«Nunca metas o número do cartão no Wi-Fi do café.» A frase tem dez anos e continua a aparecer em todos os guias de viagem. Por trás dela está a imagem do hacker com o portátil na mesa ao lado a intercetar o teu tráfego bancário. Em 2011 era plausível. Em 2026 já é praticamente impossível. O verdadeiro adversário do Wi-Fi público de hoje é outro e, na maior parte dos casos, não anda a espreitar o teu dispositivo: está antes à espera que sejas tu a escrever alguma coisa no formulário errado.
Vale mesmo a pena separar mito e risco real. A maior parte dos avisos enfrenta um problema que o HTTPS e a segurança moderna das plataformas já resolveram há muito tempo. Outros riscos (captive portals, redes evil twin, worms que varrem os dispositivos à procura de portas abertas) continuam bem presentes, quer estejas numa porta de embarque quer em casa.
O que o HTTPS já trata por ti
Mais de 95 por cento do tráfego web circula hoje por HTTPS. Ou seja, entre o teu browser e o servidor existe um túnel cifrado que um terceiro ligado ao mesmo Wi-Fi não consegue ler. As tuas palavras-passe, os dados do cartão, as mensagens de chat e os emails são apenas uma cadeia binária ilegível para o hacker da mesa do lado.
Os browsers modernos acrescentam ainda outra camada por cima. O Chrome e o Firefox avisam-te nos campos de login sem cifra. O HSTS (Strict Transport Security) obriga os sites de confiança a abrirem apenas em HTTPS, para que um atacante não te consiga empurrar de volta para HTTP. O DNS-over-HTTPS cifra até o pedido que diz que site estás a abrir.
Com isto, o clássico «man in the middle no café» deixa de funcionar em praticamente qualquer site sério. O que tens mesmo de evitar é forçar a passagem nos avisos de certificado. Carregar em «Continuar mesmo assim» deita abaixo todas estas proteções de um só clique.
Os riscos reais no Wi-Fi público
Phishing via captive portal. Aeroportos, hotéis e estações mostram-te uma página de acesso onde aceitas as condições do Wi-Fi. Um atacante monta a mesma página e, já agora, pede-te o email ou até as credenciais de uma reserva de hotel. Não é um ataque técnico, é engenharia social, e resulta muito bem porque ninguém anda a confirmar o URL de um popup de Wi-Fi.
Ataques a portas abertas. Se o teu portátil ou o teu telemóvel têm serviços expostos (partilhas de ficheiros, impressoras, SSH), os outros dispositivos na mesma rede Wi-Fi conseguem vê-los. A maioria dos sistemas operativos coloca automaticamente o Wi-Fi público em «perfil público» e bloqueia tudo isto, mas desligar essa opção (ou esquecer-te de a repor) é praticamente convidar os vizinhos a fazer-te um scan.
DNS hijacking em routers baratos. Nem todos os routers de café estão bem configurados. Alguns reencaminham o DNS para serviços de filtragem de publicidade ou, pior, para servidores DNS adulterados. Sem DNS-over-HTTPS, o teu dispositivo pode acabar a resolver certos domínios para o IP errado.
Logins apanhados em sites HTTP. Hoje são casos-limite, mas há apps internas de empresa, interfaces web de routers e serviços IoT baratos que continuam a correr sem cifra. Se entrares num deles a partir de uma rede pública, ao menos tem noção do que estás a fazer.
Os evil twins, e quando funcionam mesmo
Um evil twin é um ponto de acesso Wi-Fi que se faz passar por um legítimo (muitas vezes com o mesmo nome ou um muito parecido, do género «Starbucks_Free») e emite um sinal mais forte para que o teu dispositivo se ligue sozinho. O atacante vê depois tudo o que o teu dispositivo envia, o que, enquanto o HTTPS aguentar, não dá grande coisa.
A variante perigosa aparece quando o evil twin vem acompanhado de um captive portal que te pede para instalar um certificado, ou que te encaminha para uma página de login clonada de um serviço conhecido. No momento em que instalas à mão um certificado fornecido por um atacante, o teu modelo de segurança TLS deita por terra. Recusa esse tipo de pedido sem exceções.
O segundo caso perigoso são as apps que não validam bem os certificados (sem pinning, com cadeias de confiança do sistema tratadas com demasiada folga). As apps grandes do dia a dia estão hoje em ordem, mas as apps antigas e o software feito à medida do mundo empresarial muitas vezes não estão.
Onde uma VPN ajuda e onde não
Uma VPN passa o controlo da tua ligação do router do café para outro fornecedor. Ajuda quando não confias na rede local ou quando queres contornar bloqueios geográficos. Não substitui o HTTPS nem trava o phishing via captive portal, porque a página de phishing está à frente do túnel VPN.
Uma sessão de browser isolada complementa isto quando vais abrir sites em que não confias, ou quando precisas de fazer login algures e tens receio de cair num captive portal armadilhado. O browser não corre no teu dispositivo: corre na cloud e a ti só te chega a imagem. Um certificado forjado numa rede evil twin vai bater contra o browser na cloud, e não contra ti. Para a comparação completa, dá uma vista de olhos a Virtual Browsers vs VPNs.
Regras práticas que contam
Em vez da costumeira lista de sustos, fica a versão curta que funciona mesmo em 2026.
- 1
Deixa o Wi-Fi público marcado como «público»
Sem partilhas de ficheiros, sem serviços à escuta. Quando o sistema operativo perguntar, respondes «público». - 2
Nunca forces a passagem num aviso de certificado
Se o browser disser que a ligação não é privada, dás meia-volta. Nenhuma rede pública vale um «Continuar mesmo assim» feito à pressa. - 3
Nunca instales um certificado de Wi-Fi
Cafés e aeroportos legítimos não te pedem isso. Se um portal insiste em instalar uma CA, do outro lado está um atacante. - 4
VPN para o dia a dia, browser isolado para os logins sensíveis
A VPN sobe-te o nível de base contra redes curiosas. Para os logins sensíveis, juntas-lhe um browser isolado que desaparece assim que fechas o separador.
Pronto para teres um desktop completo em qualquer dispositivo?
Experimenta o Browser.lol grátis e sente a produtividade de um PC a partir do telemóvel.
Abrir o meu navegador desktopSem instalações • Funciona em qualquer dispositivo
