HISPY
Como funcionaTecnologiaPara quem éPreçosBlog
LoginComeçar
HI SPY

Investigação digital avançada. Localização, identidade e inteligência em uma única plataforma.

Produto

  • Como funciona
  • Recursos
  • Preços
  • Demo

Empresa

  • Sobre
  • Blog
  • Contato
  • Suporte

Legal

  • Termos de Uso
  • Privacidade
  • LGPD
© 2026 HI SPY. Todos os direitos reservados.
v2.0
Voltar ao Blog

tecnicas

Análise Forense de Redes Wi-Fi: Técnicas de Investigação

HI SPY
·10 de fevereiro de 2026·11 min de leitura
Análise Forense de Redes Wi-Fi: Técnicas de Investigação

O notebook do diretor financeiro foi comprometido durante uma viagem de negócios. Os logs mostram que o ataque aconteceu enquanto ele estava conectado ao Wi-Fi de um hotel. Mas como provar isso? Como reconstruir o que aconteceu na rede sem fio, identificar o vetor de ataque e produzir evidências que se sustentem tecnicamente? A análise forense de redes Wi-Fi é a disciplina que responde essas perguntas — e é uma das especialidades mais desafiadoras e menos dominadas da investigação digital.

Redes Wi-Fi estão em toda parte: escritórios, residências, cafés, aeroportos, hospitais e fábricas. Cada uma dessas redes é um ecossistema de comunicações que gera artefatos forenses valiosos. Dados sobre conexões, desconexões, dispositivos presentes, volumes de tráfego e tentativas de acesso ficam registrados em logs de access points, em capturas de pacotes e até no ar — literalmente. O tráfego Wi-Fi viaja por ondas de rádio que podem ser interceptadas por qualquer dispositivo dentro do alcance, criando oportunidades únicas de coleta forense.

Neste artigo, vamos explorar as técnicas de investigação aplicadas a redes Wi-Fi: desde a captura e análise de tráfego com Wireshark até a geolocalização de redes com WiGLE, passando por análise de logs de access points e as implicações legais da interceptação de comunicações sem fio.

Fundamentos: Como Redes Wi-Fi Funcionam na Perspectiva Forense

Para conduzir uma análise forense eficaz, o investigador precisa entender os mecanismos internos do Wi-Fi que geram artefatos investigáveis. Cada fase da comunicação sem fio — desde a descoberta de redes até a transmissão de dados — produz informações que podem ser capturadas e analisadas.

O processo de conexão Wi-Fi começa com o probe request: o dispositivo do usuário envia sinais perguntando "alguém aí?" e listando redes conhecidas que procura reconectar automaticamente. Esse comportamento aparentemente inocente revela informações surpreendentes: o endereço MAC do dispositivo, a lista de redes às quais ele já se conectou anteriormente (preferred network list) e até o fabricante do dispositivo (derivado dos três primeiros octetos do MAC). Um investigador que captura probe requests em uma área pode determinar quais dispositivos estiveram presentes, mesmo que nunca tenham se conectado a nenhuma rede local.

A fase de autenticação e associação gera artefatos adicionais. Em redes WPA2/WPA3, o handshake de quatro vias (four-way handshake) entre dispositivo e access point é capturável e pode ser usado para validar que determinado dispositivo realmente se autenticou na rede. Os frames de gerenciamento (management frames) — como beacons, authentication e association — são transmitidos sem criptografia de payload mesmo em redes protegidas, tornando-os acessíveis para captura passiva.

A transmissão de dados em si é criptografada em redes com WPA2/WPA3, o que limita a análise do conteúdo sem a chave de rede. Porém, mesmo sem descriptografar o tráfego, a análise de metadados é extremamente valiosa: quais dispositivos se comunicaram, em que horários, com que volumes de dados, e quais servidores externos foram acessados (via análise de DNS quando disponível). Para investigações de crimes cibernéticos, esses metadados frequentemente são suficientes para estabelecer uma timeline de atividade e identificar comportamentos suspeitos.

Captura de Tráfego Wi-Fi: Ferramentas e Técnicas

A captura de tráfego é a etapa fundamental da análise forense de redes Wi-Fi, e a qualidade da captura determina diretamente a profundidade da análise que será possível realizar. Diferentes cenários exigem diferentes abordagens — desde captura passiva de frames aéreos até análise de tráfego em pontos de passagem da rede cabeada.

O Wireshark é a ferramenta de referência absoluta para captura e análise de tráfego de rede. Para captura de tráfego Wi-Fi, ele precisa ser combinado com um adaptador wireless que suporte modo monitor — modo que permite ao adaptador capturar todos os frames Wi-Fi no ar, não apenas os destinados ao próprio dispositivo. Adaptadores baseados em chipsets como Atheros AR9271, Ralink RT3070 e o mais recente MediaTek MT7612U são amplamente suportados para modo monitor em Linux. O processo envolve colocar o adaptador em modo monitor (via airmon-ng ou iw), selecionar o canal desejado e iniciar a captura no Wireshark.

O Kismet é uma ferramenta especializada em detecção e análise de redes wireless que complementa o Wireshark de forma significativa. Enquanto o Wireshark exige que você selecione manualmente um canal para captura, o Kismet faz channel hopping automaticamente — alternando rapidamente entre todos os canais Wi-Fi para capturar tráfego de todas as redes na área. Ele detecta automaticamente dispositivos (clientes e access points), registra probe requests, mapeia redes e gera logs detalhados que podem ser processados posteriormente. Para investigações em campo onde o objetivo é mapear todas as redes e dispositivos presentes, o Kismet é insuperável.

O tcpdump, ferramenta de linha de comando, é preferido para capturas de longa duração em servidores ou equipamentos com recursos limitados. Uma captura contínua do tráfego no gateway da rede — comando como tcpdump -i eth0 -w captura.pcap -G 3600 -W 24 — gera arquivos rotacionados que preservam todo o tráfego que passou pelo ponto de passagem durante o período de interesse. Para backup e preservação forense de dados de rede, essa abordagem garante que nenhum pacote seja perdido mesmo em períodos de alto volume.

Um aspecto prático frequentemente negligenciado é o armazenamento necessário. Em redes corporativas com tráfego moderado, uma captura completa pode gerar dezenas de gigabytes por hora. Planejar o espaço de armazenamento, usar filtros de captura para focar no tráfego relevante (por exemplo, capturar apenas DNS e HTTP/HTTPS) e implementar rotação de arquivos são práticas essenciais para capturas prolongadas.

Análise de Tráfego com Wireshark: Do Pcap à Evidência

Com o arquivo de captura em mãos, começa a fase de análise — e é aqui que a experiência do investigador faz a maior diferença. O Wireshark oferece centenas de filtros e funcionalidades, mas saber quais usar e em que ordem é o que transforma gigabytes de dados brutos em narrativa investigativa coerente.

A análise de DNS é frequentemente o ponto de partida mais produtivo. Aplicando o filtro dns no Wireshark, o investigador visualiza todas as consultas DNS realizadas por dispositivos na rede — efetivamente uma lista de todos os sites e serviços acessados. Consultas a domínios suspeitos (servidores C2 de malware, sites de phishing, serviços de exfiltração) aparecem imediatamente. O filtro dns.qry.name contains "dominio-suspeito" permite focar em comunicações específicas, enquanto dns.flags.response == 0 mostra apenas as consultas (sem respostas), revelando padrões de beaconing típicos de malware.

A análise de handshakes TLS (tls.handshake.type == 1) revela os Server Name Indication (SNI) — o domínio que o cliente está tentando acessar via HTTPS. Mesmo sem descriptografar o tráfego, o SNI revela os destinos das conexões criptografadas. Esse artefato é particularmente valioso porque muitos investigadores assumem erroneamente que tráfego HTTPS é completamente opaco — quando na verdade o SNI e os certificados do servidor são transmitidos em texto claro no início da conexão.

A reconstrução de sessões HTTP não criptografadas (http filter) permite visualizar o conteúdo completo de comunicações — URLs acessadas, dados de formulários, cookies e respostas do servidor. Embora o HTTPS seja cada vez mais prevalente, tráfego HTTP ainda existe em redes internas, IoT e serviços mal configurados. O recurso "Follow TCP Stream" do Wireshark reconstrói conversas completas, facilitando a leitura sequencial das comunicações.

A funcionalidade de Statistics do Wireshark oferece visões agregadas que revelam padrões: Conversations mostra quais pares de dispositivos trocaram mais dados, Protocol Hierarchy indica os protocolos mais utilizados, e IO Graphs visualiza picos de tráfego ao longo do tempo. Combinadas, essas análises permitem identificar rapidamente anomalias — como um dispositivo que transferiu volumes incomuns de dados para um IP externo às 3h da manhã. Para investigadores que trabalham com ferramentas OSINT, os IPs externos identificados na análise de tráfego podem ser investigados com técnicas complementares.

WiGLE e Geolocalização de Redes Wi-Fi

A geolocalização de redes Wi-Fi é uma vertente da análise forense que conecta o mundo digital ao mundo físico. O WiGLE (Wireless Geographic Logging Engine) é a maior base de dados pública de redes Wi-Fi georreferenciadas do mundo, com mais de 1 bilhão de redes mapeadas — e é uma ferramenta poderosa para investigações que envolvem localização.

O WiGLE funciona de forma colaborativa: milhares de contribuidores ao redor do mundo usam aplicativos de wardriving (como o WiGLE WiFi Wardriving para Android) para registrar redes Wi-Fi detectadas junto com suas coordenadas GPS. Essas informações são consolidadas no banco de dados público (wigle.net), onde qualquer pessoa pode buscar por SSID (nome da rede), BSSID (endereço MAC do access point) ou localização geográfica.

Para investigações, o WiGLE resolve problemas concretos. Se um dispositivo forense mostra que um celular se conectou a uma rede chamada "Hotel_XYZ_5G" às 14h30, uma consulta ao WiGLE pode confirmar a localização geográfica daquela rede — corroborando ou refutando o alegado paradeiro do proprietário do dispositivo. Da mesma forma, se logs de um malware mostram que ele se comunicou com um C2 a partir de uma rede específica (identificada pelo BSSID), o WiGLE pode revelar onde essa rede está localizada.

A Apple, o Google e a Microsoft mantêm seus próprios bancos de dados de geolocalização Wi-Fi (usados para localização em dispositivos sem GPS), mas o acesso é restrito. O WiGLE, sendo público, é a alternativa acessível para investigadores. Combinado com ferramentas de rastreamento de celular em tempo real e análise de metadados EXIF de fotos, a geolocalização Wi-Fi adiciona mais uma camada de evidência que fortalece a narrativa investigativa.

Os artefatos de Wi-Fi nos próprios dispositivos também são valiosos. Smartphones Android armazenam histórico de redes conectadas em /data/misc/wifi/WifiConfigStore.xml, incluindo SSID, BSSID e data da última conexão. iPhones registram informações similares em plists acessíveis via extração forense. Cruzar essas listas com o WiGLE permite reconstruir deslocamentos geográficos do proprietário ao longo do tempo — sem necessidade de dados de GPS ou torres de celular.

Ataques Wi-Fi e Seus Artefatos Forenses

Entender como ataques a redes Wi-Fi funcionam é essencial para identificar seus artefatos durante uma investigação. Cada tipo de ataque deixa rastros específicos que um analista treinado consegue reconhecer em capturas de tráfego e logs de rede.

O Evil Twin é provavelmente o ataque Wi-Fi mais relevante para investigações corporativas. O atacante cria um access point falso com o mesmo SSID de uma rede legítima (por exemplo, "Corporate_WiFi"), frequentemente com sinal mais forte que o original. Dispositivos configurados para reconexão automática se conectam ao access point falso, permitindo ao atacante interceptar todo o tráfego. Forsenicamente, um Evil Twin pode ser detectado por inconsistências: dois BSSIDs diferentes para o mesmo SSID, timestamps de associação que mostram desconexão do AP legítimo seguida de conexão imediata a um AP com MAC diferente, e padrões de tráfego anormais durante o período de conexão ao AP falso.

O ataque de deauthentication explora a falta de autenticação em frames de gerenciamento Wi-Fi (problema parcialmente resolvido pelo PMF/802.11w). O atacante envia frames de deautenticação forjados que desconectam dispositivos da rede legítima, forçando-os a reconectar — potencialmente a um Evil Twin preparado para interceptá-los. Em capturas com Wireshark, esses ataques são visíveis como volumes anormais de frames deauth (wlan.fc.type_subtype == 0x000c), frequentemente originados de um MAC que não corresponde a nenhum AP legítimo da rede.

Ataques man-in-the-middle (MITM) em redes Wi-Fi podem utilizar ARP spoofing para interceptar tráfego entre dispositivos e o gateway. Forsenicamente, ARP spoofing é detectado por múltiplas respostas ARP para o mesmo IP vindas de MACs diferentes, ou por entradas ARP que mudam frequentemente sem justificativa. O Wireshark possui alertas automáticos para conflitos ARP que facilitam essa detecção. A investigação de ransomware frequentemente revela que o vetor inicial de comprometimento foi exatamente esse tipo de ataque em redes Wi-Fi corporativas insuficientemente segmentadas.

Análise de Logs de Access Points e Controladores

Além da captura de tráfego aéreo, os logs gerados pelos próprios equipamentos de rede — access points, controladores wireless e servidores RADIUS — são fontes riquíssimas de evidência forense que muitos investigadores subestimam.

Access points empresariais (Cisco, Aruba, Ubiquiti, Ruckus) registram eventos detalhados: conexões e desconexões de clientes (com MAC, SSID e timestamp), tentativas de autenticação bem-sucedidas e falhadas, rogue AP detection (detecção de access points não autorizados), e métricas de sinal. Esses logs são frequentemente centralizados em controladores wireless ou em plataformas de gerenciamento como Cisco DNA Center, Aruba Central ou UniFi Network Application, facilitando a busca e correlação.

Os logs de servidores RADIUS (FreeRADIUS, Microsoft NPS, Cisco ISE) são particularmente valiosos para investigações de acesso. Cada autenticação registra o username, o MAC do dispositivo, o IP atribuído, o método de autenticação e o resultado. Quando a rede usa 802.1X com autenticação individual (em vez de chave pré-compartilhada), os logs RADIUS permitem vincular inequivocamente um dispositivo específico a um usuário específico em um horário específico — informação que a captura de tráfego sozinha não forneceria.

O DHCP logs complementam a análise, registrando qual IP foi atribuído a qual MAC em qual momento. Correlacionar logs DHCP com capturas de tráfego permite associar um IP observado em comunicações suspeitas ao dispositivo físico (via MAC) e, potencialmente, ao usuário (via RADIUS). Essa cadeia de correlação — IP → MAC → usuário → atividade — é o Santo Graal da investigação forense em redes, e os logs de infraestrutura Wi-Fi são frequentemente a chave para completá-la.

Para organizações que ainda não centralizam esses logs, a implementação de SIEM (Security Information and Event Management) com ingestão de logs wireless é uma recomendação que vale reforçar. As tendências de computação forense para 2026 apontam que a capacidade de correlacionar logs de múltiplas fontes será cada vez mais valorizada.

Aspectos Legais da Interceptação de Tráfego Wi-Fi

A dimensão legal da análise forense de redes Wi-Fi merece atenção especial porque a interceptação de comunicações — mesmo em contexto investigativo — é regulamentada por legislação específica no Brasil. A linha entre análise forense legítima e interceptação ilegal pode ser fina, e o investigador precisa conhecê-la com precisão.

A Lei 9.296/1996 regulamenta a interceptação de comunicações telefônicas e telemáticas no Brasil, exigindo autorização judicial prévia para qualquer interceptação realizada com fins de prova criminal. A captura de tráfego Wi-Fi que inclua conteúdo de comunicações (e-mails, mensagens, dados de navegação) se enquadra nessa legislação. Sem autorização judicial, a interceptação é ilegal e as provas obtidas são inadmissíveis — além de configurar crime para quem a realizou.

Existem, porém, cenários onde a análise é legítima sem autorização judicial. A análise de tráfego em redes corporativas, quando existe política de uso aceitável previamente comunicada aos usuários informando que o tráfego pode ser monitorado, é geralmente considerada lícita. A captura de frames de gerenciamento (beacons, probes, deauth) que não contêm conteúdo de comunicação opera em área menos regulamentada. E a análise retrospectiva de logs já existentes em equipamentos de rede — que foram gerados como parte normal da operação — é distinta da interceptação ativa.

Para investigações criminais, o investigador deve trabalhar em estreita coordenação com a autoridade policial e o Ministério Público para obter as autorizações necessárias antes de iniciar qualquer captura de tráfego. A investigação digital corporativa exige consultoria jurídica especializada para garantir que procedimentos de monitoramento de rede estejam em conformidade com a LGPD e a legislação trabalhista.

FAQ

O que é análise forense de redes Wi-Fi e para que serve?

A análise forense de redes Wi-Fi é o processo de capturar, preservar e analisar dados de comunicações sem fio para produzir evidências digitais. Ela serve para investigar incidentes de segurança (ataques via rede wireless), reconstituir atividades de dispositivos em determinado local e horário, identificar acessos não autorizados, detectar dispositivos rogue (access points falsos) e produzir provas para processos judiciais ou investigações corporativas. As técnicas incluem captura de tráfego com Wireshark, análise de logs de access points, geolocalização de redes com WiGLE e identificação de artefatos de ataques específicos como Evil Twin e deauthentication.

É possível capturar e analisar tráfego Wi-Fi criptografado?

Sim, parcialmente. A criptografia WPA2/WPA3 protege o conteúdo dos dados transmitidos, mas frames de gerenciamento (beacons, probes, authentication, deauthentication) são capturáveis sem a chave. Metadados como quais dispositivos se comunicaram, volumes de dados e timestamps são visíveis mesmo com criptografia. Se o investigador possui a chave de rede (PSK), o Wireshark pode descriptografar o tráfego WPA2 em tempo real ou em capturas já feitas. Em redes empresariais com 802.1X, a descriptografia é mais complexa pois cada sessão usa chaves únicas derivadas individualmente.

Quais ferramentas são essenciais para forense Wi-Fi?

As ferramentas fundamentais são: Wireshark (captura e análise de pacotes), Kismet (detecção e mapeamento de redes wireless), Aircrack-ng suite (inclui airmon-ng para modo monitor e airodump-ng para captura), WiGLE (geolocalização de redes Wi-Fi) e tcpdump (captura longa duração via linha de comando). Um adaptador Wi-Fi com suporte a modo monitor é hardware essencial. Para análise de logs, ferramentas de SIEM ou simples grep/awk em logs de access points são suficientes para muitos cenários. A combinação dessas ferramentas cobre desde a captura em campo até a análise em laboratório.

Capturar tráfego Wi-Fi é legal no Brasil?

Depende do contexto. Capturar frames de gerenciamento (beacons, probes) em frequências públicas opera em área pouco regulamentada. Capturar conteúdo de comunicações (dados, e-mails, mensagens) requer autorização judicial para fins de investigação criminal, conforme a Lei 9.296/1996. Em redes corporativas com política de monitoramento previamente comunicada aos usuários, o monitoramento é geralmente considerado lícito. Análise de logs já existentes em equipamentos da própria organização não constitui interceptação. Sempre consulte orientação jurídica antes de iniciar capturas que possam incluir conteúdo de comunicações de terceiros.

A análise forense de redes Wi-Fi conecta o mundo digital ao físico através de evidências de localização e atividade. Quando sua investigação precisa de geolocalização precisa em tempo real além dos dados de rede, o HI SPY oferece rastreamento de dispositivos sem instalação no alvo — complementando suas análises de rede com dados de localização contínuos.