Fexyn
Fexyn
All posts

VPNs grátis: como elas realmente ganham dinheiro

Fexyn Team··6 min read

Se uma VPN é grátis sem paywall, sem signup wall, sem tier premium — alguém está pagando por ela. Esse alguém não é a empresa fornecendo o serviço por diversão. A economia de unidade de rodar uma VPN não é zero: banda custa dinheiro, uptime de servidor custa dinheiro, suporte ao cliente custa dinheiro, auditorias de segurança custam dinheiro. Um produto grátis tem que recuperar esses custos em algum lugar.

Aí está onde, com casos documentados.

Vendendo dados de navegação

O modelo de negócio mais comum. A VPN loga o que os usuários navegam e vende os dados pra redes de ads, firmas de pesquisa de mercado, ou qualquer um disposto a pagar.

Onavo. Facebook adquiriu Onavo em 2013, vendeu ele como VPN grátis sob o slogan "Mantenha seus dados seguros." Onavo silenciosamente mandava analytics de tráfego detalhados de volta pro Facebook, que usava os dados pra identificar competidores em ascensão (mais famoso o WhatsApp antes da aquisição, e o TikTok no crescimento inicial). Apple expulsou Onavo da App Store em 2018 por violar regras de coleta de dados. Facebook eventualmente fechou. O padrão não foi único do Onavo; só foi bem documentado.

Hola VPN. Hola vendia a banda dos seus usuários como rede de proxy residencial através duma empresa irmã chamada Luminati (agora Bright Data). Clientes da Luminati — incluindo, em vários momentos, scrapers, operadores de ad-fraud, e pelo menos um operador de botnet — pagavam Bright Data pra rotear seu tráfego pelos endereços IP de usuários Hola. Em 2015, pesquisadores de segurança usaram a rede Hola pra lançar um DDoS contra 8chan a partir de IPs Hola comprometidos. A resposta da Hola foi que isso estava funcionando como pretendido.

Betternet. Um estudo CSIRO de 2016 analisou 283 apps de VPN Android e achou que Betternet vinha com 14 bibliotecas de tracking diferentes, o máximo de qualquer VPN grátis testada. O mesmo estudo achou que 38% das VPNs Android grátis continham malware ou malvertising.

O padrão: quando o preço é zero, o cliente é o produto, e "o cliente" significa o data exhaust que a VPN consegue coletar sobre você.

Injetando anúncios

Uma VPN grátis é um network middlebox. Ela vê toda requisição HTTP que você faz, e historicamente (antes do HTTPS ser universal) podia reescrever respostas em tempo real pra injetar ads.

HotSpot Shield foi pego em 2017 injetando ads e tracking de redirect em tráfego HTTP. O Center for Democracy and Technology entrou com queixa na FTC. AnchorFree fez acordo.

Isso é mais difícil agora que a maior parte da web é HTTPS, mas apps de VPN grátis pra mobile têm uma saída: instalam o próprio root certificate durante o setup, daí podem inspecionar e modificar tráfego HTTPS também. Várias VPNs Android grátis fazem isso. Conceder root certificate pra um app que você não confia totalmente é mais ou menos equivalente a deixar eles ficarem entre você e todo site que você visita, com as chaves pra ler tudo.

Vendendo seu IP como proxy residencial

Mais perto do modelo Hola, mas mais recente. A VPN grátis te inscreve pra ser um nó no produto comercial residential-proxy dela. Sua banda é alugada pra outras pessoas, e seu IP aparece em tráfego de scraping, campanhas de ad-fraud, e ocasionalmente coisas piores. Você não vê isso — seu laptop só roda um pouco mais quente e consome alguma banda em background.

Bright Data, Oxylabs, IPRoyal e outros rodam esse modelo de negócio abertamente. Conseguem seus IPs residenciais de "apps consumidor que pagam usuários por banda extra" — frequentemente apps de VPN renomeados. O usuário final assina um EULA que menciona isso, tecnicamente.

Se você está usando uma VPN grátis e de repente não consegue acessar certos sites porque eles bloquearam o IP por comportamento abusivo, é isso.

Recrutamento de Botnet

O pior caso. Alguns apps de VPN grátis foram pegos silenciosamente colocando dispositivos cliente em botnets que conduzem credential stuffing, click fraud ou DDoS. O incidente Hola acima é o exemplo canônico, mas casos menores continuam aparecendo.

Em 2024, um pesquisador de segurança analisou vários apps de VPN Android com 10M+ downloads e achou caminhos de código que, sob as condições certas, retransmitiam tráfego de terceiros do dispositivo. O usuário não tem ideia que o celular está brevemente servindo como nó de proxy.

Limites de banda e throttling que empurram upgrades pagos

A versão menos prejudicial da economia de VPN grátis. A VPN é real, o serviço funciona, mas eles restringem banda, escolha de servidor e acesso a features agressivamente pra te empurrar a fazer upgrade. Frequentemente a versão "grátis" é estrangulada ao ponto de inutilidade.

Isso é honesto pelos padrões de VPN grátis. Você não é o produto; só está sendo upsell.

Como saber

Algumas checagens rápidas antes de instalar uma VPN grátis:

  • O app tem ads? Se sim, você sabe como ele faz dinheiro. Ads num app de privacidade é contradição.
  • Pede permissões que uma VPN não precisa? Câmera, contatos, SMS — nada disso é exigido pra rodar uma VPN. São exigidos pra colher dados.
  • Instala um root certificate? Quase certamente inspecionando seu HTTPS.
  • A empresa é identificável? Procure o publisher. Muitos apps de VPN grátis são operados por empresas não declaradas em jurisdições que não exigem registro de empresa. Não é por acaso.
  • Usa um dos SDKs comerciais conhecidos de aluguel de banda? Análise estática ou APKs decodificados com jadx revelam esses. O SDK da Bright Data é identificável; vários outros também.

O que fazer no lugar

Pague pela VPN. O custo é uns $3-10/mês pras legítimas. É menos que um café. Uma VPN paga por você não precisa monetizar seus dados, sua banda ou seu IP.

O Fexyn tem trial grátis de 7 dias — sem cartão pedido na frente, sem auto-conversão antes do trial acabar. Depois do trial, o plano mais barato é $5.99/mês nos EUA (muito menos em tiers de preço regional pra países de renda mais baixa). A matemática é a mesma que pra tudo o mais: produto pago, sem modelo de financiamento via vigilância.

Relacionado

Experimente o Fexyn grátis por 7 dias — a versão honesta de grátis.

VPNs grátis: como elas realmente ganham dinheiro | Fexyn VPN