Glossário de VPN e privacidade: 30 termos explicados de forma simples (2026)

Quando se começa a explorar as VPN e a privacidade digital, os termos técnicos multiplicam-se depressa: WireGuard, kill switch, no-log, jurisdição Five Eyes, perfect forward secrecy... Cada comparativo usa-os como se fossem evidentes, sem nunca os definir. Este glossário resolve isso: 30 definições curtas e precisas, organizadas por tema, escritas para serem compreendidas em menos de 30 segundos.

Funciona como uma referência rápida para ter à mão e como base para compreender as auditorias de VPN e os guias técnicos deste site. Os termos mais críticos — aqueles que realmente definem se uma VPN o protege ou não — estão assinalados explicitamente.

Índice

• Protocolos VPN
• Encriptação e segurança
• Fugas e vulnerabilidades
• Privacidade e jurisdição
• Funcionalidades principais
• Ferramentas e tecnologias relacionadas

Protocolos VPN

VPN (Virtual Private Network)

Uma VPN é um túnel encriptado entre o seu dispositivo e um servidor remoto gerido pelo fornecedor. Mascara o seu endereço IP real, encripta todo o tráfego e faz os sites acreditarem que está a navegar a partir da localização do servidor. O seu fornecedor de internet vê apenas o túnel encriptado, não os sites que visita.

WireGuard

O WireGuard é o protocolo VPN mais moderno (menos de 4.000 linhas de código-fonte, contra 400.000 do OpenVPN). Usa ChaCha20 para a encriptação e Curve25519 para a troca de chaves. Em benchmarks de débito é 2 a 5 vezes mais rápido do que o OpenVPN, com latência inferior e uma superfície de ataque mínima. O padrão recomendado em 2026.

OpenVPN

O OpenVPN é o protocolo VPN open source de referência desde 2001. Muito auditado, muito flexível, disponível em todos os sistemas operativos, mas tecnicamente mais pesado do que o WireGuard. Usa AES-256-GCM e suporta TCP (estável mas lento) e UDP (rápido). Continua relevante para contornar firewalls que bloqueiam o WireGuard. Veja a nossa comparação WireGuard vs OpenVPN.

IKEv2/IPsec

O IKEv2 (Internet Key Exchange v2) combinado com o IPsec é um protocolo com bom desempenho, nativo no iOS e no macOS, particularmente estável ao mudar de rede (Wi-Fi → 4G). Ligeiramente mais lento do que o WireGuard mas mais testado em ambiente móvel. Uma alternativa sólida quando o WireGuard tem problemas de compatibilidade de rede.

Split tunneling

O split tunneling permite escolher quais aplicações ou domínios passam pelo túnel VPN e quais usam a ligação direta. Útil para aceder a recursos locais (impressora, NAS, app bancária) protegendo tudo o resto. Desative o split tunneling durante auditorias técnicas para evitar medições enviesadas.

Encriptação e segurança

AES-256

O AES-256 (Advanced Encryption Standard, chave de 256 bits) é o padrão de encriptação simétrica usado por praticamente todas as VPN modernas. Um ataque direto por força bruta é computacionalmente impossível com o hardware atual — incluindo computadores quânticos no atual modelo de ameaça. A variante GCM (Galois/Counter Mode) acrescenta autenticação de mensagens integrada.

Perfect forward secrecy (PFS)

A perfect forward secrecy gera uma chave de sessão única para cada ligação, independente da chave-mestra. Se uma chave de sessão for comprometida, as sessões passadas e futuras permanecem protegidas. Sem PFS, uma chave de longa duração comprometida desencripta todo o histórico de comunicações. As implementações modernas do WireGuard e do OpenVPN aplicam a PFS por predefinição através de ECDH.

Encriptação ponto a ponto (E2E)

A encriptação ponto a ponto garante que só o remetente e o destinatário podem ler a mensagem — nem o fornecedor do serviço nem qualquer intermediário da rede. O Signal, o ProtonMail e algumas aplicações de mensagens implementam-na. Distinção fundamental: uma VPN encripta o trânsito na rede mas não o conteúdo da aplicação; a E2E encripta a própria carga útil da aplicação.

Ofuscação

A ofuscação disfarça o tráfego VPN para se parecer com tráfego HTTPS comum, tornando a deteção e o bloqueio difíceis. Usada para contornar firewalls de deep packet inspection (DPI) — nomeadamente na China (Great Firewall), na Rússia e nos Emirados Árabes Unidos. A ExpressVPN (Lightway ofuscado), a NordVPN (servidores ofuscados) e a Mullvad oferecem esta opção.

Zero-knowledge

Um sistema zero-knowledge armazena ou processa dados sem nunca ter acesso ao conteúdo em claro. No contexto de uma VPN, isto significa que o fornecedor tecnicamente não consegue aceder aos seus dados de navegação, mesmo que seja obrigado. Diferente do simples no-log: o no-log é uma promessa de política, o zero-knowledge é uma garantia arquitetónica.

Fugas e vulnerabilidades

Fuga de DNS

Uma fuga de DNS ocorre quando os pedidos de resolução de nomes de domínio (que servidor corresponde a "google.com"?) saem para fora do túnel VPN e passam pelos servidores DNS do fornecedor de internet. Resultado: o seu fornecedor vê todos os domínios que visita, mesmo que o conteúdo esteja encriptado. É a fuga mais frequente e menos visível. Guia completo: testar fugas de DNS.

Fuga de WebRTC

O WebRTC é uma API do navegador para comunicação peer-to-peer. Para funcionar, consulta todas as interfaces de rede da sua máquina — incluindo o seu IP real, antes de a VPN o mascarar. Um script JavaScript malicioso pode assim recuperar o seu IP real apesar da VPN ativa. Solução: ativar a proteção WebRTC no cliente VPN ou desativar o WebRTC no navegador.

Fuga de IP

Uma fuga de IP expõe o seu endereço IP real a um site externo apesar da VPN ativa. Causas possíveis: túnel mal configurado, falha do cliente, protocolo não suportado (IPv6 se a VPN só encaminhar IPv4). Verificável em 30 segundos com a nossa ferramenta de teste de fugas. Qualquer auditoria séria de VPN começa por aqui.

Fuga de IPv6

Se o seu fornecedor de internet implementa IPv6 de forma nativa e a sua VPN só encaminha IPv4, o seu endereço IPv6 real permanece visível externamente. Plataformas como o Google ou o Facebook preferem o IPv6 quando disponível — por isso veem a sua verdadeira identidade. Solução: desativar o IPv6 ao nível do sistema operativo ou usar uma VPN que gere ambos os protocolos.

Fingerprinting (impressão digital do navegador)

O fingerprinting identifica um navegador ou dispositivo através da combinação única das suas características técnicas: resolução do ecrã, tipos de letra instalados, fuso horário, renderização Canvas/WebGL, lista de extensões. Esta impressão digital sobrevive às mudanças de IP — uma VPN não a mascara. Contramedidas: Firefox com privacy.resistFingerprinting, Brave Shields ou Tor Browser. Veja a nossa auditoria de VPN completa para o teste dedicado.

Privacidade e jurisdição

No-log (zero registos)

Uma política no-log significa que o fornecedor de VPN não regista nem o IP de origem, nem os sites visitados, nem os registos de hora das ligações, nem os volumes de dados. Uma afirmação não verificada é apenas um argumento de marketing. Só uma auditoria independente recente (PwC, Deloitte, Cure53) publicada pelo fornecedor constitui uma prova técnica. A NordVPN, a ExpressVPN, a Mullvad e a ProtonVPN têm todas auditorias publicadas.

Five/Nine/Fourteen Eyes (5/9/14 Eyes)

Os Five Eyes (EUA, Reino Unido, Canadá, Austrália, Nova Zelândia) partilham ativamente dados de informações. Os Nine Eyes acrescentam a França, a Dinamarca, os Países Baixos e a Noruega. Os Fourteen Eyes estendem-se ainda mais. Uma VPN com sede num destes países pode ser legalmente obrigada a cooperar. Jurisdições fora da aliança: Panamá (NordVPN), Ilhas Virgens Britânicas (ExpressVPN), Suíça (ProtonVPN).

Jurisdição

A jurisdição é o país cujas leis se aplicam ao fornecedor de VPN. Determina que ordens legais pode receber, que obrigações de retenção de dados se aplicam e com que serviços de informações pode ser obrigado a cooperar. O Panamá, a Roménia, a Suíça e as Ilhas Caimão são as jurisdições mais favoráveis à privacidade em 2026.

Warrant canary

Um warrant canary é uma declaração pública atualizada regularmente por um fornecedor de VPN para assinalar que não recebeu nenhuma ordem governamental secreta. Se a declaração deixar de ser atualizada ou desaparecer, é um sinal indireto de que a empresa recebeu um pedido legalmente sigiloso. A Mullvad e a ProtonVPN publicam canaries ativos.

Modelo de ameaça (threat model)

Um modelo de ameaça define de quem e contra o quê está a tentar proteger-se. Uma jornalista que protege uma fonte tem um modelo muito diferente do de um utilizador que apenas quer evitar a vigilância publicitária do seu fornecedor de internet. Definir o seu modelo de ameaça permite escolher ferramentas adequadas: VPN sozinha, VPN + Tor, ou OPSEC completa. Sem este passo, as ferramentas de proteção são muitas vezes sobre ou subdimensionadas.

Auditoria independente

Uma auditoria independente é um exame técnico do código, da infraestrutura e das práticas de um fornecedor de VPN realizado por uma empresa externa reconhecida (PwC, Deloitte, Cure53, Securitum). Verifica se a política no-log é respeitada na implementação técnica real, e não apenas nos termos de serviço. A data da auditoria conta tanto como o auditor: um relatório de 2019 está obsoleto em 2026.

Funcionalidades principais

Kill switch

Um kill switch corta automaticamente a sua ligação à internet se o túnel VPN cair. Sem ele, o seu IP real fica exposto durante a reconexão. Existem dois níveis: kill switch de sistema (corta todo o tráfego) ou por aplicação (corta apenas as apps indicadas). Para uma utilização séria da privacidade, ative o nível de sistema. Guia detalhado: kill switch VPN explicado.

Double VPN (multi-hop)

A Double VPN (ou multi-hop) encaminha o seu tráfego através de dois servidores VPN em sequência em vez de um. O primeiro servidor encripta e reencaminha; o segundo desencripta e sai. Vantagem: mesmo que um servidor seja comprometido, o atacante não vê nem o IP de origem nem o destino final. Desvantagem: latência duplicada, débito reduzido. Recomendada para jornalistas e ativistas de alto risco.

Servidor RAM-only

Um servidor RAM-only funciona inteiramente em memória volátil, sem escritas em disco. Cada reinício apaga permanentemente todos os dados. Se as autoridades apreenderem fisicamente o servidor, nenhum dado de utilizador pode ser recuperado — o que os servidores baseados em disco permitiriam. A ExpressVPN (TrustedServer) e a NordVPN migraram a sua infraestrutura para este modelo.

Port forwarding

O port forwarding permite que ligações de entrada atravessem o túnel VPN para chegar ao seu dispositivo. Útil para servidores domésticos, partilha de ficheiros P2P ativa e alguns jogos online. Nem todas as VPN o oferecem — a Mullvad e a ProtonVPN suportam-no, a NordVPN não (desde 2023). Pode introduzir riscos de segurança se for mal configurado.

P2P (peer-to-peer)

O P2P refere-se às redes descentralizadas de partilha de ficheiros (torrents, eMule). Algumas VPN bloqueiam o P2P ou limitam-no a servidores dedicados para evitar complicações legais em certas jurisdições. As VPN recomendadas para torrenting dispõem de servidores P2P específicos, otimizados para volume e com uma política no-log verificada.

Ferramentas e tecnologias relacionadas

Tor (The Onion Router)

O Tor é uma rede de anonimização que encaminha o tráfego através de três relés sucessivos geridos por voluntários. Cada relé conhece apenas os seus vizinhos diretos — ninguém vê em simultâneo a origem e o destino. O Tor oferece um anonimato mais sólido do que uma VPN mas é 10 a 20 vezes mais lento. Distinção essencial: VPN = delegação de confiança, Tor = arquitetura descentralizada sem confiança central. Veja Tor vs VPN.

Tor over VPN

Tor over VPN significa ligar-se primeiro à VPN e depois iniciar o Tor. Vantagem: o nó de entrada do Tor vê o IP do servidor VPN, não o seu IP real. Desvantagem: desempenho gravemente degradado (latência acumulada), e o seu fornecedor de VPN sabe que está a usar o Tor. Caso de uso: jornalistas sob vigilância ativa, denunciantes. Guia de configuração: Tor over VPN 2026.

Proxy

Um proxy é um intermediário de rede que reencaminha os pedidos de uma aplicação através de um servidor de terceiros. Ao contrário de uma VPN, opera apenas ao nível da aplicação, sem encriptação do conteúdo, e cobre apenas uma aplicação de cada vez. Usado para contornar bloqueios geográficos simples ou filtrar o tráfego empresarial. Não protege contra a interceção do tráfego.

DoH (DNS over HTTPS)

O DNS over HTTPS encripta os pedidos DNS dentro do tráfego HTTPS padrão, tornando-os ilegíveis para os intermediários da rede (fornecedor de internet, Wi-Fi empresarial). Diferente de uma VPN: o DoH não esconde o seu IP nem encripta o resto do seu tráfego — protege apenas os pedidos DNS da vigilância. Pode complementar uma VPN ou ser usado de forma autónoma para melhorar a privacidade do DNS.

Privacidade digital

A privacidade digital engloba todas as práticas e ferramentas que permitem controlar quais dados pessoais são recolhidos, armazenados e partilhados online. Inclui VPN, encriptação, gestão de cookies, proteção contra fingerprinting, direitos legais (RGPD na Europa, CCPA na Califórnia) e escolhas de comportamento. Uma VPN é uma ferramenta entre muitas — não uma solução completa. Veja porque é que a privacidade digital é importante em 2026.

O que este glossário não substitui

Conhecer os termos é um ponto de partida, não um objetivo final. A proteção real vem de verificar que a sua VPN faz realmente o que promete. Para isso: a nossa auditoria de VPN em 9 testes cobre as fugas de IP, DNS, WebRTC e IPv6, o kill switch, a geolocalização de streaming, a política de registos e o fingerprinting do navegador — em cerca de 30 minutos. E se quiser aprofundar a proteção contra a vigilância em redes Wi-Fi públicas, o guia dos riscos do Wi-Fi público 2026 detalha os vetores de ataque reais e as contramedidas.

Artigo publicado a 11 de junho de 2026. Definições retiradas de especificações técnicas oficiais (WireGuard RFC, RFC 8826 WebRTC, NIST AES-256), auditorias de fornecedores de VPN (PwC, Deloitte, Cure53) e recomendações da Electronic Frontier Foundation (Surveillance Self-Defense) e da PrivacyGuides. Atualizado continuamente à medida que os protocolos ou as regulamentações evoluem de forma significativa.