Vou começar com um número: 100.000. É a quantidade de roteadores brasileiros que foram sequestrados numa única campanha em 2018 — o GhostDNS. Os atacantes mudaram as configurações de DNS dos roteadores pra redirecionar acessos ao Banco do Brasil, Bradesco, Itaú, Santander e Caixa para páginas falsas. Sem instalar nada no computador da vítima. Sem malware. Sem e-mail de phishing. Só explorarando a senha padrão do roteador.
Sabe qual era a senha? Em muitos casos, admin:admin. Em roteadores da Vivo, a senha WPA2 era derivada do endereço MAC do aparelho combinado com o nome da rede — qualquer pessoa que enxergasse o SSID conseguia calcular a senha.
Trabalho com segurança da informação. E vou te dizer o que a maioria dos reviews de roteador nunca menciona: o roteador da operadora é, disparado, o maior risco de segurança da sua casa. Não é o antivírus. Não é a senha do e-mail. É aquela caixinha piscando na estante que você nunca mexeu desde que o técnico instalou.
Esse guia é diferente. Vou te mostrar o que comprar, sim — mas antes vou te explicar por que trocar. E como configurar pra não virar mais uma estatística.
Por Que Trocar o Roteador da Operadora
Três razões. E nenhuma delas é "Wi-Fi mais rápido" — embora isso também melhore.
1. Segurança catastrófica
Uma investigação encontrou 60 vulnerabilidades em 22 modelos de roteadores distribuídos por operadoras brasileiras. Senhas padrão previsíveis, painel de administração exposto na internet, firmware que nunca é atualizado. Quando a operadora coloca o roteador em modo bridge, para de receber atualizações de segurança — vira um equipamento permanentemente vulnerável.
O Brasil é um dos países mais atingidos pela botnet Mirai — malware que infecta roteadores com senha padrão pra usar em ataques DDoS. Entre 2011 e 2019, mais de 4,5 milhões de modems foram comprometidos em campanhas direcionadas especificamente ao Brasil. A GVT distribuía modems com senha admin:gvt12345. Literalmente.
2. Performance ruim
Roteadores de operadora são equipamentos de custo mínimo — sobra de estoque, hardware limitado, sem Wi-Fi 6. Quem contrata plano de 200 Mbps e usa o roteador da operadora frequentemente recebe menos de 100 Mbps no Wi-Fi. Não é a internet que tá lenta — é o roteador que não dá conta.
3. Controle limitado
Muitas operadoras travam o painel de administração. Você não consegue mudar o DNS, criar rede de convidados, configurar VLAN, nem ver quem tá conectado. Algumas nem liberam as credenciais PPPoE, forçando você a usar o equipamento delas.
Resumo: o roteador da operadora é um dispositivo com senha previsível, software desatualizado, hardware fraco e configuração travada. Trocar por um roteador próprio é a melhoria de segurança com melhor custo-benefício que existe.
O Que Procurar Num Roteador em 2026
Wi-Fi 6 (802.11ax) — o mínimo aceitável
Em 2026, Wi-Fi 5 ainda funciona, mas Wi-Fi 6 já chegou na faixa dos R$ 170. Não faz sentido comprar tecnologia de 2014 pelo mesmo preço. Wi-Fi 6 traz OFDMA (mais eficiência com vários dispositivos), MU-MIMO melhorado e — o que mais importa pra segurança — suporte a WPA3.
WPA3 — por que importa
O WPA2 tem uma falha fundamental: o handshake de autenticação pode ser capturado e atacado offline. Um atacante grava a troca de chaves, leva pra casa, e testa milhões de senhas por segundo até acertar. O ataque KRACK de 2017 explorou exatamente isso.
O WPA3 usa o protocolo SAE (Simultaneous Authentication of Equals) — elimina ataques de dicionário offline. Cada tentativa de senha exige interação ativa com o roteador, que limita a taxa de tentativas. Mesmo que alguém capture o tráfego, não consegue quebrar a senha remotamente.
Configuração recomendada: WPA2/WPA3 modo transição. Dispositivos compatíveis usam WPA3, antigos usam WPA2. Todo roteador Wi-Fi 6 decente suporta isso.
Portas Gigabit
Se o roteador tem portas Fast Ethernet (100 Mbps), o máximo que você vai ter por cabo é 100 Mbps — não importa se contratou 300. Portas Gigabit são obrigatórias em 2026. Todos os roteadores que indico aqui têm.
Mesh vs. roteador único
Apartamento de 60-80 m²? Roteador único resolve. Casa de dois andares, apartamento grande, ou qualquer imóvel acima de 100 m²? Mesh. São dois ou mais módulos que criam uma rede unificada — seu celular migra automaticamente pro módulo mais próximo sem cair a conexão.
Os 5 Melhores Roteadores Wi-Fi no Brasil
| Modelo | Wi-Fi | Velocidade | Tipo | Preço (R$) |
|---|---|---|---|---|
| TP-Link Archer AX12 | Wi-Fi 6 | AX1500 | Roteador único | ~180 |
| Intelbras RX 1500 | Wi-Fi 6 | AX1500 | Roteador único | ~200 |
| TP-Link Archer AX55 | Wi-Fi 6 | AX3000 | Roteador único | ~450 |
| Intelbras Twibi Force AX (2x) | Wi-Fi 6 | AX1500 | Mesh (kit 2) | ~570 |
| TP-Link Deco X50 (2x) | Wi-Fi 6 | AX3000 | Mesh (kit 2) | ~900 |
Preços de março de 2026. Variam entre Amazon, KaBuM!, Magazine Luiza e Mercado Livre.
TP-Link Archer AX12 — O Mínimo Que Funciona de Verdade
R$ 180 por Wi-Fi 6 com WPA3, portas Gigabit e suporte a até 60 dispositivos. É o roteador que eu indico pra quem tá usando o da operadora e quer resolver o problema hoje, sem pesquisar durante três semanas.
O que funciona bem:
- Wi-Fi 6 AX1500 — suporta planos de até 300 Mbps sem gargalo
- WPA3, OFDMA, MU-MIMO, Beamforming — tudo que importa
- OneMesh — dá pra expandir com repetidor TP-Link no futuro (vira mesh)
- 1x WAN Gigabit + 3x LAN Gigabit
- 4 antenas externas com Beamforming — direciona sinal pros dispositivos
O que não funciona:
- Sem USB — não dá pra compartilhar HD ou impressora na rede
- 128 MB de RAM — suficiente pra casa, apertado pra muitas regras de firewall ou QoS avançado
- Sem servidor VPN nativo — precisa de firmware alternativo pra isso
Veredicto: Melhor roteador abaixo de R$ 200 no Brasil. Se o orçamento é limitado e a prioridade é sair do roteador da operadora, é aqui que começa.
Intelbras RX 1500 — Wi-Fi 6 Com DNA Brasileiro
Mesmo patamar do AX12 em especificações, mas com uma diferença que pesa: marca brasileira, garantia de 5 anos, suporte técnico local. Se você já ligou pro suporte de marca importada e ficou 40 minutos ouvindo música em inglês, sabe do que eu tô falando.
O que funciona bem:
- Wi-Fi 6 AX1500 — 4 antenas de 5 dBi, cobertura de até 140 m²
- Suporta até 128 dispositivos simultâneos
- inMesh — expandível com outros roteadores Intelbras (vira mesh)
- Garantia de 5 anos — maior que qualquer concorrente importado
- 4 portas Gigabit auto-sense (WAN/LAN)
O que não funciona:
- Interface web menos polida que a do TP-Link
- Menos opções avançadas no app comparado ao Tether (TP-Link)
- R$ 200-230 — uns R$ 20-30 a mais que o AX12 por especificações similares
Veredicto: Pra quem valoriza suporte no Brasil e garantia estendida. Intelbras tem mais de 30 anos em eletrônica de segurança — rede doméstica é extensão natural do que eles já fazem. O prêmio de R$ 20-30 sobre o AX12 é justo pela tranquilidade do pós-venda.
Intelbras RX 1500 — site oficial
TP-Link Archer AX55 — O Salto de Qualidade
Se você trabalha de casa, faz videoconferência, joga online ou tem mais de 10 dispositivos conectados, o AX1500 pode não ser suficiente. O AX55 é AX3000 — o dobro da velocidade no 5 GHz — com 512 MB de RAM, USB 3.0 e servidor VPN nativo. É outro nível.
O que funciona bem:
- AX3000: 574 Mbps (2.4 GHz) + 2.402 Mbps (5 GHz) — suporta planos de até 600+ Mbps
- 512 MB de RAM — 4x mais que os modelos básicos. Mais dispositivos, mais regras, mais estabilidade
- USB 3.0 — compartilha HD externo ou pendrive na rede local
- Servidor VPN nativo (OpenVPN e WireGuard) — acessa sua rede de casa de qualquer lugar, sem depender de serviço de terceiro
- HomeShield — segurança integrada com detecção de ameaças, controle parental e relatórios de uso
- OneMesh — expandível com repetidores
O que não funciona:
- R$ 400-500 — quase 3x o preço do AX12. A diferença de performance no dia a dia é real, mas não é 3x
- HomeShield avançado é assinatura (o básico é gratuito)
- 4 antenas externas volumosas — não é discreto
Veredicto: O sweet spot pra quem quer roteador sério sem entrar no território de R$ 700+. O combo VPN nativa + 512 MB RAM + USB 3.0 faz dele o roteador mais completo da lista. Se você entende por que VPN em casa importa — e se leu nosso guia de VPN, entende — esse é o roteador certo.
Intelbras Twibi Force AX (Kit 2) — Mesh Brasileira Que Funciona
Casa grande? Dois andares? Paredes de concreto grosso que matam o sinal? Roteador único não resolve — você precisa de mesh. O Twibi Force AX é o sistema mesh mais vendido do Brasil por um motivo: funciona bem e custa menos que a concorrência.
O que funciona bem:
- Kit com 2 módulos — cobertura de até 280 m², expansível com módulos adicionais
- Wi-Fi 6 AX1500 — mesma tecnologia dos roteadores standalone, distribuída por dois pontos
- Roaming seamless — celular migra entre módulos sem desconectar chamada de vídeo
- 1x WAN + 1x LAN Gigabit por módulo — conecta TV ou console por cabo em cada ponto
- Garantia Intelbras de 5 anos
- Suporta até 128 dispositivos
O que não funciona:
- AX1500 — é Wi-Fi 6, mas a velocidade é de entrada. Pra planos acima de 300 Mbps, pode virar gargalo
- Só 1 porta LAN por módulo — se precisa de mais, vai precisar de switch
- R$ 540-600 pelo kit — é investimento, mas menos que um Deco X50
Veredicto: Se sua casa é grande e o roteador único não cobre todos os cômodos, esse é o caminho mais inteligente. Mesh com Wi-Fi 6, marca brasileira, garantia de 5 anos, pelo melhor preço do mercado. Pra apartamento de até 80 m², é desperdício — compre um AX12 ou RX 1500. Pra casa acima de 100 m², é a melhor decisão que você vai tomar pra sua rede.
Intelbras Twibi Force AX — site oficial
TP-Link Deco X50 (Kit 2) — O Mesh Premium
Se velocidade e funcionalidades avançadas importam mais que preço, o Deco X50 é a referência. AX3000 (o dobro do Twibi Force AX), 3 portas Gigabit por módulo, e o HomeShield com proteção contra DDoS e malware integrada.
O que funciona bem:
- AX3000 — 574 + 2.402 Mbps. Suporta planos de até 600+ Mbps sem gargalo
- 3x portas Gigabit por módulo — TV, console e PC por cabo sem precisar de switch
- Processador dual-core 1 GHz — mais capacidade de processamento pra firewall, QoS e mesh
- IA otimiza o mesh automaticamente — redistribui dispositivos entre módulos
- HomeShield: antivírus de rede, controle parental, QoS por dispositivo, proteção DDoS
- WPA3, suporta 150+ dispositivos
O que não funciona:
- R$ 850-1.000 — praticamente o dobro do Twibi Force AX. Você paga pelo AX3000 e pelas 3 portas por módulo
- HomeShield avançado requer assinatura
- Antenas internas — design mais bonito, mas potência de sinal pode ser menor que antenas externas
Veredicto: O melhor mesh disponível no Brasil em faixa razoável de preço. Se você tem plano de 500+ Mbps e uma casa grande, o Twibi Force AX vai te limitar. O Deco X50 não. As 3 portas Gigabit por módulo são um diferencial enorme — cada ponto vira um mini-switch. Pra quem pode investir, é a solução mais completa.
TP-Link Deco X50 — site oficial
A Ameaça Que Ninguém Fala: Sequestro de DNS
Essa é a seção que justifica esse artigo inteiro. Porque o risco real do roteador com senha padrão não é "alguém usar seu Wi-Fi de graça". É alguém mudar o DNS e roubar suas credenciais bancárias.
Como funciona o ataque
O DNS é o "tradutor" da internet — quando você digita bradesco.com.br, o DNS resolve pra um endereço IP. Se alguém muda o DNS do seu roteador pra um servidor malicioso, ele pode resolver bradesco.com.br pro IP de uma página falsa idêntica. Você digita a URL correta, vê o site correto, e digita sua senha — que vai direto pro atacante.
Não é teoria. Aconteceu. Em escala massiva. No Brasil.
GhostDNS: 100 mil roteadores brasileiros sequestrados
Em setembro de 2018, pesquisadores da Netlab 360 documentaram o GhostDNS — uma operação que sequestrou mais de 100.000 roteadores no Brasil. O ataque explorava senhas padrão de 70+ modelos de roteadores, incluindo TP-Link, D-Link, Intelbras e Huawei. Uma vez dentro, mudava o DNS pra servidores controlados pelos atacantes.
52 domínios redirecionados — incluindo Banco do Brasil, Bradesco, Itaú, Santander, Caixa, Credicard, Sicredi e Netflix. A infraestrutura de phishing capturava credenciais bancárias de quem acessava esses sites pelo roteador comprometido.
E em 2019, mais 180 mil roteadores D-Link foram comprometidos numa campanha similar — dessa vez usando anúncios maliciosos em sites de streaming. O script detectava automaticamente o modelo do roteador e tentava as senhas padrão.
Como se proteger
- Troque a senha de administração do roteador — a mais importante de todas. Não a senha do Wi-Fi — a senha do painel de configuração (geralmente 192.168.0.1 ou 192.168.1.1)
-
Configure DNS manualmente — não use o DNS da operadora. Use
1.1.1.1(Cloudflare) ou8.8.8.8(Google), ou melhor ainda, NextDNS pra bloqueio de malware e rastreadores - Verifique o DNS periodicamente — acesse o painel do roteador e confirme que os servidores DNS não mudaram. Se mudaram e você não fez isso, seu roteador foi comprometido
- Desabilite gerenciamento remoto — nenhuma razão pra ter o painel de admin acessível pela internet
- Atualize o firmware — roteadores são computadores. Precisam de patch de segurança tanto quanto seu celular
Como Eu Configurei Minha Rede
Não adianta comprar roteador bom e configurar mal. O que eu fiz — e o que recomendo:
1. Senha do admin: única e complexa
Não admin:admin. Não 12345678. Uma senha de 16+ caracteres que só existe no gerenciador de senhas. Essa é a senha que o GhostDNS explora — e a mais negligenciada do Brasil.
2. Wi-Fi: WPA3 modo transição + senha forte
WPA2/WPA3 modo transição pra compatibilidade com dispositivos mais antigos. Senha do Wi-Fi diferente da senha do admin. Mínimo 12 caracteres.
3. Rede de convidados pra IoT
Câmeras de segurança, smart TV, Alexa — tudo na rede de convidados. Se uma câmera de segurança for comprometida, o atacante não tem acesso ao notebook com os documentos da empresa. Essa segregação é o princípio mais importante de segurança de rede doméstica.
4. DNS: NextDNS no roteador
NextDNS é um resolvedor de DNS que bloqueia domínios de malware, rastreadores e phishing antes de chegar no seu dispositivo. Configurado no roteador, protege toda a rede — todos os dispositivos, sem instalar nada. O plano gratuito cobre 300 mil consultas por mês (suficiente pra maioria das casas).
Alternativa mais avançada: Pi-hole num Raspberry Pi. Faz o mesmo, mas local — nenhuma consulta DNS sai da sua rede. Requer mais setup, mas a privacidade é absoluta.
5. WPS desligado
WPS é aquele botão que facilita conectar dispositivo sem digitar senha. Também é vulnerável a ataque de força bruta no PIN de 8 dígitos. Desligue. Nunca mais ligue. Digitar senha de Wi-Fi uma vez não vai te matar.
6. Firmware atualizado
Verifico todo mês. Demora 2 minutos. TP-Link e Intelbras publicam changelogs de segurança. Lembre: a CVE-2025-9377 do Archer C7 foi adicionada ao catálogo KEV da CISA — ativamente explorada in the wild. Firmware desatualizado é convite aberto.
Nota Sobre TP-Link e Segurança
Seria desonesto recomendar TP-Link sem mencionar isso: em outubro de 2025, o Departamento de Comércio dos EUA propôs banir a venda de roteadores TP-Link nos Estados Unidos. O motivo? Preocupações de que leis chinesas obrigam a TP-Link a cooperar com agências de inteligência, incluindo potencial inserção de código malicioso via atualizações de firmware.
Em maio de 2023, o grupo Camaro Dragon (patrocinado pelo estado chinês) usou firmware malicioso em roteadores TP-Link pra espionar entidades de política externa europeia. Em outubro de 2024, a Microsoft documentou rede de roteadores TP-Link comprometidos usados por hackers chineses desde 2021.
Minha posição: uso TP-Link em casa. Mas com DNS configurado manualmente, firmware sempre atualizado, câmeras em rede segregada e monitoramento de tráfego. A TP-Link tem uma das melhores relações custo-benefício do mercado — mas se a preocupação com privacidade é máxima, Intelbras é a alternativa brasileira que não responde a nenhum governo estrangeiro.
A decisão é sua. Eu apresento os fatos.
Qual Roteador Comprar? Veredicto por Situação
- Trocar o da operadora gastando o mínimo: TP-Link Archer AX12 (R$ 180) ou Intelbras RX 1500 (R$ 200)
- Home office sério, muitos dispositivos: TP-Link Archer AX55 (R$ 450). VPN nativa + 512 MB RAM
- Casa grande, mesh com melhor custo-benefício: Intelbras Twibi Force AX (R$ 570). Mesh Wi-Fi 6 + 5 anos de garantia
- Mesh premium, velocidade máxima: TP-Link Deco X50 (R$ 900). AX3000 + 3 portas por módulo
- Segurança é prioridade absoluta: Intelbras (qualquer modelo). Marca brasileira, suporte local, sem vínculo com governo estrangeiro
Se eu tivesse que recomendar um roteador pra maioria das casas brasileiras? Intelbras RX 1500. R$ 200. Wi-Fi 6, WPA3, portas Gigabit, garantia de 5 anos, suporte em português. Conecta, troca as senhas, configura o DNS, atualiza o firmware. 20 minutos e sua rede fica mais segura que 95% das casas do país.
Esse é o último artigo da nossa série de segurança digital. Se ainda não leu, comece pelo guia de VPN, depois passe pelo comparativo de antivírus, depois notebook custo-benefício, e finalize com câmera de segurança residencial. Juntos, cobrem tudo que você precisa pra proteger sua vida digital.
Perguntas Frequentes
Posso usar o roteador da operadora como modem e ligar meu roteador nele?
Sim, e é o mais comum. Coloque o roteador da operadora em modo bridge (só modem) e conecte seu roteador na porta WAN. Assim quem gerencia o Wi-Fi e o firewall é o seu equipamento. Se a operadora não liberar o modo bridge, conecte por cabo mesmo — a maioria funciona em cascata.
Wi-Fi 6 faz diferença real?
Se você tem mais de 5 dispositivos conectados, sim. OFDMA permite que o roteador atenda vários dispositivos simultaneamente em vez de um por vez. Na prática: menos travamento em casa com muita gente conectada. E WPA3 só vem com Wi-Fi 6+.
Mesh vale a pena num apartamento pequeno?
Não. Até 80-100 m², roteador único bem posicionado (no centro do imóvel, elevado) resolve. Mesh é pra cobertura em área grande, múltiplos andares, ou paredes muito grossas. Comprar mesh pra kitnet é desperdiçar dinheiro.
Como sei se meu DNS foi alterado?
Acesse o painel do roteador (192.168.0.1 ou 192.168.1.1) e verifique os servidores DNS. Se não são os que você configurou — ou se são IPs desconhecidos — seu roteador pode estar comprometido. Resete, atualize o firmware e troque todas as senhas.
NextDNS ou DNS do Google (8.8.8.8)?
DNS do Google é rápido e confiável, mas não bloqueia malware nem rastreadores. NextDNS faz tudo que o 8.8.8.8 faz, mais bloqueio de domínios maliciosos, phishing e propaganda — configurável por você. Recomendo NextDNS. O plano gratuito é suficiente pra uso residencial.
Preciso trocar de roteador todo ano?
Não. Um bom roteador Wi-Fi 6 comprado em 2026 vai durar 4-5 anos tranquilamente. O que precisa de atenção é o firmware — atualize todo mês. Roteador sem update de firmware por mais de 1 ano é sinal de que o fabricante abandonou o modelo.
Top comments (0)