Captive Portal: O que é, como funciona e seus riscos no Wi-Fi público

Simulador de Phishing via Captive Portal

Simulador de Ataques Phishing via Captive Portal

Café Wi-Fi Oficial
🔒 Portal seguro, dados criptografados
VS
Café Wi-Fi Grátis!
⚠ Portal falso, pode capturar seus dados!
Painel do atacante — Dados capturados via portal falso:
Cuidado! Você preencheu um portal falso. Suas informações poderiam ter sido roubadas por um golpista.
💡 Como se proteger de Captive Portals falsos:
  • Desconfie de portais “simples demais” ou que não pedem termos/aceite.
  • Nunca use logins ou senhas corporativas/pessoais em Wi-Fi público.
  • Confira o nome da rede e do portal com o responsável (atendente, professor, etc).
  • Ative autenticação em duas etapas para seus acessos importantes.
  • Prefira navegar em sites HTTPS mesmo no Wi-Fi público.
  • Evite Wi-Fi público para operações sensíveis: transações bancárias, dados de trabalho, etc.
  • Prefira usar conexão via 4G/5G para assuntos críticos.

O que é um Captive Portal?

O Captive Portal é uma técnica muito usada em redes Wi-Fi públicas e corporativas para controlar o acesso dos usuários à internet. Trata-se de uma página web que aparece automaticamente após a conexão à rede Wi-Fi, antes que a navegação seja realmente liberada. Só depois de interagir com essa página o usuário pode navegar normalmente.

Essa ferramenta é comum em aeroportos, shoppings, hotéis, cafeterias, universidades e ambientes corporativos, servindo para autenticar usuários, exibir termos de uso, coletar dados ou até mesmo exibir publicidade.

Como funciona tecnicamente o Captive Portal?

Quando um dispositivo se conecta ao Wi-Fi, ele ainda não tem acesso total à internet. Todo o seu tráfego (especialmente o HTTP/S) é interceptado pelo roteador ou por um equipamento dedicado. Assim, ao tentar acessar qualquer página, o usuário é automaticamente redirecionado para o Captive Portal, ou seja, uma página “cativa”.

Ali, a rede pode:

  • Solicitar o aceite de termos de uso e políticas de privacidade
  • Solicitar cadastro, login ou senhas de acesso
  • Exigir o preenchimento de formulários de cadastro ou voucher
  • Exibir anúncios e ofertas específicas do estabelecimento

Só depois do usuário cumprir o requisito imposto (aceitar termo, preencher dados, fornecer voucher etc.), seu acesso ao restante da internet é liberado.

Exemplos de uso do Captive Portal

  • Aeroportos: solicitam o número do passaporte, e-mail ou código de passagem para liberar acesso por tempo limitado.
  • Cafeterias e restaurantes: exigem aceitação dos termos de uso e permitem navegar pelo Wi-Fi por um período determinado; às vezes, é preciso comprar um produto e receber um voucher com senha.
  • Universidades e empresas: autenticação com login institucional, promovendo controle sobre quem realmente acessa a rede.
  • Hotéis: exigem o número do quarto e sobrenome do hóspede.

Quais são os benefícios do Captive Portal?

  • Controle de acesso: Só permite a navegação de pessoas autorizadas ou que forneçam dados mínimos.
  • Política de segurança e rastreabilidade: Auxilia a identificar quem acessou a rede e em que momento, útil em auditorias ou incidentes.
  • Marketing: Permite coletar dados (como telefone ou e-mail) e realizar ações de publicidade personalizada.
  • Limite de tempo ou banda: Estabelecimentos podem delimitar quanto tempo ou quanta banda cada usuário pode consumir.

Quais os riscos para o usuário?

Apesar de serem úteis para os donos da rede, os Captive Portals trazem alguns riscos e pontos de atenção:

  • Privacidade: Informações coletadas podem ser usadas para marketing ou até vendidas para terceiros.
  • Falsos captive portals (phishing): Atacantes podem configurar redes falsas com página idêntica ao portal de um local, enganando pessoas e capturando dados de acesso, e-mails e até senhas.
  • Sensação de segurança enganosa: Muitos usuários acham que, após aceitar o portal, a navegação está protegida, quando na verdade muitos desses ambientes são abertos e não criptografados.
  • Risco de interceptação: Mesmo após autenticado, em redes abertas o tráfego pode ser interceptado por outros usuários conectados.

Como se proteger ao usar redes com Captive Portal?

Evite inserir senhas de serviços importantes

Só forneça o mínimo de dados necessários e nunca use a mesma senha do Wi-Fi para outros serviços.Prefira conexões HTTPS sempre

Só acesse bancos e dados sensíveis se o site mostrar o cadeado de segurança no navegador.Use VPN sempre que possível

VPN protege seu tráfego, mesmo após passar pelo captive portal.Não reutilize e-mails ou senhas importantes

Se precisar informar e-mail, use um endereço alternativo, nunca o corporativo ou bancário.Desconecte-se após o uso e esqueça a rede

Isso evita que o dispositivo reconecte automaticamente em falsas redes do mesmo nome.

Curiosidade

Empresas sérias usam captive portal como camada extra de segurança, mas cibercriminosos já aproveitaram essa técnica para clonar portais legítimos em ataques conhecidos como Evil Twin, tornando o golpe ainda mais convincente.

Conclusão

O Captive Portal é parte do dia a dia de quem usa Wi-Fi fora de casa. Embora facilite o controle para estabelecimentos, o usuário deve estar atento aos riscos e adotar hábitos de navegação segura, principalmente em ambientes públicos ou concorridos. Usar VPN e desconfiar de pedidos de dados sensíveis continuam sendo boas práticas para proteger sua privacidade enquanto aproveita o Wi-Fi gratuito.

Rolar para cima