Como Saber se Alguém Está Usando Seu Wi-Fi Sem Permissão (e Como Bloquear)

Estava no meio de uma call de vídeo com um cliente quando o streaming começou a travar. Saí do app, testei a velocidade: 12 Mbps no Wi-Fi. Fui até o roteador e conectei via cabo: 180 Mbps. Diferença absurda para uma rede que deveria estar só com meu notebook e o celular conectados.

Abri o Fing no celular e vi oito dispositivos na rede. Eu reconhecia seis. Os outros dois eram de fabricantes que não correspondiam a nada que eu tivesse em casa. Depois de investigar, descobri que o técnico da portaria tinha pedido minha senha de Wi-Fi seis meses antes para “testar a internet” durante uma manutenção. A senha não tinha mudado desde então.

Mudei a senha, criei uma rede separada para visitas, e o problema nunca mais voltou. Aqui está o que aprendi sobre como identificar intrusos na rede e o que realmente resolve.

Sinais de que pode ter alguém usando seu Wi-Fi

A minha call caindo foi o sinal óbvio. Mas antes disso havia sinais que eu ignorei. Se você está passando por algum desses, vale investigar:

• A internet está lenta no Wi-Fi mas boa via cabo: sugere sobrecarga na rede sem fio, que pode ser intruso, muitos dispositivos seus próprios, ou congestionamento de canal com os vizinhos.
• A lentidão é recorrente no mesmo horário, geralmente à noite ou no fim de semana: pode ser tanto congestionamento da operadora quanto alguém usando intensamente sua rede nesses períodos.
• O roteador fica com LED piscando mesmo quando você parou de usar: atividade de rede acontecendo sem que seus dispositivos a estejam causando.
• A franquia de internet da operadora acabou antes do esperado: se a rede tem invasor transmitindo dados pesados, isso consome a franquia de todos que usam a mesma conexão.

Nenhum desses sinais confirma invasão sozinho. São indicadores para investigar. O Fing resolve a dúvida em menos de um minuto.

Como ver todos os dispositivos conectados

Dois caminhos que uso sempre juntos, porque um pega o que o outro pode deixar passar.

Fing (Android e iOS, gratuito): após instalar e conectar na rede Wi-Fi, toque em “Scan for devices”. Em 30 segundos você vê todos os dispositivos ativos na rede com nome do fabricante, endereço IP e endereço MAC. O Fing não requer conta para o scan básico. Foi ele que me mostrou os dois dispositivos desconhecidos naquele dia. Salve o resultado para comparar depois de qualquer visita.

Painel do roteador: acesse pelo navegador em 192.168.0.1 ou 192.168.1.1. Login e senha padrão geralmente estão na etiqueta na parte de baixo do roteador. Dentro do painel, procure “Dispositivos conectados”, “Clientes DHCP” ou “Wireless Clients”. Aqui aparecem dispositivos com conexão intermitente que o Fing pode não ter detectado por estarem inativos no momento do scan.

Compare as duas listas com tudo que você tem em casa: celulares, notebooks, smart TV, tablets, lâmpadas inteligentes, câmeras, consoles. Qualquer dispositivo sem correspondência merece investigação antes de ser bloqueado.

Como identificar o aparelho intruso

O fabricante do dispositivo aparece nas primeiras seis letras do endereço MAC. O Fing já traduz isso automaticamente para o nome do fabricante. No meu caso, apareceu “Xiaomi” e “Motorola”, dois aparelhos que eu não tinha em casa.

Se aparecer “Fabricante desconhecido” ou um nome que não corresponde a nenhum dispositivo seu, vale confirmar antes de bloquear. Copie o endereço MAC e pesquise no site macvendors.com ou maclookup.app para ver o fabricante real. Smart TVs e consoles às vezes aparecem com MACs genéricos de chipset (Realtek, MediaTek) em vez do nome da marca, o que pode confundir.

Antes de bloquear qualquer dispositivo, confirme com quem mora com você se aquele aparelho pertence a alguém. Já ouvi histórias de pessoas que bloquearam o próprio roteador secundário porque não reconheceram o fabricante do chipset.

Como bloquear e por que a senha é mais eficaz

A forma mais direta de bloquear é pelo painel do roteador: em “Dispositivos conectados” ou “Controle de acesso”, selecione o dispositivo suspeito e bloqueie pelo endereço MAC. Em roteadores TP-Link, isso também aparece no app Tether de forma visual, sem precisar entrar no painel pelo navegador.

Mas o bloqueio por MAC tem uma limitação real que aprendi depois: é possível falsificar o endereço MAC em qualquer dispositivo moderno com alguns toques. Um intruso experiente bloqueado pelo MAC simplesmente altera o endereço do aparelho e reconecta. Bloquear pelo MAC resolve o problema imediato mas não é segurança de longo prazo.

O que realmente resolve: trocar a senha do Wi-Fi. Quando você muda a senha, todos os dispositivos são desconectados ao mesmo tempo, incluindo os intrusos. Quem não tem a nova senha não consegue mais acessar. Use pelo menos 12 caracteres, misturando letras maiúsculas, minúsculas, números e um símbolo. Senhas como “casa2024” ou “wifi123456” são testadas automaticamente por qualquer scanner básico de rede.

WPA2 ou WPA3: qual protocolo usar

Depois do incidente, fui entender como o protocolo de segurança funciona de verdade, porque queria ter certeza de que não estava exposta a esse tipo de problema de novo.

WPA2 é o padrão atual e ainda seguro quando a senha é forte. O problema é que ele é vulnerável a ataques de dicionário offline: alguém captura o “handshake” da sua rede e testa senhas numa lista localmente, sem precisar ficar conectado. Com uma senha fraca, o WPA2 pode ser quebrado em horas.

WPA3 resolve esse problema com o protocolo SAE, que torna o ataque offline inviável. Com WPA3, cada tentativa de login precisa acontecer em tempo real na rede, o que torna senhas simples bem mais difíceis de quebrar. A limitação prática: dispositivos mais antigos (smart TVs, câmeras, lâmpadas inteligentes fabricadas antes de 2020) podem não suportar WPA3. A solução é configurar o roteador em modo misto WPA2/WPA3, que aceita os dois simultaneamente. Para verificar onde fica essa configuração no seu roteador, o artigo sobre como melhorar o sinal Wi-Fi em casa mostra como acessar o painel e navegar pelas configurações de rede sem fio.

Rede de convidados: a solução definitiva para visitas e vizinhos

Depois do episódio com o técnico da portaria, criei uma regra que nunca quebro mais: a senha do Wi-Fi principal não sai de casa. Nenhum técnico, prestador de serviço ou visita recebe essa senha.

A rede de convidados resolve isso. Disponível em praticamente todos os roteadores modernos (Wireless, Rede de Convidados ou Guest Network no painel), ela cria uma rede isolada da sua rede principal. Dispositivos conectados na rede de convidados acessam a internet normalmente, mas não conseguem ver os dispositivos da sua rede principal: seus arquivos, câmeras internas ou o painel do roteador.

Configure com nome e senha diferentes do Wi-Fi principal. Quando o técnico precisar de internet, dê a senha da rede de convidados. Quando o vizinho pedir para usar enquanto o Wi-Fi dele cai, coloque na rede de convidados. Se quiser trocar a senha depois, você muda só a da rede de convidados sem precisar reconectar todos os seus aparelhos. Para entender como isolar melhor os dispositivos inteligentes da casa, o artigo sobre como proteger sua rede Wi-Fi em casa cobre a separação de dispositivos IoT da rede principal.

Dúvidas sobre Wi-Fi e intrusos na rede

Ocultar o nome da rede (SSID) resolve?

Não. Ocultar o SSID é segurança de fachada: qualquer ferramenta básica de análise de rede detecta redes ocultas. A rede continua transmitindo beacons; o nome simplesmente não aparece na lista de Wi-Fi disponíveis. Você cria um incômodo para seus próprios dispositivos, que precisam de configuração manual para conectar, sem adicionar nenhuma proteção real contra alguém determinado.

Trocar a senha resolve definitivamente?

Resolve o problema atual. Para que não volte: use WPA2/WPA3 com senha forte, nunca dê a senha do Wi-Fi principal para visitantes ou prestadores de serviço, use sempre a rede de convidados para isso, e faça scan com o Fing periodicamente, especialmente depois de qualquer visita técnica. Se o seu roteador tiver opção de log de conexões, ative para ter histórico de quem conectou e quando.

Filtro de MAC é seguro como controle de acesso?

Insuficiente como única proteção. O filtro por MAC bloqueia dispositivos que não estão na lista aprovada, mas como qualquer dispositivo moderno pode falsificar o endereço MAC, um invasor determinado clona o MAC de um dispositivo autorizado e reconecta. O filtro funciona como uma segunda camada, nunca como a principal. A combinação mais robusta para rede doméstica é senha forte mais WPA3 mais rede de convidados para visitas. Para quem quiser ir além, o artigo do Kaspersky sobre como proteger sua rede doméstica detalha as camadas de segurança com exemplos práticos.

Próximo passo

Se suspeita de intruso agora, a sequência que uso:

• Instale o Fing, faça scan e compare os dispositivos encontrados com o que você reconhece
• Acesse o painel do roteador e confirme quais dispositivos estão listados como clientes ativos
• Bloqueie o dispositivo suspeito pelo painel e mude a senha do Wi-Fi imediatamente
• Crie uma rede de convidados com senha diferente para uso futuro com visitas
• Ative modo WPA2/WPA3 misto nas configurações de segurança do roteador

Com esses passos, a rede fica protegida contra o intruso atual e contra tentativas futuras.