O UPnP é um conjunto de protocolos de rede concebido principalmente para permitir que os dispositivos na mesma rede local se detetem e liguem automaticamente uns aos outros. Se isto parece um sonho para utilizadores sem conhecimentos técnicos, em muitos aspetos, é mesmo.
Afinal, no mundo ultra-ligado de hoje, a conveniência é rei. Desde consolas de jogos que se ligam facilmente à internet até às smart TVs e aos dispositivos IoT(nova janela) que parecem “funcionar e já está” mal saem da caixa — as redes modernas são concebidas para minimizar o esforço do utilizador. Uma das tecnologias que possibilita silenciosamente toda esta conectividade perfeita é o Universal Plug and Play (UPnP).
No entanto, o UPnP também é frequentemente utilizado para configurar o encaminhamento de portas em routers, permitindo que dispositivos na internet acedam a recursos na sua rede de área local (LAN). Isto (juntamente com outras vulnerabilidades de segurança que discutiremos mais tarde) significa que pode ser uma boa ideia desativar completamente o UPnP.
Neste artigo, vamos ver:
- O que é o UPnP?
- Como funciona o UPnP?
- Porque é que o UPnP é perigoso?
- Porque deve desativar o UPnP
- Encaminhamento de portas, UPnP e VPNs
- Como desativar o UPnP em routers
- UPnP — conveniência a um custo
O que é o UPnP?
Como o próprio nome sugere, o objetivo principal do UPnP é tornar os dispositivos em rede “plug and play” (ligar e usar). Por outras palavras, quando liga um dispositivo à sua rede, este deve simplesmente funcionar, sem necessidade de explorar as definições do seu router, abrir portas ou alterar endereços IP.
O UPnP alcança isto utilizando um conjunto de protocolos de rede que permitem aos dispositivos na sua rede local, tais como computadores pessoais, impressoras, modems, routers e dispositivos móveis, detetarem sem problemas a presença uns dos outros na rede e depois comunicarem entre si.
O UPnP também pode ser utilizado para configurar o encaminhamento de portas, efetuando o roteamento de ligações através da firewall do seu router para que possa ligar dispositivos na internet a dispositivos na sua rede local. Os motivos populares para isto incluem:
- Dispositivos IoT: Por exemplo, poderá querer verificar a transmissão da sua câmara de segurança, controlar o seu termóstato inteligente ou gerir o seu sistema de casa inteligente a partir de qualquer parte do mundo.
- Servidores multimédia domésticos: para que possa ver conteúdos do seu servidor Plex ou Jellyfin através da internet enquanto está fora de casa
- Servidores de jogos: para que possa alojar jogos multijogador sem pagar taxas de servidores de terceiros
- Partilha de ficheiros P2P: para permitir ligações de entrada para melhorar as velocidades de transferência. Consulte o nosso Guia definitivo para torrents para obter mais informações sobre como isto funciona.
Como funciona o UPnP?
Em termos simples, o funcionamento do UPnP pode ser dividido nos seguintes passos:
- Deteção: quando um dispositivo é ligado a uma rede, transmite uma mensagem para anunciar a sua presença. Outros dispositivos na rede podem responder a esta mensagem, permitindo-lhes detetarem-se mutuamente.
- Descrição: assim que os dispositivos se detetam mutuamente, partilham informações sobre as suas capacidades e serviços. Este passo envolve os dispositivos partilharem detalhes sobre o que podem fazer e como outros dispositivos podem interagir com eles.
- Configuração automática: os dispositivos podem solicitar automaticamente o encaminhamento de portas ao router. Por exemplo, uma consola de jogos pode solicitar ao router a abertura de portas específicas para que possa alojar jogos multijogador sem intervenção manual.
Porque é que o UPnP é perigoso?
Embora o UPnP traga uma conveniência inegável, também introduz preocupações de segurança graves. O que torna o UPnP arriscado não é apenas o seu funcionamento, mas o pouco controlo e visibilidade que normalmente tem sobre o que este está a fazer nos bastidores. Os principais riscos do UPnP são:
Encaminhamento de portas automático
Embora concebido principalmente para ligar dispositivos numa rede local, uma das funcionalidades mais úteis do UPnP é a capacidade de abrir portas automaticamente num router para que os dispositivos na sua LAN possam comunicar com dispositivos na internet. Infelizmente, as portas abertas podem permitir que agentes maliciosos acedam a dispositivos na sua rede local.
De notar que este risco também está presente se configurar manualmente o encaminhamento de portas no seu router. No entanto, se o UPnP estiver ativado, poderá abrir portas para configurar automaticamente múltiplos dispositivos (potencialmente vulneráveis) na sua rede local sem o seu conhecimento.
Sem autenticação
O UPnP foi concebido a pensar em redes locais de confiança, pelo que normalmente não requer qualquer autenticação dos dispositivos para funcionar. Isto significa que qualquer dispositivo na mesma rede — incluindo os que possam estar comprometidos — pode enviar pedidos ao router para abrir portas ou redirecionar o tráfego.
Se houver malware presente num único dispositivo infetado dentro da sua rede, este pode alterar silenciosamente as definições de rede e abrir brechas na sua firewall sem o seu conhecimento, permitindo assim que o malware comunique com o mundo exterior. Foi o que aconteceu com a infame botnet Mirai(nova janela), que explorou vulnerabilidades do UPnP para infetar dispositivos IoT (como câmaras domésticas) e routers para lançar alguns dos maiores ataques DDoS(nova janela) de sempre a nível mundial.
Esta falta de autenticação também significa que o malware se pode propagar facilmente pelos dispositivos UPnP ligados à sua rede local.
Maior risco de ataques de varrimento de portas
Graças principalmente a routers mais antigos ou mal configurados que aceitam ligações UPnP a partir da internet (e não apenas locais), milhões de dispositivos de rede e routers(nova janela) estão vulneráveis a DDoS e a outros ataques.
Porque deve desativar o UPnP
O UPnP pode facilitar a vida ao automatizar a configuração da sua rede, mas a sua falta de controlos de segurança e o potencial de abuso tornam-no uma funcionalidade de alto risco. Isto é especialmente verdade nos routers de consumo, onde a filosofia de design de “confiar em tudo” por predefinição do UPnP simplesmente não se alinha com as melhores práticas de segurança modernas e é uma bênção para a propagação de malware. Por isso, para a maioria das pessoas, pode argumentar-se que a conveniência não compensa o risco.
A falta de visibilidade sobre quais as portas que estão abertas, porque estão abertas e se as fechou corretamente cria pontos cegos na segurança da sua rede. Isto proporciona um ponto de entrada fácil para malware e hackers, que podem então criar portas das traseiras persistentes na sua rede, ou até encaminhar o seu tráfego através de servidores DNS controlados por atacantes (como visto com o Switcher Trojan(nova janela)).
Uma solução muito melhor é configurar manualmente o encaminhamento de portas conforme as suas necessidades, para que tenha total controlo e supervisão sobre quais as portas que estão abertas.
Saiba como configurar manualmente o encaminhamento de portas em vários routers
Tenha em atenção, contudo, que não faz sentido configurar o encaminhamento de portas no seu router para dispositivos que se ligam a uma VPN (ver abaixo).
Encaminhamento de portas, UPnP e VPNs
Quando liga um dispositivo a um servidor VPN, todos os dados que viajam entre o dispositivo e o servidor são encaminhados através de um túnel VPN encriptado. Enquanto viajam por este túnel VPN, nenhuma outra pessoa ou dispositivo pode ver os seus dados.
Isto inclui o seu provedor de serviços de internet (ISP) e, por extensão, o seu governo, mas também inclui o seu próprio router. Portanto, ao utilizar uma VPN, a ligação contorna efetivamente o seu router, tornando o UPnP (e o encaminhamento manual de portas no router) redundante. O encaminhamento de portas ao usar uma VPN significa abrir uma porta na firewall NAT que o seu fornecedor de VPN utiliza para proteger o servidor VPN — e não no router.
Se um dispositivo (ou aplicação em execução nesse dispositivo, como um cliente BitTorrent) for compatível com UPnP, deve desativar a definição para evitar conflitos com o software da VPN.
Saiba mais sobre o encaminhamento de portas com a Proton VPN
Como desativar o UPnP em routers
Desativar o UPnP no seu router é um processo simples, mas os passos exatos variam dependendo da marca e do modelo do seu router. Abaixo estão instruções gerais para desativar o UPnP em algumas das marcas de routers mais comuns. Noutros routers, as instruções serão semelhantes.
Para começar, introduza o endereço IP do seu router (geralmente 192.168.1.1 ou 192.168.0.1) na barra de endereços do seu navegador e inicie sessão com o seu nome de utilizador e palavra-passe de administrador. Isto está normalmente impresso num autocolante colado ao seu router (a menos que os tenha alterado). Depois:
Routers Linksys
Aceda ao separador Administração → UPnP → e mude a definição de UPnP para desativado. Clique em Guardar definições para aplicar as alterações. É recomendável reiniciar o seu router para garantir que as alterações produzem efeito. Para o fazer, aceda ao separador Administração → Reiniciar.
Routers Netgear
Aceda ao separador Administração → UPnP → e mude a definição de UPnP para desativado. Clique em Aplicar para guardar as alterações. É recomendável reiniciar o seu router para garantir que as alterações produzem efeito. Para o fazer, aceda ao separador Manutenção → Reiniciar.
Routers TP-Link
Aceda ao separador Avançado → Encaminhamento NAT → UPnP e mude a definição de UPnP para desativado. É recomendável reiniciar o seu router para garantir que as alterações produzem efeito. Para o fazer, aceda ao separador Sistema → Reiniciar.

Considerações finais sobre o UPnP — conveniência a um custo
O UPnP foi concebido com boas intenções; tornar as ligações em rede mais fáceis para os utilizadores comuns, permitindo que os dispositivos comuniquem e se configurem automaticamente. Mas, numa altura em que as ciberameaças são mais avançadas e frequentes do que nunca, esta conveniência é também um risco.
A falta de autenticação do UPnP, o encaminhamento de portas e o histórico de explorações tornam-no uma funcionalidade arriscada para manter ativada, especialmente em routers domésticos que raramente são monitorizados ou atualizados. Embora possa simplificar a configuração de jogos, dispositivos de streaming e aparelhos domésticos inteligentes, também abre silenciosamente portas pelas quais os piratas informáticos e o malware terão todo o gosto em passar.
Felizmente, desativar o UPnP é simples e a maioria das pessoas não notará qualquer diferença na utilização diária da Internet — especialmente se dedicar algum tempo a configurar manualmente os poucos serviços que realmente necessitam de portas abertas.
Isto é ainda mais fácil se utilizar o Proton VPN nos seus dispositivos, pois basta-lhe ativar a funcionalidade e nós abriremos uma porta adequada na nossa firewall de VPN para si.
Saiba como utilizar o encaminhamento de portas com o Proton VPN






