Executando verificação de segurança...
3
jtechintel
2 min de leitura ·

GhostDNS em 2026: por que o roteador da sua operadora ainda é o maior risco de segurança da sua rede

Trabalho com segurança da informação e recentemente fiz uma pesquisa sobre o estado dos roteadores residenciais no Brasil. O que encontrei é preocupante — e pouco discutido.

  ## O cenário

  Em 2018, o GhostDNS sequestrou 100.000+ roteadores brasileiros alterando configurações de DNS pra redirecionar acessos a bancos (BB, Bradesco, Itaú, Santander, Caixa) para páginas de phishing. O ataque explorava senhas padrão
de 70+ modelos — TP-Link, D-Link, Intelbras, Huawei.

  Em 2019, mais 180.000 roteadores D-Link foram comprometidos numa campanha similar usando anúncios maliciosos em sites de streaming.

  Uma investigação recente encontrou 60 vulnerabilidades em 22 modelos distribuídos por operadoras brasileiras. Roteadores em modo bridge param de receber firmware updates — ficam permanentemente vulneráveis.

  ## O problema atual

  O roteador da operadora continua sendo o elo mais fraco da rede doméstica brasileira:

  - Senhas padrão previsíveis (a Vivo usava senha derivada do MAC address + SSID)
- Firmware desatualizado (operadora não empurra updates)
- Painel de admin exposto
- Sem WPA3
- Sem rede de convidados configurável
- Sem controle de DNS

  O Brasil é um dos países mais atingidos pela botnet Mirai — 4,5M+ modems comprometidos entre 2011-2019.

  ## O que eu fiz na minha rede

  1. Troquei o roteador da operadora por um Wi-Fi 6 com WPA3 (R$ 200 resolve)
2. Rede separada pra IoT — câmeras e smart TV na rede de convidados, isoladas dos dispositivos pessoais
3. DNS manual — NextDNS no roteador, bloqueando malware e phishing antes de chegar no dispositivo
4. WPS desligado — vulnerável a brute force no PIN de 8 dígitos
5. Firmware atualizado mensalmente — a CVE-2025-9377 do Archer C7 entrou no catálogo KEV da CISA (ativamente explorada)

  ## Nota sobre TP-Link

  Em outubro de 2025, o Departamento de Comércio dos EUA propôs banir vendas de TP-Link nos EUA por preocupações com cooperação obrigatória com inteligência chinesa. O grupo Camaro Dragon usou firmware malicioso em roteadores
TP-Link pra espionar entidades europeias. Vale considerar — especialmente se a alternativa é Intelbras, marca brasileira sem vínculo com governo estrangeiro.

  ## Discussão

  Qual roteador vocês usam em casa? Trocaram o da operadora? Alguém já teve problema com DNS hijacking?

  ---

  Aprofundei esse tema num artigo mais completo com comparativo de modelos e configuração detalhada: https://blog.jtechauto.com/pt/melhor-roteador-wifi-2026/

Fonte: https://blog.jtechauto.com/pt/melhor-roteador-wifi-2026/

Carregando publicação patrocinada...
1
curiocurioso

Eu estou usando Adguard Home no raspberry e o configurei no DHCP do roteador. Nenhuma senha padrão. Eu me sinto relativamente seguro.

Sobre esses anúncios que tentavam reconfigurar o DNS usando anúncios, até cheguei a denunciar um ao Google e eles não aceitaram. Eles não iam fechar a torneira que estava enchendo o lago de dinheiro.

1
jtechintel
  • Autor
    Autor

Boa, configuração  AdGuard Home no Pi com DNS via DHCP do roteador já te coloca à frente de 95% dos usuários. Só uma observação: isso te protege contra resolução DNS maliciosa (bloqueio de domínios conhecidos), mas os ataques de reconfiguração DNS via anúncio que mencionei exploram o painel do roteador internamente (CSRF via JavaScript no ad creative). Ou seja, o vetor não é a resolução DNS em si  é o anúncio que tenta acessar 192.168.0.1 e trocar o DNS  antes do AdGuard entrar na jogada.

Se você já trocou a senha padrão do roteador, esse vetor específico fica muito mais difícil. Mas vale verificar se o painel do roteador exige autenticação para todas as alterações de configuração via POST, não só para login alguns modelos aceitam requests diretos sem sessão ativa.

Sobre o Google: experiência idêntica. O processo de denúncia é teatro. Enquanto o anunciante pagar, o incentivo estrutural é ignorar. É exatamente o ponto do artigo  a responsabilidade não pode ficar com quem denuncia, precisa estar na infraestrutura

1
neuraman

Claro ta bloqueando dns over https e até o convencional...

Estou tendo problemas em usar o dns da cloudflare no roteador e private dns no celular.

Mais alguém?

Ja tem post no reclame aqui...

1
jtechintel
  • Autor
    Autor

Pois é, a Claro tem um histórico longo com isso. Não é de agora — tem relato no https://community.cloudflare.com/t/claro-br-1-1-1-1-and-warp-are-being-blocked-brazil/122087 desde 2019, e no                                      
https://www.reclameaqui.com.br/claro/claro-bloqueia-varios-sites-via-dns-fuja-da-claro_XY6U5MWCIOcOzc-8/ tem uma porrada de relatos parecidos.

O que funciona pra maioria: tenta o 1.0.0.1 em vez do 1.1.1.1 — a Claro bloqueia o IP primário mas geralmente esquece do secundário. No celular, se o Private DNS tá sendo bloqueado, testa colocar one.one.one.one no campo de
hostname (em vez do IP direto). Outra opção é o DNS do Quad9 (9.9.9.9) que costuma passar.

Agora, se tá bloqueando DoH mesmo (DNS over HTTPS na porta 443), aí é mais agressivo. Nesse caso VPN resolve na hora — tráfego todo encriptado, a Claro nem vê que é DNS.

1
1
jtechintel
  • Autor
    Autor

Boa, DNS no dispositivo já corta o principal — o redirecionamento pra phishing bancário.

  Só fica ligado que câmera IP, smart TV, echo dot... esses usam o DNS que o roteador entrega. Não dá pra configurar neles individualmente (a maioria nem tem a opção). Se o roteador tiver a config de DNS na WAN, trocar lá cobre a
rede inteira de uma vez.

1
Gianpaulo

Cara, uso meu roteador no modo bridge tbm, mas tem anos q nao faco um update de firmware, ja nem sei se tem pro modelo q eu tenho aqui em casa, provavelmente esta descontinuado... :-|

Obrigado por compartilhar

1
jtechintel
  • Autor
    Autor

Cara, isso é mais comum do que parece — e é exatamente o cenário que o GhostDNS explora. Roteador em bridge, firmware de 2019, senha admin padrão. Prato feito.

Se o fabricante descontinuou, pelo menos faz duas coisas: troca a senha do admin (aquela admin/admin que ninguém muda) e desativa o gerenciamento remoto. Dois minutos e já fecha a porta mais usada por ataque de DNS no Brasil.

  Escrevi sobre isso com mais detalhe aqui se quiser dar uma olhada:

1
Nilzao

Sempre escolho roteador que esta na lista de hardware suportado do openwrt, ja comprei modelos novos, usados e ja peguei lixo eletrônico que estava no sótão.

Depois de dar uma olhada na porcaria que vem instalada de fábrica, frito o firmware com o openwrt.

1
jtechintel
  • Autor
    Autor

OpenWrt é outro nível. Já tive Archer C7 com OpenWrt rodando anos depois do fim do suporte oficial — enquanto o firmware de fábrica ficou com CVE aberta sem patch.

E quando você fala "porcaria de fábrica" é literal. BusyBox de 2018, kernel antigo, shell exposto na LAN. Frito mesmo.

Você usa algum pacote de adblock/DNS no OpenWrt? O adblock + DNS over HTTPS fecha bastante coisa sem depender de DNS externo.

1
Nilzao

Costumo usar o pyhole em vm ou no raspberry, geralmente os roteadores que pego são de baixo custo, ou lixo eletrônico, então evito acrescentar funcionalidades neles para nao perder performance ou até mesmo esquentarem até travar. Gosto do conceito de "resignificação de hardware" para diminuir o impacto ambiental, mesmo que seja insignificante, faço minha parte quando consigo.