VPN como fator de segurança: Para que serve e quando usá-la

Túnel rodoviário comum com um carro próximo à saída iluminada.

Estar seguro na internet, hoje, não depende mais apenas do indivíduo, mas ainda assim existem medidas que cada um de nós pode tomar para mitigar os riscos. Uma muito alardeada nos últimos anos é o uso de uma VPN, sigla em inglês para “rede privada virtual”, mas você sabe o que é e para que serve uma?

“Especialistas costumam falar: ‘use VPN para sua segurança’, e muitas vezes a gente não explica ou não entra nos detalhes técnicos que nos levaram a concluir que uma VPN é uma forma segura de você se comunicar”, reconhece Fabio Assolini, pesquisador de segurança sênior da empresa de segurança Kaspersky. Pois bem, vamos falar de VPN, então.

A Kaspersky tem em seu portfólio uma solução de VPN.

“É como se fosse um túnel…”

A VPN cria uma espécie de túnel, quase sempre criptografado, entre um dispositivo conectado à internet (computador, celular) e um servidor remoto, estabelecendo assim a “rede privada virtual” a que seu nome alude. VPNs surgiram para permitir que trabalhadores acessassem remotamente recursos da empresa disponíveis em suas redes internas. Ao acessar uma, é como se você estivesse na rede local, a do provedor de VPN, o que libera o acesso à intranet e a outras ferramentas que não estão na internet.

VPNs comerciais, dessas que aparecem em anúncios e são indicadas por especialistas em segurança a usuários domésticos, têm servidores espalhados pelo mundo inteiro e “desembocam” na internet. Curiosamente, o principal uso delas, apontado por uma pesquisa da GlobalWebIndex do final de 2018, não tem nada a ver com segurança: burlar bloqueios regionais em serviços na internet, como os de streaming. Se eu, estando no Brasil, me conecto a uma VPN com servidores nos Estados Unidos, ao acessar a Netflix ou o Prime Video serei percebido como alguém que está nos Estados Unidos e, portanto, verei o conteúdo que é disponibilizado aos usuários de lá em vez dos acervos brasileiros. (A Netflix dificulta a vida de quem usa VPN desde janeiro de 2016, mas o exemplo segue valendo.) Da mesma forma, serviços indisponíveis no Brasil, como Hulu e Disney+ (para ficarmos no exemplo do streaming), passam a ser acessíveis, afinal, enquanto uso uma VPN com servidor norte-americano, para eles é como se eu estivesse nos Estados Unidos, e não no Brasil.

Infográfico mostrando o funcionamento de uma VPN.
O túnel criado pela VPN protege o tráfego de terceiros. Imagem: AT&T Cybersecurity.

Outro uso muito popular da VPN — nosso foco aqui — é aumentar a segurança e a privacidade na internet. Ao acessar a internet por uma VPN, é criado o já citado “túnel” que, criptografado, blinda os dados trafegados entre o usuário e a internet de bisbilhoteiros e atacantes maliciosos. Alguém que tente interceptar seus dados só encontrará uma conexão (à VPN) e dados ilegíveis, pois criptografados. E aos olhos da internet, você deixará de ser um ponto na rede identificável para se tornar apenas mais um acesso vindo dos servidores da VPN, que podem estar localizados até mesmo em outro país.

Importante: não confunda isso com anonimato. Embora a VPN oculte o seu IP aos sites da web e outros serviços de internet que você venha a usar, ela não garante anonimato. Se você acessar, por exemplo, seu perfil no Facebook estando em uma VPN, você será identificado. É um erro comum achar que VPN garante anonimato. Para esse fim, há soluções mais eficazes como a rede Tor.

Quando e onde usar uma VPN

Um movimento recente, exemplificado por este vídeo, tem desestimulado o uso de VPN para fins de segurança e privacidade porque, graças à pressão do Google, a maioria dos sites adotou o protocolo HTTPS, que criptografa de ponta a ponta o acesso. Ou seja, em sites em que o cadeado aparece na barra de endereços, é muito mais difícil interceptar dados.

Especialistas ouvidos pelo Manual do Usuário, porém, discordam. “Não são todos [os sites] ainda que adotam essa postura. Os bons sites têm sim HTTPS e isso já é um complemento de segurança, mas a VPN continua sendo bem útil”, disse Daniel Barbosa, especialista em segurança da informação da ESET, outra empresa de segurança digital.

Foto em macro de uma barra de endereço com HTTPS e o cadeado verde.
Foto: Santeri Viinamäki/Wikimedia Commons.

Cerca de 56% dos sites já adotam o protocolo HTTPS. E embora a maioria dos mais populares já seja criptografada, nem sempre o trabalho é bem feito, alerta Assolini. O analista da Kaspersky diz que falhas na implementação, como a ausência do mecanismo HSTS, que faz com que o servidor obrigue o navegador a lidar apenas com conteúdo criptografado no acesso a um site, abrem brechas para vários ataques difíceis de detectar, mas perigosos, como o downgrade de protocolo ou SSLstrip. Ele lembra, ainda, que a criptografia de sites cobre apenas uma parte das nossas atividades na internet, que compreende outros protocolos inseguros por natureza, como os do e-mail (POP3, SMPT, IMAP) e BitTorrent, e cenários em que é impossível saber se o tráfego de dados é seguro, como no uso de aplicativos para celular. “Você vai navegar [na internet] tranquilo sabendo que todo o seu tráfego está cifrado pelo app de VPN”, conclui Assolini.

Apesar da utilidade comprovada, nem todas as conexões à internet são iguais. Dependendo de onde você se conecta, a necessidade de fazê-lo com uma VPN varia.

Há unanimidade na recomendação pelo uso de VPN quando se acessa a internet por redes Wi-Fi públicas — de cafés, restaurantes e outros estabelecimentos. Os riscos são enormes nesse cenário, tanto o de interceptação de dados quanto o de alguém saber o seu histórico de navegação, ambas situações potencialmente catastróficas em alguns casos e, em qualquer outro, no mínimo indesejáveis.

A criptografia de uma boa VPN se desdobra em uma poderosa ferramenta de privacidade. “Se estou na rede de um hotel, só que não quero que essa rede do hotel saiba aonde estou ‘saindo’ [quais sites visito], eu acesso um túnel VPN e ‘saio’ por ele. A rede do hotel só vai saber que estou indo em direção a essa VPN e nada mais”, exemplifica Barbosa.

Já é ruim o bastante que os donos de um hotel ou restaurante tenham esse poder em mãos, mas imagine situações mais delicadas, como o Wi-Fi da empresa onde você trabalha ou a internet de um país autoritário. Não é por acaso que a China baniu o uso de VPNs não aprovadas pelo governo em fevereiro de 2018: além de deixar os censores chineses no escuro, outra característica da VPN, a de mascarar a localização do usuário, era um atalho para burlar o Grande Firewall que censura sites e conteúdos contrários aos interesses do governo. Afinal, alguém na China que acesse a internet por uma VPN com servidores em um outro país, como Brasil ou Japão, lidará com as regras e bloqueios do país da VPN, não com os chineses.

Alguém mais preocupado pode concluir que, nesse caso, o ideal é usar a internet apenas com uma VPN ligada, afinal, melhor não arriscar, certo? Não faz mal, mas deve-se levar em conta que as melhores VPNs são pagas e que no Wi-Fi doméstico e, principalmente, nas redes de internet móvel das operadoras, os riscos são bem menores.

“Do ponto de vista de riscos, eu diria que em todos os cenários há riscos. Só que temos que mensurar o seguinte: o quão fácil ou barato é fazer tal ataque?”, questiona Assolini. “O criminoso faz o ataque às massas a partir do momento em que aquele ataque é barato. Exemplo: vou usar o meu 3G/4G. É seguro? É. Tem risco? Tem. O risco é o criminoso montar uma torre de celular falsa próximo a você e, pelo fato dessa torre ser a mais próxima e com o sinal mais forte, o seu celular se conectar a ela automaticamente. Aí, ele pode, com isso, fazer um [ataque do tipo] ‘man in the middle’. É possível? Sim. Acontece muito? Não, porque é um ataque caro e exige um conhecimento difícil de se obter. Por isso a gente conclui que o 3G e 4G é mais seguro que o Wi-Fi público”.

“Se esse usuário já for um usuário de VPN, e não gerar custo adicional, não vejo por que não deixar [a VPN] sempre ligada”, reforça Barbosa. “Se for uma pessoa que ainda não é usuária de VPN, se ela nunca sentiu essa necessidade, não creio que seja algo mandatório que ela tenha VPN ligada em casa ou no 3G/4G”.

Leve em conta, ainda, que o principal ataque em redes Wi-Fi domésticas independe de VPN. A troca dos endereços do DNS, recurso que “traduz” os nomes de sites legíveis, como “manualdousuario.net”, para os códigos IPs dos servidores que guardam cada site, é muito comum no Brasil e pode levar a vítima a sites falsos, criados para capturar dados sensíveis, sem levantar suspeitas — o servidor DNS malicioso troca o IP de destino legítimo do site de um banco, por exemplo, pelo de uma réplica criada por criminosos para a captura dos dados de autenticação.

Assolini explica que  as melhores VPNs do mercado oferecem também servidores DNS próprios. Para quem não usa VPN, existem servidores DNS de uso gratuito e confiáveis, que podem ser configurados no próprio dispositivo (celulares, computadores) ou diretamente no roteador. São os casos de CloudFlare, Quad9 e NextDNS, para citar alguns.

Para resumir, Assolini fala em uma escala de necessidade para o uso de VPN: “Quanto maior o risco, mais recomendado o uso de VPN. Wi-Fi público pede 100% de uso da VPN. No 3G/4G, se não deu para usar, ok, menos ruim, menos risco”. Barbosa, da ESET, concorda: “Em casa, com o seu próprio roteador, ou com sua internet 3G/4G (sem ser roteado por outra pessoa), não é tão necessário [a VPN]. É uma medida extra, uma camada a mais de privacidade e segurança, mas não vejo como mandatório o uso de VPN nesses dois meios visto que são controlados apenas pelo provedor ou pelo próprio usuário”.

Print do app para computadores do ProtonVPN.
Imagem: ProtonVPN/Divulgação.

Uma exceção a essa regra se faz a locais onde pairam suspeitas sobre o provedor de acesso à internet (a operadora). Nos Estados Unidos, por exemplo, o Congresso passou uma lei em março de 2017 que libera os provedores para coletar e comercializar o histórico de navegação dos clientes sem depender da anuência deles. Em lugares como a já citada China, a preocupação é ainda maior. E no Brasil há o caso da Vivo, que gera preocupações por explorar comercialmente os dados dos seus clientes.

Ao conectar-se em uma VPN, todo o seu tráfego passa pelos servidores dela. Na prática, o que acontece é trocar o provedor de internet pelo da VPN como depositário da sua confiança, ou seja, em vez da sua operadora ou da sua rede Wi-Fi “ver” o seu comportamento, é a VPN que ganha esse poder. Por isso a confiança é o fator mais crítico na hora de escolher uma — há muita coisa em jogo.

De qualquer forma, é importante sempre ter uma VPN à mão para quando for necessário conectar-se em uma rede Wi-Fi desconhecida. E aqui mora outro problema: qual escolher?

O mercado opaco de VPNs

Homem no escuro mexendo em um computador.
Foto: iAmMrRob/Pixabay.

Quem acompanha canais de YouTube e sites de tecnologia já deve ter se deparado com anúncios agressivos de serviços de VPN. Alguns chegam a oferecer descontos de 80% somados a vários meses de gratuidade. Por um lado, a baixa barreira de entrada para novas empresas e a consequente forte concorrência em um mercado lotado dão origem a essas campanhas agressivas. Mas não no todo, porque, infelizmente, há muitas empresas pouco idôneas atuando.

Nesse contexto, o maior ativo de uma empresa de VPN passa a ser sua reputação. Uma boa empresa do ramo jamais guarda relatórios de uso dos seus clientes, pois não tê-los é a única garantia de que, em caso de uma ordem judicial, brecha de segurança, venda a terceiro ou qualquer outro imprevisto que coloque em risco a operação, os dados dos usuários não serão expostos. Um dos principais ingredientes das boas relações de confiança é a transparência, e é aqui que muitas VPNs se complicam.

É muito difícil saber quem é o dono de alguns dos aplicativos mais conhecidos de VPN, casos do NordVPN e ExpressVPN. Outros têm donos conhecidos, mas que não compartilham de valores imprescindíveis para uma VPN. Recentemente, o PIA (Private Internet Access), um serviço de VPN reconhecido pelo mercado, foi vendido à Kape Technologies, empresa com um histórico no mínimo questionável — um dos cofundadores já foi condenado por corrupção ativa e fraude, e em seu portfólio estão marcas que já foram flagradas distribuindo vírus em seus aplicativos. No subreddit oficial do PIA, a insatisfação é generalizada.

É um mercado tão sensível que mesmo negócios legítimos podem abalar a confiança dos usuários. Em março de 2018, os canadenses da TunnelBear foram adquiridos pela McAfee e em setembro o AnchorFree levantou US$ 295 milhões em capital de risco. Embora esses eventos não impliquem necessariamente riscos, eles geram preocupações pelas eventuais exigências que uma grande empresa de capital aberto pressionada por bons resultados trimestrais e um grupo de investidores ávidos por retornos exponenciais podem fazer no futuro.

Se entre as opções mais renomadas de VPN já é difícil escolher uma com tranquilidade, a situação entre as gratuitas é desoladora — com raras exceções, como a da Cloudflare (somente para celulares). “VPNs costumam ser muito procuradas em casos de incidentes. Por exemplo: caiu o WhatsApp no Brasil, vamos à VPN para poder acessar o WhatsApp. Isso é péssimo, porque você usa o primeiro serviço [que encontra], geralmente um totalmente gratuito, que traz pouca confiabilidade. Quando você tem uma VPN gratuita, você pode não estar pagando dinheiro a ela, mas alguma coisa eles estão lucrando com o seu acesso”, explica Barbosa.

O analista da ESET orienta os usuários a pesquisarem bastante, mas isso é cada vez mais difícil e nos leva de volta aos reviews e indicações de soluções de VPN. Muitas empresas do ramo gastam muito em publicidade — e nem sempre ela é identificada como tal. Sites que fazem “reviews” e listam as melhores opções, não raro, recebem comissão dos serviços endossados ou são criados exclusivamente por conta delas, como o finado TheBestVPN.com. O caso do NordVPN, um dos serviços de VPN mais “recomendados” por aí, também chama a atenção: eles têm um programa de afiliados generoso, que paga até 40% da assinatura, o que o leva a “vencer” muitos comparativos feitos por gente de olho apenas na comissão das indicações. E não bastasse isso, em outubro o NordVPN teve seus servidores hackeados.

Desde junho, o Manual do Usuário deixou de veicular links comissionados de lojas virtuais por concluir que eles representam um conflito de interesses com o editorial do site. Hoje, o Manual veicula posts patrocinados pagos por empresas, às vezes como ofertas de produtos ou serviços, mas jamais endossa a compra ou o uso deles. O que o blog vende às empresas é apenas o espaço para que ela se comunique diretamente com os leitores. Testes e pesquisas prévias são feitos apenas com o intuito de checagem, a fim de eventualmente vetar a veiculação de anúncios de produtos e serviços potencialmente enganosos, danosos ou perigosos.

O problema dos reviews falsos de VPN foi tema de um post recente no PrivacyTools, uma iniciativa sem fins lucrativos que oferece serviços, ferramentas e conhecimento contra a vigilância em massa de empresas e governos. Para o autor, Jonah Aragon, tudo se resume a uma palavra: transparência. A publicidade em si não é condenável, o problema é quando ela se disfarça de conteúdo orgânico, sem motivação financeira.

Assim, sobram poucos comparativos de VPN confiáveis. Dois dos melhores são o do próprio PrivacyTools, mais direto e com menos indicações, e o do That One Privacy Site, que lista e classifica, segundo nove critérios, mais de 100 (!) serviços de VPN.

Como dito, uma boa VPN é invariavelmente paga. As três indicadas pelo PrivacyTools, por exemplo — Mullvad, ProtonVPN e IVPN —, custam em média R$ 22 por mês (já convertidos do dólar e euro, moedas em que são cobradas). Apenas o ProtonVPN oferece uma solução apontada por Fabio Assolini, da Kaspersky, como bom meio termo para quem apenas eventualmente precisa ativar uma VPN, mas não quer se comprometer com mais um gasto: uma versão gratuita limitada.

No caso do ProtonVPN, a limitação está no número de países/servidores acessíveis (apenas três), quantidade de dispositivos na mesma conta (um) e velocidade da conexão (média). Não é o ideal para viver com uma VPN ligada, mas quebra o galho em uma consulta rápida na rede Wi-Fi do restaurante ou do hotel. Outros serviços, como o da russa Kaspersky e o da canadense TunnelBear, oferecem franquias — 200 MB de tráfego na primeira e 500 MB por mês na segunda. As duas franquias podem ser consumidas em minutos, mas, novamente, resolvem problemas pontuais.

A boa notícia é que, no geral, é possível viver sem uma VPN ininterrupta configurada em todos os seus dispositivos. Com diligência e disciplina (e um bom pacote de dados no plano de internet do celular), é possível desviar dos cenários mais propensos a problemas em que uma VPN faz a diferença. E para aqueles impossíveis, ter um app instalado nos dispositivos é fácil e gratuito, ou seja, não tem desculpa para não ter.

Agradecimento aos leitores do grupo do blog no Telegram (exclusivo para assinantes) que ajudaram com dúvidas e indicações de materiais para a apuração desta matéria. Obrigado!

Foto do topo: andychoinski/Pixabay.

Acompanhe

Newsletter (toda sexta, grátis):

  • Mastodon
  • Telegram
  • Twitter
  • Feed RSS

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

23 comentários

  1. Desde quando o Protonmail lançou o ProtonVPN eu o tenho instalado no meu celular (versão gratuita), e posso dizer, não tenho nada a reclamar. Meu uso não é continuo, mas quando eu me sinto desconfortável com a rede ou local onde me encontro, eu o ativo.

  2. Era assinante do PIA e cancelei. O motivo não foi a mudança de dono, q só fiquei sabendo agora e achei bem preocupante. O que pegou é q, de repente, a conexão começou a ficar ruim em alguns momentos do dia e no contato com o suporte do PIA, eles disseram q não têm contato com a Equinix q opera no Brasil para eles (sempre me conectava no BR pra ter a melhor velocidade). Ora, como assim eles não têm contato com um fornecedor deles? Achei estranho e na renovação cancelei. E é uma pena, pq era um bom serviço até há não muito tempo… Agora é buscar outro. Gostei muito desse post!

      1. Acho q vou num desses três. O preço é mais alto q o PIA e, agora, com o dólar chegando nos 5 tá difícil.

        1. O grande problema pra mim é que a maior parte cobra anualmente – o que eu sei que é comum nos EUA/Europa – e joga o preço de uma VPN dessas pra R$400 fácil.

          Por enquanto fico usando o OpenVPN com o VPNGUI.

          1. O PIA tinha um bom preço, app leve e com possibilidade de usá-lo em cinco aparelhos (dava pra mim e pra minha esposa sem problemas). O preço anual deles era razoável, acho q US$49. Agora ofereceram a renovação até por menos, por conda da minha desistência. Esses outros q seriam bons estão em 5 euros por mês… É muita grana. Acho q vai ficar pesado pra mim… E pior q não sei bem o q fazer agora, pq realmente preciso me conectar em serviços públicos, às vezes, apesar de estar preferindo conectar pelo celular… Só q meu plano é bem limitado (1Gb por semana) e não dá pra usar a internet livremente assim.

          2. 49 trumps dá 207 pockets. É salgadão.
            5 merkels dpa 23 pockets por mês. Salgado também.

            Privacidade e segurança são artigos de luxo e as empresas sabem disso. Mesmo as “boazinhas”

        2. Se você tiver alguma familiariadade com terminal, você pode contratar um servidor VPS e instalar nele um servidor de VPN, como o WireGuard ou OpenVPN.

          Você consegue encontrar um VPS com preços bem em conta, como o de US$3.50/mês do Amazon Lightsail, ou o de R$ 19,90/mês do UOL Host.

          Os únicos detalhes que você tem que notar é que essa solução não vai fornecer a mesma anonimidade de um VPN comercial tradicional, pelo contrário, você estará menos anônimo para os sites que você acessa pois sua conexão sempre estará partindo da mesma origem. Também não dá para usar essa conexão para baixar conteúdo pirata via torrent, pois as soluções de VPS geralmente proíbem esse uso.

          Mas se seu problema for apenas se conectar em redes públicas inseguras, como você disse em outro comentário abaixo, essa solução vai funcionar razoavelmente bem.

          1. parece interessante, mas limitador… as outras soluções tinham uma praticidade grande: instalar um app, fazer alguns ajustes e pronto. era usuário do pia há uns cinco anos… tava tudo bem resolvido. ainda estou tentando encontrar forças pra ver o q fazer sobre isso. tem a rede tor q já bastaria pra navegação, mas o vpn era melhor. de todo modo, valeu pelas dicaS!

  3. eu tinha gostado da PIA pq se não me engano o criador do Linux tinha recomendado (ou era o steve wozniak, não lembro), mas agora estou receoso em relação a ela.

    agora estou testando a ProtonVPN e gostando bastante, estou assinstindo ao jogo da UCL com ela ativa e não está travando, fora que não tem muitas firulas de configuração, é bem ao ponto, estou pensando em assinar.

  4. Tá de brincadeira.
    Fui entrar no posto livre para perguntar sobre vpn e estava fechado. Assinei uma tal de Private internet acess.

    1. Eles não têm uma política de reembolso? Aciona o suporte, de repente eles devolvem o valor integral. Não sei se é o caso do PIA, mas muitos desses SaaS têm políticas de 30 dias de “garantia” (devolução integral do valor pago).

  5. A ProtonVPN no seu plano gratuito oferece velocidades de download acima dos 20 megas. Velocidade suficiente para a grande maioria das pessoas, além também de não limitar o acesso a um único dispositivo.

    Costumo usar VPN no meu dia a dia e o meu principal motivo para fazê-lo é que tenho receio do que o meu provedor de internet pode fazer com as minhas informações. Isso é um agravante especialmente para aqueles que são de cidade pequena assim como eu.

    Muitas vezes você não sabe quem está do outro lado da linha e se ele é honesto. Para garantir uma VPN caiu muito bem.

  6. Seria legal também substituir o “mandatório”, uma tradução errada do “mandatory” em inglês por “obrigatório”. Faz bem falar bem o português.

      1. Nada. É tradução errada que RH e empresário gosta de tacar como regra. E como são, quase sempre, pessoas brancas de classe social alta, pega.

        O mesmo vale pra “aplicar”.

        Antigamente tinha até um Tumblr de “português corporativo”

  7. A versão gratuita da ProtonVPN é bem razoável pra mim, a velocidade não chegou a me atrapalhar pra coisas básicas. Fora que com o dólar no preço de hoje a versão gratuita desperta amor sincero no meu bolso vazio de estudante kkkkk

    Aproveitarei meu primeiro comentário pra questionar: como espalhar práticas de segurança pra família e amigos? Pq de vez em quando eu até comento sobre gerenciadores de senhas e uso de 2FA, mas só vi uma amiga adotar esse tipo de medida dps de ter o email invadido.

    Abraços

    1. como espalhar práticas de segurança pra família e amigos?

      Acho que a única coisa que funciona é (quase) literalmente pegar na mão e fazer junto. Muitas coisas triviais, como VPN, autenticação em dois fatores e gerenciador de senhas, soam como física quântica para quem não está familiarizado. (Confesso que até para mim, que navego por esses assuntos relativamente bem, batia uma preguiça antes de sentar e resolver.) Então para dar tranquilidade e resolver eventuais problemas, estar junto conta muito. Se essas pessoas já tiverem você como uma referência em tecnologia, o “filho/sobrinho/amigo que entende tudo”, melhor.

  8. Quando usar:
    No torresmo.

    Não coloco wifi público na lista pq na minha opinião, wifi público nem deve ser usado. Nem mesmo em emergência.

    1. Torrent tem como forçar criptografia. Eu fazia isso pra burlar o sistema de bloqueio do Instituto de Informática da UFRGS, por exemplo.

      VPN em torrent é só quando algum tracker não permite download criptografado.

      Sem falar que torrent quase sempre usa DHT, o que deixa quase impossível achar quem está compartilhando o arquivo e quem está baixando ou mesmo saber o que está sendo baixado. Em países com internet não-neutra, como Alemanha e França, os alertas de violação de direitos autorais se dão por cruzamento de dados e/ou download direto (Mega, por exemplo) e por vezes pelo protocolo mesmo (alguns locais na Europa baniram o uso do protocolo torrent).

Do NOT follow this link or you will be banned from the site!