O WiFi público é seguro sem VPN?
Resposta curta
Em grande parte sim, mas não totalmente. O HTTPS moderno cifra o tráfego web ponta a ponta, por isso aquilo onde se autentica fica privado mesmo em WiFi de hotel ou café. O que continua exposto: os domínios que visita, as consultas DNS, tráfego de apps sem TLS, e tudo o que um access point malicioso a fingir-se da rede esperada possa intercetar.
O modelo de ameaça mudou nos anos 2010. Antes do HTTPS, o WiFi público era genuinamente perigoso; hoje é em geral aceitável para navegar, com um conjunto de casos limite que ainda contam — captive portals, evil-twin, e tudo o que circule fora do TLS.
O que outros na rede veem
Domínios: ao visitar `nytimes.com`, o campo SNI no handshake TLS revela o domínio mesmo que o caminho e conteúdo fiquem cifrados. Quem ouvir passivamente vê a lista de sites visitados.
Consultas DNS: tipicamente ainda em claro a menos que tenha ativado DNS-over-HTTPS ou DNS-over-TLS. Toda a lista de cada site consultado é visível.
Os access points evil-twin são a verdadeira ameaça residual
Um atacante monta um SSID `Hilton-Guest` ao lado da rede real do hotel. O seu dispositivo liga-se ao sinal mais forte. A máquina do atacante vê todo o seu DNS, pode servir páginas captive-portal falsas a pedir credenciais, e MITM tudo o que não faça pinning estrito de certificados.
Uma VPN fecha isto: mesmo numa rede hostil, o atacante só vê tráfego cifrado para o IP do seu fornecedor VPN.
Quando uma VPN ajuda mesmo
Três benefícios concretos em WiFi público: esconde DNS à rede, esconde o stream SNI dos domínios, e torna inúteis os ataques evil-twin porque tunela para fora da rede local antes de tudo. Recomendação: trate WiFi público como não fiável, use VPN se for autenticar-se, senão o HTTPS faz o grosso do trabalho hoje.
Última verificação: 2026-05-05
Perguntas relacionadas