Hotspot móvel ou WiFi público — qual é mais seguro?

Hotspot móvel na grande maioria dos casos. Em 4G ou 5G, o tráfego rádio entre o teu telefone e a antena celular é cifrado de ponta a ponta (NEA1/NEA2 em 4G, 5G-EA em 5G) — a escuta passiva por um atacante ao alcance é impossível sem aceder à rede core do operador. Em WiFi público aberto ou WPA2-PSK com uma palavra-passe partilhada, qualquer cliente ligado pode potencialmente intercetar o tráfego dos outros clientes com uma ferramenta como o Wireshark. A superfície de ataque num hotspot móvel limita-se assim ao teu operador (que vê o teu histórico DNS como um ISP) e a cenários específicos (IMSI catchers, antenas comprometidas) — grave para alvos de alto valor, marginal para o uso civil quotidiano. Em WiFi público, os ataques locais estão documentados e são comuns (DEF CON Wall of Sheep, campanhas Evil Twin) além do rastreio pelo gestor do hotspot. Conclusão prática: para qualquer coisa minimamente sensível (banco, email de trabalho), prefere um hotspot 4G/5G ao WiFi público, mesmo à custa de algum tráfego de dados.

O meu operador móvel pode ver o meu histórico de navegação?

Sim, estruturalmente tal como um ISP fixo. Os operadores portugueses e europeus (MEO, NOS, Vodafone, Digi) operam os seus próprios resolvedores DNS que resolvem os nomes de domínio para os seus clientes. Cada consulta DNS é tecnicamente registável, e os termos de serviço geralmente permitem a retenção por períodos variáveis (medidas técnicas, segurança, obrigações legais). Na UE, o RGPD regula o tratamento destes dados, mas os metadados de ligação podem ser conservados consoante o enquadramento nacional. No tráfego HTTPS, o operador vê os domínios através do SNI e os IP de destino, sem aceder ao conteúdo cifrado. Uma VPN fecha esta fuga — o operador vê apenas um túnel cifrado para um único servidor. É exatamente o mesmo mecanismo que usar uma VPN numa ligação de banda larga doméstica.

Quantos dados consome um hotspot por atividade?

Varia consoante a atividade. Referência aproximada para 2026 em tarifários típicos de operador. Navegação web padrão: ~50–150 MB por hora (consoante imagens, vídeos com reprodução automática). Email: ~10 MB por hora (sincronização contínua, sem anexos pesados). Streaming de música (Spotify, Apple Music): ~50–100 MB por hora em qualidade padrão, ~150 MB em alta qualidade. Streaming de vídeo padrão (480p): ~500 MB por hora; HD 720p: ~1,5 GB/h; 1080p: ~3 GB/h; 4K: ~7 GB/h. Videoconferência (Zoom, Teams, Google Meet): ~500 MB por hora em HD. Descarga de ficheiro grande: 1 GB demora grosso modo 5–10 minutos em 5G urbano. Jogos online: moderado, ~50 MB por hora mas sensível à latência. Conclusão prática: um tarifário de 100 GB/mês é mais do que suficiente para uso ocasional do hotspot; um tarifário ilimitado elimina por completo a questão. O streaming de vídeo HD prolongado continua a ser o único caso de uso que justifica a mudança para WiFi por razões de custo ou largura de banda.

O 5G é mais seguro do que o 4G para um hotspot?

Marginalmente. O 5G introduziu várias melhorias de segurança face ao 4G. Primeiro, a cifragem do IMSI no registo inicial (SUCI/SUPI), que complica os IMSI catchers — um atacante já não consegue capturar o identificador do teu cartão SIM com tanta facilidade. Segundo, suites criptográficas reforçadas (5G-EA com AES-256, AES-128 ou Snow 3G consoante a configuração). Terceiro, a possibilidade de Network Slicing com isolamento do tráfego por caso de uso. Na prática, porém, o 4G LTE em 2026 já é cifrado rádio de ponta a ponta e não tem qualquer vulnerabilidade passiva estruturalmente explorável. A verdadeira diferença entre 4G e 5G para um hotspot é o débito (5G facilmente 200–500 Mbps em zonas urbanas densas vs 20–100 Mbps em 4G) e a latência (5G ~15 ms vs ~30–50 ms em 4G) mais do que uma segurança significativamente diferente. Se o teu telefone suportar 5G e tiveres cobertura, prefere-o pelo conforto — não por uma segurança substancialmente diferente.

Uma VPN ainda é útil num hotspot móvel?

Sim, por duas razões. Primeiro, o teu operador móvel vê o teu histórico DNS e os IP de destino exatamente como um ISP fixo — uma VPN fecha esta fuga e impede a venda ou a retenção prolongada dos teus metadados pelo operador. Segundo, quando estás em roaming internacional ou numa rede parceira menos conhecida, o teu tráfego pode ser inspecionado ou limitado (DPI, throttling de certos serviços) — uma VPN contorna esta discriminação. Terceiro, se usas o teu hotspot como gateway para um portátil ou outro dispositivo, a VPN no dispositivo final acrescenta uma camada de cifragem independente da ligação móvel. A principal diferença face ao WiFi público: num hotspot móvel, a VPN protege sobretudo contra o operador e a definição de perfis de marketing, não contra um ataque local ativo (que é impossível passivamente). É um uso defensivo da privacidade mais do que da segurança. Vê [a nossa análise NordVPN 2026](/en/blog/our-vpn-review-2026) para medições detalhadas.

Hotspot móvel vs WiFi público: qual é realmente mais seguro em 2026

A escolha entre um hotspot móvel (tethering de uma ligação 4G ou 5G a partir do teu smartphone) e o WiFi público (rede de aeroporto, hotel ou café) tornou-se um compromisso de rotina para o trabalhador remoto em deslocação, o viajante ou simplesmente qualquer pessoa que queira verificar o email fora de casa. A questão é muitas vezes colocada de forma binária — "qual é mais seguro" — quando na verdade as duas tecnologias têm superfícies de ataque profundamente diferentes, e a resposta certa depende tanto do caso de uso como do contexto.

Este guia compara com precisão o que cada ator (operador móvel, gestor do hotspot WiFi, potencial atacante local) pode ver e fazer consoante a tecnologia, dá números concretos sobre o custo dos dados para 2026 e apresenta a stack mais defensiva (hotspot móvel + VPN) para atividades de alto risco.

TL;DR

Um hotspot móvel (4G/5G partilhado) é estruturalmente mais seguro do que o WiFi público na grande maioria dos casos. Na ligação rádio, o 4G e o 5G cifram o tráfego de ponta a ponta entre o teu telefone e a antena celular (NEA1/NEA2 para 4G LTE, 5G-EA para 5G) — um atacante ao alcance não pode intercetar passivamente o teu tráfego como pode em WiFi público aberto ou WPA2-PSK. A superfície de ataque num hotspot móvel limita-se ao teu operador (que vê DNS e IP de destino como um ISP), aos cenários de IMSI catcher (raros, dirigidos a perfis de alto valor) e à comprometimento ao nível da aplicação no dispositivo. Em WiFi público, acrescenta o rastreio comercial do gestor do hotspot (Cisco Meraki, Aruba), a interceção de pacotes por qualquer cliente ligado, os ataques Evil Twin documentados por Krebs on Security e os captive portals comprometidos. Custo dos dados: navegação web ~50–150 MB/h, email ~10 MB/h, videochamada HD ~500 MB/h, streaming de vídeo HD ~1,5–3 GB/h — um tarifário de 100 GB/mês é suficiente para uso ocasional do hotspot. Stack mais segura: hotspot móvel 5G + VPN com kill switch. A VPN fecha a fuga para o teu operador. Vê os riscos do WiFi público em 2026 para a stack defensiva completa no WiFi público inevitável.

Como funciona cada tecnologia

Para comparar o que cada ator pode tecnicamente ver, precisamos primeiro de compreender a topologia de cada ligação.

Hotspot móvel — tethering 4G ou 5G através do teu telefone. Quando ativas o tethering (Hotspot pessoal no iOS, Hotspot móvel no Android), o teu telefone torna-se um router Wi-Fi. Do lado rádio celular, o telefone estabelece uma ligação cifrada a uma antena do operador (MEO, NOS, Vodafone, Digi em Portugal; Verizon, AT&T, T-Mobile nos EUA) através dos padrões 4G LTE ou 5G NR. Do lado Wi-Fi local, o telefone transmite um SSID privado com uma palavra-passe WPA2 ou WPA3, e os outros dispositivos (o teu portátil, o teu tablet) ligam-se tal como a qualquer outro router. O tráfego desses dispositivos passa pelo telefone, depois pela antena, depois pela rede core do operador, depois sai para a internet. Duas ligações cifradas em cadeia: Wi-Fi local (WPA2/WPA3) + rádio celular (NEA2/5G-EA).

WiFi público — um operador centralizado. Juntas-te ao SSID do aeroporto, café ou hotel. Autenticação através de uma palavra-passe partilhada ao balcão, ou uma rede aberta com captive portal. O tráfego passa pelo router Wi-Fi do estabelecimento, depois pela ligação à internet do estabelecimento (fibra, banda larga empresarial, ou por vezes 4G/5G como backup). Do lado rádio Wi-Fi, a cifragem depende da versão: WPA3 (rara em 2026 fora de grandes estabelecimentos recém-construídos), WPA2-PSK com uma palavra-passe partilhada (a mais comum), ou aberta sem cifragem (cafés simples, alguns aeroportos). Do lado da infraestrutura interna, o gestor do hotspot pode registar e analisar o tráfego — é o propósito comercial das implementações Cisco Meraki, Aruba e Ruckus.

A diferença estrutural fundamental. Num hotspot móvel, um atacante ao alcance rádio não pode fazer nada passivamente — a ligação celular é cifrada por concepção. Em WiFi público aberto ou WPA2 com uma palavra-passe conhecida de todos, outro cliente na mesma rede pode potencialmente intercetar o tráfego dos outros clientes em modo promíscuo. É a base técnica do motivo pelo qual um hotspot móvel é por predefinição mais seguro do que o WiFi público — um ataque local passivo é simplesmente impossível na rede celular.

Detalhes técnicos: o 4G LTE usa os algoritmos EEA1 (Snow 3G), EEA2 (AES-128 em modo counter), EEA3 (ZUC, otimizado para a China) para a cifragem da camada rádio, conforme descrito nas especificações 3GPP. O 5G NR acrescenta 5G-EA com suites reforçadas (AES-256 possível) e a cifragem do IMSI no registo inicial (SUCI). O artigo da Wikipédia sobre segurança 5G cobre toda a stack em detalhe.

Superfície de ataque comparada — quem pode fazer o quê

A tabela abaixo resume os atores e as suas capacidades por tecnologia. Lê linha a linha — cada ator tem um acesso diferente em cada cenário.

Ator	Hotspot 4G/5G	WiFi público aberto	WiFi público WPA2-PSK	WiFi público WPA3
O teu operador móvel	Vê DNS + IP de destino	—	—	—
Gestor do hotspot	—	Vê DNS + IP + rastreio comercial	Vê DNS + IP + rastreio comercial	Vê DNS + IP (cifragem cliente/AP)
Outro cliente ligado	Sem acesso	Pode intercetar (Wireshark)	Pode intercetar (PSK partilhado)	Não pode intercetar (OWE/SAE)
Atacante passivo ao alcance rádio	Sem acesso (rádio cifrado)	Pode intercetar (rádio em claro)	Sem acesso direto	Sem acesso direto
Atacante ativo ao alcance rádio (Evil Twin)	Muito difícil (BTS falsa = IMSI catcher, caro)	Fácil (SSID falso)	Fácil (SSID falso + mesmo PSK)	Mais difícil
Rastreio comercial (Meraki, MAC analytics)	Limitado (apenas operador)	Rastreio completo via OUI/MAC	Rastreio completo	Parcial (OWE cifra por cliente)
Captive portal comprometido	Não aplicável	Possível	Possível	Possível

Leitura da tabela. Num hotspot móvel, a lista de atores com acesso ao teu tráfego encolhe drasticamente face ao WiFi público. Só o teu operador móvel tem uma visibilidade significativa — e é exatamente a mesma visibilidade que um ISP tem em casa. Os vetores de ataque locais (interceção, Evil Twin, captive portals comprometidos, rastreio MAC comercial) tornam-se inaplicáveis ou muito caros para o atacante. Em WiFi público WPA2-PSK com uma palavra-passe escrita num quadro (o cenário mais comum em 2026), a superfície de ataque inclui todos os outros clientes na mesma rede — o que inclui potencialmente um atacante oportunista com equipamento mínimo.

Caso importante: o WiFi público WPA3 com OWE (raro mas emergente em 2026) elimina a possibilidade de interceção entre clientes ligados — cada cliente tem uma chave efémera única com o AP. Mas o gestor do hotspot continua a ver o tráfego e pode rastrear os utilizadores. Por isso o WPA3 melhora o quadro do WiFi público sem o tornar equivalente a um hotspot móvel do ponto de vista da privacidade face ao operador.

Casos práticos — quando preferir um hotspot, quando preferir o WiFi

Para além da segurança pura, vários critérios práticos entram na decisão: velocidade, bateria, custo dos dados, contexto. Eis os perfis típicos.

Perfil 1 — Email + navegação web padrão em deslocação. Cenário comum: viajante num comboio, trabalhador remoto num café, participante numa conferência. Recomendação: hotspot móvel por predefinição. O consumo é moderado (~50 MB/h navegação, ~10 MB/h email), pelo que mesmo um tarifário modesto (10 GB/mês) cobre confortavelmente um dia de trabalho móvel. A segurança é nitidamente melhor do que o WiFi público. A bateria do telefone esgota-se mais depressa — leva um power bank ou encontra um ponto de carregamento. Em 5G urbano denso, o débito é mais do que suficiente para conforto.

Perfil 2 — Videochamadas prolongadas (Zoom, Teams) em deslocação. Cenário típico: um dia inteiro de reuniões a partir de um Airbnb com WiFi pouco fiável. Recomendação: depende da cobertura 5G. Numa zona 5G estável, o hotspot móvel mantém-se viável (~500 MB/h em HD, grosso modo 4 GB para um dia inteiro). Em 4G com cobertura irregular, a latência e as quebras tornam a experiência inconsistente — a mudança para WiFi público pode ser necessária. Se o WiFi público for inevitável, ativa sempre a VPN com kill switch (vê riscos do WiFi público 2026).

Perfil 3 — Streaming de vídeo prolongado (Netflix, YouTube). Recomendação: WiFi doméstico ou WiFi público fiável. Os custos dos dados num hotspot tornam-se proibitivos (3 GB/h a 1080p, 7 GB/h a 4K). Um tarifário de 100 GB/mês evapora-se em poucas horas de streaming. O WiFi público mantém-se tecnicamente viável, desde que tenhas uma VPN ativa e não introduzas credenciais sensíveis no captive portal.

Perfil 4 — Acesso ao banco ou a uma conta de trabalho sensível. Recomendação: hotspot móvel sem hesitação. A superfície de ataque reduzida e a impossibilidade de interceção local fazem dele o meio certo para operações de alto risco. Acrescenta uma VPN para fechar a fuga para o teu operador. O overhead de dados é negligenciável (as operações bancárias usam alguns MB no máximo). Esta prática é recomendada por vários CSIRT empresariais para operações sensíveis em viagem.

Perfil 5 — Descarga de ficheiro grande (atualização de SO, ISO de sistema, vídeo pesado). Recomendação: WiFi. O hotspot móvel é demasiado caro em termos de dados, e o 5G urbano ainda está sujeito a políticas de throttling por fair-use do operador em alguns tarifários. Usa o WiFi doméstico, ou espera até estares na rede de um parceiro de confiança.

Perfil 6 — Viajante internacional com um operador parceiro. Recomendação: depende do teu plano de roaming. Dentro da UE, "roam like at home" significa que o teu tarifário nacional funciona de forma idêntica no estrangeiro — prefere o hotspot móvel. Fora da UE, as tarifas de roaming podem tornar o hotspot móvel catastrófico (taxas significativas por MB em alguns países). A compra de um eSIM local (Airalo, Holafly) resolve isto e restaura a vantagem do hotspot móvel. Na falta disso, o WiFi público com uma VPN torna-se a opção económica pragmática.

Custo real dos dados por atividade — números 2026

Números de referência para planear o teu consumo mensal do hotspot. Dados medidos internamente e cruzados com relatórios da ANACOM e da FCC e comunicações públicas dos operadores.

Atividades leves (< 100 MB/h).

Email de trabalho com sincronização contínua: ~5–10 MB/h
Mensagens (WhatsApp, Signal, iMessage): ~5–15 MB/h
Navegação web rica em texto (notícias, pesquisa): ~30–80 MB/h
Banca, portais públicos (Portal das Finanças, Segurança Social): ~10–30 MB/h
Scroll leve nas redes sociais (Twitter/X, LinkedIn): ~50–100 MB/h

Atividades médias (100–500 MB/h).

Navegação web padrão com imagens: ~100–200 MB/h
Streaming de áudio (Spotify, Apple Music, podcasts): ~50–150 MB/h consoante a qualidade
Vídeo padrão 480p (YouTube, formação online): ~250–400 MB/h
Videochamada HD (Zoom, Teams, Google Meet): ~500 MB/h
Redes sociais com reprodução automática de vídeo: ~300–600 MB/h

Atividades pesadas (> 1 GB/h).

Streaming de vídeo HD 720p: ~1,5 GB/h
Streaming de vídeo HD 1080p: ~3 GB/h
Streaming de vídeo 4K: ~7 GB/h
Atualização de SO ou descarga de ISO de sistema: variável, muitas vezes 3–10 GB para uma atualização importante
Cloud gaming (GeForce Now, Xbox Cloud): ~10–15 GB/h

Tarifários típicos em Portugal e nos EUA, 2026 (ordem de grandeza indicativa).

Tarifários de 100–150 GB: ~15–30 € / 20–40 $ por mês (suficiente para uso ocasional do hotspot)
Tarifários de 200–300 GB: ~25–40 € / 35–55 $ por mês (uso regular do hotspot)
Tarifários 5G ilimitados: ~35–55 € / 50–80 $ por mês (uso intensivo, trabalho remoto nómada)

Dica prática. Para um trabalhador remoto que usa o seu hotspot 2–3 dias por mês para email, web e videochamadas moderadas, 100 GB é mais do que suficiente. Para um nómada digital a tempo inteiro, a mudança para um tarifário 5G ilimitado elimina a ansiedade do orçamento e permite trabalhar exclusivamente num hotspot móvel.

Escolha editorial

4.6 / 5

Completa o teu hotspot móvel com uma VPN auditada

Auditoria sem registos Deloitte 2024 · Kill switch de sistema · Garantia de devolução do dinheiro em 30 dias

Auditoria Deloitte 2024Garantia de 30 dias14M+ usuários

Ver a oferta

Combinar hotspot móvel + VPN — a stack mais segura

Para os casos de uso em que a segurança tem prioridade (banca sensível, trabalho remoto sobre dados confidenciais, jornalismo em deslocação, viagens para jurisdições de alto risco), combinar um hotspot móvel com uma VPN fecha praticamente todos os vetores de ataque locais e esconde a tua atividade do teu operador móvel. É a stack defensiva mais completa disponível para um utilizador comum.

Configuração recomendada. Passo 1: ativa o tethering no teu telefone (Hotspot pessoal no iOS, Hotspot móvel no Android), com WPA2 ou WPA3 e uma palavra-passe forte. Passo 2: liga o teu portátil ou tablet ao SSID privado do telefone. Passo 3: ativa o cliente VPN no dispositivo final (portátil, tablet), com o kill switch definido em modo de sistema. Passo 4: verifica a ausência de fugas com a nossa ferramenta de teste de fugas DNS. Passo 5: confirma o IP visível com a nossa ferramenta de endereço IP.

Porque é que esta configuração vence. O hotspot móvel fecha os ataques locais (interceção, Evil Twin, captive portal). A VPN fecha a fuga para o operador móvel (que de outro modo veria DNS e IP de destino). Camada celular cifrada + camada Wi-Fi local cifrada + túnel VPN cifrado = tripla camada defensiva. Um atacante que quisesse quebrar esta stack teria de comprometer o teu dispositivo, ou comprometer o servidor VPN, ou comprometer a rede core do operador — três alvos separados e dispendiosos.

Quando é exagero. Para navegação web comum sem nada em jogo, é demasiado. Para verificar emails pessoais enquanto esperas por um comboio, é demasiado. Um hotspot móvel sozinho (sem VPN) já neutraliza os ataques locais — a VPN acrescenta privacidade face ao operador, não segurança pura. Ativar a VPN quando a atividade o justifica (banca, email de trabalho, trabalho remoto) e deixá-la desligada nas restantes situações é uma abordagem razoável.

Quando não chega. Para um jornalista com uma fonte num país de alto risco, um denunciante, ou qualquer atividade de altíssimo valor visada por um ator estatal — uma stack hotspot + VPN ainda é insuficiente. Tens de acrescentar Tor (idealmente a partir do Tails numa pen USB), operar a partir de um dispositivo dedicado, usar um cartão SIM anónimo ou pré-pago não associado à tua identidade, e compartimentar rigorosamente. Vê Tor vs VPN — diferenças e combinação para detalhes.

Limitação da bateria. O tethering esgota a bateria do telefone a um ritmo acelerado (rádio celular ativo + transmissão Wi-Fi em simultâneo). Para uso prolongado, leva um power bank ou liga-o à corrente. Em 5G, o consumo de energia é mais alto do que em 4G — mudar para 4G nas definições de rede pode prolongar a duração da bateria se o débito for suficiente.

Limitação do roaming internacional. Fora da UE, os custos dos dados podem explodir. Prepara-te com um eSIM local (Airalo, Holafly, Nomad), ou subscreve o add-on de roaming específico do teu operador. Na falta disso, o WiFi público com uma VPN torna-se a solução pragmática — menos defensiva, mas economicamente viável.

Resumo: decisão por caso de uso

Três regras práticas cobrem a decisão para a maioria dos casos.

Regra 1 — Por predefinição, o hotspot móvel. Salvo em casos específicos (descargas pesadas, streaming HD prolongado, área sem cobertura 4G/5G), a combinação de segurança superior + maior privacidade + implementação instantânea torna o hotspot móvel preferível ao WiFi público para a maioria do uso móvel.

Regra 2 — Se o WiFi público for inevitável, mantém a VPN ativa. Nenhum WiFi público sem uma VPN com kill switch ativado. Isto não é negociável para qualquer atividade que vá além de consumir passivamente informação pública. A VPN fecha as principais fugas (SNI, DNS, IP) e neutraliza os ataques locais. Vê o kill switch da VPN explicado para detalhes sobre esta peça crítica.

Regra 3 — Combinação hotspot + VPN para atividades de alto risco. Banca sensível, trabalho remoto sobre dados confidenciais, jornalismo, viagens para uma jurisdição de alto risco: combina ambas as camadas. Overhead de dados marginal, ganho defensivo substancial.

Leitura adicional

A escolha entre hotspot móvel e WiFi público não é uma questão de moda — é uma arbitragem entre segurança, custo e disponibilidade. Para a maioria dos casos de uso móveis, o hotspot móvel vence na segurança contra ataques locais e na privacidade contra os operadores comerciais de WiFi — à custa do consumo de dados. Combinado com uma VPN auditada com kill switch, é a stack mais defensiva disponível para um utilizador comum em 2026. No WiFi público que não pode ser evitado (sem hotspot móvel num avião, sem cobertura celular numa cave, custos de roaming fora da UE), uma VPN continua a ser a medida estrutural. Para verificar regularmente que a tua VPN está a fazer o seu trabalho, a nossa auditoria completa da VPN em 9 testes é o procedimento de referência.

Mobilidade, hotspots e segurança de rede — guias relacionados

Artigo publicado a 29 de maio de 2026. Metodologia: síntese das especificações 3GPP sobre 4G LTE e 5G NR (TS 33.401 segurança LTE, TS 33.501 segurança 5G), relatórios sobre o mercado móvel da ANACOM e da FCC 2023–2025, publicações académicas sobre IMSI catchers (papers SecureComm 2018–2021), e medições de consumo de dados conduzidas internamente durante três meses (março–maio de 2026) numa configuração Pixel 8 + MacBook + NordVPN. Dados dos operadores cruzados com comunicações públicas da MEO, NOS, Vodafone, Digi (Portugal) e Verizon, AT&T, T-Mobile (EUA).