Glossário — termos de VPN em linguagem clara

Um kill switch monitoriza o túnel VPN e bloqueia todo o tráfego da Internet se o túnel for interrompido — por exemplo, quando mudas de Wi-Fi ou quando o servidor perde a ligação. Sem ele, o computador continua a enviar pacotes pela tua rede normal até o cliente se reconectar, o que expõe o teu endereço IP real. Para quem usa VPN para ocultar a sua localização, o kill switch é, na prática, obrigatório.

O split tunneling divide o tráfego por dois caminhos. Podes, por exemplo, usar o navegador através da VPN mas deixar a aplicação do banco ou as impressoras locais fora dela, o que de outro modo costuma resultar em o serviço bloquear-te ou ficar mais lento do que o necessário. O oposto do split tunneling — túnel total — envia tudo pela VPN, independentemente da aplicação.

No multi-hop (por vezes chamado double VPN), o teu tráfego passa por uma cadeia de dois servidores em países diferentes. O primeiro servidor vê o teu IP real, mas não o que visitas; o segundo vê o destino, mas não a origem do tráfego. Isto protege contra um fornecedor que falhe na disciplina de não registo, mas custa velocidade e é exagerado para a maioria dos utilizadores.

Sempre que abres uma página web, o computador faz uma consulta ao nome de domínio através de um servidor DNS. Se o tráfego DNS for, por engano, diretamente para o teu fornecedor de Internet em vez de passar pelo túnel VPN, este continua a ver toda a lista de sites que visitas, mesmo que o carregamento das páginas seja encriptado. A proteção contra fugas de DNS força as consultas a passarem pelo túnel.

Um protocolo VPN define como o cliente e o servidor negoceiam um túnel encriptado e como os pacotes são empacotados. WireGuard é o padrão moderno, com uma base de código reduzida, rápida e boa em redes móveis. OpenVPN é mais antigo e mais lento, mas extremamente comprovado e disponível em todo o lado. IKEv2/IPsec lida bem com mudanças de rede e é frequentemente usado em telemóveis. Evita protocolos antigos como PPTP ou L2TP sem IPsec.

Todos os serviços VPN sérios encriptam o tráfego com AES-256 ou ChaCha20. Ambos são hoje praticamente inquebráveis com métodos conhecidos. Expressões como «military-grade» ou «bank-grade encryption» são puro marketing — não existe tal norma. O que importa mais é como as chaves são trocadas e se é usado perfect forward secrecy, o que todos os protocolos modernos fazem.

O país onde a empresa está sediada determina que tribunais e serviços de segurança podem exigir dados ou obrigar o fornecedor a começar a registar. Os países dentro das alianças Five/Nine/14 Eyes partilham informações de forma rotineira; os fornecedores sediados fora delas (por exemplo, no Panamá ou na Suíça) ficam algo mais livres. Isto, no entanto, não protege contra uma má política de no-logs — um país sem requisitos de retenção só serve se o fornecedor realmente não guardar nada.

Ler mais sobre Five / Nine / 14 Eyes →

O número de servidores é uma métrica popular para destacar, mas diz pouco por si só. Três mil servidores em cinco países é pior do que trezentos servidores em cinquenta países. O que conta é se há servidores perto de onde estás (latência) e nos países a que precisas de te ligar (geobloqueio). Números altos refletem também a forma como o fornecedor conta — instâncias virtuais e balanceadores de carga são frequentemente incluídos.

O número de países com servidores determina de que regiões geográficas podes obter um endereço IP. Se queres aceder à BBC iPlayer, é preciso haver servidores no Reino Unido; se queres ver a Netflix americana, é preciso que haja nos EUA. Para a maioria das pessoas, 30 a 50 países chegam bem; para além disso é sobretudo para casos pontuais.

As localizações de servidores indicam de onde podes obter um ponto de saída. Alguns fornecedores operam servidores físicos em todos os países listados; outros usam servidores virtuais, em que a máquina está noutro lugar mas atribui um endereço IP do país de destino. Para o geobloqueio, ambos são equivalentes; para a latência, a localização física é melhor.

Um plano gratuito costuma ser uma amostra, não uma alternativa completa. Limitações típicas são 500 MB a 10 GB de tráfego por mês, poucos países de servidores e velocidade mais baixa. Evita VPN gratuitas de fornecedores desconhecidos — a operação é cara e, se não estás a pagar, provavelmente és tu o produto (medição publicitária ou revenda de tráfego).

A garantia é, na prática, um período de teste gratuito: pagas a anuidade e exiges o reembolso antes de o prazo terminar caso não estejas satisfeito. Lê as condições — alguns fornecedores recusam o reembolso se tiveres usado demasiado tráfego, comprado via App Store ou através de promoções específicas.

Quase todos os fornecedores de VPN se promovem com um preço inicial fortemente descontado e depois voltam a um preço regular bastante mais alto na renovação. O desconto pode ser de 60 a 80 % no primeiro ano. É o preço de renovação que representa o custo a longo prazo — é esse número que deves comparar.

O limite controla quantos dos teus dispositivos podem estar ligados à VPN ao mesmo tempo. Um router conta como um dispositivo, mas cobre tudo o que se ligue por trás dele, pelo que instalar no router é uma boa forma de poupar no número de dispositivos. Se partilhas a conta com a família, costuma ser preciso suporte para 5 a 10 dispositivos em simultâneo.

Com um número ilimitado de ligações em simultâneo, podes iniciar sessão em quantos dispositivos quiseres ao mesmo tempo. Útil para agregados grandes, equipamento de casa inteligente e se queres partilhar a conta com familiares próximos. Pressupõe-se um uso razoável — os fornecedores costumam atuar contra a partilha comercial.

A maioria dos bloqueadores de anúncios das VPN é, no fundo, uma lista negra de DNS: o servidor recusa resolver domínios de publicidade conhecidos. Isto funciona contra banners e rastreadores de terceiros, mas falha contra anúncios que estão no mesmo domínio que o conteúdo (por exemplo, o YouTube). Uma extensão dedicada para navegador como o uBlock Origin é mais minuciosa. Duas vantagens da variante VPN: protege todos os dispositivos e funciona em aplicações, não só no navegador.

Uma aplicação oficial para o serviço VPN torna a instalação simples e trata automaticamente de detalhes como o kill switch e a proteção contra fugas de DNS. É comum existir suporte para Windows, macOS, Linux, iOS e Android. Se faltar uma plataforma (por exemplo, um router específico ou uma Apple TV), costuma ser possível ligá-la manualmente através de ficheiros de configuração OpenVPN ou WireGuard, mas sem funcionalidades extra.

Uma extensão de VPN no Chrome ou no Firefox é, na maioria dos casos, um proxy HTTPS, não um túnel VPN completo. Apenas o tráfego do navegador é protegido; todo o restante tráfego de rede (outras aplicações, atualizações do sistema, cliente de e-mail) segue o caminho normal. É útil quando queres mudar temporariamente o país de saída sem configurar um túnel ao nível do sistema, mas não substitui um cliente VPN a sério.

Marcamos como Sim se o próprio site do fornecedor menciona o streaming como uma funcionalidade. Muitos serviços de streaming mantêm listas de endereços IP de VPN e bloqueiam-nos. Um fornecedor que funciona hoje pode deixar de funcionar para a semana. Uma garantia de reembolso curta é o melhor seguro se o streaming for o teu principal objetivo.

O número de serviços de streaming que o próprio fornecedor lista como suportados no seu site. Alguns listam exaustivamente numa página dedicada, outros apenas um subconjunto, outros não listam de todo.