Segurança para Coworkings e Flex Office: como isolar tenants, blindar a rede compartilhada e proteger o acesso predial
Coworking é o único modelo de negócio que coloca dezenas de empresas concorrentes na mesma rede, no mesmo prédio e sob o mesmo controle de acesso. A Decripte testa a segmentação entre tenants, isola o tráfego, blinda o IoT predial e monitora 24x7 para que o vizinho de mesa nunca vire o vetor de invasão do seu cliente.
Direct answer
Para proteger um coworking ou flex office, a prioridade é eliminar a movimentação lateral entre clientes na rede compartilhada: segmentar cada tenant em VLAN ou rede isolada própria, aplicar isolamento de clientes (client isolation) no Wi-Fi, separar a rede corporativa do prédio (controle de acesso, catracas, câmeras, automação predial/IoT) da rede dos membros, e exigir autenticação forte e cifragem (WPA2/WPA3-Enterprise com 802.1X) em vez de senha única compartilhada. Sobre essa base, monitore o tráfego leste-oeste com um SOC 24x7 que detecte varreduras e tentativas de pivô entre redes, faça gestão contínua de vulnerabilidades nos equipamentos de rede e IoT, e mantenha um plano de resposta a incidentes com contenção rápida para isolar um membro comprometido sem derrubar o prédio inteiro. Em paralelo, a operação precisa estar conforme à LGPD para os dados de membros (cadastro, biometria de acesso, faturamento). A Decripte faz exatamente esse trabalho: testa a segmentação por dentro, isola os tenants, blinda o controle de acesso predial e monitora o ambiente. Comece pelo diagnóstico gratuito de Gestão de Ameaças em decripte.com.br/intelligence-center.
24/7
SOC monitorando a rede compartilhada
<=1h
SLA de contenção de incidente
LGPD
Conformidade para dados de membros e biometria
WPA3
Padrão de cifragem Wi-Fi recomendado
In summary
- ›A rede compartilhada de um coworking é, por padrão, um único domínio de broadcast onde empresas concorrentes enxergam o tráfego umas das outras; sem segmentação real, o membro mal-intencionado faz reconhecimento e pivô para outros clientes.
- ›Client isolation no Wi-Fi não basta: ele bloqueia tráfego entre clientes do mesmo SSID, mas não isola sub-redes cabeadas, impressoras, NAS, IoT predial nem o tráfego que passa pelo gateway.
- ›O controle de acesso predial (catracas, fechaduras inteligentes, câmeras, automação) costuma estar na mesma rede plana dos membros, transformando uma invasão de Wi-Fi em comprometimento físico do prédio.
- ›A LGPD se aplica ao coworking como controlador dos dados de membros (cadastro, CPF, biometria de acesso, faturamento) e como possível operador de dados que transitam na rede; biometria é dado pessoal sensível.
- ›A defesa eficaz combina segmentação testada por pentest, isolamento por tenant, hardening de IoT predial, SOC 24x7 para detectar pivô leste-oeste e resposta a incidentes com contenção em até 1 hora.
Cibersegurança para Coworkings e Flex Office
Coworking é o único modelo de negócio que coloca dezenas de empresas concorrentes na mesma rede, no mesmo prédio e sob o mesmo controle de acesso. A Decripte testa a segmentação entre tenants, isola o tráfego, blinda o IoT predial e monitora 24x7 para que o vizinho de mesa nunca vire o vetor de invasão do seu cliente.
Por que coworkings e flex offices concentram um risco que nenhum outro setor tem
Coworkings e espaços de flex office construíram um modelo de negócio brilhante do ponto de vista imobiliário e péssimo do ponto de vista de segurança de rede, se nada for feito a respeito. Em um único andar, dezenas de empresas distintas — muitas vezes concorrentes diretas, algumas reguladas (fintechs, escritórios de advocacia, contabilidades, healthtechs) — compartilham a mesma infraestrutura física: o mesmo link de internet, os mesmos switches, o mesmo Wi-Fi, as mesmas impressoras, a mesma catraca e o mesmo sistema de câmeras. Esse compartilhamento é a proposta de valor do negócio. Também é, sem o devido isolamento, a maior superfície de ataque lateral que existe no mercado corporativo brasileiro.
O ponto que diferencia o coworking de um escritório tradicional é a confiança implícita na borda interna. Em uma empresa comum, todo mundo conectado à rede interna pertence à mesma organização e, em tese, responde à mesma política de segurança. Em um coworking, a pessoa conectada na mesa ao lado pode ser um freelancer que você nunca viu, um membro de plano diário que entrou hoje e sai amanhã, ou um atacante que pagou uma diária justamente para ter um ponto de presença na rede e atacar de dentro. A barreira de entrada para o adversário é, literalmente, o preço de um day pass.
O vizinho de mesa é parte do seu modelo de ameaça
Em um coworking sem segmentação real, um único membro mal-intencionado precisa apenas conectar-se à rede para iniciar reconhecimento (varredura de hosts e portas), capturar tráfego, enumerar serviços expostos por outras empresas e tentar movimentação lateral. Diferente de um ataque externo, ele já passou pelo firewall de borda: está dentro.
Some-se a isso o fato de que o coworking não controla os endpoints dos seus membros. Cada empresa traz seus próprios notebooks, com seu próprio nível de patch, seu próprio antivírus (ou a ausência dele) e suas próprias máquinas potencialmente já comprometidas. O coworking herda o risco de todos eles na mesma rede. Um único notebook infectado com um worm ou um implante de movimentação lateral pode varrer a rede inteira buscando alvos, e cada alvo é o ativo crítico de uma empresa diferente.
O que está realmente em jogo
- ›Dados de membros sob guarda do coworking: cadastro, CPF/CNPJ, biometria de acesso, dados de faturamento e cobrança
- ›Dados em trânsito de cada empresa-cliente passando pela rede compartilhada
- ›O controle de acesso físico do prédio (catracas, fechaduras, câmeras, automação predial)
- ›A reputação do coworking como operador confiável — um incidente entre tenants destrói a confiança de toda a base
As quatro ameaças que definem o setor de coworking
1. Movimentação lateral entre clientes na rede compartilhada
Esta é a ameaça-mãe do setor. Quando todos os membros estão no mesmo segmento de rede — a clássica rede plana — o tráfego de uma empresa é visível e alcançável pela outra. Um atacante na rede executa varreduras com ferramentas triviais (nmap, arp-scan) para mapear hosts ativos, identifica serviços expostos (compartilhamentos SMB, painéis administrativos, bancos de dados, impressoras, NAS), e tenta explorar credenciais fracas, serviços desatualizados ou protocolos legados. ARP spoofing e ataques man-in-the-middle permitem interceptar tráfego não cifrado. O objetivo não é o coworking: é o cliente do coworking. O coworking é apenas o caminho.
2. Comprometimento do controle de acesso e do IoT predial
Catracas, fechaduras inteligentes, leitores biométricos, câmeras IP, controladoras de elevador, sistemas de ar-condicionado e automação predial são, hoje, dispositivos de rede. Muitos rodam firmware antigo, com senhas padrão de fábrica, interfaces web sem cifragem e protocolos sem autenticação. Quando esses dispositivos compartilham a rede com os membros, um atacante que comprometa o Wi-Fi ganha caminho para o controle físico do prédio: abrir portas, desligar câmeras, manipular logs de acesso ou apagar gravações. O incidente deixa de ser digital e passa a ter consequência física e jurídica.
IoT predial: o elo esquecido
Câmeras IP e controladoras de acesso são notórias por credenciais padrão e firmware vulnerável. Em uma rede plana de coworking, comprometer uma câmera pode dar ao atacante não só vigilância, mas um ponto de pivô persistente — um dispositivo que ninguém monitora, ligado 24 horas, dentro da rede.
3. Vazamento de dados de membros e 4. Wi-Fi inseguro / rogue AP
O coworking é controlador, no sentido da LGPD, de uma base rica: nome, CPF, e-mail, telefone, empresa, dados de pagamento, fotos e — cada vez mais comum — biometria facial ou digital usada no controle de acesso. Biometria é dado pessoal sensível pela LGPD. Um vazamento dessa base por invasão do sistema de gestão, do CRM ou da plataforma de reservas expõe o coworking a sanções da ANPD e a dano reputacional severo. Some-se a isso o anti-padrão clássico do setor: a senha única de Wi-Fi (WPA2-PSK) impressa na cozinha, que não identifica quem se conecta, não permite revogação individual e é vulnerável à captura de handshake. Pior: um atacante pode subir um rogue access point — ponto de acesso falso com o mesmo nome do legítimo — para capturar credenciais e tráfego dos membros (evil twin), sem que ninguém note um roteador a mais num ambiente cheio.
Sinais de que o seu coworking está exposto
- ✓Wi-Fi com senha única compartilhada (WPA2-PSK) impressa em local visível
- ✓Todos os membros e o sistema predial na mesma faixa de IP / mesma VLAN
- ✓Client isolation desligado ou inexistente no Wi-Fi
- ✓Câmeras, catracas e fechaduras com credenciais de fábrica
- ✓Sem registro de quem se conecta à rede nem por quanto tempo
- ✓Impressoras e NAS compartilhados acessíveis por qualquer membro
- ✓Nenhum monitoramento de tráfego interno (leste-oeste)
Is coworkings e flex office data already exposed or up for sale? Find out now — for free.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Segmentação de verdade: a diferença entre client isolation e isolamento por tenant
Muitos coworkings acreditam estar protegidos porque ativaram o client isolation no controlador Wi-Fi. É um começo, mas é insuficiente, e entender por quê é o ponto técnico central deste setor. O client isolation impede que dois dispositivos conectados ao mesmo SSID conversem diretamente entre si na camada 2. Ele não isola: sub-redes cabeadas, dispositivos em VLANs diferentes que se encontram no gateway, impressoras e NAS que precisam ser alcançáveis, tráfego que sobe ao roteador e desce para outro segmento, nem o próprio IoT predial. Um atacante que conheça a topologia rapidamente encontra os caminhos que o client isolation não cobre.
Segmentação real significa dar a cada empresa-cliente — ou a cada classe de membro — seu próprio domínio isolado: uma VLAN dedicada, com políticas de firewall que negam por padrão o tráfego entre segmentos (deny inter-tenant) e só liberam o que é estritamente necessário (acesso à internet, a serviços compartilhados controlados). A rede dos membros precisa estar separada por firewall da rede de gestão do prédio, que abriga controle de acesso, câmeras e automação. Servidores de gestão do coworking ficam em um terceiro segmento, sem rota para o tráfego dos membros.
O modelo-alvo de segmentação que a Decripte implanta
- ›Rede de membros segmentada por tenant (VLAN ou rede isolada por cliente), com deny inter-tenant no firewall
- ›Wi-Fi corporativo com WPA2/WPA3-Enterprise e 802.1X — cada empresa com suas próprias credenciais, revogáveis individualmente
- ›Rede de gestão predial (IoT, acesso, câmeras) totalmente isolada, sem rota para a rede de membros
- ›Rede de administração do coworking (CRM, sistema de reservas, faturamento) em segmento próprio
- ›Wi-Fi de visitantes/day pass em segmento descartável, isolado de tudo, só com saída para internet
A diferença prática é enorme. Em uma rede plana, comprometer um membro dá acesso a todos. Em uma rede segmentada e testada, comprometer um membro confina o atacante ao seu próprio segmento — ele não enxerga outros tenants, não alcança a rede predial e não chega ao sistema de gestão. A segmentação transforma um incidente potencialmente catastrófico em um evento contido e isolado. Mas segmentação só vale se for testada por dentro, porque erros de configuração — uma VLAN mal aplicada, uma regra de firewall larga demais, uma rota residual — abrem buracos invisíveis no diagrama.
Por que a segmentação precisa ser testada com pentest, não apenas configurada
Configurar VLANs e regras de firewall é diferente de provar que elas funcionam. A história da segurança de redes está cheia de segmentações que existiam no diagrama do projeto e não na realidade do tráfego: uma porta de switch em modo trunk onde deveria ser access, uma regra de firewall com any-any esquecida em produção, um servidor multi-homed com uma perna em dois segmentos, um equipamento de IoT que faz bridge entre redes. Cada um desses erros anula a segmentação inteira, e nenhum deles aparece sem teste prático.
A Decripte aborda a segmentação de um coworking exatamente como um atacante faria, só que com autorização e método. Conectamos um ponto de presença em cada segmento relevante — como se fôssemos um membro qualquer — e tentamos, de dentro, chegar a outros tenants, à rede predial e ao sistema de gestão. Mapeamos o que é alcançável, identificamos os caminhos de pivô, testamos as regras de isolamento e documentamos cada brecha com prova de conceito reproduzível. O entregável não é um relatório teórico: é a demonstração concreta de onde a segmentação falha e o passo a passo para corrigir.
O que um pentest de segmentação revela na prática
Em ambientes de coworking, os achados recorrentes incluem: VLANs de membros que se encontram no gateway sem regra de bloqueio entre elas; rede de câmeras acessível a partir do Wi-Fi de visitantes; impressoras compartilhadas servindo de ponte entre segmentos; painéis administrativos de switches e access points expostos com credenciais padrão; e o Wi-Fi de gestão usando a mesma PSK do Wi-Fi de membros. Cada achado é um caminho de movimentação lateral que o client isolation não cobre.
O pentest também avalia o Wi-Fi de forma específica: tenta capturar handshakes, avalia a resistência da PSK, verifica a possibilidade de rogue AP e evil twin, e testa se a rede de visitantes realmente não alcança nada além da internet. Para um coworking, o resultado desse trabalho é a capacidade de afirmar, com evidência, que um membro não consegue atacar outro — que é precisamente a promessa de confiança que sustenta o negócio.
Blindagem do controle de acesso e do IoT predial
O controle de acesso físico é onde o risco digital do coworking vira risco do mundo real. Catracas que liberam portas, fechaduras inteligentes que destravam salas privativas, leitores biométricos que guardam a digital de cada membro, câmeras que gravam todos os ambientes — todos são computadores na rede, e todos precisam de hardening específico. A Decripte trata o IoT predial como uma classe de ativo crítica, não como item secundário.
Hardening de IoT predial que aplicamos
- ✓Inventário completo de dispositivos: câmeras, catracas, fechaduras, controladoras, automação
- ✓Troca de todas as credenciais de fábrica por senhas fortes e únicas
- ✓Isolamento da rede de IoT predial em VLAN dedicada, sem rota para membros
- ✓Atualização de firmware e desativação de serviços e portas desnecessárias
- ✓Cifragem das interfaces administrativas e desativação de protocolos legados sem autenticação
- ✓Restrição de acesso administrativo por IP e por rede de gestão apenas
- ✓Monitoramento dos dispositivos no SOC para detectar comportamento anômalo
O leitor biométrico merece atenção redobrada porque cruza segurança e LGPD. A digital ou a face de um membro são dados pessoais sensíveis. O coworking precisa garantir não só que o dispositivo está seguro, mas que o armazenamento dos templates biométricos é cifrado, que o acesso a essa base é restrito e auditado, e que existe base legal e finalidade documentada para coletar e tratar essa biometria. Um vazamento de base biométrica é praticamente irreversível — você não troca de digital — e a ANPD trata dados sensíveis com rigor elevado.
Câmeras na nuvem e gravações
Sistemas de câmera modernos enviam imagens para a nuvem do fabricante. Isso adiciona um operador externo ao tratamento de dados do coworking e amplia a superfície: credenciais fracas no portal do fabricante expõem todas as câmeras pela internet. É preciso mapear esse fluxo, exigir autenticação forte e avaliar a conformidade do fornecedor antes de confiar a vigilância do prédio a um terceiro.
What would an incident in coworkings e flex office cost? See your real risk before it happens.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Monitoramento contínuo: por que o coworking precisa de um SOC 24x7
Segmentar e blindar reduz a superfície de ataque, mas não elimina o risco. Membros entram e saem todos os dias, novos dispositivos se conectam, configurações mudam, e atacantes que conseguem um ponto de presença operam de forma lenta e discreta para não disparar alarmes óbvios. Um coworking sem monitoramento contínuo só descobre que foi atacado quando o estrago já apareceu — geralmente quando um cliente reclama. Um SOC 24x7 muda essa lógica: observa o tráfego, correlaciona eventos e detecta os sinais de reconhecimento e pivô antes que virem incidente.
O que o SOC 24x7 da Decripte observa em um coworking
- ›Varreduras de rede (port scan, host discovery) originadas de dentro — sinal de reconhecimento de um membro
- ›Tentativas de tráfego entre segmentos que deveriam estar isolados (pivô leste-oeste)
- ›Conexões anômalas vindas da rede de IoT predial
- ›Aparecimento de dispositivos não autorizados (possível rogue AP)
- ›Tentativas de autenticação suspeitas no Wi-Fi corporativo e no sistema de gestão
- ›Exfiltração de dados: volumes incomuns de saída, conexões a destinos maliciosos conhecidos
O valor do monitoramento contínuo num ambiente multi-tenant é a capacidade de atribuir e isolar. Quando o SOC identifica que um host específico, em um segmento específico, está varrendo a rede, ele sabe qual membro está envolvido e pode acionar a contenção daquele segmento sem afetar os demais. Em uma rede plana e não monitorada, o coworking nem saberia que o ataque está acontecendo, muito menos de onde parte. A combinação de segmentação testada com monitoramento 24x7 é o que entrega, na prática, a promessa de que o vizinho não é um perigo.
Conformidade LGPD: a responsabilidade do coworking sobre os dados de membros
O coworking não é um espectador neutro dos dados. Ele é controlador dos dados que coleta dos próprios membros — cadastro, documentos, biometria de acesso, dados de pagamento — e tem responsabilidades claras sob a Lei Geral de Proteção de Dados (Lei nº 13.709/2018). Precisa de base legal para cada tratamento, finalidade documentada, política de privacidade clara, mecanismos para atender direitos dos titulares e, sobretudo, medidas técnicas e administrativas de segurança proporcionais ao risco. Biometria, por ser dado pessoal sensível, exige cuidado reforçado e, em regra, consentimento específico e destacado ou outra base adequada do rol de dados sensíveis.
Incidente de segurança e o dever de notificar
A LGPD prevê que, em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o controlador comunique a ANPD e os titulares afetados em prazo razoável. Um vazamento da base de membros de um coworking aciona esse dever. Ter um plano de resposta a incidentes que inclua o fluxo de notificação não é opcional: é parte da conformidade.
Há ainda uma camada que muitos coworkings ignoram: o tráfego dos membros que passa pela rede compartilhada. O coworking não trata o conteúdo desses dados, mas opera a infraestrutura por onde eles passam, e uma falha de segmentação que permita a um membro interceptar dados de outro é uma falha de segurança da informação com potencial implicação legal. A boa segmentação e a cifragem do Wi-Fi não são só boas práticas técnicas — sustentam a postura de conformidade e a defensabilidade do coworking caso um incidente ocorra.
Conformidade LGPD para coworking na prática
- ✓Mapeamento dos dados pessoais tratados (membros, visitantes, biometria, pagamentos)
- ✓Base legal e finalidade documentadas para cada tratamento, com atenção especial à biometria
- ✓Medidas técnicas: cifragem, controle de acesso, segmentação, logs e retenção definida
- ✓Política de privacidade e mecanismos de atendimento aos direitos dos titulares
- ✓Plano de resposta a incidentes com fluxo de notificação à ANPD e aos titulares
- ✓Avaliação de fornecedores que operam dados (câmera em nuvem, sistema de gestão)
Como a Decripte aborda um coworking, do diagnóstico à operação contínua
A jornada começa sem fricção e sem custo. No diagnóstico gratuito de Gestão de Ameaças em decripte.com.br/intelligence-center, o coworking obtém uma visão inicial de sua exposição — o que aparece de sua infraestrutura na internet, indícios de credenciais vazadas, ativos expostos — sem precisar de reunião ou proposta comercial. É a forma mais rápida de transformar a preocupação abstrata com a rede compartilhada em uma lista concreta do que precisa de atenção.
A partir daí, a estruturação segue uma ordem lógica: testar a segmentação por dentro (pentest), corrigir o que foi encontrado, isolar tenants e blindar o IoT predial, colocar o monitoramento 24x7 no ar e fechar a conformidade LGPD. Cada etapa entrega valor independente e mensurável. O coworking não precisa comprar tudo de uma vez — começa pelo gratuito, evolui para o que o diagnóstico priorizar e contrata os planos pagos conforme a maturidade. Os planos disponíveis estão em decripte.io/planos.
O resultado que o coworking entrega aos seus membros
Um espaço onde a empresa do andar de cima não consegue enxergar a do andar de baixo; onde o Wi-Fi identifica e isola cada cliente; onde o controle de acesso predial está separado e blindado; onde alguém vigia a rede 24 horas por dia; e onde os dados de cada membro são tratados conforme a LGPD. Isso deixa de ser custo e vira diferencial competitivo: segurança como argumento de venda para atrair fintechs, escritórios de advocacia e empresas reguladas que hoje hesitam em entrar em um coworking.
Anatomia de um caso real: o membro de day pass que tentou pivotar entre empresas
Real, de-identified example
Exemplo real descaracterizado (sem identificar o cliente). Um coworking de médio porte, com cerca de 40 empresas-membro distribuídas em três andares, opera com Wi-Fi de senha única compartilhada (WPA2-PSK) e client isolation ativado — o que a equipe acreditava ser proteção suficiente. Toda a infraestrutura, incluindo câmeras IP e a controladora das catracas, está na mesma faixa de IP dos membros. Um indivíduo adquire um plano de acesso diário (day pass) com o objetivo específico de atacar uma fintech que sabe ser membro do espaço. Este cenário ilustra como a Decripte atua quando acionada.
Reconhecimento (dia 0)
Conectado ao Wi-Fi compartilhado, o atacante percebe que o client isolation bloqueia o tráfego direto entre dispositivos do mesmo SSID, mas que o gateway, as impressoras e a rede de câmeras permanecem alcançáveis. Ele executa varredura a partir desses caminhos não isolados, mapeia hosts ativos e identifica a controladora de catracas e duas câmeras IP com interface web exposta e credenciais de fábrica.
Detecção (dia 0, +2h)
O coworking havia contratado, semanas antes, o SOC 24x7 da Decripte e a segmentação ainda estava em implantação. O SOC detecta um padrão anômalo: um host na rede de membros gerando varreduras sistemáticas em direção à faixa de IoT predial e tentativas repetidas de autenticação na interface das câmeras. O alerta é classificado como movimentação lateral em andamento e escalado imediatamente.
Contenção (dia 0, <=1h após detecção)
Dentro do SLA de contenção de até 1 hora, a Decripte isola o segmento de origem: o host do atacante é colocado em quarentena de rede, o acesso da rede de membros à faixa de IoT predial é bloqueado por regra de firewall emergencial, e as interfaces administrativas das câmeras e da controladora são fechadas para a rede de membros. O atacante perde alcance sem que nenhum outro membro seja afetado — o coworking continua operando normalmente.
Erradicação (dia 0–1)
A Decripte troca todas as credenciais de fábrica do IoT predial, atualiza o firmware dos dispositivos vulneráveis, revisa logs das câmeras e da controladora para confirmar que não houve acesso bem-sucedido a gravações ou liberação indevida de portas, e identifica o day pass associado ao host para registro do incidente.
Recuperação e isolamento (dia 1–5)
A implantação da segmentação é acelerada: cada empresa-membro passa a operar em rede isolada própria, com deny inter-tenant no firewall; a rede de IoT predial é movida para VLAN dedicada sem rota para membros; o Wi-Fi de visitantes/day pass ganha segmento descartável com saída apenas para internet; e o Wi-Fi corporativo migra para WPA2/WPA3-Enterprise com credenciais individuais por empresa.
Validação por pentest (dia 6–10)
A Decripte executa pentest de segmentação conectando pontos de presença em cada segmento e tentando, de dentro, alcançar outros tenants, a rede predial e o sistema de gestão. Confirma que a movimentação lateral está bloqueada, documenta os caminhos antes possíveis e entrega prova de que um membro não consegue mais atacar outro.
Lições e conformidade
A Decripte produz o registro do incidente, orienta o coworking sobre a avaliação de risco aos titulares sob a LGPD e estrutura o tratamento da base de membros e da biometria de acesso. O coworking passa a usar a segurança como argumento comercial para atrair empresas reguladas.
Outcome with Decripte
Porque o SOC 24x7 já estava no ar, a tentativa de pivô foi detectada em horas e contida dentro do SLA de até 1 hora, sem qualquer empresa-membro comprometida e sem acesso físico indevido ao prédio. A Decripte transformou um quase-incidente em catalisador de estruturação: segmentação real testada por pentest, IoT predial blindado, Wi-Fi corporativo individualizado e conformidade LGPD encaminhada. O coworking saiu da situação não apenas seguro, mas capaz de provar, com evidência técnica, que o vizinho de mesa não é mais um vetor de risco.
Don’t wait for the incident. Start hardening coworkings e flex office today.
Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.
Como a Decripte responde a um incidente em coworking
Quando um coworking aciona a Decripte diante de um incidente — varredura suspeita, suspeita de pivô entre tenants, comprometimento de câmera ou catraca, vazamento da base de membros — a resposta segue um método que prioriza isolar o problema sem derrubar o prédio inteiro e sem expor os demais membros.
- Detecção e triagem: o SOC 24x7 identifica o evento (varredura interna, tráfego entre segmentos isolados, comportamento anômalo de IoT) e classifica a gravidade, determinando qual segmento e qual membro está envolvido.
- Contenção em até 1 hora: isolamos o host ou o segmento de origem em quarentena de rede e aplicamos regras de firewall emergenciais para cortar o caminho de pivô, preservando a operação dos demais tenants e do prédio.
- Preservação de evidências: capturamos logs de rede, tabelas ARP, registros do Wi-Fi corporativo, logs das controladoras de acesso e gravações relevantes antes de qualquer alteração, mantendo a cadeia para análise e eventual responsabilização.
- Erradicação: removemos o acesso do atacante, trocamos credenciais comprometidas e de fábrica, fechamos as brechas de configuração que permitiram o movimento e atualizamos firmware do IoT predial envolvido.
- Recuperação e endurecimento: restabelecemos a operação normal já com segmentação corrigida, isolamento por tenant reforçado e Wi-Fi corporativo individualizado, garantindo que o mesmo caminho não possa ser reusado.
- Validação por pentest: testamos por dentro que a movimentação lateral está efetivamente bloqueada entre tenants, para a rede predial e para o sistema de gestão, com prova reproduzível.
- Conformidade e notificação: avaliamos, com o coworking, o risco aos titulares sob a LGPD, apoiamos o fluxo de comunicação à ANPD e aos membros quando aplicável, e documentamos o incidente.
- Lições aprendidas: entregamos o relatório com a causa-raiz, as correções aplicadas e as recomendações de estruturação para que o incidente não se repita.
Como a Decripte estrutura a segurança de um coworking
Responder a incidentes é necessário, mas o objetivo é fazer com que eles não aconteçam. A estruturação de segurança de um coworking pela Decripte se apoia em pilares que atacam diretamente a movimentação lateral entre clientes, o risco do IoT predial e a conformidade com os dados de membros.
Segmentação testada e isolamento por tenant
Cada empresa-membro em rede isolada própria, com deny inter-tenant no firewall, rede de IoT predial e rede de gestão em segmentos separados, e Wi-Fi de visitantes descartável. A segmentação não é só configurada: é validada por pentest que tenta o pivô de dentro e prova que ele não acontece.
Blindagem do controle de acesso e do IoT predial
Inventário e hardening de câmeras, catracas, fechaduras e automação: troca de credenciais de fábrica, atualização de firmware, isolamento em VLAN dedicada, cifragem das interfaces e restrição de acesso administrativo. O acesso físico do prédio deixa de ser alcançável a partir da rede dos membros.
Wi-Fi corporativo com identidade e cifragem fortes
Substituição da senha única compartilhada por WPA2/WPA3-Enterprise com 802.1X, dando a cada empresa credenciais próprias, revogáveis individualmente, com rastreabilidade de quem se conecta. Detecção de rogue AP e evil twin incorporada ao monitoramento.
Monitoramento 24x7 e resposta a incidentes
SOC observando o tráfego leste-oeste para detectar reconhecimento e pivô entre tenants, anomalias no IoT predial e tentativas de exfiltração, com plano de resposta que contém em até 1 hora e isola o segmento afetado sem impactar os demais.
Gestão contínua de vulnerabilidades
Varredura e priorização recorrentes dos equipamentos de rede, access points, controladoras de acesso e sistemas de gestão do coworking, fechando janelas de exposição antes que sejam exploradas — porque o ambiente muda toda semana com a entrada e saída de membros e dispositivos.
Conformidade LGPD para dados de membros e biometria
Estruturação do tratamento da base de membros, da biometria de acesso (dado sensível) e dos dados de pagamento, com base legal, medidas técnicas, política de privacidade, atendimento a titulares e fluxo de notificação de incidentes à ANPD.
Recommended plans for Coworkings e Flex Office
Pentest
O coração da segurança de coworking: testar por dentro a segmentação da rede compartilhada, provar se um membro consegue pivotar para outro tenant, para a rede predial ou para o sistema de gestão, e avaliar o Wi-Fi contra captura de handshake, rogue AP e evil twin. Sem o pentest, a segmentação existe só no diagrama.
See plan →SOC 24x7
Em um ambiente onde membros entram e saem todos os dias e o atacante pode ser um day pass, o monitoramento contínuo do tráfego leste-oeste é o que detecta reconhecimento e movimentação lateral entre clientes antes que virem incidente, com atribuição ao segmento e ao membro envolvido.
See plan →Resposta a Incidentes
Quando um membro é comprometido ou o IoT predial é atacado, a contenção em até 1 hora isola o segmento afetado sem derrubar o prédio inteiro nem expor os demais tenants — exatamente o que um espaço multiempresa precisa para não transformar um incidente em crise reputacional com toda a base.
See plan →Conformidade
O coworking é controlador de dados sensíveis de membros, incluindo biometria de acesso. A estruturação LGPD garante base legal, medidas técnicas, atendimento a titulares e o fluxo de notificação à ANPD, transformando a conformidade em defensabilidade e em argumento de venda para empresas reguladas.
See plan →Frequently asked questions
Ativar o client isolation no Wi-Fi já protege meu coworking?
É um começo, mas não basta. O client isolation impede que dois dispositivos no mesmo SSID conversem diretamente, mas não isola sub-redes cabeadas, impressoras, NAS, IoT predial nem o tráfego que passa pelo gateway. Um atacante usa justamente esses caminhos não cobertos para alcançar outros membros. Segmentação real exige redes isoladas por tenant e regras de firewall, validadas por pentest.
Como impedir que uma empresa-membro ataque outra na rede compartilhada?
Segmentando a rede de forma que cada empresa fique em seu próprio domínio isolado (VLAN ou rede dedicada), com bloqueio entre tenants no firewall, Wi-Fi corporativo com credenciais individuais (WPA2/WPA3-Enterprise) e monitoramento 24x7 do tráfego interno. A Decripte testa por dentro, como um atacante faria, para provar que o pivô entre clientes está bloqueado.
O controle de acesso e as câmeras do prédio são um risco de segurança digital?
Sim. Catracas, fechaduras, leitores biométricos e câmeras são dispositivos de rede e, com frequência, rodam firmware antigo e credenciais de fábrica. Se compartilham a rede dos membros, uma invasão de Wi-Fi pode virar controle físico do prédio. A Decripte isola o IoT predial em rede dedicada e faz hardening de cada dispositivo.
O coworking tem responsabilidade sob a LGPD pelos dados dos membros?
Sim. O coworking é controlador dos dados que coleta dos membros — cadastro, CPF, dados de pagamento e, muitas vezes, biometria de acesso, que é dado pessoal sensível. Isso exige base legal, medidas técnicas de segurança, política de privacidade, atendimento a titulares e plano de notificação de incidentes à ANPD.
A senha única do Wi-Fi compartilhada é segura?
Não. A senha única (WPA2-PSK) não identifica quem se conecta, não permite revogação individual e é vulnerável à captura de handshake e quebra offline. Também facilita ataques de rogue AP e evil twin. O recomendado é WPA2/WPA3-Enterprise com 802.1X, dando a cada empresa credenciais próprias e rastreáveis.
Quanto tempo a Decripte leva para conter um incidente em um coworking?
Com o SOC 24x7 ativo, a detecção ocorre em tempo real e a contenção segue um SLA de até 1 hora, isolando o segmento ou o host de origem sem afetar os demais membros nem a operação do prédio. A segmentação prévia é o que permite conter sem derrubar tudo.
Por onde começo se não sei qual é o meu nível de exposição?
Pelo diagnóstico gratuito de Gestão de Ameaças em decripte.com.br/intelligence-center. Ele mostra, sem custo e sem reunião, o que da sua infraestrutura aparece na internet, indícios de credenciais vazadas e ativos expostos, transformando a preocupação com a rede compartilhada em uma lista concreta de prioridades.
Preciso contratar tudo de uma vez?
Não. Você começa pelo gratuito em decripte.com.br/intelligence-center, evolui para o que o diagnóstico priorizar e contrata os planos pagos conforme a maturidade. Em geral, a sequência para coworking é Pentest de segmentação, depois SOC 24x7 e Resposta a Incidentes, com Conformidade LGPD em paralelo. Os planos estão em decripte.io/planos.
Sector terms
- Movimentação lateral (pivô)
- Técnica em que um atacante, já dentro da rede, se move de um host comprometido para outros sistemas — em um coworking, de um membro para outro, ou para a rede predial. É a ameaça central do setor por causa da rede compartilhada.
- Client isolation
- Recurso do Wi-Fi que bloqueia o tráfego direto entre dispositivos conectados ao mesmo SSID. Útil, mas insuficiente: não isola sub-redes cabeadas, IoT predial nem o tráfego que passa pelo gateway, deixando caminhos de pivô abertos.
- Segmentação de rede (VLAN / isolamento por tenant)
- Divisão da rede em segmentos isolados, com regras de firewall que negam tráfego entre eles por padrão. Em coworking, cada empresa-membro recebe seu próprio segmento, confinando um eventual atacante ao seu domínio sem alcançar outros clientes.
- Rogue AP / Evil twin
- Ponto de acesso Wi-Fi falso, instalado por um atacante com o mesmo nome do legítimo, para induzir vítimas a se conectarem e capturar suas credenciais e tráfego. Risco elevado em ambientes movimentados como coworkings.
- IoT predial
- Conjunto de dispositivos conectados que controlam o prédio: câmeras IP, catracas, fechaduras inteligentes, leitores biométricos, automação e controle de acesso. Frequentemente vulneráveis e, em rede plana, um caminho do digital para o comprometimento físico.
- Dado pessoal sensível (LGPD)
- Categoria especial de dado pessoal sob a LGPD que inclui biometria. Em coworkings que usam reconhecimento facial ou digital no controle de acesso, esses dados exigem base legal adequada e medidas de segurança reforçadas.
Decripte protects and responds to incidents in coworkings e flex office.
Pentest, 24x7 SOC, incident response with a 1-hour containment SLA and compliance — without building an internal team. Or start free by seeing what has already leaked from your company.
