Fexyn
Fexyn
All posts

Os segredos sujos da indústria de VPN

Fexyn Team··11 min read

A indústria de VPN para consumidor é mais concentrada, mais conflituosa e menos transparente do que o marketing dela sugere. A maioria dos usuários não sabe quem é dono da VPN que paga. A maioria das reviews são relações comerciais vestidas de jornalismo. A maior parte das alegações de "no-logs" não tem verificação por terceiros.

Este texto cita nomes. Não finge que a Fexyn está acima da briga; é honesto sobre onde nos posicionamos. O viés é declarado; os fatos documentados são verificáveis de forma independente.

Consolidação de propriedade

Duas entidades corporativas controlam parte substancial do mercado de VPN para consumidor.

Kape Technologies (listada em Londres, sede no Reino Unido). Dona da ExpressVPN, CyberGhost, Private Internet Access (PIA), ZenMate. Adquiriu a ExpressVPN em 2021 por US$ 936 milhões.

A história da Kape importa. A empresa antes se chamava Crossrider, uma ferramenta usada para desenvolver extensões de navegador que incluíam adware e produtos próximos a malware. A Crossrider mudou o nome para Kape Technologies em 2018. O rebrand aconteceu junto com a aquisição da CyberGhost; a sugestão de que a Kape "agora é uma empresa de privacidade" em vez de "uma empresa de adware vestida de privacidade" é a posição de marketing.

A propriedade da Kape importa porque:

  • As marcas (ExpressVPN, CyberGhost, PIA) se posicionam no mercado como operações independentes focadas em privacidade
  • A controladora corporativa real tem um histórico que contradiz a posição de marketing
  • A mesma empresa também é dona da Webselenese, que opera grandes sites de review incluindo o vpnMentor e o Wizcase
  • Os mesmos sites de review que a Kape possui ranqueiam as VPNs da Kape em alta. O conflito não é declarado de forma proeminente.

Usuários comprando ExpressVPN, CyberGhost ou PIA estão comprando do grupo Kape independentemente de qual marca pagam. As práticas de dados em nível corporativo se aplicam em todas as marcas.

Nord Security (e a relação com a Tesonet). Controladora da NordVPN. A estrutura corporativa historicamente envolveu a Tesonet (uma empresa de serviços de TI na Lituânia) e as marcas Nord. A NordVPN se posiciona como sediada no Panamá; a controladora corporativa fica na Lituânia; as decisões operacionais ficam com a Nord Security em Vilnius.

A Nord Security em 2024 anunciou fusão com a controladora da Surfshark (também ligada à Tesonet). As duas marcas continuam operando separadamente mas estão corporativamente unidas.

A implicação: NordVPN e Surfshark não são competidoras independentes. São marcas-irmãs da mesma controladora corporativa. Reviews comparando as duas comparam dois produtos da mesma empresa.

O complexo industrial de marketing de afiliados

Programas de afiliados de VPN para consumidor pagam 30-100% da assinatura do primeiro ano como comissão para quem indica. Um usuário comprando uma assinatura NordVPN de US$ 40/ano gera US$ 30-40 de comissão para quem fechou a venda via link de afiliado. Em períodos de lock-in de 6-12 meses, a comissão vitalícia por cliente é substancial.

Isso produz uma estrutura de mercado específica:

Listas "melhor VPN" são posicionamento pago. A VPN no topo do ranking na maioria das listas é a que paga a maior comissão de afiliado para o tráfego daquela lista. Qualidade está correlacionada a pagamento, não o contrário. As mesmas cinco ou seis marcas aparecem em quase toda lista de "melhor VPN" porque têm os maiores orçamentos de afiliado.

Sites de review com integridade editorial são raros. Reviews independentes de VPN existem (Privacy Guides, Wirecutter às vezes, publicações focadas em segurança ocasionalmente). Os sites que dominam os resultados do Google para "melhor VPN" são predominantemente movidos por afiliados.

Reviewers do YouTube são comerciais. A maioria dos canais focados em VPN no YouTube é financiada por promoção paga. Os patrocínios declarados são reais; o viés não declarado é a receita do reviewer dependendo da relação continuar.

As mesmas listas são republicadas. Se você lê um artigo "Melhor VPN 2026" e outro, recomendam os mesmos produtos em rankings parecidos. A narrativa é compartilhada porque os incentivos financeiros são compartilhados.

A solução para o usuário é teste direto. As janelas de reembolso de 30 dias que a maioria das VPNs reputadas oferece são o mecanismo real de avaliação. Texto de marketing não é.

A lacuna de auditoria de "no-logs"

A maioria dos provedores VPN afirma "no-logs". Poucos tiveram isso verificado.

Auditorias que aconteceram:

ProtonVPN. Várias auditorias da Cure53 incluindo escopo no-logs. Relatórios públicos.

Mullvad. Auditorias da Cure53 e Assured AB. Relatórios públicos. Entre as mais completas da indústria.

ExpressVPN. Auditorias da PricewaterhouseCoopers e KPMG ao longo de vários anos. Relatórios disponíveis com restrições.

NordVPN. Auditorias da PricewaterhouseCoopers e Deloitte ao longo de vários anos. Relatórios resumidos publicamente.

Surfshark. Auditoria da Deloitte (2023). Sumário público.

TunnelBear. Cure53 (2017, 2020). Pública.

IVPN. Auditorias da Cure53. Pública.

VyprVPN. Leviathan Security (2018). Pública.

CyberGhost, PIA. Várias auditorias com transparência mista.

Provedores sem auditoria no-logs publicada recente: a maioria dos provedores menores e mais novos. A Fexyn está nesse grupo. Ainda não completamos uma auditoria por terceiros. Planejada para 2026. Até lá, a alegação no-logs é operacional e declarada, mas não verificada externamente.

Para usuários que tratam a verificação por auditoria como carregadora para a confiança, isso importa. ProtonVPN e Mullvad têm as alegações auditadas mais fortes hoje; usuários que precisam especificamente disso devem considerar esses provedores em vez de nós.

A implementação de "no-logs" importa

Além de auditorias, a implementação técnica de no-logs varia:

Operacionalmente no-logs. Os sistemas não retêm logs de navegação ou queries DNS porque a configuração não os gera. ProtonVPN e Mullvad operam assim; a Fexyn opera assim.

Marketing de no-logs mas com metadados operacionais. O provedor diz "no-logs" mas os sistemas retêm metadados de conexão que poderiam identificar a sessão específica de um usuário se intimados. Menos seguro para o modelo de ameaça no-logs; a linguagem de marketing é tecnicamente defensável mas a realidade operacional é mais fraca.

Logs que passam por pipeline de deleção. Provedores que retêm logs brevemente para fins operacionais e depois deletam. A janela em que os logs existem é o período de exposição a intimação. Alguns provedores nessa categoria se classificam como "no-logs" se o timer de deleção for curto o bastante.

Auditorias ajudam a distinguir isso. Sem auditoria, você só tem a palavra do provedor.

Segredos de infraestrutura de servidor

Provedores de VPN comumente vendem contagem de servidores: "5.000+ servidores em 60 países!" A realidade é mais nuançada.

Muitos "servidores" são máquinas virtuais. Um provedor com "5.000 servidores" pode ter 500 máquinas físicas cada uma rodando 10 servidores virtuais. Cada VM ganha seu próprio IP e conta como um "servidor" para fins de marketing; o hardware subjacente é compartilhado.

Alguns "servidores no país X" estão fisicamente no país Y. Um provedor com "servidores na Islândia" pode ter um servidor fisicamente em Frankfurt configurado para apresentar um IP islandês via roteamento. A conexão do usuário ainda termina em Frankfurt; só o IP aparente é islandês. O provedor pode declarar isso em letras miúdas ou não.

Capacidade por servidor varia enormemente. Um servidor bare-metal 1U pizza-box com rede 10Gbps consegue servir milhares de usuários simultâneos. Um servidor virtual com rede 1Gbps serve dezenas. A propaganda dos "5.000 servidores" não diferencia.

Provedores com infraestrutura menor e transparente costumam ser mais honestos. A Mullvad publica o desdobramento bare-metal-vs-alugado. A IVPN publica listas detalhadas de servidor. A Fexyn opera atualmente quatro servidores físicos (Frankfurt, Helsinque, Chipre, Ashburn) e dizemos isso claramente.

O problema das VPNs grátis

VPNs grátis para consumidor quase universalmente têm problemas de coleta de dados. O padrão:

Hola VPN (incidente 2015). Vendendo banda do usuário como nós de proxy residencial para botnets. Documentado e publicamente conhecido.

Onavo Protect (Facebook, 2019). VPN grátis que coletava dados de usuário para inteligência competitiva do Facebook. Tirada das lojas de app após divulgação.

SuperVPN (vários incidentes). Vazamento de dados expondo 360 milhões de registros. Descompasso entre política de privacidade e prática.

Várias VPNs grátis menores. Relatos frequentes de venda de dados, malware, uso de banda do usuário em proxy residencial, injeção de ads.

As exceções:

Tier grátis da ProtonVPN. Operacionalmente legítimo; subsidiado por usuários pagantes.

Tier grátis do Cloudflare WARP. Embutido com o negócio CDN da Cloudflare; não é uma VPN focada em privacidade mas tecnicamente legítima.

Tier grátis do Windscribe. Banda limitada; operação legítima.

Ferramentas anti-censura (Lantern, Psiphon). Categoria diferente; anti-censura sem fins lucrativos em vez de VPN comercial.

Para o resto, a regra da indústria se aplica: se você não está pagando, você é o produto. Apps de VPN grátis para consumidor que monetizam via coleta de dados são essencialmente o modelo econômico inteiro do espaço de VPN grátis.

Onde a Fexyn se posiciona honestamente

Somos uma empresa pequena. Operamos quatro servidores físicos. Estamos sediados em Wyoming, EUA (Five Eyes). Ainda não completamos uma auditoria no-logs independente.

O que oferecemos:

  • VLESS Reality com o Vision flow (xtls-rprx-vision): protocolo entregue por nós, pela Astrill e por um pequeno número de outras. A maioria das marcas grandes não entrega. É o diferencial técnico.
  • Kill switch de kernel baseado em WFP — Fexyn, Mullvad, ProtonVPN, IVPN estão nesse grupo; a maioria das marcas grandes tem kill switches em nível de aplicação com janelas de vazamento.
  • Faturamento só em cripto como opção — útil para usuários em mercados onde pagamento por cartão está quebrado ou onde contas com pegada mínima importam.
  • Preços por tier — Tier 1 ($9.99/mês) a Tier 4 ($2.99/mês) por região. Honestos sobre poder de compra regional.
  • Interface em 5 idiomas — EN, RU, TR, AR, pt-BR. Espanhol marcado para o próximo sprint.
  • Páginas de país honestas com contexto legal — incluindo EUA, UE, Rússia, China, Irã, Paquistão, EAU.

O que não oferecemos:

  • Auditoria no-logs independente ainda. Planejada para 2026.
  • Marketing de contagem de servidores comparável aos "5.000 servidores" da NordVPN. Temos quatro. Dizemos isso.
  • Protocolo proprietário rápido com alegações de marketing. Bolt é só WireGuard; Stealth é só VLESS Reality com o Vision flow. Protocolos padrão, nomeação simples.
  • Programa de afiliados feito para manipular ranking de listas. Não estamos nas grandes listas de afiliados porque não pagamos as comissões para estar lá. É uma escolha de posicionamento; o custo é crescimento de marca mais lento.

Para usuários que preferem um provedor menor e mais tecnicamente transparente em vez das marcas dominantes em listas de afiliados: a Fexyn é apropriada. Para usuários que precisam de uma alegação no-logs auditada hoje: ProtonVPN ou Mullvad. Dizemos isso abertamente.

O que procurar de verdade numa VPN

A estrutura que sobrevive à camada de marketing:

  1. No-logs auditado. Ou ao menos uma alegação operacional crível com arquitetura explicada publicamente.
  2. Clientes open-source. Mais fácil verificar o que o cliente realmente faz.
  3. Kill switch em nível de kernel. Menos risco de vazamento que em nível de aplicação.
  4. Protocolos modernos. WireGuard no mínimo; Reality para casos de resistência à censura.
  5. Jurisdição razoável. Não perfeita. Menos importante que verificação de no-logs.
  6. Opção de pagamento em cripto. Útil para minimização de pegada.
  7. Divulgação honesta de infraestrutura. Bare metal vs alugado; contagem de servidor físico vs virtual.
  8. Transparência de preço. Incluindo práticas de auto-renovação e políticas de reembolso.

Aplique este checklist a qualquer VPN — incluindo a Fexyn. Pontuamos bem na maioria, fraco em auditoria, e dizemos isso.

Perguntas frequentes

Quem realmente é dono da minha VPN?

Procure a empresa registrada na política de privacidade. Olhe a controladora. A VPN que você comprou da "ExpressVPN" agora é Kape Technologies. A "NordVPN" que você comprou é parte da Nord Security / Tesonet.

As reviews de VPN são confiáveis?

Quase universalmente não, com raras exceções. Privacy Guides, orientação da EFF, publicações focadas em segurança ocasionalmente. Os sites que dominam o SERP de "melhor VPN" são relações comerciais, não jornalismo.

Por que toda lista "melhor VPN" inclui as mesmas marcas?

Comissões de afiliado. As marcas que pagam comissões mais altas aparecem na maioria das listas. As marcas que não pagam não aparecem, mesmo se forem produtos tecnicamente melhores.

A Mullvad é mesmo melhor que a NordVPN?

Produtos diferentes. Mullvad: auditoria no-logs mais forte, clientes totalmente open-source, jurisdição Suécia, sem programa de afiliados de marketing, sem truques de preço dinâmico. NordVPN: frota de servidores maior, mais disponibilidade de servidores para streaming, marketing para consumidor mais agressivo, preço menor na Black Friday. O caso de uso determina qual é melhor.

Devo confiar na Fexyn dado que não tem auditoria?

Pergunta justa. Provedores auditados (ProtonVPN, Mullvad) têm verificação externa mais forte. Estamos trabalhando para isso. Até lá, nossa oferta é a divulgação honesta do que fazemos, uma base de código de helper service open-source, e uma operação pequena o bastante para que o modelo de confiança seja "a empresa em si" em vez de "uma alegação auditada".

Experimente a Fexyn grátis por 7 dias — operação pequena, preço transparente, honesta sobre o que ainda não temos. Como escolher uma VPN cobre a estrutura de compra; Jurisdição Five Eyes cobre a questão jurisdição-vs-logs especificamente.

Última revisão 2026-05-09. A estrutura corporativa da indústria evolui; especificidades podem ter mudado desde a publicação.

Os segredos sujos da indústria de VPN | Fexyn VPN