alexi.sh
Todos os artigosSegurança do navegadorPrivacidade de redeFerramentas de privacidadeModelagem de ameaçasProgramação com IAFerramentas de dev

alexi.shInvestigação

privacy-tooling

Melhor VPN para privacidade no navegador 2026: o que uma VPN realmente esconde dos identificadores digitais

PrivSec LabAtualizado em 12 de junho de 202613 min de leitura
Ecrã escuro exibindo linhas de código em cascata — privacidade no navegador e VPN 2026

Análise técnica do que uma VPN oculta versus o que expõe aos identificadores digitais. Mascaramento de IP, entropia de canvas, vazamentos de WebRTC e qual VPN realmente complementa o fortalecimento do navegador em 2026.

Índice

A divisão fundamental: camada de rede vs camada do navegador

A maioria do marketing de VPN confunde duas superfícies de ameaça distintas como se fossem uma só. Não são.

A camada de rede é o que uma VPN aborda: qual endereço IP os servidores de destino veem, se o seu ISP pode observar os destinos do tráfego, se um observador de rede passivo pode ler cargas úteis não criptografadas. Uma VPN competente resolve tudo isso adequadamente.

A camada do navegador é ortogonal: diz respeito ao que o JavaScript em execução na página pode extrair sobre o seu dispositivo através das APIs do navegador — saída de renderização de canvas, strings do renderizador WebGL, temporização do AudioContext, enumeração de fontes instaladas, dimensões da tela, concorrência de hardware, memória do dispositivo, navigator.userAgent e várias outras dezenas de sinais. Uma VPN não tem efeito sobre nenhum destes. O navegador os relata diretamente; o roteamento do túnel é irrelevante.

Compreender esta divisão é o pré-requisito para construir uma privacidade eficaz. Confundi-los leva ao erro comum de pensar que uma assinatura de VPN constitui uma postura de privacidade abrangente. Ela lida com uma camada. A outra requer ferramentas separadas.

O nosso estado da arte da identificação digital no navegador 2026 cobre a taxonomia completa dos vetores de identificação digital e medições de entropia. Este artigo foca-se na interseção: o que uma VPN adiciona (e falha em adicionar) a uma pilha de privacidade no navegador, e qual VPN é mais adequada para complementar a resistência ativa à identificação digital.

O que uma VPN oculta num contexto de navegador

Quando você roteia o tráfego do navegador através de uma VPN, três coisas mudam concretamente:

1. O seu endereço IP no servidor de destino. Os servidores HTTP registam o IP de conexão. Sem uma VPN, este é o seu IP público real — um IP residencial vinculado à sua conta de ISP, ou um IP de operadora móvel com precisão de localização aproximada. Com uma VPN, o servidor vê um IP de nó de saída de VPN compartilhado usado por potencialmente milhares de utilizadores simultâneos. Isso reduz a geolocalização baseada em IP para o nível da cidade, no máximo, e elimina a correlação direta com o ISP.

2. O seu endereço IP no resolvedor DNS. Se a sua VPN roteia DNS dentro do túnel (todos os três fornecedores analisados aqui fazem isso corretamente), o seu IP real não é visível para o resolvedor. Para a maioria dos utilizadores cujos DNS resolvem contra o resolvedor padrão do seu ISP, isso remove um ponto de dados significativo. Nota: se o navegador realiza DNS-over-HTTPS (DoH) para um resolvedor externo fora do túnel, o resolvedor ainda vê o seu IP real. Configure o DoH através do resolvedor da sua VPN ou desative-o para permitir que o resolvedor do SO (dentro do túnel) o manipule.

3. Destinos de tráfego do seu ISP. O seu ISP pode ver que você está a enviar tráfego criptografado para um servidor VPN. Não pode ver quais sites você está a visitar, quanto tempo passa neles ou a divisão de volume por destino. Para a corretagem de dados ao nível do ISP — uma ameaça real nos EUA sob as regras atuais da FCC — uma VPN é uma mitigação legítima.

Estas são proteções significativas. Não são proteções contra identificação digital.

O que uma VPN não toca: a superfície de identificação digital

Cabos de rede num painel de conexão

A superfície de identificação digital é o conjunto de atributos que o JavaScript pode extrair das APIs do navegador sem permissões elevadas. Uma análise detalhada está disponível no nosso guia de identificação digital. Os sinais de alta entropia que dominam a identificação digital no mundo real são:

Hash de renderização de canvas. O navegador desenha um canvas oculto com uma string e imagem especificadas, depois lê de volta a matriz de pixels. Variações na pipeline de GPU, renderizador de fontes, modo AA e versão do driver produzem um hash consistente por dispositivo. O roteamento da VPN não afeta o hardware da GPU, a renderização de fontes ou o comportamento do driver. O hash do canvas é idêntico com ou sem a VPN ativa.

Strings do renderizador e fornecedor do WebGL. gl.getParameter(gl.RENDERER) retorna uma string que identifica o modelo da sua GPU e a versão do driver. No Chrome/Chromium, isso geralmente não é ofuscado. No Firefox, pode ser substituído. VPN: sem efeito.

Impressão digital do AudioContext. Um nó oscilador é criado, processado através de um nó de ganho, e os valores de ponto flutuante acumulados são hashados. A variação vem das diferenças no hardware de processamento de áudio e na implementação do driver. Nenhum roteamento de rede envolvido.

Geometria da tela e proporção de pixels do dispositivo. window.screen.width, window.screen.height, window.devicePixelRatio. Estes dependem do seu monitor e das configurações de exibição. Um monitor 4K com 2x DPR relata valores consistentes independentemente do caminho da rede.

Campos do navegador. navigator.hardwareConcurrency (contagem de núcleos da CPU), navigator.deviceMemory (categoria de RAM), navigator.platform, navigator.language. Estas são propriedades de hardware e do sistema operativo.

Enumeração de fontes. A sondagem de fontes baseada em CSS (medindo as dimensões do texto renderizado com fontes específicas) ou a abordagem mais antiga document.fonts pode detectar quais fontes estão instaladas. O seu conjunto de fontes é uma função do seu sistema operativo, pacotes de idiomas e aplicações instaladas. Não é uma propriedade de rede.

A entropia combinada destes sinais é alta o suficiente para que a maioria das sessões de navegador no mundo real sejam identificáveis de forma única em sessões de VPN, modo incógnito e até mesmo mudanças de endereço IP. Uma análise da EFF de 2025 descobriu que canvas + WebGL + AudioContext sozinhos renderizaram >18 bits de entropia num painel de 50.000 sessões — mais do que suficiente para reidentificar a maioria dos navegadores ao longo do tempo.

WebRTC: o vazamento de IP que contorna o seu túnel

WebRTC (Comunicação em Tempo Real na Web) é a API do navegador que alimenta chamadas de vídeo no navegador, transferência de arquivos P2P e jogos em tempo real. O seu mecanismo ICE (Estabelecimento de Conectividade Interativa) funciona reunindo todas as interfaces de rede disponíveis para encontrar o caminho de conexão ideal. Isso inclui a interface virtual da sua VPN, mas também o seu IP de LAN e, criticamente, o seu IP público real via reflexão STUN.

O comportamento que constitui um vazamento de privacidade: uma página com uma conexão peer ativa de WebRTC pode coletar candidatos ICE que contêm o seu endereço IP real. Isso acontece dentro da sandbox do JavaScript, sem permissões elevadas, mesmo com uma VPN ativa. O pedido STUN é roteado fora do túnel da VPN através da pilha de rede do SO.

O alcance prático deste vazamento é contestado. Requer uma conexão peer ativa, o que significa que a página atacante precisa de um recurso legítimo de WebRTC ou de um script de identificação digital em JavaScript especificamente criando uma conexão peer para fins de vigilância. O último existe. O nosso guia de deteção de vazamentos de rede inclui um procedimento para testar se a sua combinação específica de navegador/VPN é vulnerável.

Opções de mitigação classificadas por eficácia:

  • Mullvad Browser: desativa o WebRTC por padrão. Superfície de ataque zero.
  • Firefox (com media.peerconnection.enabled = false): desativa o WebRTC globalmente. Interrompe sites de chamadas de vídeo, a menos que seja reativado temporariamente.
  • Firefox (com media.peerconnection.ice.default_address_only = true): restringe o ICE a uma única interface, tipicamente a VPN. Permite que o WebRTC funcione enquanto impede a enumeração de múltiplas interfaces.
  • Chrome com uma extensão (política de WebRTC do uBlock Origin, ou extensões dedicadas de prevenção de vazamentos de WebRTC): restrição baseada em política. A eficácia varia conforme a extensão e a versão do Chrome.
  • Chrome sem modificação: vulnerável. A flag --force-webrtc-ip-handling-policy=disable_non_proxied_udp existe, mas requer reinício do processo e configuração da linha de comando.

DNS: o segundo vetor de vazamento

Mesmo com uma VPN ativa, o DNS pode vazar o seu IP real se a configuração estiver incorreta. Os três modos de falha:

1. Bypass do DNS do sistema. Alguns clientes de VPN falham em redirecionar todo o tráfego DNS através do túnel em configurações específicas do SO. Os pedidos DNS do navegador chegam ao resolvedor do sistema, que pode ser o do seu ISP ou um resolvedor público como 8.8.8.8, a partir do seu IP real. Teste: execute tcpdump -n port 53 enquanto navega com a VPN conectada. Quaisquer pacotes mostrando a sua interface real como fonte são um vazamento.

2. DNS-over-HTTPS fora do túnel. Navegadores com DoH ativado ("Resolvedor Recursivo Confiável" do Firefox, "DNS Seguro" do Chrome) contornam o resolvedor do SO e enviam consultas DoH diretamente para a Cloudflare (1.1.1.1) ou Google (8.8.8.8). Se o IP do fornecedor de DoH não for roteado através do túnel da VPN, essas consultas saem do seu IP real. O DNS-over-tunnel da VPN é contornado.

3. Fallback de IPv6. Se a sua rede tiver conectividade IPv6 e a VPN fornecer tunelamento apenas IPv4, pedidos DNS IPv6 e conexões diretas podem contornar o túnel completamente. ProtonVPN, Mullvad e IVPN todos suportam tunelamento IPv6 nos seus clientes atuais, mas o comportamento do kill switch IPv6 varia conforme o SO e a versão do cliente.

Para eliminar o vazamento de DNS: desative o DoH no navegador (deixe o resolvedor da VPN lidar com isso), verifique se o cliente da sua VPN tem proteção contra vazamento de IPv6 ativada e audite com um teste de resolvedor controlado, conforme descrito no nosso guia de deteção de vazamentos de rede.

Qual VPN complementa melhor o fortalecimento do navegador

Nem todas as VPNs são iguais em como se integram com uma pilha de privacidade no navegador. Os fatores diferenciadores para este caso de uso específico:

Qualidade do resolvedor DNS. A VPN opera um resolvedor sem logs e sem filtragem? Mullvad opera a sua própria infraestrutura DNS com bloqueio de conteúdo opcional; o próprio resolvedor não faz logs. O resolvedor do ProtonVPN integra-se com o seu recurso de bloqueio de malware/rastreadores Netshield, com a ressalva de que o DNS é processado através da infraestrutura do Proton. O resolvedor do IVPN é semelhante ao do Mullvad com níveis de lista de bloqueio opcionais.

Manipulação de WebRTC. A própria VPN não pode afetar diretamente o comportamento do WebRTC no navegador — isso é uma configuração do lado do navegador. No entanto, Mullvad fornece o Mullvad Browser como um produto complementar especificamente projetado para eliminar os vazamentos na camada do navegador que uma VPN não pode abordar. Isso torna a combinação de rede Mullvad + Mullvad Browser a pilha mais coerente arquitetonicamente disponível.

Confiabilidade do kill switch. Um túnel de VPN interrompido que se reconecta em 5 segundos produz uma janela durante a qual o seu IP real é exposto em pedidos HTTP. Um kill switch ao nível do SO com configuração padrão (modelo do Mullvad) fecha essa lacuna.

Proteção contra vazamento de IPv6. Todos os três fornecedores suportam tunelamento IPv6. O cliente do Mullvad impõe IPv6-apenas-através-do-túnel por padrão. ProtonVPN requer verificação disso nas configurações do cliente.

ProtonVPN: escolha pragmática, limitações honestas

Dentro do panorama de VPNs relevante para a privacidade no navegador, o ProtonVPN é uma recomendação razoável com trocas específicas declaradas claramente.

O que faz bem para a privacidade no navegador: DNS-no-túnel confiável em todas as plataformas. Bloqueio de rastreadores e malware ao nível do DNS Netshield (opcional). Uma grande frota de servidores (9.200+ servidores) com boa cobertura geográfica para diversidade de nós de saída. O nível gratuito sem limite de largura de banda torna-o acessível para utilizadores que testam a sua configuração antes de se comprometerem com uma assinatura.

O que não fornece: Resistência à identificação digital na camada do navegador — isto não é uma crítica específica ao Proton, nenhuma VPN fornece isso. Nenhum navegador complementar reforçado no ecossistema Proton. A anonimidade de pagamento é mais fraca do que Mullvad ou IVPN (Bitcoin mediado por BitPay apenas, sem Monero, sem dinheiro).

Onde se encaixa: Utilizadores que querem uma base de privacidade ao nível da rede confiável, particularmente aqueles que já usam o ecossistema Proton (ProtonMail, ProtonDrive), e que estão a gerir a privacidade do navegador separadamente através da escolha e configuração do navegador. A jurisdição suíça, a auditoria de infraestrutura Cure53 (abril de 2025) e o plano gratuito tornam-no um ponto de entrada de baixo atrito.

Divulgação: o link abaixo é um link de afiliado. Ganhamos uma comissão se você subscrever através dele, sem custo adicional para você. Recomendamos apenas ferramentas que recomendaríamos sem este arranjo.

Experimente o ProtonVPN → ProtonVPN (plano gratuito disponível — sem limite de largura de banda)

Construindo a pilha completa

Uma configuração de privacidade que aborda tanto a camada de rede quanto a camada do navegador requer a combinação de ferramentas. Uma configuração prática para um utilizador tecnicamente consciente em 2026:

Camada de rede: ProtonVPN (pragmático, ponto de entrada gratuito) ou Mullvad (arquitetura mais forte se a anonimidade de pagamento for importante). Kill switch ativado. DNS-no-túnel verificado. Proteção contra vazamento de IPv6 ativada.

Camada do navegador:

  • Mullvad Browser para navegação geral — ruído de canvas, letterboxing, WebRTC desativado, conjunto de fontes consistente. Não requer VPN Mullvad.
  • Firefox com media.peerconnection.ice.default_address_only = true para sites que requerem WebRTC. Confirme se o DoH é roteado através do resolvedor da sua VPN ou desative-o.
  • Tor Browser para sessões onde a desvinculação de IP importa além do que uma VPN fornece.

Verificação:

  1. Após configurar a sua VPN e navegador, verifique com um teste externo de vazamento de DNS que as consultas vêm do IP da VPN.
  2. Abra uma página de teste de WebRTC e confirme que nenhum IP local/real aparece nos candidatos ICE.
  3. Execute a nossa ferramenta de teste de impressão digital do navegador antes e depois das mudanças de configuração para verificar se a injeção de ruído de canvas está ativa e medir a sua redução de entropia.
  4. Verifique se a conectividade IPv6 é tunelada, não nativa.

A camada de rede e a camada do navegador são complementares, não substitutas. Uma VPN sem fortalecimento do navegador deixa a superfície de identificação digital de alta entropia totalmente exposta. O fortalecimento do navegador sem uma VPN ainda revela o seu IP real nos logs do servidor. A pilha precisa de ambos, configurados corretamente e verificados.

Para a taxonomia completa de identificação digital e análise de entropia, veja Estado da arte da identificação digital no navegador 2026. Para configuração do lado do navegador, a comparação de navegadores de privacidade cobre Tor, Mullvad Browser, Brave e LibreWolf contra uma matriz de modelo de ameaça comum.

Photo: Unsplash (source)

Também disponível em

ENFRESDEIT

FAQ

Uma VPN impede a identificação digital no navegador?
Não. Uma VPN altera o seu endereço IP observável, que é uma entrada para um perfil de rastreamento. Não tem efeito sobre a impressão digital de canvas, hashes do renderizador WebGL, enumeração de fontes instaladas, geometria da tela, navigator.userAgent, assinaturas do AudioContext ou qualquer outro atributo exposto pelo navegador. Um rastreador determinado pode identificá-lo em sessões de VPN usando apenas esses sinais.
O que uma VPN realmente esconde num contexto de navegador?
O seu endereço IP real dos servidores HTTP e resolvedores DNS (quando o DNS-over-VPN está ativo). O seu tráfego do seu ISP. O nome do host de destino de observadores de rede passivos. Não esconde sinais gerados pelo navegador, identidade de conta logada, cookies de primeira parte ou qualquer dado que o seu navegador envie nos cabeçalhos de pedidos HTTP.
O WebRTC pode vazar o meu IP através de uma VPN?
Sim. A coleta de candidatos ICE do WebRTC pode enumerar endereços IP locais e públicos via STUN, contornando o túnel da VPN. Todos os principais navegadores são vulneráveis, a menos que o WebRTC seja desativado ou restrito apenas a candidatos de retransmissão. O Firefox permite desativar via about:config (media.peerconnection.enabled). O Chrome requer uma extensão ou flag de política. O Mullvad Browser desativa-o por padrão.
Por que a minha impressão digital de canvas permanece a mesma com uma VPN ativa?
A impressão digital de canvas funciona instruindo o navegador a renderizar uma sequência específica de texto e imagem, depois lendo a saída de pixels. A variação entre dispositivos vem das pipelines de renderização de GPU, dicas de fontes, configurações de AA de subpixel e versões de drivers — nenhuma das quais é afetada pelo roteamento de tráfego através de um servidor diferente. O hash do canvas é uma propriedade do seu hardware e pilha de software, não do seu caminho de rede.
Quais mudanças no navegador complementam uma VPN para resistência à identificação digital?
Em ordem de impacto: mude para um navegador resistente à identificação digital (Tor Browser > Mullvad Browser > Brave com randomização de impressão digital ativada). Ative letterboxing ou ruído de canvas. Desative o WebRTC ou restrinja-o apenas a retransmissão. Use um user-agent consistente. Evite fazer login em contas sincronizadas no navegador durante sessões sensíveis. Uma VPN e um navegador reforçado abordam camadas de ameaça ortogonais.
O ProtonVPN inclui alguma proteção contra identificação digital na camada do navegador?
Não. O produto do ProtonVPN é um túnel de rede. Não modifica ou interfere com sinais na camada do navegador. O ecossistema Proton não inclui um navegador reforçado em 2026. Para proteção contra identificação digital, você precisa de uma solução separada na camada do navegador.
O Mullvad Browser é útil sem a VPN Mullvad?
Sim, intencionalmente. O Mullvad Browser foi projetado para fornecer uniformidade de impressão digital ao nível do Tor sem exigir a latência do Tor. A sua resistência à identificação digital — ruído de canvas, letterboxing, normalização do conjunto de fontes, WebRTC desativado — funciona independentemente de qual VPN você usa ou se usa uma. A VPN e o navegador são produtos arquitetonicamente separados.

Investigação relacionada

Um cadeado de metal e corrente sobre um teclado de portátil

privacy-tooling

O ChatGPT é Seguro? Uma Visão Clara e Honesta (2026)

É seguro usar o ChatGPT? Depende do que quer dizer com seguro — privacidade de dados, segurança de conta, precisão e fraudes são questões separadas. Quais são os riscos reais, o que é exagerado e como usar o ChatGPT com segurança.

PrivSec Lab··3 min read
Uma ilustração digital de um cérebro feito de linhas de circuito, representando inteligência artificial

privacy-tooling

IA e Privacidade de Dados: O Que Acontece ao Que Escreve (2026)

As ferramentas de IA são úteis porque ingerem os seus dados — que é exatamente o problema de privacidade. O que os serviços de IA fazem com as suas entradas, como funciona o treino e a retenção, os riscos reais e as formas práticas de manter os seus dados privados enquanto ainda utiliza IA.

PrivSec Lab··4 min read
Close-up de cabos de fibra ótica a brilhar em azul no escuro — comparação de privacidade Proton VPN vs Mullvad 2026

privacy-tooling

Proton VPN vs Mullvad 2026: comparação técnica honesta para utilizadores que priorizam a privacidade

Comparação aprofundada de 2026 entre Proton VPN e Mullvad: jurisdição, auditorias de não-registo, WireGuard, pagamentos anónimos (dinheiro/Monero vs Bitcoin), servidores apenas em RAM, encaminhamento de portas e preço. Veredicto detalhado para utilizadores que se preocupam com anonimato real.

PrivSec Lab··14 min read