O ícone verde no canto da sua aplicação VPN significa apenas uma coisa: o cliente de software está ligado ao servidor VPN. Não diz que o seu navegador passa pelo túnel. Não diz que as suas consultas DNS estão encriptadas. Não diz que o WebRTC não está a deixar escapar o seu IP real via JavaScript. Não diz que o IPv6 não está a contornar o túnel diretamente para o seu operador. Eis a checklist para verificar mesmo em 2026 — cinco minutos, cinco testes, e fica a saber exatamente em que ponto está. É o complemento expresso à nossa auditoria VPN completa em 7 passos para verificações de rotina.
Teste n.º 1 — O seu IP público mudou mesmo?
Como verificar: abra a ferramenta O meu IP sem VPN e anote o seu IP e o seu operador. Ative a VPN, recarregue. O IP tem de ser completamente diferente e o operador tem de passar para um nome de datacenter (Tefincom, M247, Tata Communications). Se o IP mostrar o mesmo operador residencial, o túnel VPN não está a funcionar — reinicie o cliente, mude de servidor e volte a testar.
O teste mais rápido e visível. Sem VPN, abra a ferramenta O meu IP e anote o endereço apresentado e o nome do operador (Orange, Free, SFR, Bouygues se estiver em França). Para perceber o que o seu endereço público revela na verdade para além da simples etiqueta do operador, veja o nosso aprofundamento sobre o que o seu endereço IP diz sobre si. Ative a VPN, recarregue a página. O IP tem de ser completamente diferente: não apenas um último dígito alterado, mas uma gama totalmente nova. O operador também tem de mudar — tem de mostrar um nome de host de datacenter (Tefincom para a NordVPN, Tata Communications, M247, Datacamp, OVH) e já não o seu operador residencial.
Se o IP não se moveu: a sua VPN não está realmente ligada, ou está a encaminhar o tráfego sem mascarar o IP (caso raro ligado a um proxy empresarial que neutraliza a VPN). Soluções por ordem de ação: reinicie o cliente VPN, mude de servidor na lista, tente de novo. Se nada mudar mesmo após 3 tentativas, a sua VPN simplesmente não está a funcionar — desinstale, reinstale a última versão, ou contacte o apoio técnico do fornecedor. Nenhum outro teste faz sentido enquanto este teste n.º 1 falhar.
Teste n.º 2 — O país detetado corresponde ao servidor selecionado
Ligou-se a um servidor etiquetado «Países Baixos» no seu cliente VPN. Mas o site que está a navegar deteta a sua geolocalização como «Alemanha» ou outro país. Não é necessariamente motivo de pânico — as bases de dados de geolocalização IP (MaxMind GeoIP2, IP2Location) são por vezes imprecisas até ao país vizinho, em particular nas fronteiras europeias. Mas se visar um catálogo de streaming específico de um país, é necessário verificar no serviço final.
Para a Netflix: vá a netflix.com sem iniciar sessão (ou com uma conta limpa). O catálogo da página inicial mostra conteúdos do país detetado pela Netflix. Se visar a Netflix US e vir «The Office US», «Brooklyn Nine-Nine», «Parks and Recreation» na primeira página, está bem. Se vir produções francesas ou europeias, o país detetado não é o que visava — mude de servidor VPN, limpe os cookies da Netflix, tente de novo. Para o detalhe da metodologia, veja o nosso guia Netflix US a partir de França.
Para o BBC iPlayer, France TV, RTVE, NHK: mesmo princípio. Uma ligação que salta para a versão «internacional» do serviço sinaliza que a sua VPN sai num país não coberto pelos direitos — prova de que a geolocalização detetada não é a esperada. De notar: mesmo com uma saída VPN perfeita, a impressão digital de hardware da sua camada rádio pode denunciá-lo em redes captive — veja o nosso passo a passo MAC spoofing em Wi-Fi público para o identificador que a VPN não mascara.
Teste n.º 3 — Existe uma fuga WebRTC a expor o seu IP real?
O WebRTC (integrado no Chrome, Firefox, Edge, Safari) pode expor o seu IP real via JavaScript mesmo com uma VPN ativa. Execute a nossa ferramenta DNS Leak Test: se aparecer um IP público diferente da saída VPN, é uma fuga WebRTC confirmada. Solução: ative «Block WebRTC» nas definições da sua VPN, ou instale a extensão oficial de navegador da VPN. É a fuga silenciosa mais frequente em 2026.
Esta é a armadilha n.º 1 e a fuga mais crítica em 2026. O WebRTC é uma API de comunicação em tempo real integrada em todos os navegadores modernos (Chrome, Firefox, Safari, Edge). Tenta descobrir o seu IP real através de servidores STUN para permitir a comunicação P2P no navegador (videochamadas do Discord, partilha de ecrã do Google Meet, etc.). Se a sua VPN não o bloquear explicitamente, um site malicioso pode ler o seu IP real via JavaScript em menos de 100 ms, sem qualquer sinal visível do lado do utilizador.
Execute a nossa ferramenta DNS Leak Test que sonda o WebRTC no seu navegador e lista todos os IP candidatos detetados. Três interpretações possíveis: (1) IP local (192.168.x.x, 10.x.x.x, 172.16-31.x.x) — normal, é a sua rede LAN/Wi-Fi interna, não revela nada externo; (2) IP público correspondente à sua saída VPN anotada no teste n.º 1 — bom sinal, a VPN encaminha o WebRTC corretamente; (3) IP público que não corresponde à sua VPN — fuga WebRTC confirmada, ação imediata necessária.
Soluções por eficácia: procure no seu cliente VPN uma opção «Block WebRTC» ou «WebRTC Leak Protection» (a NordVPN tem-na desde 2022, a ExpressVPN também), instale a extensão oficial de navegador da VPN que desativa nativamente o WebRTC, ou como último recurso desative manualmente o WebRTC no Firefox about:config (variável media.peerconnection.enabled para false) ou através do uBlock Origin no Chrome (Definições → Privacidade → impedir o WebRTC de revelar o IP local).
Teste n.º 4 — DNS resolvido via VPN, não via o seu operador
As consultas DNS têm de passar pelo túnel VPN. Caso contrário, o seu operador continua a ver a lista exata dos domínios que visita — logs conservados 12 meses em França segundo a Hadopi 2.0, acessíveis mediante pedido judicial. É o caso de uso típico de privacidade da VPN que se torna irónico em caso de fuga DNS.
Teste rápido: abra dnsleaktest.com e inicie um «Extended Test» (não o insuficiente «Standard Test» — verifica ~5 resolvers contra ~30 do Extended). Aguarde 10-20 segundos pelos resultados. A ferramenta lista os servidores DNS que efetivamente resolveram as consultas de teste. Critério de sucesso: todos os servidores DNS que respondem têm de pertencer à VPN (a NordVPN usa os seus próprios resolvers internos 103.86.96.X) ou a um resolver público reconhecido (Cloudflare 1.1.1.1, Quad9 9.9.9.9, Google 8.8.8.8). Sem resposta do seu operador: é o critério absoluto. Se vir 80.10.246.X (Orange), 212.27.40.X (Free), 109.0.66.X (SFR), 194.158.122.X (Bouygues), é uma fuga confirmada.
Para o detalhe técnico das causas possíveis e das correções específicas por sistema operativo (SMHNR do Windows a desativar, DoH do navegador a desativar, IPv6 a encaminhar pelo túnel), veja o nosso guia completo de teste de fugas DNS.
Teste n.º 5 — Existe uma fuga IPv6 a contornar o seu túnel VPN?
Muitas VPN só encaminham o IPv4 — o IPv6 sai diretamente para o seu operador sem encriptação. Visite test-ipv6.com: «No IPv6 detected» significa seguro. Se aparecer um endereço IPv6 correspondente ao prefixo do seu operador, tem uma fuga confirmada. Solução: ative «Block IPv6» ou «Disable IPv6» nas definições do seu cliente VPN. A NordVPN suporta tunneling IPv6 nativo desde 2024.
O IPv6 é a armadilha mais esquecida das auditorias superficiais. Muitas VPN só encaminham o IPv4 no seu túnel encriptado; o tráfego IPv6 sai diretamente para o seu operador sem encapsulamento. Em sites que suportam o IPv6 (Google, Facebook, Cloudflare alojam grande parte da internet em dual stack IPv4+IPv6), o seu IPv6 real continua visível para os sites visitados enquanto o seu IPv4 está escondido pela VPN. O site conhece, portanto, a sua geolocalização real apesar da VPN ativa.
Vá a test-ipv6.com. Dois resultados possíveis: «No IPv6 detected» significa perfeito — IPv6 desativado ou bloqueado eficazmente pela VPN. Caso contrário, é apresentado «Your IPv6 address: 2001:...»: verifique que esse endereço corresponde ao prefixo IPv6 do servidor VPN (prefixo diferente do seu operador residencial) e não ao seu prefixo IPv6 real. Se corresponder ao seu operador (a Orange/Free/Bouygues têm as suas próprias gamas IPv6), é uma fuga IPv6 confirmada.
Soluções: se a sua VPN não gere nativamente o IPv6 e tem fugas, ative a opção «Disable IPv6» ou «Block IPv6» no cliente VPN, ou desative o IPv6 nas definições de sistema da sua placa de rede (Definições do Windows → Rede → Adaptador → Propriedades → desmarque IPv6). Tecnicamente feio (abdica das vantagens do IPv6) mas funciona para bloquear a fuga. A NordVPN suporta tunneling IPv6 nativo desde 2024, a ExpressVPN bloqueia o IPv6 por predefinição.
Testes avançados 2026 — para além dos 5 fundamentais
Para utilizadores que queiram ir mais longe do que a checklist rápida, eis quatro testes complementares a executar uma vez por trimestre ou após qualquer mudança importante da infraestrutura de rede (troca de operador, rollout dual-stack IPv6, atualização de firmware do router). Estes testes exigem 10-15 minutos adicionais mas detetam fugas residuais invisíveis à verificação rápida.
Fuga WebRTC — verificação por linha de comandos
Para além da nossa ferramenta de navegador, uma verificação fiável por linha de comandos confirma a ausência de fuga STUN ao nível do sistema. No Linux ou macOS, instale um cliente de teste WebRTC (npm install -g webrtc-leak-test) e depois execute webrtc-leak-test --stun stun.l.google.com:19302. O comando apresenta os IP candidatos reportados pelo WebRTC. Interpretação: nenhum IP público fora da saída VPN deve aparecer. No Windows, browserleaks.com/webrtc é o equivalente de navegador mais preciso — lista os IP candidatos host, srflx e relay com o respetivo prefixo ASN, permitindo um rastreio imediato da origem. Nota: com um kill switch configurado corretamente (ver o kill switch VPN explicado), uma fuga WebRTC é tecnicamente impossível porque nenhum tráfego sai do túnel — uma verificação complementar útil.
Fuga IPv6 — correção por sistema operativo
Se o test-ipv6.com revelar o prefixo do seu operador, a correção depende do sistema:
- Windows 10/11: Definições → Rede e Internet → Wi-Fi/Ethernet → clique na ligação → configuração IP → Editar → desativar IPv6. Alternativa PowerShell de administrador:
Disable-NetAdapterBinding -Name "*" -ComponentID "ms_tcpip6". Verifique comGet-NetAdapterBinding -ComponentID ms_tcpip6que o binding está desativado em todas as interfaces. - macOS Sonoma/Sequoia: Terminal →
networksetup -setv6off Wi-Fi(substitua Wi-Fi pelo nome exato da interface listado através denetworksetup -listallnetworkservices). Para restaurar:networksetup -setv6automatic Wi-Fi. - Linux Ubuntu/Debian: edite
/etc/sysctl.conf, adicionenet.ipv6.conf.all.disable_ipv6 = 1e depoissudo sysctl -p. A desativação é persistente após o reinício. - iOS/Android: sem desativação IPv6 nativa sem root. Solução: use um cliente VPN que bloqueie explicitamente o IPv6 (NordVPN, Mullvad, ProtonVPN gerem este caso desde 2024).
Browser fingerprinting — correlação VPN/impressão digital
Mesmo com VPN ativa e fugas IP/DNS/WebRTC bloqueadas, o seu navegador expõe uma impressão digital única (fuso horário, idioma, tipos de letra instalados, resolução de ecrã, plugins) que pode servir para rastreamento entre sessões. Teste em amiunique.org. Se a sua impressão digital for reportada como «única entre N visitantes», um site pode reconhecê-lo apesar do IP alterado. Mitigação: use o modo privado do navegador a par da VPN, ou um navegador orientado à privacidade (Brave, LibreWolf) que aleatoriza alguns valores da impressão digital. O Tor Browser continua a ser a referência absoluta para neutralizar o fingerprinting — veja a nossa comparação Tor vs VPN para a escolha certa por caso de uso.
Contorno de DPI — o seu operador inspeciona o seu tráfego?
A Deep Packet Inspection (DPI) permite a um operador ou rede empresarial detetar o tráfego VPN por um padrão reconhecível (handshake OpenVPN, assinatura WireGuard) mesmo encriptado, e limitá-lo ou bloqueá-lo. Teste simples: meça a sua velocidade através da nossa ferramenta de speed test sem VPN, depois com VPN em protocolo padrão (OpenVPN UDP), depois com protocolo ofuscado (NordVPN Obfuscated Servers, Mullvad Bridges, ou WireGuard na porta 443). Se a velocidade só cair com o OpenVPN padrão mas se mantiver correta com o protocolo ofuscado, o seu operador provavelmente faz DPI nas portas VPN clássicas. Solução duradoura: force o cliente VPN num protocolo ofuscado ou modo stealth — particularmente útil em redes empresariais, hotéis e operadores agressivos.
Ferramentas de verificação VPN 2026 — comparação rápida
Nem todas as ferramentas são iguais. Eis uma seleção comentada das ferramentas gratuitas mais precisas para verificar uma VPN.
| Ferramenta | Tipo de teste | Gratuita? | Precisão | Veredicto |
|---|---|---|---|---|
| ipleak.net | IP + DNS + WebRTC + Torrent | Sim | Muito alta | Referência multi-teste, corre tudo em paralelo |
| dnsleaktest.com | DNS Extended | Sim | Alta | A mais fiável para DNS, mas lenta (15-20 s) |
| browserleaks.com | Fingerprint + WebRTC + Canvas | Sim | Muito alta | A mais detalhada para fingerprinting |
| test-ipv6.com | Fuga IPv6 | Sim | Alta | Especialista IPv6, pontuação em 10 |
| ipx.ac | IP + ASN + deteção de VPN | Sim | Alta | Mostra o ASN do datacenter, útil para confirmar a saída VPN |
| A nossa ferramenta DNS leak test | DNS + WebRTC combinados | Sim | Alta | Diagnóstico num clique em 30 s, com contexto explicado |
| A nossa ferramenta O meu IP | IP + geolocalização + operador | Sim | Muito alta | Mostra o host de datacenter para identificar a saída VPN |
Recomendação prática: para a verificação de rotina, encadear a nossa ferramenta interna (30 s) + dnsleaktest Extended (20 s) + test-ipv6 (15 s) cobre a grande maioria das fugas. Para uma verificação aprofundada, acrescente o browserleaks para o fingerprinting e o ipx.ac para a confirmação do ASN. Veja a nossa metodologia de testes completa para o protocolo passo a passo.
NordVPN — gere nativamente WebRTC, DNS e IPv6
Auditoria PwC 2023 confirmada · 30 dias de reembolso · passa os testes de fuga
Resumo — a checklist prática em 5 minutos
Para aplicar rapidamente a verificação sem falhar um teste, eis a sequência exata a encadear por ordem. Cada teste leva 30-60 segundos cumulativos.
| # | Teste | Ferramenta | Resultado esperado |
|---|---|---|---|
| 1 | IP público alterado | ferramenta O meu IP | IP completamente diferente, operador = host de datacenter |
| 2 | País detetado | catálogo Netflix / BBC iPlayer | Corresponde ao servidor VPN escolhido |
| 3 | Sem fugas WebRTC | ferramenta DNS Leak Test | Nenhum IP público detetado fora do túnel |
| 4 | DNS via VPN | DNSLeakTest.com Extended | Sem DNS do operador residencial |
| 5 | Sem fuga IPv6 | test-ipv6.com | Sem IPv6 OU IPv6 = prefixo VPN |
Se passar os 5 testes, a sua VPN está mesmo a funcionar — não apenas no ícone da barra de tarefas. Se mesmo um falhar, identifique a causa e aplique a correção apropriada antes de continuar um uso sensível (banca, contas confidenciais, navegação política). Refaça a sequência completa após cada atualização importante de sistema, navegador ou cliente VPN.
Diferença para a auditoria completa em 7 passos
Esta checklist em 5 minutos é um diagnóstico rápido de rotina, a executar regularmente para confirmar que não ocorreu nenhuma regressão silenciosa. Não cobre todos os aspetos de uma verificação aprofundada: kill switch (passo 5 da auditoria completa), medição da perda de velocidade (passo 6) e verificação da política no-log via auditoria independente (passo 7) não estão aqui incluídos por razões de rapidez.
Para uma auditoria anual aprofundada ou em caso de sérias dúvidas sobre a VPN usada, passe à nossa auditoria VPN completa em 7 passos que inclui todos os pontos. Para a verificação de rotina (por exemplo, após uma atualização do Windows, após instalar um novo navegador, ou trimestralmente), estes 5 testes rápidos bastam largamente.
O que reter
O ícone verde do cliente VPN é um indicador de ligação de software, não uma proteção eficaz. Cinco testes rápidos — IP público, país, WebRTC, DNS, IPv6 — bastam para confirmar que o seu tráfego, o seu DNS e as APIs do seu navegador passam mesmo pelo túnel encriptado, sem contorno silencioso do lado do navegador ou do sistema operativo.
A refazer após cada atualização do sistema operativo (Windows, macOS), da VPN (novo cliente) ou do navegador (Firefox 125 → 126 por exemplo) — porque as regressões silenciosas existem e nenhum sinal visível lho dirá. Se procura uma auditoria mais aprofundada (kill switch, velocidade, logs), veja a nossa auditoria completa em 7 passos. Para a verificação de rotina regular, estes cinco testes bastam largamente e garantem que a sua ferramenta de privacidade está a fazer o seu trabalho.
NordVPN — passa os 5 testes de fuga de forma fiável
Auditoria independente PwC 2023 + Deloitte 2024 · 30 dias de reembolso
Leia a seguir
- Ferramenta de teste de fugas DNS + WebRTC →Diagnóstico em 30 segundos no seu navegador
- Ferramenta O meu IP — IP público e geolocalização →Verifique o que os sites veem de si
- Auditoria VPN completa em 7 passos →Versão aprofundada com kill switch, velocidade, logs
- Guia completo de teste de fugas DNS →Causas possíveis e correções por sistema operativo
- Netflix US a partir de França →Exemplo concreto de verificação do país detetado
- A nossa análise da NordVPN 2026 →Testes + desbloqueio + velocidade
Avaliação editorial independente baseada em capacidades de serviço documentadas, auditorias independentes publicadas e benchmarks públicos, com verificações através de ferramentas padrão (iperf3, dnsleaktest.com, browserleaks). As ligações comerciais têm o atributo rel="sponsored nofollow"; pode aplicar-se uma comissão de afiliação sem custo adicional para quem lê e sem qualquer influência na avaliação.
Corrige la fuite — chiffre tout avec NordVPN
DNS sécurisé · kill switch · Threat Protection · 30 jours remboursé
