Políticas de logs das VPNs explicadas

Existem três tipos de dados que as VPNs podem registrar: logs de atividades, logs de conexão e logs agregados. Saber que dados que se enquadram nessas categorias é fundamental para realmente proteger a sua privacidade.

1Logs de atividade

O tipo mais invasivo de registro é a coleta de dados de atividade. Ele anula qualquer benefício de privacidade ou anonimato que uma VPN poderia oferecer.

Também conhecido como “log de uso“, ele se refere a quaisquer dados explicitamente relacionados à sua atividade online.

A política de privacidade da Hola VPN é um bom exemplo de log de atividades:

No geral, são os aplicativos de VPN gratuitos, como o da Hola VPN, que coletam dados de atividades. Esses dados, geralmente, são compartilhados ou vendidos a terceiros para fins publicitários, subsidiando, na prática, o custo das assinaturas.

Alguns serviços de VPN “sem logs” e de assinatura monitoram a atividade do usuário quando suspeitam de alguém ou quando recebem uma intimação. Outros registram a atividade de usuários em tempo real e a excluem quando a sessão da VPN termina.

Por exemplo, na nossa avaliação do SkyVPN, verificamos que a VPN mantém logs de informações identificadoras pessoais, como o endereço IP de origem e dados de localização.

Como os dados são logo excluídos, esse tipo de log de atividades não é tão preocupante. Apesar disso, é melhor evitar logs de atividade, sempre que possível.

Outros provedores, como a Hide.me, são tecnicamente incapazes de coletar logs de atividades devido à configuração da rede deles. De uma perspectiva de privacidade, esses provedores são a melhor opção.

Obviamente, qualquer VPN que armazene dados de atividades deve ser evitada. Se a sua preocupação for o registro de atividades, consulte as VPNs mais populares que registram dados das suas atividades.

2Logs de conexão

Logs de conexão podem ser coletados do servidor (por exemplo, uso total da largura de banda do servidor) ou do usuário (por exemplo, endereço IP de origem).

Normalmente, esses dados são usados para otimizar o desempenho da rede e solucionar problemas levantados por clientes.

Logs de conexão do servidor são um ótimo exemplo de por que nem todos os logs são um problema. É praticamente impossível para uma VPN manter um bom desempenho sem registrar dados.

Aliás, monitorar e armazenar os dados não identificáveis certos ajuda a garantir que a VPN ofereça a melhor experiência possível.

No entanto, se os logs de conexão errados forem armazenados, isso permite que uma VPN ligue você a sua atividade. É algo que pode ser usado para identificar os usuários, um grande problema para quem quer privacidade.

Se a sua preocupação for com o tipo de dados de conexão registrados pela VPN, continue lendo para saber exatamente que tipo de log é inaceitável.

Veja um exemplo de registro de logs detalhados de conexão do usuário na política de log da Thunder VPN:

Frequentemente, os provedores afirmam que esses dados são usados apenas para “oferecer a melhor experiência possível” ou “melhorar o atendimento ao cliente”, mas sabemos que esse nível de detalhe não é necessário para manter um bom desempenho em uma rede VPN.

3Logs agregados

Algumas das VPNs mais populares do mercado coletam logs agregados. Ou seja, a VPN coleta informações supostamente anônimas e impossíveis de associar a um usuário específico.

Um serviço de VPN pode coletar os sites visitados, a largura de banda utilizada ou as datas e horários em que você se conecta a um servidor. Depois, os fatores de identificação são eliminados dessas informações, que serão adicionadas a um grande banco de dados.

É importante saber que algumas VPNs alegam ser sem logs quando, na realidade, mantêm logs agregados. A política de privacidade da Anchorfree é um bom exemplo disso:

Em última análise, dados agregados e anônimos nem sempre são a solução perfeita como as equipes de marketing querem que você acredite.

O tipo exato de dados sendo agregados e a eficácia do processo de anonimização determinam se esse tipo de registro é aceitável ou não. Você só precisa confiar que a VPN está anonimizando os dados de forma eficaz.

Se não consegue confiar que o serviço fará isso, é melhor escolher uma verdadeira VPN sem logs.

O que é uma VPN sem logs?

Uma verdadeira VPN sem logs não coleta nem armazena atividades ou dados de conexão que possam ser usados para identificar você. E o mais importante: nenhuma das informações transmitidas por meio do túnel VPN são coletadas ou armazenadas.

Isso garante que nenhum usuário possa ser associado a uma atividade ou conexão específica na rede da VPN. Cada usuário será mantido privado, anônimo e desconhecido, até mesmo para o provedor da VPN.

As únicas informações de identificação mantidas por uma VPN sem logs são o endereço de e-mail (para criar a conta) e dados de cobrança (caso queira um reembolso).

As VPNs sem logs não podem ser obrigadas a disponibilizar dados do usuário para autoridades ou terceiros, pois os dados simplesmente não existem.

É assim que uma política de log rigorosa pode compensar uma jurisdição de VPN insegura.

É importante observar que “sem logs” não significa necessariamente que nenhum dado é mantido. É impossível um serviço ser verdadeiramente “sem logs” e conseguir manter uma rede robusta ou impor restrições, como limites de dispositivos.

A maioria das VPNs mantém dados muito básicos, como informações agregadas de carga do servidor (número de usuários ou largura de banda usada pelo servidor). Essa é uma abordagem mínima e justificável de logs que não inclui o registro de qualquer informação de identificação. Um produto que mantém esses dados ainda é uma VPN sem logs.

As VPNs a seguir registram o histórico de navegação e dados de atividade. É a pior forma de registro e deve ser evitada.

A lista não contém todas as VPNs que mantêm registros de atividades. Sempre verifique você mesmo a política do seu provedor de VPN antes de confiar os seus dados a ele.

Nome do provedor	Dados registrados	Tempo de armazenamento
Hola Free VPN	URLs visitadas Tempo gasto em páginas web Datas e horas de acesso Endereço IP de origem Tipo de navegador	“Enquanto for necessário”
McAfee Safe Connect	URLs visitadas Tempo gasto em páginas web Registros de data e hora de conexão Endereço IP de origem Identificação única do dispositivo Tipo de navegador Informações do local Dados de arquivo (e-mails, anexos etc.)	“Enquanto for necessário”
Psiphon	Domínios visitados Protocolo VPN utilizado Tempo de sessão da VPN Uso de largura de banda Dados de localização Provedor de internet	90 dias
VPN99	URLs visitadas Identificação única do dispositivo Endereço IP de origem Registros de data e hora de conexão Versão do sistema operacional Tipo de navegador	5 anos

*Coletado de forma padrão por meio do recurso “informar erros operacionais” do aplicativo.

Usuários de VPN desavisados são rotineiramente enganados por políticas de log vagas, falsas ou deliberadamente confusas, criadas para dar a ilusão de privacidade.

Se você não souber ao que deve se atentar, pode acabar usando uma VPN que vai colocar você em risco.

Quando for avaliar a política de privacidade de uma VPN ou investir em uma assinatura, tenha em mente os problemas comuns listados aqui.

Se já estiver ciente dessas questões, vá direto para Como se proteger.

1Propaganda enganosa

Com exceção da auditoria independente, é quase impossível verificar de fato a política de log de uma VPN antes que seja tarde demais.

Uma prova disso são os vários exemplos de provedores de VPN supostamente “privados” ou “sem logs” que foram flagrados compartilhando registros detalhados com autoridades.

Em 2011, o serviço de VPN HideMyAss (HMA), com sede em Londres, foi fundamental na prisão de Cody Kretsinger, de 23 anos, de Phoenix, nos Estados Unidos. Kretsinger era membro do LulzSec, um desdobramento do grupo de ativismo hacker Anonymous.

O HMA alegava ser um serviço que priorizava a privacidade e que permitia aos usuários “navegar de forma anônima pela internet com total privacidade”:

O FBI rastreou a atividade hacker de Kretsinger até um endereço IP de propriedade do HMA e imediatamente emitiu uma ordem judicial do Reino Unido demandando os logs. O HMA seguiu a ordem e compartilhou logs de conexão, que acabaram identificando Kretsinger.

É claro que atividades ilegais não devem ser toleradas sob nenhuma circunstância, mas esse incidente é apenas um exemplo de uma falha grave no ecossistema das VPNs. Não podemos negar que vender um produto que afirma expressamente proteger a identidade de um usuário e depois fazer o contrário é uma enganação.

O HideMyAss não é o único provedor de VPN com histórico de propaganda enganosa. A IPVanish também tem um passado conturbado quando se trata de registro de dados.

Em 2016, a IPVanish cooperou com o FBI em uma investigação criminal. Mesmo com uma política de privacidade que alegava explicitamente que a VPN era sem logs, a IPVanish cedeu às solicitações legais e forneceu dados detalhados de conexão às autoridades.

Por mais que isso seja obviamente preocupante, é importante observar que esse incidente ocorreu enquanto a empresa estava sob propriedade e administração totalmente diferentes. Para mais informações sobre o caso, leia a nossa avaliação completa da IPVanish.

É provável que existam muitos outros exemplos de VPNs supostamente “sem logs” que compartilharam dados com autoridades ou fazem alegações falsas e que nunca saberemos. Portanto, é importante analisar o histórico do seu provedor de VPN antes de tomar uma decisão.

2Ambiguidade intencional

Em um mundo ideal, todas as políticas de log de VPNs explicariam claramente quais dados são mantidos durante e após uma sessão de VPN. Infelizmente, muitos provedores contam com a ambiguidade para ajudar a criar uma falsa sensação de segurança.

A maioria dos usuários não percebe que frases vagas, como “sem logs”, nem sempre são o que parecem. Alguns provedores de VPN se aproveitam do fato de não haver uma definição padrão de “logs” no setor.

Essa brecha permite que VPNs evitem declarar explicitamente a que tipo de dados eles se referem em suas alegações de serem “sem logs”.

Um provedor pode legitimamente anunciar ser “sem logs” para atividades, mas continuar a registrar dados identificáveis de conexão.

Ou seja, muitos provedores de VPN se rotulam como “sem logs” com base em um padrão da empresa.

Embora alguns logs de conexão não sejam necessariamente ruins, fazer declarações falsas ou contraditórias só aumenta a confusão e a desconfiança na hora de escolher uma VPN.

Na mesma linha, é bastante comum que o que o marketing de uma VPN diz contradiga diretamente a política de privacidade. Normalmente, os provedores fazem uma declaração ousada de serem “sem logs” na página inicial e, em seguida, nos termos e condições, divulgam com cuidado quais dados são de fato mantidos.

A ThunderVPN é um ótimo exemplo dessa tática. A empresa anuncia claramente uma política “rigorosa” de zero log na Google Play Store:

No entanto, uma leitura rápida de sua política de privacidade revela que isso é completamente falso:

Essas práticas são desonestas e potencialmente perigosas para usuários desavisados da VPN que não leram a política do provedor na íntegra.

Se você identificar que a VPN faz declarações contraditórias ou enganosas sobre as práticas de registro em log, é melhor pensar duas vezes antes de confiar nela. Na maioria dos casos, não é uma VPN a que você deveria confiar dados sigilosos.

3Falta de clareza

Surpreendentemente, é comum que provedores de VPN menos populares operem sem uma política de privacidade. Nem precisamos dizer que, se não houver algo que especifique a coleta de dados no site do provedor, você não deve confiar nessa VPN.

Da mesma forma, fique de olho nas políticas estranhamente curtas. Muitos provedores simplesmente declaram:

“Não registramos as suas atividades durante a conexão com a VPN”.

Essas declarações não explicam em nada como os dados podem ser coletados de outras maneiras.

A política de privacidade da Yoga VPN é um bom exemplo do que evitar. Com apenas 371 palavras, o documento mal explica como a Yoga VPN funciona.

Alguns serviços também são vagos demais sobre a aplicação dos termos de serviço. Dezenas de provedores se gabam de serem “sem logs”, mas também alertam os usuários de que vão “investigar comportamento suspeito” ou “banir usuários abusivos” na mesma frase.

A questão então é: se uma VPN não registra endereços IP ou atividade, como consegue investigar comportamentos suspeitos?

Se a política de log de uma VPN for curta ou vaga, entre em contato com a equipe de suporte do provedor para obter mais informações. Não use um produto que não esteja disposto a investir tempo para ser claro e transparente sobre suas práticas.

4Jurisdição

As políticas de log e jurisdições estão interligadas. Usar uma jurisdição menos popular é ótimo para a privacidade, mas também pode fazer com que seja mais fácil uma empresa evitar certas consequências.

É muito mais difícil responsabilizar uma empresa remota por violar leis de propaganda enganosa ou por enganar clientes. Se uma VPN no Panamá engana deliberadamente um cliente na Alemanha, não há muito o que fazer.

Vale destacar que a jurisdição de um provedor de VPN influencia na obrigação legal dele de registrar dados e informá-los a autoridades. Um serviço com sede nos Estados Unidos, por exemplo, pode ser obrigado a monitorar os usuários em segredo.

Essas jurisdições invasivas não são tão preocupantes se a VPN for de fato sem logs. No entanto, um serviço fora desses países pode oferecer uma proteção melhor.

Para saber mais sobre o compartilhamento de dados entre as Alianças Cinco, Nove e 14 Olhos, leia o nosso guia sobre jurisdições de VPNs.

Se está preocupado por não saber se a sua VPN protege totalmente a sua privacidade, há vários passos que pode seguir para proteger ainda mais seus dados sigilosos.

1Escolha uma verdadeira VPN sem logs

Houve vários casos em que ações judiciais e eventos reais confirmaram a política de zero log de um provedor de VPN.

Serviços como ExpressVPN e Private Internet Access tiveram os servidores apreendidos e não puderam cooperar devido à falta de dados. Além disso, ambos os provedores tiveram as políticas de log confirmadas por auditores.

Outros provedores de VPN aprovados em uma auditoria independente são:

• Hide.me
• IVPN
• Mullvad VPN
• Surfshark
• IPVanish
• PIA

Se a sua preocupação for com o registro em log das VPNs, é mais seguro escolher um produto verificado.

2Combine a VPN com o Tor

Com a configuração correta, usar uma VPN com o navegador Tor pode deixar você mais perto do anonimato.

Vale lembrar que o navegador Tor é no mínimo lento. Combinar uma VPN com o Tor reduz consideravelmente o desempenho e a velocidade de conexão da sua VPN.

3Use vários serviços de VPN simultaneamente

Com várias VPNs você aumenta a proteção da sua identidade.

A maneira mais simples de fazer isso é configurar um roteador de VPN e conectar o seu dispositivo. Instale uma VPN de um provedor diferente no mesmo dispositivo e execute o aplicativo. Você passará os dados pelos dois provedores simultaneamente.

Assim como usar uma VPN em combinação com o Tor, o uso simultâneo de várias VPNs afeta consideravelmente o desempenho.

4Escolha uma jurisdição que respeite a privacidade

O mais seguro é assinar uma VPN com sede fora dos principais países de compartilhamento de inteligência.

Lembre-se de que operar fora dessas jurisdições invasivas não significa que o provedor de VPN seja confiável. A empresa da VPN ainda pode cooperar com autoridades estrangeiras e até manter logs dos seus dados, se assim desejar.