Um router com WPS deveria ser o atalho definitivo para se ligar ao seu Wi-Fi, eliminando o incómodo de digitar palavras-passe longas e complicadas. Esta funcionalidade, o Wi-Fi Protected Setup, focava-se na conveniência — permitindo-lhe juntar-se a uma rede com o simples premir de um botão ou um PIN de 8 dígitos. Mas, embora tenha sido amplamente adotada por ser tão fácil de utilizar, essa simplicidade trouxe consigo uma grave falha de segurança que ainda hoje é uma grande preocupação.
O que é o WPS e por que foi criado?
Recue até meados dos anos 2000. O Wi-Fi doméstico estava a tornar-se rapidamente essencial em qualquer casa, mas ligar uma nova impressora ou consola de jogos era muitas vezes uma dor de cabeça. Tinha de virar o router, semicerrar os olhos para ler uma etiqueta minúscula e digitar meticulosamente uma longa sequência de caracteres aleatórios. Era uma experiência frustrante para a maioria das pessoas, e a indústria sabia que precisava de uma forma mais simples de colocar os dispositivos online.
Foi aqui que o Wi-Fi Protected Setup (WPS) entrou em cena. Introduzido pela Wi-Fi Alliance por volta de 2007, o seu objetivo era claro: criar uma forma infalível e quase instantânea de os dispositivos se ligarem a uma rede sem fios segura. Foi concebido para ser o equivalente digital de uma chave universal, funcionando com apenas uma ação. Este foco na pura facilidade de utilização fez de um router com WPS uma funcionalidade padrão em quase todas as casas.
O compromisso entre simplicidade e segurança
O sistema foi um sucesso imediato, chegando exatamente quando a era dos smartphones começou a explodir. Essa conveniência, no entanto, teve um custo oculto e elevado. Não demorou muito até que os investigadores de segurança descobrissem uma falha profunda no método do PIN.
O problema central é que um PIN de 8 dígitos não é verificado como um número completo. Em vez disso, é validado em duas metades separadas, reduzindo drasticamente o número de combinações que um atacante precisa de adivinhar para invadir a rede.
Este único erro de conceção transformou uma funcionalidade prática num enorme buraco de segurança. Desde a sua estreia, milhões de lares no Reino Unido ficaram expostos. Um relatório alertou que cerca de 1,2 milhões de lares no Reino Unido utilizavam routers vulneráveis com WPS ativado, suscetíveis a ataques que poderiam decifrar o PIN em apenas algumas horas. Embora a Wi-Fi Alliance tenha descontinuado oficialmente o método falho do PIN em 2011, a funcionalidade persiste em muitos dispositivos, representando um risco contínuo. Pode explorar mais dados sobre o mercado de routers Wi-Fi no Reino Unido para ver quão comum isto ainda é.
Os perigos de segurança ocultos de um router com WPS
Embora a conveniência de um router com WPS seja tentadora, a sua conceção contém uma falha de segurança fundamental que pode colocar toda a sua rede em risco. O verdadeiro perigo não é o método do botão, mas sim o PIN de 8 dígitos. Os atacantes não precisam de estar perto do seu router; podem explorar este PIN à distância utilizando software disponível gratuitamente.
Esta vulnerabilidade gritante resume-se a um erro crítico na forma como o PIN é verificado. Em vez de validar todos os oito dígitos de uma só vez, o router verifica o PIN em dois blocos separados e mais pequenos. Primeiro, confirma se os quatro dígitos iniciais estão corretos e só depois passa para os três seguintes (o oitavo dígito é apenas uma soma de verificação).
Este processo divide essencialmente um problema maior em dois problemas minúsculos e facilmente solucionáveis.
Como pode ver, o WPS foi criado para resolver o problema das "palavras-passe longas e complicadas", mas, ao fazê-lo, introduziu uma falha de segurança muito mais grave.
O ataque de força bruta facilitado
Esta falha de conceção reduz drasticamente o número de tentativas que um atacante precisa de fazer. Em vez de forçar todas as 100 milhões de combinações possíveis de PINs de 8 dígitos, apenas têm de adivinhar um número de 4 dígitos e, em seguida, um número de 3 dígitos.
Vamos analisar isto:
- Primeira metade: Existem apenas 10.000 combinações possíveis para os primeiros quatro dígitos (0000-9999).
- Segunda metade: Existem meras 1.000 combinações possíveis para os três dígitos seguintes (000-999).
De repente, uma tarefa aparentemente impossível torna-se trivial. Um atacante só tem de tentar um máximo de 11.000 combinações em vez de 100 milhões. Todo este processo pode ser automatizado com ferramentas como o Reaver, que testará todos os PINs possíveis até encontrar o correto — um processo que pode demorar apenas algumas horas.
Pense nisto como o cofre de um banco com uma fechadura de 8 dígitos. Se a fechadura emitisse um sinal sonoro útil sempre que adivinhasse corretamente os primeiros quatro dígitos, decifrar o código completo tornar-se-ia ridiculamente simples. É exatamente assim que a vulnerabilidade do PIN do WPS funciona.
A tabela abaixo contrasta de forma clara o esforço necessário para quebrar um PIN do WPS em comparação com uma palavra-passe WPA2 padrão e forte.
Ataque ao PIN do WPS vs. Ataque à palavra-passe WPA2 padrão
| Vetor de ataque | Alvo | Complexidade efetiva | Tempo típico de violação | Risco principal |
|---|---|---|---|---|
| Ataque ao PIN do WPS | PIN de 8 dígitos (validado em duas metades) | 4 dígitos, depois 3 dígitos (máx. de 11.000 tentativas) | Algumas horas | A falha de conceção permite ataques rápidos e automatizados. |
| Ataque WPA2 padrão | Palavra-passe alfanumérica com mais de 12 caracteres | Mais de 12 caracteres (biliões de combinações) | Meses, anos ou praticamente impossível | Requer imenso poder de computação e tempo. |
A diferença é impressionante. A conceção do PIN do WPS oferece aos atacantes um atalho incrível, tornando a força da sua verdadeira palavra-passe de Wi-Fi completamente irrelevante.
Assim que um atacante obtém o PIN do WPS, pode facilmente recuperar a sua palavra-passe WPA/WPA2, dando-lhe acesso total e irrestrito à sua rede. Isto faz com que qualquer router com WPS ativado seja uma grande vulnerabilidade. Um relatório da Which? de 2026 concluiu que 73% dos 50 principais routers do Reino Unido com WPS eram vulneráveis a ataques que poderiam ser bem-sucedidos em menos de 24 horas. O risco é igualmente real em ambientes profissionais; uma auditoria da NHS Digital revelou que o WPS estava ativo em 41% das redes de convidados dos hospitais, expondo dados sensíveis.
Consequências no mundo real para as empresas
Para qualquer empresa, uma rede comprometida é uma catástrofe. Pode levar a tudo, desde o roubo de dados e a implementação de malware até a danos de reputação devastadores. Um atacante pode estar na sua rede, a intercetar silenciosamente informações de clientes ou a lançar ataques contra os seus servidores internos.
Compreender o contexto mais amplo de proteger os routers da sua rede é crucial, mas lidar com o WPS é a prioridade imediata. Simplificando, desativar o WPS em todo o seu hardware é um primeiro passo inegociável para reforçar as suas defesas. A partir daí, pode explorar tópicos mais abrangentes sobre segurança de redes e sem fios para construir uma infraestrutura verdadeiramente resiliente.
Como encontrar e desativar o WPS na sua rede
Dadas as graves falhas de segurança incorporadas em qualquer router com WPS, desativar a funcionalidade não é apenas uma boa ideia — é um passo fundamental para proteger a sua rede. A boa notícia é que se trata de uma correção simples que dá às suas defesas um impulso imediato e significativo contra ataques comuns. O primeiro passo é descobrir se o seu router tem o WPS ativo.
Muitos routers facilitam isto com um botão físico. Dê uma vista de olhos na parte de trás ou na lateral do seu dispositivo. Está à procura de um botão com a etiqueta "WPS" ou um com o logótipo universal do WPS: duas setas curvas a apontar uma para a outra. Se vir esse botão, pode ter a certeza de que a funcionalidade está presente.
Aceder ao painel de administração do seu router
Mesmo sem um botão físico, o WPS pode ainda estar a ser executado silenciosamente em segundo plano através do software do router. Para o desativar de vez, terá de iniciar sessão na interface de administração do seu router, muitas vezes chamada de painel de administração ou dashboard.
Geralmente, o processo é o seguinte:
- Encontre o endereço IP do router: Este está quase sempre impresso num autocolante no próprio router. Endereços comuns são 192.168.1.1 ou 192.168.0.1.
- Introduza o IP num browser: Abra um browser num computador ligado à rede e digite esse endereço IP na barra de endereço.
- Inicie sessão: Ser-lhe-á pedido um nome de utilizador e uma palavra-passe. Se não os tiver alterado, as predefinições também estarão no autocolante do router.
Assim que iniciar sessão, terá acesso ao centro nevrálgico da sua rede. É aqui que pode configurar tudo, desde o nome da rede até aos seus protocolos de segurança mais importantes.
Desativar a funcionalidade WPS
Com o painel de administração aberto, a sua próxima tarefa é localizar as definições sem fios. O nome exato e a localização irão diferir dependendo do fabricante do seu router, quer seja um router doméstico padrão ou um dispositivo de nível empresarial de um fornecedor como a Meraki ou a Aruba.
Procure um item de menu com a etiqueta "Wireless", "Wi-Fi" ou "WLAN". Dentro dessa secção, procure uma opção chamada "WPS", "Wi-Fi Protected Setup" ou, por vezes, "Push 'n' Connect". Assim que a encontrar, deverá ver um simples interruptor, caixa de verificação ou botão para desativar o WPS.
Depois de desativar a funcionalidade, certifique-se de que clica em "Guardar" ou "Aplicar" para tornar a alteração permanente. É também uma boa prática reiniciar o seu router para garantir que a nova definição é totalmente aplicada. Desativar o WPS é uma parte vital de uma forte postura de segurança sem fios. Para reforçar verdadeiramente as suas defesas, também pode querer aprender como configurar o Wi-Fi para a sua empresa de forma adequada, utilizando normas modernas e seguras.
Por que as empresas modernas devem ir além do WPS
As falhas de segurança num router com WPS não são apenas preocupações técnicas e abstratas para os especialistas em TI. Elas criam desastres dispendiosos e no mundo real para as empresas. Em qualquer local onde ofereça Wi-Fi público ou para convidados — pense em lojas de retalho, hotéis ou até mesmo salas de espera corporativas — a chamada conveniência do WPS transformou-se numa enorme vulnerabilidade. Uma porta aberta na sua rede é um convite a problemas, e o WPS é praticamente uma porta das traseiras destrancada com um tapete de boas-vindas à frente.
Imagine um pequeno hotel independente que oferece Wi-Fi aos seus hóspedes. Se os seus routers ainda tiverem o WPS ativado, um atacante paciente pode simplesmente sentar-se nas proximidades e passar algumas horas a forçar o PIN. Assim que entrarem, estarão na mesma rede que os seus hóspedes. A partir daí, é um pequeno passo para intercetar dados não encriptados, redirecionar as pessoas para sites bancários falsos e roubar detalhes sensíveis, como números de cartões de crédito.
O alto custo de um erro simples
O risco é igualmente real num ambiente de retalho. Um atacante pode estar sentado no parque de estacionamento, a visar silenciosamente a rede da loja. Ao quebrar o PIN do WPS, podem obter uma posição na própria rede que gere os terminais de ponto de venda (POS), os sistemas de inventário e até mesmo as comunicações dos funcionários. Uma violação como essa não se resume apenas ao tempo de inatividade do sistema; pode rapidamente escalar para o roubo de dados de pagamento dos clientes, desencadeando um pesadelo de conformidade ao abrigo de regras como o GDPR e o PCI DSS.
O impacto na sua reputação devido a um incidente como este pode ser devastador e demorar anos a reparar, destruindo a confiança dos clientes que tanto se esforçou por construir.
Para qualquer empresa atual, os riscos operacionais, financeiros e de reputação associados a uma violação do WPS são simplesmente demasiado elevados. Manter esta funcionalidade desatualizada não é uma opção sensata quando existem alternativas modernas e muito mais seguras prontamente disponíveis.
Razões baseadas em dados para atualizar
A escala desta vulnerabilidade é genuinamente alarmante. Uma auditoria de cibersegurança do Reino Unido de 2023, realizada pelo National Cyber Security Centre (NCSC), revelou que uns impressionantes 68% dos routers de consumo com WPS ativo estavam totalmente abertos a ataques de força bruta ao PIN, colocando milhões de lares em risco. O problema é que estes são exatamente os mesmos dispositivos que muitas vezes acabam em ambientes de pequenas empresas, trazendo consigo todos os mesmos perigos.
Para os administradores de TI empresariais, especialmente em setores como o retalho, a mudança para soluções mais seguras como o OpenRoaming pode reduzir os riscos de violação em até 75%, eliminando totalmente as vulnerabilidades do PIN. E não se trata apenas de segurança. Um inquérito do Reino Unido de 2026 concluiu que os routers WPS antigos em hotspots de hospitalidade levaram a 22% mais queixas de hóspedes sobre inícios de sessão lentos ou complicados. Pode aprofundar este assunto lendo as conclusões completas sobre o mercado de routers Wi-Fi domésticos no Reino Unido da DeepMarketInsights .
Estes números contam uma história clara. Abandonar um router com WPS não é apenas um ajuste técnico; é uma decisão de negócio fundamental para proteger os seus clientes, os seus dados e a sua marca. Os potenciais danos de uma única violação superam largamente qualquer conveniência mínima que o WPS possa ter oferecido no passado.
Alternativas seguras para o acesso Wi-Fi empresarial
A verdade inevitável é que as lacunas de segurança num router com WPS tornam-no inviável para qualquer empresa atual. Felizmente, abandonar o WPS não significa sacrificar a conveniência em prol da segurança. A indústria lançou formas muito melhores e mais seguras de gerir o acesso à rede, que protegem os seus dados e melhoram efetivamente a experiência do utilizador.
Estes métodos de autenticação modernos foram concebidos para os desafios de segurança que enfrentamos atualmente, oferecendo o tipo de proteção robusta que o WPS nunca foi concebido para fornecer. Encaixam-se perfeitamente num modelo de segurança "zero-trust", onde o acesso é concedido a utilizadores ou dispositivos individuais, e não através de um segredo partilhado que é demasiado fácil de roubar.
Atualizar a sua rede com a segurança WPA3
A atualização mais imediata e essencial da antiga norma WPA2 é o WPA3. Pense nisto como a nova norma mínima para a segurança Wi-Fi moderna. Corrige diretamente muitas das fraquezas do seu antecessor, introduzindo uma encriptação mais forte e bloqueando os ataques de dicionário offline que tornavam as redes mais antigas tão vulneráveis.
Para as empresas, o WPA3-Enterprise vai um passo mais além, utilizando força criptográfica de 192 bits para um controlo ainda mais granular. Este é um enorme salto em frente, garantindo que, mesmo que um atacante consiga capturar o tráfego da sua rede, não conseguirá decifrá-lo. A adoção do WPA3 deve ser a base tanto para as suas redes corporativas como para as de convidados.
Abraçar um futuro sem palavras-passe
Quando se trata de Wi-Fi para convidados e público, o cenário ideal é um acesso que seja simultaneamente perfeito e totalmente seguro. É exatamente aqui que tecnologias como o Passpoint e o OpenRoaming entram em ação, criando uma experiência de "apenas ligar" que elimina os complicados Captive Portal e as palavras-passe partilhadas.
- Passpoint: Funciona de forma muito semelhante ao roaming móvel, mas para Wi-Fi. Assim que o dispositivo de um utilizador estiver configurado, pode ligar-se automática e seguramente a qualquer rede com Passpoint ativado, sem que este tenha de fazer nada.
- OpenRoaming: Esta tecnologia baseia-se no Passpoint para criar uma federação mundial de redes Wi-Fi. Alguém pode iniciar sessão apenas uma vez com um fornecedor de confiança (como a Purple) e, em seguida, obter acesso automático e seguro a milhares de redes em todo o mundo.
Estas tecnologias substituem o modelo vulnerável de uma palavra-passe para todos por um sistema baseado em credenciais individuais e seguras. Isto significa que todas as ligações são encriptadas desde o início, impedindo os atacantes de espiar os dados — um risco comum nas tradicionais redes abertas para convidados.
Gerir dispositivos com chaves baseadas na identidade
Em qualquer ambiente empresarial complexo, lida-se com centenas, se não milhares, de dispositivos ligados — desde sensores IoT e câmaras de segurança a impressoras. Gerir palavras-passe individuais para todos eles é um pesadelo administrativo, e utilizar uma palavra-passe partilhada é um enorme risco de segurança. Se um dispositivo for comprometido, toda a rede fica exposta.
Este é o problema que a Identity Pre-Shared Key (iPSK) foi concebida para resolver. Permite-lhe gerar uma chave única para cada dispositivo ou grupo de utilizadores, tudo isto enquanto se ligam ao mesmo nome de rede (SSID). Se um dispositivo for perdido, roubado ou precisar de ser colocado offline, um administrador pode simplesmente revogar a sua chave única sem perturbar mais ninguém.
Para compreender melhor a tecnologia de servidor que torna estes métodos avançados possíveis, pode saber mais sobre o que é um servidor RADIUS e ver como este se enquadra numa conceção de rede segura.
Muito bem, a teoria é uma coisa, mas colocá-la em prática é o que realmente importa para a segurança da rede. Vamos diretos ao assunto. Aqui está uma lista de verificação prática para os administradores de TI auditarem a sua configuração atual, eliminarem os riscos associados a qualquer router com WPS e atualizarem para algo muito mais seguro.
A sua primeira tarefa? Encontrar e eliminar o WPS em todos os dispositivos de rede que gere. Esta única ação é a vitória mais rápida que obterá, fechando uma enorme falha de segurança, notoriamente fácil de explorar, que ainda é surpreendentemente comum nas redes empresariais.
Rastreie todos os dispositivos: Comece por fazer um inventário completo de todos os routers e pontos de acesso. Terá de verificar fisicamente os dispositivos à procura de um botão WPS e, em seguida, mergulhar nos seus dashboards de administração para ver se a funcionalidade está ativada no software. Não assuma nada.
Desligue-o de vez: Para cada dispositivo que encontrar com o WPS ativo, inicie sessão no seu painel de administração. Encontre as definições sem fios e desative permanentemente o Wi-Fi Protected Setup. Certifique-se de que guarda as suas alterações e reinicia o hardware para ter a certeza de que a alteração é aplicada.
Ir além do WPS: as suas próximas atualizações de segurança
Com o WPS fora de cena, tapou a fuga mais imediata. Agora é altura de construir uma defesa mais resiliente. Isto significa afastar-se de uma rede única e plana e elevar os seus protocolos de segurança para as normas empresariais modernas.
Pense nisto da seguinte forma: uma boa segurança não é um único muro alto à volta do seu castelo. É uma série de defesas — um fosso, depois um muro, depois guardas. Se uma camada falhar, as outras continuam lá para proteger os seus dados críticos. Esta estratégia de múltiplas camadas é absolutamente essencial.
Aqui estão as atualizações cruciais nas quais se deve focar a seguir:
Divida a sua rede: Comece a segmentar o seu tráfego. Crie redes separadas (VLANs) para diferentes grupos — uma para o pessoal interno, outra para o acesso de convidados e uma completamente isolada para hardware sensível, como terminais PoS ou dispositivos IoT. Se ocorrer uma violação, esta fica contida num pequeno segmento em vez de se espalhar por toda a sua empresa.
Dê o salto para o WPA3-Enterprise: Sempre que possível, atualize as suas redes Wi-Fi para a norma WPA3-Enterprise. A sua encriptação está anos-luz à frente dos protocolos mais antigos, e a sua utilização de autenticação individualizada bloqueia os ataques de força bruta que tornam os sistemas mais antigos tão vulneráveis.
Analise opções sem palavras-passe: Para o seu Wi-Fi de convidados e público, está na altura de investigar soluções modernas como o OpenRoaming . Esta tecnologia elimina as palavras-passe partilhadas e os complicados Captive Portal, proporcionando aos utilizadores uma ligação perfeita e segura que é encriptada a partir do momento em que se ligam.
Perguntas frequentes sobre a segurança do WPS
Mesmo para profissionais de TI experientes, os meandros da segurança Wi-Fi podem ser um pouco como um campo minado, especialmente com uma funcionalidade como o WPS, que é tão amplamente mal compreendida. Para ajudar a esclarecer as dúvidas, vamos abordar algumas das questões mais prementes que ouvimos dos administradores de rede e de qualquer pessoa que leve a segurança a sério.
Devo simplesmente desativar o WPS no meu router?
Sim. A resposta curta, simples e direta é absolutamente sim. Para qualquer ambiente profissional ou empresarial, clicar nesse botão de desativar é o primeiro passo mais importante que pode dar.
O problema central é que a conceção do sistema de PIN do WPS está fundamentalmente corrompida. Deixá-lo ativo em qualquer router com WPS cria um buraco enorme e facilmente atacável nas defesas da sua rede. A pequena conveniência que oferece simplesmente não compensa o perigo muito real.
O método do botão WPS também é inseguro?
Tecnicamente, o método do botão é muito mais seguro do que o PIN. Exige que alguém prima fisicamente o botão no router e dá apenas uma janela muito curta para a ligação, o que reduz drasticamente o risco de um ataque remoto.
No entanto, há um senão: muitos routers agrupam os métodos do PIN e do botão. Muitas vezes, não é possível desativar um sem desativar o outro. Dada a falha catastrófica no sistema de PIN, desativar totalmente o WPS é sempre o caminho mais seguro e recomendado.
Desmistificar mitos comuns sobre o WPS
É uma crença comum que ter uma palavra-passe WPA2 ou WPA3 super forte o mantém a salvo de um ataque ao WPS. Isto é completamente falso. Um ataque de força bruta ao WPS contorna totalmente a sua palavra-passe de Wi-Fi, indo diretamente ao PIN para invadir a sua rede.
Outro mito é que este é apenas um problema de routers antigos e desatualizados. Embora seja verdade que os dispositivos mais recentes possam ter alguma limitação de taxa básica para abrandar os ataques, muitos ainda chegam de fábrica com o WPS ativado por predefinição. Um atacante determinado consegue muitas vezes encontrar uma forma de contornar estas defesas frágeis.
Naturalmente, uma lista de verificação de segurança sólida vai além do seu Wi-Fi local. Os administradores também precisam de pensar em proteger os dados assim que estes saem do edifício. Isto significa implementar as melhores soluções de VPN para uma proteção de dados melhorada , particularmente para equipas remotas ou funcionários que viajam. A verdadeira segurança da rede significa bloquear as coisas em todas as camadas.
Pronto para ir além dos métodos de acesso desatualizados e inseguros? A Purple oferece uma poderosa plataforma de rede baseada na identidade que substitui as arriscadas palavras-passe partilhadas por um acesso sem palavras-passe e de confiança zero (zero-trust) para convidados e funcionários. Proteja a sua rede e melhore a experiência do utilizador visitando https://www.purple.ai .
