Ativar uma VPN é uma coisa. Verificar que faz o que promete é outra. A maioria dos utilizadores clica em «Ligar», vê um visto verde e considera o assunto encerrado. Só que essa luz indicadora na aplicação nada diz sobre o que o seu tráfego revela na verdade aos sites visitados. Esta auditoria metódica em 7 passos demora cerca de 10 minutos e diz-lhe exatamente em que ponto está — não o que o fornecedor quer mostrar na sua interface de marketing.
Passo 1 — Verificar o IP público observado
O teste mais básico mas também o que mais depressa revela grandes problemas de configuração. Abra a ferramenta O meu IP sem VPN, anote o endereço apresentado e o nome do operador (Orange, Free, SFR, Bouygues em França). Ative a sua VPN, recarregue a página: o IP tem de ter mudado, e o operador tem de passar para um nome como Tefincom (subsidiária da NordVPN), Tata Communications, M247 (usado por várias VPN) ou outro alojador de datacenter.
Sinal de alerta em 30 segundos: se o IP não mudou após a ativação, a sua VPN não está ligada ou está a encaminhar o seu tráfego sem mascarar o IP — caso raro mas existente em certas configurações empresariais mal configuradas (proxy + VPN a neutralizarem-se mutuamente). Solução: reinicie o cliente VPN, verifique a ligação de rede ativa.
Anote também o país detetado: tem de corresponder ao servidor VPN que selecionou. Uma diferença (servidor selecionado «Países Baixos» mas país detetado «Alemanha») indica ou um servidor geograficamente mal anunciado, ou uma geolocalização imprecisa da base de dados MaxMind/IP2Location — não crítico em si, mas a vigiar se visa um catálogo de streaming específico (o desbloqueio depende da geolocalização detetada pela Netflix, não do servidor declarado).
Passo 2 — Testar fugas DNS
Pode ter um IP mascarado pela VPN e ainda assim ver as suas consultas DNS irem diretamente para os servidores do seu operador. Resultado: o seu operador sabe que sites visita (logs de resolução DNS), mesmo que os próprios sites vejam o IP da VPN. É a fuga mais frequente e menos visível — daí a sua criticidade em qualquer auditoria séria.
Teste rápido: visite dnsleaktest.com, inicie um «Extended Test» (não o insuficiente «Standard Test»), aguarde 10-20 segundos. A ferramenta lista os servidores DNS que responderam. Compare com os servidores DNS do seu operador: se coincidirem, fuga confirmada.
Para a metodologia completa e correções por sistema operativo (SMHNR do Windows a desativar, DoH do navegador a desativar, IPv6 a encaminhar pelo túnel), consulte o nosso guia completo de teste de fugas DNS. A maioria das VPN sérias impõe os seus próprios servidores DNS quando ativa; em VPN menos fiáveis, é o sistema operativo que decide — e o sistema operativo costuma usar o servidor DNS do operador por predefinição.
Passo 3 — Auditar fugas WebRTC
O WebRTC foi concebido para comunicação P2P no navegador (videoconferências, partilha de ficheiros em tempo real, jogos online). Para funcionar, tenta descobrir todos os seus endereços IP — incluindo os que a sua VPN deveria esconder. Se nada o bloquear, um script JavaScript num site malicioso pode ler o seu IP real apesar da VPN ativa. É a fuga mais traiçoeira entre os sete pontos da auditoria.
O teste: inicie a nossa ferramenta DNS Leak Test — sonda os candidatos ICE WebRTC do seu navegador e revela se aparece um IP público diferente da saída VPN, ou seja, uma fuga confirmada. Se o IP revelado diferir do IP do servidor VPN anotado no passo 1, é necessária ação imediata.
Soluções por ordem de eficácia: (1) ative a proteção WebRTC nas definições da sua VPN (a maioria das boas VPN tem esta opção), (2) instale a extensão oficial de navegador da VPN que desativa nativamente o WebRTC, (3) desative manualmente o WebRTC no Firefox about:config (defina media.peerconnection.enabled como false) ou através do uBlock Origin no Chrome (definições → Privacidade → impedir o WebRTC).
Passo 4 — Verificar a ausência de fuga IPv6
Esta é a fuga esquecida das auditorias superficiais. Muitas VPN só encaminham o tráfego IPv4 e deixam o IPv6 passar diretamente para o seu operador. Resultado: se o site visitado suportar IPv6 (Google, Facebook, Cloudflare suportam todos), vê o seu IPv6 real enquanto a VPN apenas esconde o seu IPv4. O site conhece, portanto, a sua geolocalização real.
Teste rápido: visite test-ipv6.com. Se a secção IPv6 mostrar um endereço e esse endereço não for o do servidor VPN, tem uma fuga IPv6. As melhores VPN oferecem uma opção «Block IPv6» ou «Tunnel IPv6» nas definições avançadas. Ative essa opção ou, como último recurso sujo-mas-eficaz, desative o IPv6 globalmente no seu sistema (Definições do Windows → Rede → Adaptador → Propriedades → desmarque IPv6).
A NordVPN suporta tunneling IPv6 desde 2024, a ExpressVPN bloqueia o IPv6 por predefinição, a Surfshark tem uma opção dedicada. As VPN que não gerem de todo o IPv6 estão tecnicamente obsoletas em 2026 — a Free e a Orange implementam o IPv6 nativamente, muitos utilizadores são afetados sem saber.
Passo 5 — Testar o kill switch
O kill switch é o que corta a sua ligação à internet se a VPN cair. Sem ele, uma desconexão da VPN de um segundo basta para revelar o seu IP real aos sites ativos, até para retomar ligações em texto limpo (Netflix, banca, etc.). É um mecanismo de segurança passiva essencial.
Teste simples: inicie um download longo em segundo plano (ISO da distribuição Ubuntu Linux, 4 GB), depois nas definições da VPN force uma desconexão ou termine o processo do cliente VPN através do gestor de tarefas. O download tem de parar de imediato. Se continuar, o seu kill switch não está ativo — ou a sua VPN simplesmente não tem um.
Verifique também o comportamento ao arranque da máquina: a sua VPN reconecta-se antes de o navegador enviar os primeiros pedidos? Se não, a janela de exposição entre o arranque do sistema operativo e a ativação da VPN pode revelar o seu IP a rastreadores que carregam automaticamente (Google Analytics, Facebook Pixel em sites nos favoritos). Solução: ative «Iniciar no arranque» + «Ligação automática» no cliente VPN E desative o arranque automático do navegador com a sessão anterior.
Passo 6 — Medir a perda de velocidade
Uma VPN bem configurada perde tipicamente 5 a 15% de débito num servidor próximo e acrescenta 10 a 40 ms de latência consoante a distância. Para além disso, ou o servidor está saturado, ou o protocolo está mal escolhido (OpenVPN em vez de WireGuard), ou a sua VPN não está tecnicamente à altura dos padrões de mercado de 2026.
Use a ferramenta Speed Test em sequência reproduzível: (1) meça uma vez sem VPN, anote download/upload/latência em 3 tentativas consecutivas (mediana), (2) ative a VPN no servidor geograficamente mais próximo, (3) volte a medir nas mesmas condições, (4) calcule a perda em percentagem. Se perder mais de 30% de débito ou mais de 80 ms de latência num servidor local, mude de servidor (o seu está saturado) ou de protocolo (force WireGuard/NordLynx). A nossa análise completa da velocidade da NordVPN detalha os benchmarks esperados por configuração.
Os protocolos modernos (WireGuard, NordLynx, Lightway, IKEv2) são significativamente mais eficientes do que os mais antigos (OpenVPN UDP, sobretudo OpenVPN TCP). Force o WireGuard quando disponível no cliente VPN.
Testar a NordVPN — passa de forma fiável a auditoria em 7 passos
WireGuard/NordLynx nativo · Threat Protection · 30 dias de reembolso
Passo 7 — Verificar a política de logs (e a sua auditoria independente)
Este é o passo que não pode testar tecnicamente por si próprio, mas pode verificar indiretamente através de terceiros de confiança. Uma VPN que se diz «no-log» sem auditoria pública é apenas uma promessa de marketing — não uma prova técnica.
Procure no site da VPN a menção de uma auditoria independente recente por uma empresa reconhecida: PwC, Deloitte, KPMG, Cure53, Securitum. A NordVPN publicou várias auditorias PwC (2018, 2020, 2022) e Deloitte (2023, 2024). A ExpressVPN foi auditada pela KPMG em 2022. A Mullvad tem uma série de auditorias Cure53 de 2020 a 2023. A ProtonVPN foi auditada pela Securitum em 2023.
A política no-log de uma VPN é tão forte quanto a sua jurisdição. Uma VPN sediada num país sem obrigação legal de conservação de dados e auditada de forma independente oferece as garantias mais fortes — mas nenhuma garantia pode ser absoluta. Um ceticismo saudável continua a ser a regra.
Verifique também a jurisdição. Uma VPN sediada no Panamá (NordVPN) ou nas Ilhas Virgens Britânicas (ExpressVPN) não está sujeita às mesmas obrigações de conservação que uma VPN sediada nos Estados Unidos (Five Eyes) ou em França (lei de programação militar). Não garante que não registem na prática, mas reduz a pressão legal que poderia obrigá-las a fazê-lo. Consulte o nosso teste completo da NordVPN para detalhe sobre auditoria + jurisdição.
Resumo — a sua checklist de auditoria em 10 minutos
Para não falhar nada, eis a sequência exata a aplicar por ordem metodológica. Cada passo deve devolver um resultado conforme aos padrões de 2026, caso contrário a VPN não é adequada a um uso sério de privacidade.
| Passo | Ferramenta | Sinal de alerta |
|---|---|---|
| 1. IP público | ferramenta O meu IP | IP inalterado ou operador inalterado |
| 2. Fuga DNS | DNSLeakTest.com | Servidor DNS = o seu operador |
| 3. WebRTC | ferramenta DNS Leak Test | IP público diferente da saída VPN |
| 4. IPv6 | test-ipv6.com | IPv6 real visível |
| 5. Kill switch | Teste de download manual | O download continua após a queda da VPN |
| 6. Velocidade | ferramenta Speed Test | Perda > 30% ou latência > 80 ms |
| 7. Logs | Site da VPN + auditoria pública | Sem auditoria independente recente |
Repita esta auditoria completa após cada atualização importante: feature updates do Windows 11, releases do macOS, versões major do Firefox/Chrome e, claro, após a atualização do cliente VPN. Uma vez por trimestre chega para uso pessoal. O nosso protocolo de testes VPN documentado sistematiza esta sequência nas VPN auditadas.
O que reter
Uma VPN que passa os 7 passos protege-o contra as fugas mais comuns — essencial para a privacidade diária, o streaming com VPN ou a navegação em Wi-Fi não fiáveis (cafés, hotéis, aeroportos). Raramente é o caso das VPN gratuitas e geralmente é o caso das três ou quatro VPN pagas líderes no mercado de 2026 — NordVPN, ExpressVPN, Surfshark, e Mullvad ou ProtonVPN para usos mais estritamente focados na privacidade. Se a sua VPN atual falha vários passos, a nossa comparação das melhores alternativas à NordVPN testa 5 opções com estes mesmos critérios.
Se quer o modo «anonimato jornalístico» ou «denunciante», terá de ir além destes 7 passos — Tor sobre a VPN, máquina dedicada Linux/Tails, OPSEC rigorosa. Mas isso já não é um simples tema de auditoria VPN, é OPSEC completa que vai além do âmbito deste guia.
Para a maioria dos usos do dia a dia, a cadeia de 7 verificações acima é largamente suficiente. Uma vez por trimestre, demora 10 minutos e vale bem a pena para confirmar que a sua ferramenta de privacidade está a fazer o seu trabalho.
Testar a NordVPN — Threat Protection completa
Auditorias PwC 2023 + Deloitte 2024 confirmadas · 30 dias de reembolso
Leia a seguir sobre segurança VPN
- Teste gratuito de fugas DNS + WebRTC →Faça o diagnóstico em 30 segundos
- Ferramenta O meu IP — IP público e geolocalização →Verifique o que os sites veem de si
- Ferramenta de speed test integrada →Meça a sua perda real de débito com e sem VPN
- Guia completo de teste de fugas DNS →Causas, correção por sistema operativo, método reproduzível
- Verifique se a sua VPN funciona mesmo →Testes rápidos complementares a esta auditoria
- A nossa análise da NordVPN 2026 →Auditoria + desbloqueio + velocidade
- Melhores alternativas à NordVPN em 2026 →5 VPN testadas nos mesmos 7 critérios se a NordVPN não servir
Avaliação editorial independente baseada em capacidades de serviço documentadas, auditorias independentes publicadas e benchmarks públicos, com verificações através de ferramentas padrão (iperf3, dnsleaktest.com, browserleaks). As ligações comerciais têm o atributo rel="sponsored nofollow"; pode aplicar-se uma comissão de afiliação sem custo adicional para quem lê e sem qualquer influência na avaliação.
Corrige la fuite — chiffre tout avec NordVPN
DNS sécurisé · kill switch · Threat Protection · 30 jours remboursé
