Ligar um VPN é trivial. Verificar que ele faz realmente o que promete — isso é coisa bem diferente. A maioria dos utilizadores clica em «Ligar», vê um visto verde e dá o assunto por encerrado. O cliente mostra um IP estrangeiro, portanto tudo deve estar bem. Só que essa luz verde nada diz sobre as consultas DNS que saem em claro para o seu fornecedor, sobre o verdadeiro IP revelado por WebRTC a qualquer site que interrogue o navegador, ou sobre o kill switch que nunca dispara porque uma atualização do sistema operativo desativou silenciosamente a extensão.
Esta auditoria de nove testes demora cerca de meia hora à primeira vez, depois quinze a vinte minutos como rotina trimestral. Vai além das fugas clássicas (IP, DNS, WebRTC, IPv6): verifica também a geolocalização do lado da plataforma para streaming, o fingerprinting do navegador (que sobrevive ao VPN) e a estabilidade global ao longo de dez minutos de condições reais. É mais exigente do que a maioria das verificações rápidas de VPN em 7 passos, e é exatamente o protocolo que aplicamos aos VPN que testamos internamente para a nossa metodologia publicada.
Porque é que um VPN posto em «ON» nunca chega por si só
O túnel cifrado entre o seu dispositivo e o servidor VPN é sólido. Usa OpenVPN, WireGuard ou IKEv2 com cipher suites modernas (AES-256-GCM, ChaCha20-Poly1305) — a própria camada criptográfica deixou no essencial de ser o elo fraco desde 2018. O elo fraco hoje é tudo o que contorna o túnel sem o seu conhecimento.
Quatro vulnerabilidades representam a maior parte das configurações VPN defeituosas. Primeiro, as fugas de DNS silenciosas: o seu sistema operativo continua a resolver os nomes de domínio através do servidor DNS do seu fornecedor, que vê assim todos os sites que visita ainda que o conteúdo esteja cifrado. Segundo, as fugas de WebRTC do lado do navegador: um excerto de JavaScript numa página qualquer sonda os candidatos ICE e obtém o seu IP local e público real apesar do VPN ativo. Isto está documentado no RFC 8826 sobre considerações de segurança do WebRTC e é o vetor de desanonimização mais explorado pelas redes de marketing comportamental.
Terceiro, o IPv6 não gerido: o seu fornecedor implementa IPv6 de forma nativa (BT, Sky, Virgin Media no Reino Unido; Comcast, Verizon nos EUA), o seu VPN só tuneliza IPv4, e o resultado é que a Google, a Cloudflare e o Facebook veem o seu verdadeiro IPv6 enquanto você pensa estar protegido por detrás do IPv4 do VPN. Quarto, um kill switch ausente ou avariado: a cada queda do VPN (mudança de Wi-Fi, suspensão do ecrã, atualização do cliente), o seu tráfego retoma em claro sem qualquer alerta visível, por vezes durante minutos antes da reconexão automática.
A Electronic Frontier Foundation di-lo com clareza: um VPN é uma ferramenta para delegar confiança, não para uma anonimização absoluta. Transfere a confiança do seu fornecedor para o seu fornecedor de VPN, na condição de este configurar corretamente o túnel, tratar as fugas do lado do cliente e respeitar a sua política de registos. Verificar essas três condições técnicas é o objetivo dos testes que se seguem.
Teste 1 — O seu IP público está realmente mascarado?
Este é o teste mais elementar e o que apanha as configurações mais grosseiramente defeituosas em menos de 30 segundos. Abra a nossa ferramenta My IP sem o VPN primeiro. Anote o endereço IPv4 apresentado, o IPv6 se presente e — fundamental — o nome do fornecedor de internet (BT, Sky, Virgin Media, Comcast, Verizon, Spectrum nos EUA; etc.). Essa é a sua base de referência.
Agora ative o VPN num servidor à sua escolha — escolha um servidor geograficamente próximo para manter baixa a latência de teste. Recarregue a página. O IPv4 tem de ser completamente diferente. O fornecedor apresentado tem de passar para um nome de host de datacenter: Tefincom S.A. (subsidiária da NordVPN, Panamá), Datacamp Limited (CDN77, também usada pela NordVPN), M247 Europe (usada por vários VPN), Tata Communications, Leaseweb, Hetzner Online, DigitalOcean ou OVH. A geolocalização detetada também se deve ter deslocado para o país do servidor selecionado.
Se o IP não mudou após a ativação, ou o cliente VPN não está realmente ligado (verifique o estado da interface), ou a sua rede empresarial encaminha o tráfego através de um proxy que se sobrepõe ao VPN. Um caso mais raro: nalgumas configurações split-tunnel mal definidas, o cliente deixa o navegador em claro enquanto tuneliza outras aplicações — desative o split-tunneling para este teste.
Anote também o país detetado: tem de corresponder ao servidor selecionado. Uma discrepância (servidor listado como Países Baixos, geolocalização a mostrar a Alemanha) sugere um servidor mal referenciado nas bases de dados MaxMind GeoIP2 ou IP2Location, ou uma rota de trânsito que sai na Alemanha apesar do anúncio neerlandês. Não é crítico para a privacidade, mas é importante quando se visa um catálogo de streaming específico — a Netflix lê a geolocalização da MaxMind, não o país declarado pelo VPN.
Teste 2 — Fugas de DNS: a armadilha silenciosa
Um IP corretamente mascarado nada garante quanto ao DNS. O cenário clássico: o túnel cifra todo o tráfego HTTPS de saída, mas o seu sistema operativo continua a resolver netflix.com, bbc.co.uk ou nytimes.com através do servidor DNS do fornecedor configurado quando se ligou ao Wi-Fi. O seu fornecedor vê assim o seu histórico de domínios, indexado cronologicamente, com data e hora ao segundo. Nenhum sinal visível no seu cliente VPN.
Esta é a fuga mais frequente e menos visível — daí a sua criticidade absoluta. O teste rápido: visite dnsleaktest.com com o VPN ativo, clique em «Extended Test» (nunca o «Standard Test», que é insuficiente) e aguarde 10 a 20 segundos. A ferramenta envia cerca de vinte consultas DNS únicas e lista cada servidor que respondeu. Se ainda que apenas um desses servidores corresponder ao seu fornecedor (BT, Sky, Virgin Media, Comcast, Verizon…), tem uma fuga confirmada.
Teste complementar: a nossa ferramenta interna de fugas de DNS, que combina a deteção de DNS, WebRTC e IPv6 numa única passagem. É a verificação mais rápida para confirmar em 30 segundos que os três tipos principais de fuga estão neutralizados. Para o método detalhado sistema a sistema — como desativar a Smart Multi-Homed Name Resolution no Windows 11, como forçar o DNS do VPN no macOS, como lidar com o systemd-resolved no Linux — consulte o nosso guia completo de teste de fugas de DNS, que trata cada correção em detalhe.
Nos bons VPN pagos, este teste passa sem qualquer configuração: a NordVPN, a ExpressVPN, a Surfshark, a ProtonVPN e a Mullvad impõem os seus próprios servidores DNS recursivos quando ativos. Nos VPN gratuitos ou económicos, decide o sistema operativo — e o sistema operativo usa por predefinição o servidor do fornecedor, garantindo uma fuga.
Teste 3 — Fugas de WebRTC: a armadilha do navegador
O WebRTC foi concebido para comunicação ponto a ponto no navegador — videochamadas do Google Meet, partilha de ficheiros em tempo real, jogos online. Para funcionar, tenta descobrir todos os endereços IP da sua máquina: IP local (192.168.x.x), IPv4 público, IPv6 público, candidatos STUN e TURN. Incluindo os IP que o seu VPN é suposto mascarar. Se nada o bloquear do lado do cliente VPN ou do navegador, qualquer excerto de JavaScript em qualquer página pode ler o seu verdadeiro IP em segundo plano, sem interação do utilizador e sem qualquer permissão solicitada.
Esta é a fuga mais traiçoeira dos nove testes. Por fora, o VPN mostra «ligado», o IP público visto através da ferramenta web está mascarado, o DNS passa. Mas o WebRTC trai silenciosamente o seu verdadeiro IP a qualquer site que interrogue o navegador — é massivamente usado pelas redes de publicidade e pelas plataformas de deteção de fraude.
O teste: execute a nossa ferramenta de teste de fugas de DNS, que sonda os candidatos ICE do WebRTC a partir do seu navegador e lista cada IP revelado. Compare com o IP de saída do VPN anotado no teste 1. Se aparecer na lista WebRTC um IP público diferente, fuga confirmada. Se aparecer apenas o IP do servidor VPN, a proteção é eficaz.
Soluções por ordem decrescente de eficácia. Primeiro, ative a proteção WebRTC no cliente VPN — a maioria dos bons VPN tem esta opção, por vezes chamada «WebRTC Leak Protection» ou «Disable WebRTC». Segundo, instale a extensão oficial do navegador do fornecedor, que desativa o WebRTC ao nível do navegador e é mais robusta do que um bloqueio do lado do cliente. Terceiro, desative o WebRTC manualmente: no Firefox, digite about:config e defina media.peerconnection.enabled como false; no Chrome, use o uBlock Origin com a opção «Prevent WebRTC from leaking local IPs» ativada nas definições de privacidade.
Nota: o Brave tem uma proteção WebRTC nativa bem configurada e é um dos poucos navegadores mainstream que passa neste teste sem uma extensão adicional. O Tor Browser bloqueia inteiramente o WebRTC por conceção.
Teste 4 — O kill switch dispara mesmo?
O kill switch corta automaticamente a sua ligação à internet se o túnel VPN cair. Sem ele, uma desconexão de um segundo — mudança de Wi-Fi, sair da suspensão, atualização do cliente, suspensão da CPU — basta para expor o seu verdadeiro IP a todas as aplicações e sites em uso. Num descarregamento longo ou numa sessão de streaming, a exposição pode durar vários minutos antes de o cliente VPN se reconectar automaticamente.
O teste simples, e o que aplicamos sistematicamente em auditorias internas. Inicie um descarregamento longo em segundo plano: a ISO do Ubuntu LTS (4 GB) é perfeita para isso, ou qualquer torrent legal de uma distribuição Linux. Verifique que a velocidade é estável. Depois, ou clique abruptamente em «Desligar» no cliente VPN, ou termine o processo do cliente através do Gestor de Tarefas (Ctrl+Shift+Esc no Windows, Monitor de Atividade no macOS, killall no Linux). O descarregamento tem de parar de imediato em menos de um segundo.
Se continuar, o seu kill switch não está ativo. Verifique a opção nas definições avançadas do cliente (por vezes chamada «Network Lock», «Internet Kill Switch» ou «App Kill Switch»). Em alguns clientes existem dois níveis: kill switch de sistema (corta tudo) ou kill switch por aplicação (corta apenas as aplicações listadas). Para auditorias de privacidade rigorosa, ative o nível de sistema.
Teste secundário — muitas vezes esquecido mas crítico: o comportamento no arranque da máquina. O seu VPN reconecta-se antes de o navegador enviar os seus primeiros pedidos em segundo plano? Se não, a janela de exposição entre o arranque do sistema operativo e a ativação do VPN pode revelar o seu IP aos trackers que carregam automaticamente (Google Analytics em separadores nos favoritos, Facebook Pixel em sites de notícias, notificações push de serviços ligados). Solução: ative «Iniciar no arranque» + «Ligar automaticamente no arranque» + «Bloquear o tráfego até o VPN estar ligado» no cliente. Desative também o restauro de sessão do navegador se este abrir separadores sensíveis.
Teste 5 — Velocidade real: o que um VPN custa de facto em desempenho
Um VPN bem configurado num protocolo moderno perde tipicamente 5 a 15% de débito num servidor geograficamente próximo, acrescentando 10 a 40 ms de latência consoante a distância física ao servidor. Para além desses limiares, ou o servidor está congestionado nas horas de ponta, ou o protocolo escolhido é obsoleto (em particular o OpenVPN TCP, que empilha dois mecanismos de retransmissão e arruína a latência), ou o seu VPN está tecnicamente abaixo do padrão de mercado de 2026.
Uma metodologia de medição correta conta tanto como os números brutos. Use a nossa ferramenta Speed Test numa sequência reproduzível. Primeira passagem sem VPN: três medições consecutivas com 30 segundos de intervalo, tome a mediana para download, upload e latência. Anote os números. Segunda passagem com VPN ativo no servidor mais próximo (Londres a partir do Reino Unido, Nova Iorque a partir da costa leste dos EUA, etc.): três medições consecutivas nas mesmas condições, mediana. Calcule a perda percentual: (velocidade sem VPN − velocidade com VPN) / velocidade sem VPN × 100.
Limiares de alerta. Se a perda for > 30% do débito num servidor geograficamente local, o seu servidor VPN está provavelmente saturado: mude de servidor (os bons clientes listam a carga em percentagem) ou mude de protocolo — force o WireGuard ou o seu derivado proprietário (NordLynx na NordVPN, Lightway na ExpressVPN), que em 2026 são significativamente mais eficientes do que o OpenVPN. Se a latência acrescida for > 80 ms num servidor local, isso é anormal — a latência numa ligação de fibra a um servidor nacional deve manter-se abaixo dos 30 ms acrescidos.
Teste complementar útil: meça também a velocidade num servidor distante (EUA Leste, Japão) para antecipar o uso em streaming geo-desbloqueado. A perda aí é legitimamente mais alta (40–60%) devido à distância física, mas deve manter-se estável e reproduzível. Para as expectativas de benchmark protocolo a protocolo e o procedimento completo, consulte o nosso guia de teste de velocidade de VPN, que documenta o método de medição passo a passo.
Experimente a NordVPN — construída para passar nos 9 testes (DNS/WebRTC/IPv6, kill switch, auditoria independente)
WireGuard nativo (NordLynx) · Threat Protection · garantia de reembolso de 30 dias
Teste 6 — Geolocalização de plataforma (e porque é que o seu VPN «não funciona» na Netflix)
Este é o teste que separa um VPN que «funciona tecnicamente» de um que «funciona na prática». Pode ter um IP US perfeitamente mascarado, DNS US limpo, zero fugas de WebRTC e ainda assim ver o «erro de streaming M7111-5059» da Netflix com a mensagem «parece estar a usar um desbloqueador ou proxy». Porquê? Porque a Netflix, o Disney+, a BBC iPlayer e o Hulu não se limitam a ler o IP geográfico: cruzam-no com uma base de dados de intervalos de IP sinalizados como «datacenter» mantida pelas suas equipas anti-VPN, e verificam sinais comportamentais (coerência entre língua do sistema / língua do navegador / fuso horário do sistema operativo, latência inesperada).
O teste: abra uma plataforma geo-bloqueada a partir de um servidor VPN no país de destino. Netflix US a partir de um servidor VPN norte-americano: o catálogo tem de mostrar títulos exclusivos US («Seinfeld», «It's Always Sunny in Philadelphia», conteúdos US licenciados pela HBO) e trailers em inglês sem legendas em português por predefinição. BBC iPlayer a partir de um servidor VPN do Reino Unido: a página inicial tem de carregar sem «BBC iPlayer only works in the UK», e pelo menos um episódio tem de arrancar. Disney+ Japão a partir de um servidor VPN japonês: o catálogo tem de mostrar conteúdos em japonês exclusivos do mercado JP.
Se aparecer o ecrã «proxy», há duas causas possíveis. Ou o conjunto de IP do servidor VPN está inteiramente sinalizado como datacenter pela plataforma — o caso da maioria dos servidores VPN gratuitos e de muitos económicos. Ou o servidor não foi otimizado para streaming pelo fornecedor — alguns VPN oferecem servidores dedicados «otimizados para streaming» ou «SmartPlay» concebidos para contornar estas deteções.
Para validar a cobertura de streaming nas plataformas que usa de facto, execute o nosso teste de geo-bloqueio, que verifica a acessibilidade da Netflix US/UK/JP, da BBC iPlayer, do Disney+ US/JP, do Max e de outros numa única passagem. Se um VPN falhar na plataforma de que precisa, falha para o seu caso de uso — independentemente de passar nos outros 8 testes. Para o detalhe metodológico e os benchmarks de desbloqueio da NordVPN face às alternativas, consulte a nossa análise da NordVPN.
Teste 7 — Política de registos e jurisdição do fornecedor
Este é o passo que não pode testar tecnicamente por si próprio, mas que pode verificar indiretamente através de terceiros de confiança e de alguma pesquisa. Um VPN que afirma «no-logs» sem uma auditoria pública publicada é apenas uma promessa de marketing — não uma prova técnica que resista a uma injunção legal.
Procure no site do VPN a menção de uma auditoria independente recente por uma empresa reconhecida. Nomes a procurar: PwC, Deloitte, KPMG, Cure53, Securitum, VerSprite. A data conta tanto como o auditor: uma auditoria de 2019 nada diz sobre a política de 2026. A NordVPN publicou várias auditorias PwC (2018, 2020, 2022) e auditorias Deloitte (2023, 2024). A ExpressVPN foi auditada pela KPMG em 2022 e reauditada pela Cure53 em 2024. A Mullvad tem uma série de auditorias anuais da Cure53 desde 2020. A ProtonVPN foi auditada pela Securitum em 2023.
Verifique também a jurisdição da sede registada do fornecedor. Um VPN sediado no Panamá (NordVPN), nas Ilhas Virgens Britânicas (ExpressVPN), na Suíça (ProtonVPN) ou na Roménia (CyberGhost) não está sujeito às mesmas obrigações de retenção de dados que um sediado nos Estados Unidos (membro dos Five Eyes, jurisdição de partilha de informações), no Reino Unido (Five Eyes; Investigatory Powers Act 2016 com obrigações ativas de vigilância estatal) ou na Austrália (Five Eyes; Technical Assistance and Access Act). Isto não garante que não registem na prática, mas reduz a pressão legal que os poderia obrigar a tal.
Para um cruzamento adicional, consulte as recomendações independentes do PrivacyGuides, o site de referência da comunidade que audita regularmente os fornecedores e publica a sua lista minimalista. Só incluem VPN que cumprem critérios de transparência, auditoria independente e jurisdição favorável.
A política no-log de um VPN é apenas tão forte quanto a sua jurisdição e o seu histórico de auditorias independentes. Um VPN sediado num país sem lei obrigatória de retenção de dados, regularmente auditado por uma empresa reconhecida e com um historial demonstrado de respeito pela sua política sob injunções passadas — esses são os três pilares de uma confiança razoável. Nenhuma garantia absoluta pode ser dada; um ceticismo saudável permanece justificado, sobretudo para casos de uso de elevado risco.
Teste 8 — Fingerprinting do navegador (o que o VPN não apaga)
Este é o teste que explica porque é que um VPN perfeitamente configurado não o torna anónimo. O fingerprinting do navegador é o conjunto de sinais únicos que o seu navegador envia a cada site, de forma completamente independente do seu IP. User-agent preciso, língua do sistema, língua do navegador, fuso horário, resolução do ecrã, profundidade de cor, tipos de letra instalados, plugins instalados, renderização Canvas, renderização WebGL, fingerprint AudioContext, hash da lista de extensões. Combinados, estes sinais bastam para identificar o seu navegador de forma quase única entre milhões — mesmo que mude de IP todos os dias.
O teste: execute o AmIUnique ou o EFF Cover Your Tracks primeiro sem VPN, depois com VPN ativo. Compare. Se a sua impressão estiver marcada como «unique» ou «almost unique» com uma pontuação de vários milhões de bits de entropia, o seu navegador é identificável por fingerprinting independentemente do VPN. A mascaragem de IP do VPN nada faz contra este vetor de rastreio.
Soluções práticas. Primeiro, use o Firefox com o modo de resistência: about:config, defina privacy.resistFingerprinting como true. Isto força valores padronizados (resolução, tipos de letra, fuso horário UTC) que tornam o seu navegador indistinguível das outras instâncias de Firefox em modo de resistência. Ligeiro atrito de UX (fuso horário por vezes mal apresentado, dimensão de ecrã padronizada) mas um ganho de privacidade enorme. Segundo, o Tor Browser: a implementação mais completa de resistência ao fingerprinting, por conceção. Se o seu modelo de ameaça justificar Tor sobre VPN, esta é a ferramenta. Terceiro, o Brave oferece uma proteção nativa contra fingerprinting («Shields» → «Fingerprinting» → «Block») que torna aleatórios os sinais a cada sessão.
O VPN por si só não resolve este problema — e isso é importante de perceber. Se o seu objetivo for simplesmente mascarar o seu IP perante o seu fornecedor e os sites para um uso privado quotidiano, um VPN que passe nos primeiros 7 testes é suficiente. Se o seu objetivo for um anonimato rigoroso (jornalista, fonte protegida, investigação sensível), tem de combinar VPN + navegador reforçado + OPSEC completa. É a nuance que nenhum marketing de VPN declara alguma vez com clareza.
Teste 9 — Teste combinado em condições reais (o que revela tudo)
Os primeiros oito testes validam cada dimensão isoladamente num ambiente estático: uma página de teste, uma medição, um visto. Isso é necessário mas não suficiente. O teste 9 reproduz um cenário de uso real ao longo de 10 minutos contínuos para verificar que a proteção se mantém no tempo. É o teste mais revelador, e o que separa dois VPN que no papel parecem equivalentes.
O protocolo. Dentro da mesma janela de 10 minutos: (1) inicie o streaming HD numa plataforma geo-bloqueada que exija o seu VPN — Netflix US a partir de um servidor norte-americano, BBC iPlayer a partir de um servidor do Reino Unido; (2) abra três sites que use normalmente em separadores distintos (notícias, pesquisa, comércio eletrónico) e navegue normalmente; (3) inicie um descarregamento longo em segundo plano (ISO Linux 4 GB, ou uma acumulação de ficheiros torrent legais). Ao longo dos 10 minutos, mantenha a nossa ferramenta de teste de fugas de DNS aberta num separador e recarregue-a a cada 2–3 minutos para verificar que não aparece nenhuma fuga ao longo do tempo.
O que este teste revela. Primeiro, a estabilidade do túnel: um VPN económico pode mudar de servidor a meio da sessão (rotação do conjunto de IP do lado do fornecedor), o que pode expor brevemente o seu verdadeiro IP se o kill switch não reagir com rapidez suficiente. Segundo, o comportamento sob carga: a combinação de streaming HD + descarregamento + navegação pode saturar um servidor VPN subdimensionado, degradar a velocidade de forma não linear ou até forçar uma desconexão. Terceiro, o kill switch em tempo real: tem de disparar numa desconexão abrupta (teste 4) mas também manter-se silencioso durante o uso normal — um kill switch demasiado agressivo que dispara a cada 30 segundos é ingerível no dia a dia.
Critérios de sucesso. Nenhuma fuga detetada nas sucessivas atualizações da ferramenta. Streaming estável sem buffering anormal. Navegação fluida. Descarregamento a manter uma velocidade constante com os resultados do teste 5. Se algum destes pontos ceder, o VPN não é adequado ao uso combinado de privacidade + streaming — que é precisamente o que a maioria das pessoas faz na prática.
Da dezena de VPN testados internamente na primavera de 2026, apenas a NordVPN, a ExpressVPN, a Surfshark, a ProtonVPN e a Mullvad passam neste teste combinado de forma reproduzível. Os VPN gratuitos falham quase todos o critério de velocidade + estabilidade antes da marca dos 5 minutos.
Resumo — a sua checklist de auditoria em 9 testes
Para não falhar nada em modo operacional, eis a sequência na ordem metodológica ótima. Cada teste tem de devolver um resultado conforme ao padrão de 2026; caso contrário, o VPN não é adequado a um uso sério de privacidade nem a um uso multimédia exigente. A sequência está ordenada do mais rápido ao mais lento para otimizar o tempo: se um teste falhar cedo, não vale a pena prosseguir com esse VPN.
| Teste | Ferramenta / método | Sinal de alerta |
|---|---|---|
| 1. IP público | Ferramenta My IP | IP inalterado, ISP inalterado ou país errado |
| 2. Fuga de DNS | DNSLeakTest.com (Extended) | Servidor DNS = servidor do verdadeiro ISP |
| 3. WebRTC | Ferramenta de teste de fugas de DNS | IP diferente da saída VPN visível |
| 4. Kill switch | Descarregamento + terminar processo VPN | O descarregamento continua após a desconexão |
| 5. Velocidade | Ferramenta de speed test | Perda > 30% ou latência > 80 ms em local |
| 6. Geo-bloqueio | Teste de geo-bloqueio | Ecrã «proxy detetado» na plataforma de destino |
| 7. Registos + jurisdição | Auditoria pública + Wikipédia | Sem auditoria < 2 anos OU jurisdição Five Eyes |
| 8. Fingerprint do navegador | EFF Cover Your Tracks | Impressão única apesar do VPN |
| 9. Condições reais | Streaming + navegação + DL durante 10 min | Qualquer fuga ou instabilidade ao longo do tempo |
Renove esta auditoria completa após cada atualização importante: feature updates semestrais do Windows 11, lançamentos anuais de macOS, versões maiores do Firefox e do Chrome e, claro, após cada atualização do cliente VPN. Uma vez por trimestre é suficiente para um uso pessoal não sensível. Mensalmente para jornalismo ou investigação. A nossa metodologia de testes publicada descreve a sequência exata que aplicamos aos VPN que analisamos internamente.
Conclusões principais
Um VPN que passa nos nove testes protege-o das fugas comuns (IP, DNS, WebRTC, IPv6), cobre cenários de uso reais (streaming, navegação, descarregamento) e resiste razoavelmente ao profiling do lado da plataforma. É o padrão mínimo para um utilizador atento à privacidade em 2026, e descreve em traços largos os três ou quatro líderes de mercado — NordVPN, ExpressVPN, Surfshark, complementados pela Mullvad ou pela ProtonVPN para casos de uso mais orientados para a privacidade.
Os VPN gratuitos raramente cumprem este padrão, e tão-pouco os VPN que não consegue verificar rapidamente com 3 testes rápidos — o fosso entre uma auditoria de 3 testes e uma de 9 testes é exatamente o que separa «parece funcionar» de «sei que está a fazer o seu trabalho». Se opera em modo de anonimato jornalístico ou de denunciante, terá de ir além destes 9 testes — Tor sobre VPN, uma máquina Linux ou Tails dedicada, OPSEC completa ao longo do tempo. Isso já não é um tema de auditoria de VPN; é OPSEC, fora do âmbito deste guia.
Para a esmagadora maioria dos casos de uso quotidianos — privacidade diária, evitar a recolha de dados pelo fornecedor, streaming geo-desbloqueado, segurança em Wi-Fi público — as nove verificações acima são mais do que suficientes. Uma vez por trimestre, demora cerca de vinte minutos depois de a rotina estar estabelecida, e vale absolutamente a pena para confirmar que a sua ferramenta de privacidade está realmente a fazer o seu trabalho para além do marketing.
Experimente a NordVPN — construída para passar nos 9 testes (DNS/WebRTC/IPv6, kill switch, auditoria independente)
Auditoria PwC 2022 + Deloitte 2024 · WireGuard nativo (NordLynx) · garantia de reembolso de 30 dias
Completar a sua stack de segurança: o gestor de palavras-passe
Um VPN cifra o seu tráfego de rede, mas não protege as suas palavras-passe depois de introduzidas num site comprometido ou reutilizadas entre serviços. O NordPass completa logicamente a stack defensiva: cifragem XChaCha20 de 256 bits, auditoria Cure53 2024, sincronização entre dispositivos, plano gratuito para começar sem compromisso. Premium a 1,69 €/mês com compromisso de 2 anos. É uma ferramenta separada do VPN, complementar — não um substituto.
Ferramentas e guias para esta auditoria
- Ferramenta My IP — saída real observada →Veja exatamente o que os sites veem a partir do seu navegador
- Teste combinado DNS + WebRTC + IPv6 →As 3 fugas principais verificadas numa passagem de 30 segundos
- Ferramenta de speed test integrada →Método reproduzível com/sem VPN
- Teste de geo-bloqueio por plataforma →Netflix US, BBC iPlayer, Disney+ JP
- Guia completo de fugas de DNS →Causas por OS, correções detalhadas
- Auditoria de VPN rápida em 7 passos →Versão curta se só tiver 10 minutos
- O kill switch de VPN explicado →Teste 4 em detalhe — variantes de OS e armadilhas
- Riscos do Wi-Fi público em 2026 →Porque é que esta auditoria importa ainda mais em redes abertas
- Compreender o seu endereço IP →IPv4, IPv6, geolocalização, ISP
- A nossa análise da NordVPN 2026 →Avaliação detalhada e reproduzível
- A nossa metodologia de auditoria publicada →Protocolo reproduzível aplicado a todas as nossas análises
Artigo publicado a 29 de maio de 2026, atualizado a 13 de junho de 2026. Este guia descreve um protocolo de auditoria que executa você mesmo sobre o seu VPN — não é o relato de um banco de testes privado. Os limiares citados (5–15% de perda de débito, 10–40 ms de latência, alertas para além de 30%/80 ms) são pontos de referência técnicos gerais, derivados do comportamento documentado dos protocolos, não medições proprietárias. O ponto sobre os VPN gratuitos baseia-se na investigação pública citada (estudo ACM IMC 2016 a 283 aplicações). Divulgação de afiliação: este site recebe uma comissão se subscrever através das ligações da NordVPN — isto não influencia o método descrito.
Corrige la fuite — chiffre tout avec NordVPN
DNS sécurisé · kill switch · Threat Protection · 30 jours remboursé
