Porque é que uma VPN, por si só, não protege a tua privacidade – e o que é que realmente protege
O melhor telemóvel seguro 2025
Google Pixel 9a GrapheneOS VPN encriptada
Google Pixel 9 GrapheneOS VPN encriptada
O melhor router seguro 2025
Router encriptado VPN 4G portátil CryptHub V2
Router encriptado VPN 4G portátil CryptHub V3
Instalaste uma VPN. Talvez estejas a pagar por um dos grandes nomes – NordVPN, ExpressVPN, Surfshark. Vês o pequeno ícone do cadeado, o emblema “ligado”, e pensas: resolvido. Agora a minha Internet é privada.
Aqui está a verdade incómoda: uma VPN por si só não te torna privado. Nem de perto.
Uma VPN faz uma coisa específica bem – encripta a ligação entre o teu dispositivo e um servidor, escondendo o teu tráfego do teu ISP e de qualquer pessoa na tua rede local. Isso é útil. Mas é apenas uma camada num quadro muito mais vasto, e a maioria das pessoas trata-a como se fosse a solução completa.
Este guia explica o que uma VPN realmente protege, o que não protege, onde estão as verdadeiras lacunas e exatamente o que tens de fazer para as preencher.
Vamos tirar o marketing e falar sobre o que realmente acontece quando ligas uma VPN.
Imagina a tua ligação à Internet como uma estrada entre a tua casa e todos os sítios Web que visitas. Normalmente, o teu ISP pode ver cada paragem que fazes – cada sítio Web, cada pesquisa, cada transferência. Eles são donos da estrada.
Uma VPN constrói um túnel privado através dessa estrada. O teu ISP pode ver que estás a usar o túnel, mas não pode ver o que está dentro dele ou para onde vai. O tráfego sai no servidor VPN e continua para o site a partir daí.
É isso mesmo. É isso que uma VPN faz. Especificamente:
- Esconde a tua navegação do teu ISP – Eles vêem o tráfego encriptado que vai para o servidor VPN. Não conseguem ver os sites que visitas.
- Oculta o teu endereço IP dos sítios Web – os sítios Web vêem o IP do servidor VPN, não o teu. Isto dificulta o rastreio básico da tua localização.
- Encripta o tráfego em redes Wi-Fi públicas – Se estiveres numa rede de um café ou de um aeroporto, ninguém nas proximidades pode detetar o teu tráfego.
Tudo isso é verdadeiramente útil. Mas repara no que falta nesta lista – e é aí que começam os problemas.
É aqui que a maioria das pessoas se engana. Eis o que a tua VPN não pode fazer:
Não impede o rastreio por parte dos sítios Web.
Google, Facebook, Amazon – não precisam do teu endereço IP para te localizar. Utilizam cookies, impressões digitais do browser, sessões de início de sessão e pixéis de rastreio. No momento em que inicias sessão no Gmail através de uma VPN, a Google sabe exatamente quem és. O teu IP mudou, mas a tua identidade não.
Não protege as tuas consultas DNS (normalmente).
O DNS é o sistema que converte os nomes dos sites em endereços IP. Muitas aplicações VPN vazam consultas DNS para fora do túnel, o que significa que o teu ISP pode continuar a ver os sites que estás a visitar, mesmo com a VPN ligada. A isto chama-se uma fuga de DNS, e é chocantemente comum – mesmo com VPNs pagas.
Não protege outros dispositivos na tua rede.
Uma aplicação VPN no teu telemóvel protege o teu telemóvel. A tua smart TV, as câmaras de segurança, os dispositivos IoT, o portátil do teu parceiro – nada disso está coberto. Continuam a estar totalmente expostos ao teu ISP e a qualquer pessoa que comprometa o teu router.
Não te protege de malware ou phishing.
Se clicares numa ligação maliciosa ou descarregares software infetado, uma VPN não faz nada. O malware corre no teu dispositivo, dentro do túnel encriptado. É como trancar as portas do teu carro quando já está alguém no banco de trás.
Isso não te torna anónimo.
Este é o maior equívoco. Uma VPN transfere a confiança do teu ISP para o fornecedor de VPN. Se a tua VPN mantiver registos (e muitas mantêm, apesar de afirmarem o contrário), têm um registo completo de todos os sítios onde estiveste online. Não és anónimo – apenas mudaste quem te pode ver.
Esta é a pergunta que ninguém quer fazer. Estás a pagar a uma empresa para encaminhar todo o teu tráfego de Internet através dos seus servidores. Tudo. Cada site que visitas, cada mensagem que envias num canal não encriptado, cada ficheiro que descarregas. É uma enorme quantidade de confiança.
Então, quem o merece?
A maioria das VPNs comerciais não o faz. Eis a razão:
- NordVPN – Sofreu uma violação de servidor em 2018 que só foi divulgada em 2019. O servidor comprometido poderia ter sido utilizado para intercetar tráfego.
- HideMyAss – Entregou os registos dos utilizadores ao FBI em 2011, apesar de se promover como um serviço sem registos. Um utilizador foi preso com base nesses registos.
- PureVPN – Alegou “zero registos”, mas forneceu ao FBI registos de ligação que ajudaram a identificar um ciberperseguidor em 2017.
- VPNs grátis – O Hola VPN foi apanhado a vender a largura de banda dos utilizadores como um botnet. A VPN Onavo do Facebook recolheu todos os dados de navegação dos utilizadores. Se não estás a pagar, és o produto.
Dois fornecedores em que realmente confiamos:
Mullvad – Sediado na Suécia. Não precisas de e-mail para te inscreveres, apenas um número de conta gerado aleatoriamente. Aceita dinheiro por correio. Foi auditada várias vezes por entidades independentes. Quando a polícia sueca fez uma rusga aos seus escritórios em abril de 2023, não encontrou nada – porque não havia realmente nada para encontrar. Não existiam registos.
iVPN – Sediada em Gibraltar. Aplicações de código aberto, auditorias independentes, propriedade transparente, sem rastreio. Também aceita dinheiro e criptomoeda.
Se o teu fornecedor de VPN gasta mais em patrocínios no YouTube do que em auditorias de segurança, isso diz-te tudo o que precisas de saber.
O marketing da VPN faz com que pareça à prova de bala. A realidade discorda.
As fugas de DNS expõem a tua navegação
Em 2020, os investigadores da Comparitech testaram 20 aplicações VPN populares e descobriram que seis delas divulgavam consultas DNS. Os utilizadores pensavam que estavam protegidos enquanto os seus ISPs podiam ver todos os sites que visitavam. A VPN estava ligada. O ícone estava verde. E não estava a funcionar.
As fugas de informação WebRTC revelam o teu verdadeiro IP
O WebRTC é uma funcionalidade do browser utilizada para chamadas de vídeo. Pode contornar completamente a tua VPN, expondo o teu verdadeiro endereço IP a qualquer site que o peça. A maioria das aplicações VPN não bloqueia isto por defeito. Nunca saberias se não o testasses.
Falhas no interrutor de corte
Quando uma ligação VPN cai (o que acontece regularmente), o teu dispositivo deve parar todo o tráfego. É isso que um kill switch faz. Mas muitas aplicações VPN têm kill switches defeituosos que permitem a fuga de tráfego durante segundos durante a reconexão – tempo suficiente para que o teu IP real e as consultas DNS sejam expostos.
Apreensões e ordens judiciais de fornecedores de VPN
Se a tua VPN opera num país dos Cinco Olhos (EUA, Reino Unido, Canadá, Austrália, Nova Zelândia) ou numa jurisdição da UE sujeita a leis de retenção de dados, podem ser legalmente obrigados a começar a registar ou a entregar dados – muitas vezes sob ordens de mordaça que os impedem de te dizer.
O resultado final: Uma VPN é um ponto único de falha. Se falhar, vazar, registrar ou for comprometida, todo o seu modelo de privacidade entra em colapso. É por isso que nunca deve ser a tua única proteção.
Uma VPN é uma camada. Eis como construir uma verdadeira pilha de privacidade – começando pelas alterações mais impactantes.
Passo 1: Obter uma VPN em que possas realmente confiar
Muda para a Mullvad ou a iVPN. Cancela qualquer VPN patrocinada por influenciadores que estejas a utilizar. Configura-a para estar sempre ligada com o kill switch ativado. No Android, utiliza a definição integrada “Bloquear ligações sem VPN”. Não há excepções.
Passo 2: Corrige o teu DNS
Mesmo com uma VPN, configura o DNS encriptado separadamente. Usa DNS-over-HTTPS (DoH) ou DNS-over-TLS (DoT) com Quad9 (9.9.9.9) ou DNS Mullvad. Isto protege as tuas consultas DNS mesmo que a VPN tenha fugas ou quedas. Se possível, configura-o ao nível do router – isso abrange todos os dispositivos.
Passo 3: Protege toda a tua rede, não apenas um dispositivo
Instala uma VPN ao nível do router para que todos os dispositivos da tua rede estejam cobertos – smart TVs, câmaras, dispositivos IoT, telemóveis de convidados. Uma aplicação VPN no teu telemóvel não ajuda a tua campainha Ring ou o tablet do teu filho. Os nossos routers CryptHub vêm com isto incorporado.
Passo 4: Bloqueia as fugas WebRTC
No Firefox: vai a about:config e define media.peerconnection.enabled para false. No Brave: está bloqueado por predefinição. No Chrome: precisas de uma extensão como WebRTC Leak Prevent. Ou simplesmente não uses o Chrome.
Passo 5: Testa a tua VPN regularmente
Visita ipleak.net ou dnsleaktest.com com a tua VPN ligada. Verifica se o teu IP real não aparece. Verifica se as consultas DNS passam pela VPN e não pelo teu ISP. Faz isto mensalmente – as actualizações e as alterações de configuração podem quebrar as coisas silenciosamente.
Passo 6: Pára o rastreio do browser
Uma VPN esconde o teu IP. Não impede os cookies, as impressões digitais ou o rastreio baseado no início de sessão. Utiliza o Vanadium (no GrapheneOS), o Brave ou o Firefox com o uBlock Origin. Limpa os cookies regularmente. Utiliza perfis de browser separados para actividades diferentes. Nunca navegues com sessão iniciada no Google.
Passo 7: Encripta os teus dispositivos
Se alguém aceder fisicamente ao teu dispositivo, um histórico de VPN é o menor dos teus problemas. Encriptação total do disco em todos os dispositivos – BitLocker no Windows, FileVault no Mac, LUKS no Linux, PIN forte no Android. Isto não é negociável.
Passo 8: Usa o GrapheneOS no teu telefone
O Stock Android transmite dados ao Google ao nível do sistema – localização, utilização de aplicações, atividade de rede. Uma VPN não pode impedir isto porque o problema é o próprio sistema operativo. O GrapheneOS elimina tudo isso e dá-te controlos de rede por aplicação, controlos de sensores e isolamento de perfis. É a maior atualização de privacidade que podes fazer no telemóvel.
Passo 9: Reforça o teu router
Substitui o router do teu ISP. Instala o OpenWRT. Configura o DNS encriptado, VPN ao nível do router, desactiva o WPS e o UPnP, segmenta os dispositivos IoT numa rede separada. Ou compra um router CryptHub que faz tudo isto de imediato.
Passo 10: Reduzir ao mínimo o que partilhas
A melhor encriptação do mundo não pode proteger os dados que já cedeste. Elimina as contas não utilizadas. Pára de te inscreveres com o teu verdadeiro e-mail. Utiliza o SimpleLogin ou o AnonAddy para endereços descartáveis. Paga com criptomoeda ou dinheiro sempre que possível. Quanto menos dados estiverem nos servidores, menos haverá fugas, vendas ou intimações.
“Se já tenho uma aplicação VPN, porque é que preciso de um router de privacidade?” A pergunta é justa. A diferença é a seguinte:
| Proteção | Aplicação VPN | Router de privacidade |
|---|---|---|
| Dispositivos abrangidos | Apenas o dispositivo em que se encontra | Todos os dispositivos da tua rede |
| Sempre ativo | Apenas quando te lembras de o ligar | 24/7, não precisas de fazer nada |
| Proteção do DNS | Fugas frequentes | DNS encriptado a nível da rede |
| Dispositivos IoT | Não protegido | Totalmente protegidos |
| Visibilidade do ISP | Oculto num só dispositivo | Oculto para todo o agregado familiar |
| Fiabilidade do interrutor de corte | Varia, falha frequentemente | A nível da rede, sem falhas |
Uma aplicação VPN é como usar um colete à prova de bala. Um router de privacidade é como colocar uma armadura à volta de toda a casa. Ambas têm o seu lugar – mas o router é a base.
A melhor configuração: Um router de privacidade CryptHub em casa para uma proteção total da rede, mais uma aplicação Mullvad ou iVPN no teu telemóvel para quando estiveres fora.
Router encriptado CryptHub V1 Home VPN
Router encriptado VPN 4G portátil CryptHub V2
Router encriptado VPN 4G portátil CryptHub V3
É seguro utilizar uma VPN gratuita?
Não. As VPNs gratuitas têm de ganhar dinheiro de alguma forma, e essa “alguma forma” são quase sempre os teus dados. O Hola VPN vendia a largura de banda dos utilizadores como um botnet. A VPN Onavo do Facebook recolhia todos os dados de navegação. Muitas VPNs gratuitas injectam anúncios, seguem a tua atividade e vendem-na a terceiros. Se não estás a pagar pelo produto, tu és o produto. Utiliza a Mullvad ou a iVPN – ambas custam cerca de 5 euros/mês e foram sujeitas a auditorias independentes.
O meu ISP pode ver que estou a utilizar uma VPN?
O teu ISP pode ver que estás ligado a um servidor VPN e a quantidade de dados que está a fluir. Eles não podem ver o que está dentro do túnel – sem URLs de sites, sem conteúdo, sem consultas DNS (se configurado corretamente). Alguns ISPs limitam o tráfego VPN; usar o WireGuard na porta 443 pode ajudar a evitar isso. Para que o ISP fique totalmente cego, configura a VPN ao nível do router para que todo o tráfego doméstico seja encriptado, e não apenas um dispositivo.
Continuo a precisar de uma VPN se usar o GrapheneOS?
Sim, com certeza. O GrapheneOS protege o teu dispositivo e controla o que as aplicações podem aceder. Uma VPN protege o teu tráfego de rede do teu ISP, de bisbilhoteiros de Wi-Fi públicos e de qualquer pessoa que monitorize a ligação entre ti e a Internet. Eles resolvem problemas diferentes e funcionam melhor juntos. No GrapheneOS, define a Mullvad ou a iVPN como VPN sempre ativa com a opção “Bloquear ligações sem VPN” activada para máxima proteção.
Uma VPN é uma ferramenta útil. Não te estamos a dizer para deixares de a usar. Mas se é a única coisa que se interpõe entre ti e a vigilância, estás exposto de formas que provavelmente não te apercebes.
A verdadeira privacidade não é uma aplicação ou uma subscrição. São camadas – DNS encriptado, um router reforçado, um sistema operativo seguro, hábitos de navegação inteligentes e, sim, uma VPN de confiança. Cada camada apanha o que as outras não apanham.
Começa por mudar para uma VPN em que possas realmente confiar. Depois, segue os passos deste guia. Não precisas de fazer tudo hoje – mas faz alguma coisa. Porque o ícone VPN no teu ecrã não é o escudo que pensas que é.
Constrói as camadas. Começa pela base.
Publicações relacionadas
