Quando uma empresa define sua arquitetura de conectividade wireless, está definindo também os limites do que pode ou não ser acessado por quem não deveria. Redes privativas LTE/5G mudam esses limites de forma estrutural.
Conectividade e segurança: dois lados da mesma decisão
No primeiro semestre de 2025, o Brasil concentrou 84% de todas as tentativas de ataque cibernético registradas na América Latina, segundo o FortiGuard Labs, totalizando 314,8 bilhões de atividades maliciosas em apenas seis meses. O relatório CIO Report 2025, da Logicalis, aponta que oito em cada dez empresas brasileiras sofreram ao menos um incidente cibernético nos últimos 12 meses. Mais relevante do que o volume é a mudança de padrão: ataques antes oportunistas tornaram-se operações direcionadas, com foco crescente em sistemas industriais, operações de logística e ambientes de produção conectados.
Nesse cenário, a pergunta que muitos gestores ainda não fizeram é simples: por onde entram esses ataques? A resposta, com frequência, passa pela rede wireless corporativa.
A superfície de ataque que o Wi-Fi deixa aberta
O Wi-Fi é eficiente em escritórios e ambientes controlados. Mas em operações industriais, fazendas, armazéns logísticos ou áreas de mineração, ele apresenta limitações de segurança que vão além do alcance do sinal. Redes Wi-Fi dependem de autenticação por senha, e senhas são compartilhadas, reutilizadas e extraídas por engenharia social. É como um condomínio onde todos os moradores usam a mesma chave: basta uma cópia circular para que o controle de acesso deixe de existir. Um dispositivo não autorizado conectado à mesma rede que os sensores de uma linha de produção, ou os coletores de dados de uma colheita, representa um vetor de acesso que pode comprometer dados operacionais críticos.
Pense em uma frota de veículos autônomos em um centro de distribuição. Cada AGV trafega dados de posição, carga e status em tempo real. Se essa comunicação passa por uma rede Wi-Fi com credenciais compartilhadas entre dezenas de operadores, a superfície de vulnerabilidade cresce na mesma proporção que a operação. Qualquer dispositivo que conheça a senha, autorizado ou não, está dentro do mesmo espaço que os equipamentos críticos.
O que muda com uma rede privativa LTE/5G
A principal diferença de segurança em uma rede privativa LTE ou 5G está na arquitetura de autenticação. Diferente do Wi-Fi, que autentica por senha, redes celulares privativas exigem um SIM físico ou eSIM em cada dispositivo. Pense no SIM como um crachá corporativo individual e intransferível: cada equipamento tem o seu, vinculado ao core da rede, e nenhum dispositivo sem esse crachá consegue sequer iniciar uma conversa com a rede. Não existe equivalente a "copiar a senha" nesse modelo.
Além disso, o tráfego entre dispositivos e o eNodeB é criptografado por padrão segundo os algoritmos 3GPP, com suporte a AES-128 tanto no plano de controle quanto no plano de usuário. Em redes 5G standalone, a proteção sobe para AES-256 e inclui autenticação mútua entre dispositivo e rede, o que impede que uma estação base falsa se passe pela legítima, um tipo de ataque equivalente a instalar uma cancela falsa na entrada de um estacionamento para coletar os dados de quem passa.
Os eNodeBs Baicells suportam configuração de algoritmos de criptografia (128-EEA1, 128-EEA2, 128-EEA3) e de integridade (128-EIA1, 128-EIA2, 128-EIA3) diretamente pelo painel de gerenciamento, além de suporte nativo a IPsec entre o eNodeB e o security gateway do core, protegendo também o segmento de controle contra interceptação.
Isolamento: o dado que não sai da propriedade
Um ponto frequentemente subestimado é o do isolamento de dados. Em redes privativas configuradas no modelo Non-Public Network (NPN), o tráfego das operações nunca passa pela infraestrutura de uma operadora pública. É o equivalente a ter uma linha telefônica interna que só existe dentro das paredes da empresa: as conversas não saem para a rede pública e, portanto, não podem ser interceptadas nela. Os dados de telemetria de uma colheitadeira, os registros de produção de uma linha automatizada ou os logs de acesso de uma mineradora ficam dentro do perímetro físico e lógico da própria operação.
Quando o core da rede é implantado localmente, seja em servidor dedicado, em uma VM ou diretamente embarcado no hardware do eNodeB como nos modos HaloB da Baicells, nenhum dado operacional precisa atravessar a internet para ser processado. Para setores sujeitos à LGPD ou a regulamentações setoriais específicas, esse controle sobre o fluxo de dados tem implicações diretas em conformidade.
O elo frequentemente esquecido: o backhaul
Há um componente da rede privativa que costuma receber menos atenção na discussão de segurança: o enlace de backhaul, responsável por conectar o eNodeB ao core da rede. Se esse segmento não for protegido adequadamente, uma rede privativa tecnicamente bem configurada pode ter sua integridade comprometida justamente no ponto de transporte. É como um cofre com porta blindada, mas com uma janela aberta nos fundos: o ponto mais fraco define o nível real de proteção.
Soluções de backhaul ponto a ponto como os rádios Mimosa B5c e B11 implementam criptografia AES-128 com aceleração por hardware no enlace de rádio, além de gerenciamento via HTTPS e suporte a autenticação por chave PSK. O B11, voltado para enlaces de maior distância em faixa licenciada (10.7–11.7 GHz), adiciona sincronização GPS para colocalizações, o que também reduz a interferência intencional como vetor de degradação de serviço. Em operações distribuídas geograficamente, como fazendas com múltiplas torres ou plantas industriais com cobertura ampla, a segurança do backhaul não é um detalhe, é parte da cadeia de proteção.
Segmentação: separar o que não deve se misturar
Outro recurso relevante em redes 5G privativas é o network slicing, que permite dividir logicamente a rede em segmentos isolados com políticas de segurança distintas. Uma analogia prática: em um prédio corporativo, o sistema elétrico do gerador de emergência é separado do circuito comum. Se um sobrecarga derruba o circuito comum, o gerador continua funcionando porque os dois nunca foram a mesma coisa. O network slicing opera com lógica semelhante: uma mineradora pode manter o tráfego dos sensores de monitoramento estrutural em um slice com latência garantida e prioridade máxima, enquanto a comunicação de voz dos operadores ocupa outro slice. Um incidente em um segmento não se propaga automaticamente para os demais.
O que uma rede privativa não resolve sozinha
Uma rede privativa LTE/5G reduz significativamente a superfície de ataque no segmento wireless, especialmente em comparação com Wi-Fi corporativo convencional. Mas dispositivos comprometidos antes de serem provisionados, credenciais de administração vazadas e configurações inadequadas do core continuam sendo vetores válidos de ataque. A rede privativa funciona como uma estrutura de controle de acesso bem projetada: ela determina quem entra e o que pode fazer lá dentro, mas não substitui a vigilância contínua nem as políticas de uso interno.
A Telesys fornece no Brasil, com mais de 28 anos de trajetória, equipamentos small cells eNodeB e gNodeB Baicells, soluções de backhaul Mimosa e infraestrutura completa para redes privativas, trabalhando com integradores especializados:
- Portfólio completo: eNodeBs, gNodeBs, backhaul, core network, antenas, acessórios
- Suporte técnico: Dimensionamento de projeto, cálculo de link budget, planejamento de RF
- Assistência regulatória: Orientação sobre processo Anatel e documentação técnica
- Capacitação: Treinamentos para equipe técnica em implementação e otimização
- Estoque nacional: Disponibilidade imediata
