo real, exatamente como acontece no sidejacking via Wi-Fi.
Para empresas, o problema tem preço. O relatório da IBM calcula que o custo médio de uma violação de dados no Brasil atingiu R$ 7,19 milhões em 2025, alta em relação aos R$ 6,75 milhões do ano anterior.
E em junho de 2025, pesquisadores da Cybernews descobriram algo que redimensiona tudo: 16 bilhões de credenciais expostas em 30 bancos de dados consolidados, incluindo logins de Apple, Google, Facebook, GitHub, Telegram e serviços governamentais. A Forbes classificou como o maior vazamento da história.
Números desse tamanho parecem distantes até você ver como se materializam em golpes concretos.
Casos reais: credenciais roubadas, bilhões desviados
Em julho de 2025, a C&M Software (prestadora de tecnologia que conecta bancos ao sistema PIX) sofreu o maior ataque cibernético contra instituições financeiras já registrado no país. O vetor não foi uma falha de software. Foi uma credencial humana. Um funcionário vendeu logins de acesso por R$ 15 mil em um bar de São Paulo. Com esses logins, criminosos acessaram contas de liquidez do PIX e desviaram cerca de R$ 1 bilhão. Apenas 2% do total foi recuperado.
Dois meses depois, a Sinqia (outra prestadora do ecossistema PIX) sofreu ataque pelo mesmo método: credenciais de fornecedores de TI comprometidas resultaram em R$ 710 milhões desviados. O Banco Central suspendeu a conexão da empresa e conseguiu bloquear 83% do valor.
A lógica dos dois casos é a mesma que torna o Wi-Fi público perigoso: o atacante não invade um firewall blindado. Ele captura uma credencial (em uma rede aberta, via phishing, em uma conversa de bar) e a usa para acessar tudo que aquela credencial alcança.
Existe ainda um risco que poucos conhecem e que afeta milhões de famílias brasileiras: o jurídico. O criminalista Rafael Paiva relatou que a polícia executou busca e apreensão na casa de um cliente cujo único problema foi ter emprestado a senha do Wi-Fi ao vizinho. O vizinho cometeu um crime online e fugiu. O IP rastreado era o do titular da conexão. Resultado: o inocente virou alvo.
A proteção, então, não é opcional. Mas o que funciona de verdade, além do conselho genérico de “tomar cuidado”?
O que realmente protege você em Wi-Fi público
A maioria dos guias sobre segurança em Wi-Fi repete as mesmas dicas vagas. Vou separar o que funciona do que apenas parece funcionar.
Medidas que fazem diferença real
A primeira e mais eficaz é usar uma VPN paga e auditada. Ela cria um túnel criptografado entre seu dispositivo e um servidor remoto. Para qualquer atacante na rede local, todo o seu tráfego vira ruído ilegível. Cerca de 60 milhões de brasileiros já usam algum serviço de VPN, mas a escolha do provedor importa. VPNs gratuitas de origem duvidosa frequentemente vendem dados de navegação ou injetam adware, o que anula o propósito por completo.
A segunda é verificar HTTPS em todo site que você acessar. O cadeado no navegador indica que a comunicação entre você e o servidor é criptografada ponta a ponta. Mesmo em rede comprometida, o conteúdo do pacote fica indecifrável para o sniffer. Se um site de login não mostrar o cadeado, não digite nada.
A terceira (e mais simples): use dados móveis para qualquer transação sensível. A conexão 3G/4G/5G é criptografada da origem até a torre da operadora, o que a torna mais confiável que qualquer Wi-Fi público de shopping ou aeroporto. Para PIX, banco, e-mail corporativo: priorize sempre o sinal da operadora.
Além dessas três, duas medidas operacionais fazem mais diferença do que parecem: desligar o auto-connect nas configurações de Wi-Fi (impede que seu celular se conecte sozinho a redes falsas) e confirmar o nome exato da rede com um funcionário do local antes de se conectar.
O que parece funcionar, mas não resolve
O modo anônimo do navegador não grava histórico local, mas o tráfego continua trafegando pela rede normalmente. Para quem está no mesmo Wi-Fi capturando pacotes, faz zero diferença.
Antivírus no celular ajuda contra malwares baixados, porém não impede a interceptação de dados na rede.
E a frase “só navego em sites de confiança” ignora o problema central: em um ataque MITM, não importa quão confiável o site é. Os dados são interceptados entre você e o roteador, antes de chegarem a qualquer servidor.
Até aqui, a conversa foi sobre quem usa o Wi-Fi público. Mas existe um segundo personagem nessa história, com responsabilidades concretas e consequências legais: o estabelecimento que oferece a rede.
Quem oferece Wi-Fi público também responde pelo dado vazado
A LGPD não faz distinção entre dado coletado em formulário de e-commerce e dado capturado via login em Wi-Fi de restaurante. Se o seu estabelecimento oferece internet aos clientes e coleta qualquer informação (nome, e-mail, CPF, celular), você é o controlador desses dados perante a lei. E responde por eles. As regulamentações para Wi-Fi público no Brasil estão cada vez mais rigorosas, exigindo adequação técnica e jurídica dos estabelecimentos.
O Marco Civil da Internet acrescenta outra camada: exige que quem oferece conexão ao público armazene registros de conexão por pelo menos um ano. Se um crime for cometido a partir da sua rede e você não conseguir identificar o autor, a responsabilidade recai sobre o titular.
É exatamente o cenário do caso do advogado Rafael Paiva, só que aplicado ao seu negócio. Rede aberta, sem autenticação, sem registro de quem conectou: risco legal concreto.
Aqui entra o ponto que praticamente nenhum artigo sobre segurança em Wi-Fi público aborda: a diferença entre Wi-Fi aberto (sem gestão) e Wi-Fi com captive portal (com autenticação e registro). São cenários opostos em risco.
Um hotspot com captive portal resolve três problemas simultâneos. Autentica cada usuário no momento da conexão (atendendo o Marco Civil). Registra o consentimento explícito de coleta de dados (atendendo a LGPD). E segmenta a rede, isolando o tráfego de visitantes do tráfego interno do negócio. O Wi-Fi deixa de ser porta de vulnerabilidade e passa a funcionar como canal de captura de clientes com base legal.
Se o seu negócio ainda oferece Wi-Fi sem controle de acesso, vale entender como um hotspot social transforma esse risco em canal de relacionamento.
Independente de qual lado você está (o que usa ou o que oferece o Wi-Fi), uma dúvida permanece: e se o estrago já aconteceu?
Seus dados podem já ter vazado: o que fazer agora
Se você usou Wi-Fi público sem VPN e suspeita que algo aconteceu (login estranho, transação desconhecida, alerta de segurança), a checklist recomendada por especialistas em cibersegurança é direta:
- Desconecte da rede imediatamente.
- Execute varredura completa de antivírus/antimalware no dispositivo.
- Troque as senhas dos serviços acessados. Faça isso do celular usando dados móveis, não da mesma rede.
- Ative autenticação em dois fatores (2FA) onde ainda não estiver habilitada.
- Monitore suas contas bancárias nos 30 dias seguintes.
- Se houver transação desconhecida ou login suspeito, registre B.O. e notifique o banco.
Um detalhe que poucas pessoas sabem: trocar a senha sozinha não basta se o atacante capturou um cookie de sessão. Com o cookie, ele acessa sua conta sem precisar de credenciais. Por isso o 2FA é a camada que mais faz diferença: mesmo com cookie roubado, o invasor esbarra no segundo fator (SMS, token push, app autenticador).
A migração para passkeys (FIDO2/WebAuthn), já suportada nativamente por Apple, Google e Microsoft, tende a reduzir o valor de credenciais roubadas nos próximos anos. Mas até que a adoção seja universal, o combo VPN + HTTPS + 2FA continua sendo o piso mínimo de proteção para qualquer pessoa que se conecte a uma rede que não controla.
Perguntas frequentes
É seguro fazer PIX ou acessar banco em Wi-Fi público?
Não é recomendado. A conexão móvel (4G/5G) é criptografada desde o dispositivo até a torre da operadora, oferecendo proteção que o Wi-Fi público não garante. Se não houver sinal móvel disponível, conecte-se via VPN paga antes de abrir qualquer aplicativo financeiro e verifique o cadeado HTTPS.
VPN gratuita protege contra os mesmos riscos que uma VPN paga?
Toda VPN cifra o túnel, mas a maioria das gratuitas de origem desconhecida vende dados de navegação ou injeta adware, anulando a proteção. Opções gratuitas confiáveis são raras (ProtonVPN é a mais citada por especialistas). Para contextos sensíveis como acesso bancário ou corporativo, VPN paga de provedor auditado é o consenso.
Como identificar se a rede Wi-Fi do local é verdadeira?
Confirme o nome exato do SSID com um funcionário ou busque uma placa indicativa no estabelecimento. Sinais de alerta: redes duplicadas com nomes quase idênticos, captive portal pedindo CPF ou dados bancários para “ativar” a conexão, e velocidade muito abaixo do esperado. Desabilitar auto-connect no celular impede associação involuntária a redes falsas.
O dono de um estabelecimento pode ser responsabilizado por vazamento no Wi-Fi que oferece?
Sim. A LGPD trata qualquer dado pessoal coletado via Wi-Fi como responsabilidade do controlador. O Marco Civil da Internet exige armazenamento de registros de conexão por um ano. Sem autenticação de usuários na rede, o estabelecimento não consegue identificar o autor de eventual uso indevido, e a responsabilidade recai sobre o titular da conexão.
O modo anônimo do navegador protege em Wi-Fi público?
Não. O modo anônimo impede que o navegador armazene histórico e cookies no seu dispositivo, mas o tráfego continua passando normalmente pela rede. Para qualquer atacante capturando pacotes no mesmo Wi-Fi, faz zero diferença. Proteção real exige VPN e HTTPS, não modo anônimo.
O 5G vai eliminar o risco do Wi-Fi público?
Tende a reduzir a dependência, mas não elimina o cenário. A conexão 5G é criptografada e recursos como network slicing isolam tráfego sensível. Porém, em locais de alta densidade (estádios, centros de convenção), o Wi-Fi segue sendo a única opção prática. A recomendação: priorize dados móveis sempre que possível e reserve o Wi-Fi público para atividades não sensíveis.
