Como escolher uma VPN em 2026: guia honesto do comprador

Como escolher uma VPN? Vendemos uma VPN. Não vamos fingir que somos neutros. Mas a alternativa a "honestidade tendenciosa" nessa categoria é "desonestidade movida a afiliados", e você provavelmente já leu o suficiente disso.

Este é o guia que gostaríamos que existisse quando estávamos tentando descobrir qual VPN recomendar pra família. Assume que você não trabalha com segurança, sabe ler um artigo da Wikipedia, e quer uma resposta real pra "devo usar uma VPN, e se sim, qual".

Vamos te dizer no que somos bons e no que não somos. Vamos nomear competidores quando a resposta deles é melhor que a nossa. Vamos te dizer pra pular VPN inteiramente se isso se encaixa na sua situação.

O que uma VPN realmente faz

Uma VPN criptografa a conexão entre seu dispositivo e o servidor do provedor de VPN, depois encaminha seu tráfego ao destino a partir dali. Da perspectiva do seu provedor, todo tráfego parece uma conexão pro provedor de VPN. Da perspectiva do site de destino, tráfego parece vir do endereço IP do provedor de VPN em vez do seu.

Essa é a alegação técnica inteira. Três consequências concretas:

Seu provedor não vê destinos ou conteúdo específicos. Vê que você conectou a um provedor de VPN por uma duração. Só isso.
O site de destino não vê seu IP real. Vê o IP de saída da VPN, que é compartilhado com todo mundo naquele servidor.
Espiões de Wi-Fi público não conseguem ler seu tráfego. Uma cafeteria rodando um ponto de acesso falso vê tráfego criptografado pro seu provedor de VPN, não os sites que está visitando.

Isso é o que uma VPN faz. Agora as coisas que pessoas pensam que VPNs fazem que não fazem:

Uma VPN não te torna anônimo. Seu provedor de VPN sabe que é você. Seu banco também sabe, seu provedor de e-mail, sua rede social, e qualquer site onde você loga. Uma VPN é privacidade da camada de rede, não anonimato.
Uma VPN não protege contra phishing. Se você clica num link malicioso e digita sua senha, a VPN não ajuda. A conexão pro site malicioso é criptografada; o site malicioso ainda pega sua senha.
Uma VPN não substitui antivírus ou segurança de navegador. Downloads de malware criptografados por VPN ainda são malware.
Uma VPN não impede browser fingerprinting ou tracking por serviços logados. Google ainda sabe que você está logado no Google.
Uma VPN não impede seu empregador de ver tráfego de dispositivo de trabalho. Agentes corporativos de gerenciamento instalados no dispositivo leem tráfego antes de ser criptografado.

Se seu modelo de ameaça é "sites me trackeando pela internet", você quer um navegador respeitando privacidade mais que uma VPN. Se seu modelo de ameaça é "polícia", você quer Tor, não VPN. Se seu modelo de ameaça é "meu provedor vende meu histórico de navegação", ou "quero acessar serviços bloqueados pelo meu país", ou "estou em Wi-Fi de hotel e não confio", então sim, VPN é a ferramenta certa.

O que realmente procurar

Jurisdição

Onde a empresa está registrada? Onde os servidores operam? São perguntas diferentes.

A jurisdição da empresa determina quais leis se aplicam quando um tribunal pede dados de usuário. O enquadramento clássico "Five Eyes / Nine Eyes / Fourteen Eyes" é exagerado — não há tratado formal de vigilância mútua entre esses países que force provedores de VPN a compartilhar dados. Mas jurisdições ocidentais geralmente têm frameworks legais que podem forçar divulgação de dados, e jurisdições do Leste Europeu (Romênia, Suíça) historicamente foram mais amigáveis à privacidade.

Mullvad fica na Suécia. ProtonVPN na Suíça. IVPN em Gibraltar. NordVPN no Panamá. Surfshark na Holanda. ExpressVPN nas Ilhas Virgens Britânicas. Fexyn fica em Wyoming, EUA — membro Five Eyes. Somos honestos sobre isso. A mitigação é estrutural: sem logs pra forçar divulgação, certificados de cliente curtos de 24h que limitam correlação retroativa, e cobrança apenas em crypto pra usuários em mercados onde pagamento por cartão cria trilha de papel.

A resposta honesta é que jurisdição importa menos que política de logging. Um provedor no-logs num país Five Eyes não tem nada pra entregar. Um provedor com logs na Suíça tem bastante.

Política de logging e auditorias

"No logs" é a promessa mais alegada e menos verificada na indústria de VPN. O que isso realmente significa?

Uma política real de no-logs é operacional, não só uma alegação de marketing. Significa: sem histórico de navegação (quais sites você visita), sem logs de query DNS, sem conteúdo de tráfego, sem metadados de conexão que poderiam depois te identificar (timestamps + IP de origem + IP de destino todos juntos). Não significa "nunca logamos nada" — todo operador loga uso agregado pra cobrança e planejamento de capacidade. A questão é se os logs que existem poderiam ser usados pra identificar a atividade de um usuário específico.

A forma de verificar isso é uma auditoria. Um auditor terceirizado (Cure53, KPMG, Deloitte, PricewaterhouseCoopers são os nomes comuns) examina a configuração real do servidor e práticas operacionais, depois publica um relatório.

O que procurar num relatório de auditoria:

Recência. Uma auditoria de 2022 é mal útil em 2026. Procure auditorias dos últimos 18 meses.
Escopo. Uma "auditoria de no-logs" deve examinar a configuração real de logging, não só revisar documentação. O auditor deveria ter tido acesso ao servidor.
Acesso ao código-fonte. Auditorias melhores incluem revisão de código do software cliente e servidor da VPN.
Relatório público, não resumo. Alguns provedores citam auditorias mas só publicam um resumo de marketing. O relatório real deveria estar publicamente disponível ou disponível mediante solicitação.

ProtonVPN, NordVPN, ExpressVPN, Surfshark e Mullvad todos publicaram auditorias recentes. Os relatórios variam em qualidade — leia-os. As auditorias do ProtonVPN tendem a ser as mais tecnicamente detalhadas.

Fexyn ainda não publicou uma auditoria de terceiros. Somos honestos sobre isso. Enviamos componentes de cliente open-source (o helper-service é open source) pra que o codebase seja pelo menos legível, e estamos trabalhando rumo a uma auditoria 2026. Isso é um gap real e você deveria pesar contra os provedores que já publicaram.

Suporte de protocolo

O protocolo que sua VPN usa determina o que funciona em países censurados, qual velocidade você pega, e quão confiáveis as conexões são em redes com perda.

Os protocolos principais:

WireGuard — mais rápido, crypto moderno, simples. Padrão em 2026. Funciona em todo lugar exceto países com filtragem ativa de VPN (Rússia, China, Irã, Paquistão).
OpenVPN — mais lento, maduro, amplamente suportado. Fallback de compatibilidade. Bloqueado em países com DPI ativo.
VLESS Reality com Vision flow — a classe de protocolo que sobrevive DPI na Rússia, China, Irã, Paquistão, EAU. Maioria das marcas grandes não envia. Fexyn envia. Guia detalhado de protocolo aqui.
IKEv2 / IPsec — embutido em maioria dos sistemas operacionais. Razoável em redes móveis. Bloqueado em países com DPI ativo.
Protocolos proprietários customizados — NordLynx do NordVPN é WireGuard customizado, Lightway do ExpressVPN é customizado, Mullvad envia WireGuard padrão. Protocolos customizados têm código não auditado; protocolos padrão têm revisão pública.

A resposta honesta: se você está num país de rede aberta, WireGuard é o padrão certo. Se está em um país com filtragem ativa de VPN, precisa de um provedor que envie VLESS Reality (com Vision) ou NaiveProxy. Se está incerto, escolha um provedor que suporta ambos pra ter opções.

Kill switch

Um kill switch bloqueia todo tráfego de internet quando a conexão VPN cai, prevenindo seu IP real de vazar. Maioria dos provedores alega enviar um. Poucos implementam bem.

A implementação ruim: um "auto-disconnect" no nível de aplicação que detecta queda de VPN e tenta trazer conectividade de volta. A janela entre queda e desconexão é vários segundos. Durante essa janela, seu IP real vaza. Muitos apps de VPN usam esse design.

A implementação boa: um filtro de firewall no nível de kernel que bloqueia todo tráfego exceto o túnel VPN, aplicado antes que qualquer aplicação possa mandar tráfego. No Windows isso é um filtro WFP. No macOS é uma regra pf. No Linux é regras iptables ou nftables. O filtro persiste entre reboots então seu tráfego está protegido mesmo se o cliente VPN ainda não iniciou.

Fexyn envia um kill switch baseado em WFP com persistência em boot. Mullvad também. Network Lock do ExpressVPN é similar em design. Maioria dos outros provedores usa o padrão no nível de aplicação. Teste o kill switch do seu provedor conectando, depois desabilitando seu adaptador de rede no meio do stream e observando se tráfego retoma do seu IP real.

Opções de pagamento

Pagamento por cartão cria trilha de papel. Pra maioria dos usuários, isso está bem — seu banco sabe que você comprou uma VPN, mas isso é não notável.

Pra usuários em países restritivos, onde comprar uma VPN pode ser sensível em si, pagamento anônimo importa. A resposta padrão é criptomoeda (BTC, USDT, USDC, Monero). Alguns provedores também aceitam gift cards ou dinheiro pelo correio.

Mullvad, IVPN, ProtonVPN e Fexyn todos aceitam crypto. NordVPN, Surfshark e ExpressVPN aceitam crypto com restrições. VPNs grátis não aceitam nenhum tipo de pagamento, o que nos leva ao próximo ponto.

Red flags

Red flags de que uma VPN está vendendo algo além de privacidade:

Grátis sem modelo claro de receita. Rodar um serviço de VPN custa dinheiro — servidores, banda, infraestrutura. Se um provedor oferece grátis e não mostra anúncios (que maioria das "VPNs grátis" mostra), eles estão monetizando seus dados, sua banda (usando seu dispositivo como proxy residencial), ou ambos. Hola VPN foi pega fazendo exatamente isso em 2015. Múltiplos apps de VPN grátis foram pegos desde. As exceções a essa regra: tier grátis do ProtonVPN (subsidiado por usuários pagos) e Cloudflare WARP (bundled com seu negócio CDN). Maioria das outras "VPNs grátis" não é o que alegam.

"Assinaturas vitalícias". Uma VPN real é um serviço contínuo que custa ao provedor dinheiro real pra rodar. Preço vitalício é matematicamente incompatível com operar o serviço indefinidamente. O padrão é que provedores vitalícios ou saem do negócio ou silenciosamente descontinuam serviço pra clientes antigos.

"Criptografia de grau militar". Isso é linguagem de marketing. AES-256 é um cipher real; chamar de "grau militar" é o que departamentos de marketing fazem pra fazer crypto chato soar excitante. A frase não te diz nada sobre o produto.

Protocolos apenas proprietários sem auditoria. NordLynx do NordVPN é WireGuard customizado com modificações proprietárias. Lightway do ExpressVPN é customizado. Ambas são empresas razoáveis e os protocolos provavelmente estão bem. Mas "confie em nós" é a única garantia que você tem sem auditoria de código independente. Protocolos padrão (WireGuard, OpenVPN) têm anos de revisão pública.

Marketing de afiliado agressivo. Se o nome de uma VPN aparece em toda lista de "melhor VPN" na primeira página de resultados de busca do Google, esse ranking é pago. Comissões de afiliado pra vendas de VPN rodam 30-100% do preço da assinatura do primeiro ano. Os maiores gastadores de afiliados dominam a SERP de listas. Isso não significa que esses produtos são ruins — NordVPN, ExpressVPN e Surfshark são produtos reais que funcionam — mas sua dominância nos resultados de busca não é sinal de qualidade.

Transparência limitada ou nenhuma sobre infraestrutura. Um provedor confiável te diz onde os servidores estão, quem opera, e qual crypto usam. Um provedor que não diz está escondendo algo ou não sabe.

Situações especiais

Pra maioria dos usuários, qualquer provedor razoável faz o trabalho. Algumas situações requerem seleção mais cuidadosa:

Circunvenção de censura. Rússia, China, Irã, Paquistão, EAU, Arábia Saudita. O protocolo importa mais que qualquer coisa. Você precisa de VLESS Reality com Vision flow, NaiveProxy, ou similar. Maioria das marcas grandes não envia. Fexyn envia (protocolo Stealth). Astrill envia. Alguns stacks self-host fazem. NordVPN, ExpressVPN, Surfshark, ProtonVPN, Mullvad principalmente não funcionam nesses mercados em 2026 porque seus protocolos são detectáveis. Análise detalhada da Rússia aqui.

Streaming. Netflix, BBC iPlayer, Disney+ agressivamente bloqueiam faixas de IP de VPN comercial conhecidas. O provedor que você escolhe precisa manter uma frota de servidores que streamers ainda não bloquearam. Isso é alvo móvel. Maioria das marcas grandes faz isso; performance varia por serviço. Se streaming é seu caso de uso primário, procure reviews recentes (dentro de 60 dias) testando especificamente os serviços que importam pra você.

Profissões sensíveis à privacidade. Jornalistas, advogados, profissionais de saúde, ativistas. Jurisdição e recência de auditoria importam mais aqui. ProtonVPN e IVPN são as respostas mais fortes nessa categoria. Mullvad também é escolha razoável. Tor pros casos mais sensíveis — uma VPN não é Tor.

IP dedicado. Se precisa de IP não compartilhado (alguns bancos sinalizam IPs de VPN compartilhados como risco de fraude, alguns serviços de streaming checam se o IP é residencial), precisa de provedor que oferece IPs dedicados como add-on. NordVPN, IVPN, e alguns outros oferecem. Fexyn não oferece atualmente.

Onde Fexyn se encaixa

Auto-avaliação honesta.

No que somos bons. VLESS Reality com Vision flow em toda plataforma. O protocolo que sobrevive DPI na Rússia, China, Irã, Paquistão, EAU. Preço por tier — Tier 4 ($2,99/mês) pra mercados de baixo poder de compra, Tier 1 ($9,99/mês) pra mercados de alto poder de compra. Cobrança apenas em crypto pra Rússia e Irã onde pagamento por cartão está quebrado. Kill switch baseado em WFP com persistência em boot. Páginas de país honestas que incluem disclaimers legais que não tivemos que escrever.

O que ainda estamos construindo. Auditoria de no-logs de terceiros (planejada pra 2026, ainda não publicada). Contagem de servidores é pequena relativa ao NordVPN (operamos Frankfurt, Helsinki, Cyprus, e Ashburn). Sem opção de IP dedicado. Clientes Windows e Android estão enviados; iOS, macOS e Linux estão chegando.

Onde não somos a resposta certa. Se você está nos EUA, Reino Unido ou Alemanha numa conexão doméstica normal e quer streaming + privacidade: NordVPN, ExpressVPN, ProtonVPN ou Surfshark são todas escolhas razoáveis e serão mais baratas que nós no preço Tier 1. Se sua prioridade é alegação de no-logs auditada por terceiros hoje: ProtonVPN ou Mullvad. Se quer um provedor com jurisdição suíça com e-mail criptografado de ponta-a-ponta bundled: ProtonVPN.

Não achamos que Fexyn é a resposta pra todo mundo. Achamos que somos a melhor resposta pra usuários em mercados pesados de censura onde Reality é o único protocolo que funciona, e uma resposta razoável pra usuários que querem um operador pequeno e tecnicamente credível e valorizam orientação honesta específica de país.

Uma árvore de decisão curta

Se você pode responder "sim" à primeira pergunta que combina com sua situação, essa é a classe de provedor recomendada.

Está na Rússia, China, Irã, Paquistão, EAU, Arábia Saudita, ou outro país com DPI ativo? → Um provedor que envia VLESS Reality com Vision. Fexyn, Astrill, ou XRay-Reality self-hosted. Maioria das marcas grandes não funciona aqui.
É jornalista, advogado, profissional de saúde, ou ativista com requisitos elevados de privacidade? → ProtonVPN, IVPN, ou Mullvad. Possivelmente Tor pras sessões mais sensíveis.
Sua prioridade é streaming Netflix / BBC iPlayer / Disney+ / Hotstar do exterior? → NordVPN, ExpressVPN, ou Surfshark. Veja reviews recentes (60 dias) especificamente pros serviços que te importam.
Quer um provedor com e-mail + VPN + storage em nuvem todos sob um guarda-chuva? → ProtonVPN.
Está numa rede doméstica ou de escritório normal e só quer privacidade do seu provedor mais segurança em Wi-Fi público? → Quase qualquer provedor razoável faz isso. Combine preço com seu orçamento. Tiers grátis do ProtonVPN, Cloudflare WARP, ou Windscribe (limitados mas legítimos) são pontos de partida razoáveis.

Se está incerto entre dois provedores, instale ambos e use. Maioria oferece garantias de devolução de 7 ou 30 dias. O produto que funciona na sua rede específica é a escolha certa. Cópia de marketing não substitui testar de verdade.

Perguntas frequentes

Preciso de uma VPN afinal?

Provavelmente não pra maioria das pessoas. Uma VPN é útil pra: segurança em Wi-Fi público, acessar conteúdo geo-restrito, privacidade de vigilância no nível do provedor, e contornar censura. Se nenhuma se aplica, VPN é exagero. Privacidade de navegação é principalmente problema de navegador, não de rede.

Uma VPN grátis é segura?

Algumas são. Maioria não é. Tier grátis do ProtonVPN é genuinamente grátis e operacionalmente legítimo. Cloudflare WARP é genuinamente grátis, bundled com seu negócio CDN. Tier grátis do Windscribe é limitado mas legítimo. Quase tudo mais marqueteado como "VPN grátis" está monetizando dados, banda, ou ambos. O conselho padrão ("se você não está pagando, você é o produto") se aplica a VPNs mais estritamente que a maioria das outras categorias de software.

Devo usar Tor em vez disso?

Se seu modelo de ameaça é polícia ou vigilância de Estado-nação, sim. Tor provê anonimato muito mais forte que uma VPN. O custo é velocidade (Tor é significativamente mais lento) e acessibilidade (alguns sites bloqueiam nós de saída Tor). Pra privacidade diária, uma VPN é mais rápida e mais fácil. Pra anonimato de alto risco, Tor — possivelmente Tor sobre VPN.

Posso usar um trial grátis sem me comprometer?

Maioria dos provedores reputáveis oferece ou trial grátis ou garantia de devolução. Trial de 7 dias do Fexyn não exige cartão antecipado. NordVPN, ExpressVPN e Surfshark têm garantias de devolução de 30 dias que requerem pagamento. Teste o produto na sua rede específica antes de se comprometer. Alegações de marketing não sobrevivem contato com uma rede real.

Uma VPN vai deixar minha internet lenta?

Um pouco. WireGuard adiciona cerca de 5-10% de overhead nos nossos testes. VLESS Reality adiciona 10-15%. A lentidão é principalmente imperceptível pra navegação e streaming; é mais notável pra games e transferências grandes. Distância do servidor importa mais que o protocolo — conectar num servidor a 8000km de distância custa mais que o overhead do protocolo. Resposta detalhada aqui.

Se este guia te convenceu de que Fexyn é a resposta certa pra sua situação, experimente grátis por 7 dias — sem cartão pedido pro trial. Se te convenceu de que não somos a resposta certa, isso também está bem. Escolha o provedor que combina com sua situação específica. O pior resultado é ser convencido pro produto errado por causa de marketing brilhante.