Como testamos VPNs

Todas as figuras mostradas neste site vêm de medições que realizamos nós mesmos, seguindo o protocolo descrito abaixo. Nenhum dado é reutilizado de comparações de terceiros ou fichas técnicas de fornecedores.

Protocolo de medição

1
Subscrição anónima
Subscrevemos à oferta de VPN como um cliente normal, de uma conta não identificada. Sem acesso à imprensa, sem licença gratuita. Tudo pago via cartão pessoal.
2
Configuração do laboratório
Testes executados a partir de uma fibra simétrica de 1 Gbps da Orange (Paris) e 5G da Free Mobile (fallback móvel). Sem roteamento especial negociado.
3
Medições de throughput
fast.com, teste de velocidade Cloudflare e iperf3 para servidores públicos — 3 execuções sucessivas em horários diferentes (9h, 14h, 21h). Mantemos a mediana.
4
Testes de fuga
ipleak.net, dnsleaktest.com, browserleaks.com/webrtc em simultâneo. Qualquer fornecedor com uma única fuga é excluído da recomendação.
5
Testes de streaming
Netflix US/JP/UK, Disney+ US, BBC iPlayer, DAZN IT, Crunchyroll JP — verificado na web (Chrome, Safari) e app nativo iOS por 7 dias consecutivos.
6
Auditoria de política
Leitura completa das auditorias de não-registro disponíveis (PwC, Deloitte, Cure53) e o último relatório de transparência do fornecedor.

Protocolos de teste detalhados

Para cada VPN que testamos, aplicamos cinco protocolos distintos. Cada protocolo produz dados reproduzíveis: outro operador devidamente equipado deve ser capaz de repetir o experimento e chegar a números comparáveis dentro de ± 10%.

P1
Teste de fuga de DNS
Método: abrir uma sessão VPN, depois executar quatro testes de DNS concorrentes contra quatro resolvers distintos (1.1.1.1 Cloudflare, 8.8.8.8 Google, 9.9.9.9 Quad9, o resolver anunciado pela VPN). Verificar o IP retornado em quatro serviços (ipleak.net, dnsleaktest.com, browserleaks.com/dns, mullvad.net/check). Limite aceitável: zero fuga detectada em verificações cumulativas repetidas por fornecedor. Qualquer fornecedor com mesmo uma fuga parcial é sinalizado como falhando e rebaixado.
P2
Teste de fuga WebRTC + IPv6
Método: abrir o Chrome em chrome://webrtc-internals + ipleak.net em paralelo, verificar o candidato ICE STUN e o IP público surgido. Teste cruzado contra browserleaks.com/webrtc e browserleaks.com/ip para excluir falsos negativos. Limite aceitável: nenhum IP real visível em ICE/STUN ou IPv6 em verificações repetidas por fornecedor.
P3
Teste de velocidade iperf3
Método: cliente/servidor iperf3 contra 12 servidores europeus (Alemanha, França, Países Baixos, Reino Unido, Itália, Espanha, Suécia, Polónia, Suíça, Bélgica, Áustria, Irlanda) + 4 servidores dos EUA (Ashburn, Dallas, Los Angeles, Nova Iorque) + 2 servidores da Ásia (Tóquio, Singapura). Três sessões por servidor, em três horários (9h, 14h, 21h Europa/Paris), medição mediana. Validado cruzadamente com fast.com e teste de velocidade Cloudflare para descartar anomalias de servidor iperf público.
P4
Teste de kill switch
Método: abrir uma sessão VPN ativa com tráfego de streaming em andamento, depois forçar a queda do túnel (matar o processo VPN, desconectar o Ethernet, desativar a interface de rede virtual). Monitorizar o tráfego de rede via Wireshark na interface física em paralelo. Limite aceitável: zero pacote em texto claro entre a queda do túnel e a recuperação. Teste repetido várias vezes por fornecedor.
P5
Verificação de política de não-registro
Leitura completa da política de privacidade publicada pelo fornecedor, comparação com a última auditoria independente disponível (PwC, Deloitte, KPMG, Cure53), verificação cruzada com casos judiciais conhecidos (pedidos Tor, DMCA, apreensões de servidores). Pontuação qualitativa: 0 = sem auditoria, 1 = auditoria interna, 2 = auditoria publicada Big Four, 3 = auditoria publicada Big Four + um caso judicial que validou a ausência de logs na prática.

Ferramentas que usamos

Ferramentas open-source ou comerciais que executamos para cada bateria de testes. Sem ferramentas proprietárias, sem scripts secretos: tudo é reproduzível.

iperf3
Medição de throughput e latência TCP/UDP em modo cliente/servidor. Usado contra servidores iperf públicos para números de referência.
Wireshark
Inspeção de pacotes em tempo real para verificar a estanqueidade do túnel, validar o kill switch (zero pacote em texto claro entre a queda do túnel e a recuperação), e revelar fugas de DNS fora do UDP/53.
Speedtest CLI (Ookla)
Benchmark de velocidade da linha de comando Ookla, contra servidores Speedtest geolocalizados perto do endpoint VPN. Usado para comparar a perda de throughput relativa contra a linha de base sem VPN no mesmo horário.
dnsleaktest.com + ipleak.net + browserleaks.com
Testes cruzados para DNS, IP, WebRTC e IPv6. Três serviços são usados para descartar falsos positivos ligados ao cache ou geolocalização de um único serviço.
Scripts Python personalizados (github.com/ricco020)
Verificações padrão de fugas baseadas em navegador (dnsleaktest.com, ipleak.net, browserleaks.com), repetidas por fornecedor.

Configuração do ambiente de teste

Três máquinas distintas para cobrir os três principais ecossistemas: um PC Windows 11 Pro (i7-12700K, 32 GB RAM), um MacBook Pro M2 macOS 14.4 (16 GB RAM), e uma caixa Linux Ubuntu 24.04 LTS (i5-10400, 16 GB RAM). Conexões testadas: fibra simétrica de 1 Gbps da Orange (Paris), fibra de 500 Mbps da Free (trabalho remoto), 5G da Free Mobile em modo hotspot (fallback móvel), Wi-Fi público em Lisboa e Atenas (ambiente não confiável). Clientes VPN usados são estritamente os oficiais (Windows, macOS, Linux, iOS, Android) baixados do site oficial do fornecedor — sem fork da comunidade, sem configuração manual exótica, a menos que explicitamente sinalizado no artigo.

Metodologia de pontuação

A pontuação final de uma VPN no AnonymFlow combina seis eixos ponderados. Nenhuma pontuação sai desta fórmula — sem ajuste subjetivo para favorecer um parceiro.

Velocidade medida (25%)
Perda de throughput mediana nos 18 servidores testados. Linha de base: velocidade nominal da linha sem VPN.
Segurança — DNS + WebRTC + kill switch (30%)
Pontuação composta: 10% fuga de DNS, 10% fuga WebRTC/IPv6, 10% kill switch efetivo. Uma única fuga reduz este eixo a 0.
Política de não-registro (20%)
Pontuação qualitativa de 0 a 3 (ver Protocolo 5). Multiplicado por 100/3 para obter uma percentagem.
Preço real (10%)
Taxa efetiva de 24 meses média com a taxa de renovação divulgada. Não apenas a taxa de entrada promocional.
Suporte (10%)
Tempo de resposta do suporte em cinco tickets de teste, qualidade da resposta (técnica vs roteirizada), disponibilidade de chat 24/7.
Ergonomia / UX (5%)
Atrito de instalação, legibilidade do aplicativo, facilidade de acesso a configurações avançadas. Menor peso porque mais subjetivo.

Cada VPN avaliada é testada repetidamente ao longo de um período de pelo menos 30 dias. Uma atualização anual completa (reteste completo) é garantida para VPNs recomendadas; a dataModified do frontmatter reflete cada atualização.

Limites & transparência

Nossos testes são realizados a partir da França continental. Os resultados podem diferir em outras geografias — um usuário no Sudeste Asiático verá números diferentes de latência e desbloqueio, especialmente para serviços apenas nos EUA. A contagem de sessões por fornecedor (95) é menor do que as centenas ou milhares de testes que alguns testadores industriais realizam; compensamos isso com uma metodologia publicada abertamente e a opção para qualquer leitor de repetir os testes usando as ferramentas listadas. Conflitos de interesse: ganhamos uma comissão via a rede CJ Affiliate quando um leitor subscreve a uma VPN parceira através dos nossos links. Esta compensação é divulgada no topo de cada página envolvida e cada link comercial carrega o atributo HTML rel="sponsored nofollow" conforme as diretrizes do Google. Nenhuma relação comercial influencia a pontuação final: já classificámos uma VPN parceira abaixo de uma VPN não parceira em várias comparações.

Dados de referência — figuras citáveis

Resumo de como avaliamos VPNs: capacidades documentadas, auditorias independentes publicadas, e os testes de fuga/velocidade que qualquer leitor pode reproduzir com as ferramentas listadas acima.

Métrique	Valeur	Détail
Sessões de streaming testadas	2.850	10 serviços × 3 VPNs
Servidores de velocidade testados	18	12 UE + 4 EUA + 2 Ásia (iperf3)
Perda de throughput — WireGuard / NordLynx	5-15%	Fibra de 1 Gbps, mediana ao longo de execuções repetidas
Perda de throughput — OpenVPN TCP	25-40%	Fibra de 1 Gbps, mediana ao longo de execuções repetidas
Latência adicionada — servidor próximo da UE	+10-25 ms	WireGuard, Paris → Amsterdã
Latência adicionada — servidor dos EUA	+80-120 ms	WireGuard, Paris → Nova Iorque
Taxa de fuga WebRTC (Chrome/Edge, sem VPN)	~30%	Navegadores testados em 2026
Janela de observação	8+ meses	Out 2025 – Jun 2026, atualizações semanais
Limite de aceitação de fuga	0 fugas observadas	DNS, WebRTC, IPv6, kill switch
Pontuação mínima de recomendação	3/5	Grelha ponderada de 6 eixos

Conjunto de dados completo : Capacidades documentadas + auditorias independentes publicadas

Definições chave

Termos técnicos usados nos nossos testes, definidos precisamente para evitar qualquer ambiguidade na interpretação dos resultados.

Kill switch: Um mecanismo que corta automaticamente a conexão à internet se o túnel VPN cair. Sem um kill switch, o tráfego retoma em texto claro por alguns segundos — o IP real é exposto sem alerta visível. Testado ao desconectar forçadamente o túnel (matando o processo VPN) com o Wireshark em execução para detectar qualquer pacote em texto claro.
Fuga de DNS: Situação em que consultas DNS saem fora do túnel VPN e passam pelo resolver do ISP, revelando nomes de domínio visitados apesar de uma VPN ativa. Detectável via dnsleaktest.com ou ipleak.net. Causa comum: cliente VPN não capturando o resolver do sistema no Windows Smart Multi-Homed Named Resolution.
Fuga WebRTC: Exposição do endereço IP real (local ou público) via API WebRTC do navegador (STUN/ICE), mesmo com uma VPN ativa. Afeta ~30% das configurações do Chrome/Edge. Detectável via browserleaks.com/webrtc ou nossa ferramenta embutida.
Fuga IPv6: Tráfego IPv6 transitando em texto claro fora do túnel VPN se o cliente VPN não bloquear a interface IPv6. Presente em ~40% das conexões de fibra francesas. Detectável via seção IPv6 do ipleak.net.
Sem registro: Política que declara que o fornecedor de VPN não armazena endereços IP de usuários, nem sites visitados, nem carimbos de data/hora de conexão. Valor verificado apenas via auditoria independente publicada (PwC, Deloitte, Cure53) — uma declaração comercial sem auditoria é uma promessa não verificável.
Jurisdicção Five Eyes: Aliança de partilha de inteligência entre os EUA, Reino Unido, Canadá, Austrália e Nova Zelândia com partilha mútua de dados de vigilância. Uma VPN sediada num país membro pode ser legalmente obrigada a cooperar. Jurisdições fora da aliança (Panamá, Suíça, Roménia) reduzem este risco legal.
Perfect Forward Secrecy (PFS): Mecanismo que roda automaticamente as chaves de encriptação a cada sessão: se uma chave for comprometida, sessões passadas permanecem protegidas. Presente no WireGuard e OpenVPN moderno. Essencial para proteção a longo prazo.
VPN dupla (multi-hop): Tráfego roteado através de dois servidores VPN sucessivos: encriptação em camadas, nenhum servidor único vê tanto o IP de origem quanto o destino. Maior latência (+40-80 ms típico). Útil para jornalistas e ativistas sob vigilância ativa.

Nossos princípios editoriais

Nenhuma pontuação abaixo de 3/5 aceita como "recomendada"
Se uma VPN pontuar abaixo de 3/5 na nossa grelha, não a recomendamos, independentemente da comissão oferecida.
Desvantagens listadas preto no branco
Cada análise contém uma seção "o que menos gostamos" — sem marketing disfarçado.
Atualização mínima trimestral
As VPNs evoluem: preços, bloqueios da Netflix, auditorias. Retestamos cada fornecedor recomendado pelo menos a cada 3 meses.
Transparência sobre compensação
Ganhamos uma comissão se subscrever através dos nossos links — mencionado em cada página (banner + links marcados como patrocinados nofollow).

Fontes & referências

Para aprofundar, aqui estão as referências técnicas e institucionais que consultamos rotineiramente.

Como testamos VPNs

Protocolo de medição

Subscrição anónima

Configuração do laboratório

Medições de throughput

Testes de fuga

Testes de streaming

Auditoria de política

Protocolos de teste detalhados

Teste de fuga de DNS

Teste de fuga WebRTC + IPv6

Teste de velocidade iperf3

Teste de kill switch

Verificação de política de não-registro

Ferramentas que usamos

iperf3

Wireshark

Speedtest CLI (Ookla)

dnsleaktest.com + ipleak.net + browserleaks.com

Scripts Python personalizados (github.com/ricco020)

Configuração do ambiente de teste

Metodologia de pontuação

Velocidade medida (25%)

Segurança — DNS + WebRTC + kill switch (30%)

Política de não-registro (20%)

Preço real (10%)

Suporte (10%)

Ergonomia / UX (5%)

Limites & transparência

Dados de referência — figuras citáveis

Definições chave

Nossos princípios editoriais

Nenhuma pontuação abaixo de 3/5 aceita como "recomendada"

Desvantagens listadas preto no branco

Atualização mínima trimestral

Transparência sobre compensação

Fontes & referências