O que é uma VPN? O guia sem enrolação
Uma VPN é um serviço que envolve seu tráfego de internet num túnel criptografado e o encaminha por um servidor que você escolhe. Seu provedor vê um stream criptografado para esse servidor. Os sites veem o IP do servidor, não o seu. Esse é o produto inteiro. Tudo o mais comercializado em torno de VPNs é ou efeito colateral desses dois fatos ou, francamente, hype.
Este guia é a versão que a gente queria que alguém tivesse dado quando a gente começou a pesquisar VPN. O que muda quando você liga uma, o que não muda, quando uma VPN te ajuda de verdade, e quando você está pagando por nada.
O que uma VPN realmente faz
Quando a sua VPN está desligada, seu laptop fala diretamente com a rede do seu ISP. O ISP roteia seus pacotes para qualquer servidor que você esteja visitando. O ISP vê os IPs de destino e os nomes de domínio que você consulta. Os sites que você visita veem seu endereço IP real. Operadores de Wi-Fi público veem o mesmo.
Ligue a VPN e três coisas mudam.
Seu tráfego é criptografado entre o seu dispositivo e o servidor VPN. Seu ISP não consegue mais ler o que você está mandando. Eles veem bytes criptografados fluindo para um endereço IP: o servidor VPN. Não conseguem dizer se você está assistindo YouTube, baixando email ou lendo Wikipedia.
Suas consultas DNS vão pelo mesmo túnel. Resolução de nome de domínio (o passo que transforma example.com num IP) acontece no resolver do provedor de VPN em vez do ISP. Seu ISP não vê mais a lista de domínios que você visita. O provedor de VPN vê, e é parte do porquê "no-logs" é a pergunta mais importante que você pode fazer a uma VPN.
Sites veem o IP do servidor VPN, não o seu. O que você visita recebe uma conexão do IP de saída da VPN. Não conseguem derivar o seu IP de casa dessa conexão. Ainda conseguem fingerprintar seu navegador, identificar sua conta se você loga, e ler seus cookies — essas não são preocupações de camada de rede.
Esse é o mecanismo inteiro. Criptografia entre você e o servidor, DNS pelo túnel, tráfego sai com IP diferente. Nada mais.
O que uma VPN NÃO faz
É aqui que a maior parte do marketing colapsa, então vamos ser específicos.
VPN não te deixa anônimo. Move a fronteira de confiança, não apaga ela. Sem VPN, seu ISP vê sua atividade. Com VPN, o provedor de VPN vê a mesma atividade (menos conteúdo, já que o tráfego para sites HTTPS é criptografado ponta a ponta). Você substituiu uma parte por outra. Se isso é upgrade depende inteiramente de o provedor de VPN guardar logs e de você confiar mais nele do que no seu ISP.
Quando você loga no Gmail, o Gmail ainda sabe que é você. Quando os pixels de tracking do Google disparam no próximo site que você visita, o tracking ainda funciona. Depende da sua conta, da fingerprint do seu navegador e dos cookies, não do seu IP. Uma VPN não consegue desacoplar sua conta do seu navegador.
VPN não te protege de phishing. Se você clica num link malicioso e digita sua senha numa página de login fake, a VPN fielmente criptografa e encaminha essa senha ao atacante. Tunelamento não inspeciona conteúdo. Não sabe o que é malicioso.
VPN não te deixa imune a cookie ou fingerprint. Cookies do navegador persistem entre mudanças de IP. Fingerprinting (canvas, fontes, resolução de tela, peculiaridades de hardware) ignora identidade de rede totalmente. Conectar via VPN não reseta os cookies que seu navegador já aceitou, e não embaralha a combinação única de atributos que seu navegador anuncia para todo site.
VPN não bloqueia ads, malware ou trackers por padrão. Alguns provedores de VPN incluem um bloqueador baseado em DNS. Essa feature é independente da VPN em si; você pode rodar bloqueador DNS sem VPN, e VPN sem bloqueador DNS. Não compre VPN esperando bloqueador de ads.
VPN não criptografa tráfego além do servidor de saída. Do servidor VPN até o site de destino, seus pacotes viajam pela internet normal. Se o site de destino usa HTTPS (a maior parte da web em 2026 usa), essa perna já está criptografada por TLS. Se não usa, seu tráfego sai da VPN e viaja em claro até o destino — o mesmo que sem VPN.
O modelo mental: uma VPN é um mensageiro privado entre você e um escritório de encaminhamento. A entrega do mensageiro é selada. Uma vez que sua correspondência sai do escritório de encaminhamento, vai pelo sistema postal regular. Se o destinatário acaba lendo depende do destinatário e do envelope, não do mensageiro.
Para que uma VPN é genuinamente útil
Três coisas, com ressalvas honestas.
Privacidade contra o seu ISP e o operador da rede. É o caso mais forte. ISPs em muitos países (EUA, Reino Unido, Austrália, vários membros da UE) podem coletar ou são obrigados a reter metadados de navegação. Operadores de Wi-Fi de hotel e aeroporto frequentemente logam tudo que passa. Se você não quer que o seu ISP construa um perfil de todo domínio que você visita, uma VPN move essa visibilidade do seu ISP para o provedor de VPN, o que torna a política de logging do provedor o fator decisivo. Um provedor no-logs é significativamente mais privado que um ISP americano para navegação típica. Um provedor que loga no mesmo país do seu ISP é, matematicamente, sem upgrade.
Bypass de geolocalização para casos legítimos. Streaming de um serviço que você paga enquanto viaja. Lendo um site de jornalismo que bloqueia o seu país. Acessando o site bancário do seu país de origem do exterior. Baixando software que o publicador restringiu por região. Funcionam porque sites usam geolocalização de IP; conecte por servidor na região alvo e o site te trata como se você estivesse lá. Suportamos 4 regiões de saída hoje: Frankfurt (DE), Helsinque (FI), Chipre (CY) e Ashburn (US-VA). Cobre EU-Central, EU-Norte, EU-Sul e US-Leste. Não fingimos ter a malha global de 60 países que provedores maiores anunciam nas páginas de entrada deles.
Segurança em redes não confiáveis. Wi-Fi de café, redes de hotel, Wi-Fi de conferência, aeroportos. Mesmo com HTTPS protegendo o conteúdo das suas sessões, um operador de rede hostil ainda pode ver quais domínios você conecta via Server Name Indication (SNI), e historicamente podia rebaixar ou interceptar conexões que não usavam HTTPS estritamente. Uma VPN reduz a visibilidade do operador da rede a "bytes criptografados indo para um servidor". Para viajantes e trabalhadores remotos em redes rotativas, é benefício real.
Há casos menores: bypass de rate-limiting em certos sites, escapar de bans baseados em IP, tráfego P2P que alguns ISPs fazem throttling. São reais mas secundários.
Como protocolos diferem
Um protocolo de VPN é a conversa criptográfica específica que o seu cliente tem com o servidor VPN. A escolha de protocolo afeta velocidade, confiabilidade em redes hostis, e quão detectável a conexão é. Três valem conhecer.
WireGuard. O protocolo mais rápido em uso em produção. Handshake mínimo, cifras modernas (ChaCha20-Poly1305 para tráfego, X25519 para troca de chave) e design amigável a kernel. Tempo de conexão sub-segundo num caminho aquecido. Usa UDP. Fácil de identificar como tráfego VPN se um operador de rede inspeciona tamanhos de pacote e timing, o que é ok na maioria das redes mas é flagado em algumas. A Fexyn entrega WireGuard como o nosso protocolo padrão e marca como Bolt.
OpenVPN. O veterano da compatibilidade. Mais antigo, mais lento e mais pesado que WireGuard, mas vem sendo entregue há duas décadas e roda em redes onde protocolos mais novos tropeçam. Suporta UDP (mais rápido) e TCP (mais confiável em redes instáveis). Handshake baseado em TLS, cifras configuráveis (AES-256-GCM é o padrão moderno). Útil como fallback quando WireGuard é bloqueado ou quando você precisa especificamente de transporte TCP. Marcamos como Secure.
VLESS Reality. Protocolo resistente a censura do projeto XRay. Construído em torno de imitar TLS 1.3 real para um site real (o alvo "SNI"). Operadores de rede inspecionando tráfego veem o que parece um handshake TLS para um site legítimo popular. Mais lento para configurar que WireGuard e mais sensível à configuração, mas sobrevive em ambientes onde WireGuard e OpenVPN são bloqueados de cara. Marcamos como Stealth e usamos o Vision flow (xtls-rprx-vision) para tráfego.
Você não precisa escolher manualmente. Um bom cliente escolhe o protocolo certo para a sua rede e faz fallback automaticamente quando um falha. O motor de rotação da Fexyn começa com WireGuard para velocidade, faz fallback para VLESS Reality em redes hostis, e usa OpenVPN como camada de compatibilidade de último recurso.
Modelo de confiança: você está substituindo seu ISP por outra pessoa
Esta é a parte que o marketing de VPN não adora.
Sem VPN: seu ISP vê os metadados da sua atividade (domínios, timestamps, padrões de banda). Seu ISP é obrigado por lei em muitas jurisdições a reter esses dados por algum período e produzir mediante pedido legal.
Com VPN: seu ISP vê um túnel criptografado. O provedor de VPN vê os metadados que o seu ISP via antes. Se isso é upgrade depende de três perguntas.
O provedor de VPN guarda logs que poderiam te identificar? Se sim, você não melhorou nada; só moveu os dados para uma empresa diferente. Se não, e isso é verificável, você reduziu de forma significativa quem pode construir um perfil da sua atividade.
Qual é a estrutura de incentivos do provedor? VPNs grátis precisam ganhar dinheiro de algum jeito. Várias foram pegas logando e vendendo dados de navegação. VPNs pagas ganham com assinaturas, o que é menos corruptor mas não auditável.
A alegação no-logs é verificada externamente? Um punhado de provedores publicou auditorias de firmas como Cure53, Deloitte, KPMG ou PricewaterhouseCoopers. A maioria não. A Fexyn ainda não; estamos planejando uma auditoria por terceiros para 2026. Até que esse relatório seja público, nossa postura no-logs é operacional e declarada, não verificada externamente. Dizemos isso oficialmente porque a alternativa é te enganar.
A versão honesta da proposta de valor de VPN é: "somos uma parte diferente do seu ISP, com um modelo de negócio diferente e (idealmente) uma jurisdição diferente. Se você confia mais em nós do que neles, a troca é upgrade." É real, mas é mais estreito que "anonimato".
Quando você não precisa de VPN
Marketing de VPN tende a presumir que você deveria estar rodando uma 24/7. É exagero para muita gente. Pule a VPN quando:
Você está numa rede em que confia e não está fazendo nada com geo-restrição. Sua rede de casa, do escritório, da casa de um amigo. O operador da rede é você ou alguém em quem você confia; HTTPS protege o conteúdo das sessões; o ganho marginal de privacidade é pequeno. Muita gente deixa a VPN desligada em casa e só liga quando viaja.
Você está visitando só sites HTTPS e não se importa com os metadados. TLS já criptografa o conteúdo de toda conexão a um site moderno. Seu ISP vê o domínio (via SNI e DNS), mas não o que você lê nele. Se você não considera a lista de domínios em si sensível, VPN adiciona pouco.
Você não tem necessidade de bypass de geolocalização. Se seus serviços de streaming funcionam do seu país e os sites que você lê não são bloqueados por região, o benefício de geo-roteamento é zero.
Você precisa de banda máxima ou latência mínima. VPN adiciona um hop e uma etapa de criptografia. O overhead é pequeno (5-15% em WireGuard, mais em OpenVPN) mas real. Jogo online em servidor longe da saída VPN vai parecer pior com VPN ligada. Transferências de arquivo grandes ficam ligeiramente mais lentas.
Você está usando VPN para escapar de tracking de serviços em que loga. Não funciona. Google sabe que é você porque você digitou sua senha do Google. Amazon sabe que é você porque você logou na Amazon. A VPN é invisível para a camada de aplicação.
Um padrão razoável para a maioria: VPN ligada para viagem e redes não confiáveis, ligada se você quer consistentemente esconder metadados de navegação do seu ISP, desligada caso contrário. Algumas pessoas rodam sempre; é decisão de modelo de ameaça pessoal, não exigência técnica.
O que avaliar de verdade ao escolher uma
Se você decidiu que quer uma VPN, as perguntas que importam:
Política de logging e status de auditoria. Leia a política de privacidade. Procure por logs de conexão, logs de tráfego e logs de DNS explicitamente ausentes. Procure por uma auditoria. Se nenhum dos dois existe, baixe a sua confiança proporcionalmente.
Jurisdição. Pertencer a Five Eyes / Nine Eyes / Fourteen Eyes importa como fator secundário depois de logging. Um provedor no-logs nos EUA é mais privado que um provedor que loga na Suíça. Temos um post separado sobre jurisdição; a versão curta é que logging é a pergunta, jurisdição é o modificador.
Contagem de servidor e localizações relevantes para você. "5.000 servidores em 90 países" é, em sua maioria, marketing. O que importa é se as localizações que você precisa de fato (seu país, a região de streaming que você quer, uma saída de baixa latência para viagem) estão cobertas. Menos servidores de alta qualidade ganham de muitos de baixa qualidade.
Kill switch e proteção contra vazamento de DNS. Se a sua VPN cai, seu IP real vaza? Um kill switch bloqueia todo tráfego quando o túnel cai. Proteção contra vazamento de DNS roteia toda query DNS pelo túnel. Ambos deveriam ser padrão.
Janela de reembolso. A maioria das VPNs reputadas oferece reembolso de 7 a 30 dias. Use. Texto de marketing não é confiável; testar nas suas redes de fato é confiável. A Fexyn oferece trial grátis de 7 dias: cadastre, teste na sua conexão real, decida.
Preço. Infraestrutura real de VPN custa dinheiro. Uma VPN "grátis" está te monetizando de algum jeito, quase sempre via seus dados. Tiers pagos variam muito; as diferenças nos conjuntos de feature frequentemente são menores que as diferenças de preço. Nossos tiers vão de US$ 9,99 (mensal) até US$ 2,99 (multi-ano) e estão listados de forma transparente na página de pricing.
A linha de base
Uma VPN é uma ferramenta útil e estreita. Criptografa seu tráfego entre você e um servidor, te deixa parecer estar navegando de outro lugar, e te protege em redes em que você não confia. Não te anonimiza, não para trackers, não bloqueia phishing, e não substitui bom senso.
Se esses três benefícios (privacidade contra ISP, bypass de geolocalização, segurança em rede não confiável) batem com as suas necessidades de fato, vale rodar VPN. Se não batem, você está pagando por feature que não usa. Qualquer dos dois está bem. A escolha certa depende do que você está fazendo online de fato.
FAQ
Não. Substitui a visibilidade do seu ISP pela visibilidade do provedor de VPN, e muda o IP que sites veem. Logins de conta, fingerprint de navegador e cookies ainda te identificam para serviços que já sabem quem você é. Anonimato exige um conjunto de ferramentas diferente (Tor, contas compartimentalizadas, navegadores hardenizados).
Conseguem ver que você está conectado a um servidor VPN (o IP do servidor, os bytes criptografados indo e vindo, e o padrão de banda). Não conseguem ver quais sites você visita, quais domínios você consulta, ou que dados estão nessas conexões. Se conseguem identificar qual VPN você está usando depende do protocolo — WireGuard e OpenVPN são fácil de identificar como tráfego VPN; VLESS Reality é projetado para parecer HTTPS normal.
Provavelmente não, a menos que você queira especificamente esconder metadados de navegação do seu ISP, precise driblar uma geo-restrição, ou tenha modelo de ameaça que inclua o seu ISP de casa. A maioria das pessoas roda VPN em redes de viagem e desliga em casa.
Trate VPN grátis com ceticismo sério. Operar servidores VPN custa dinheiro. Se você não está pagando, geralmente é o produto, via injeção de ads, revenda de dados de navegação, ou pior. Várias VPNs grátis foram pegas logando e vendendo dados de usuário. Algumas são operadas por entidades em quem você não confiaria se soubesse quem são. O tier grátis de provedor pago com práticas auditadas é categoria diferente.
Um pouco. WireGuard adiciona cerca de 5-10% de overhead na maioria das conexões. OpenVPN adiciona 15-25%. Distância até o servidor VPN adiciona latência proporcional à distância. Para navegação, streaming e chamadas de vídeo típicas, o overhead é invisível. Para jogo competitivo ou transferências enormes, é perceptível.
Sim, com ressalvas. Serviços de streaming tentam ativamente detectar e bloquear IPs de saída de VPN. Algumas VPNs investem pesado em trabalho de desbloqueio; outras não. O histórico do provedor no serviço específico que você quer usar é o sinal relevante. Teste a janela de reembolso antes de assumir compromisso.
Sim. HTTPS criptografa tráfego ponta a ponta entre seu navegador e o site. A VPN criptografa tráfego entre você e o servidor VPN. Além da saída da VPN, seu tráfego está na internet normal. Sem HTTPS, o provedor de VPN e qualquer rede entre a saída da VPN e o site podem ler seu tráfego. Navegadores modernos usam HTTPS por padrão para quase tudo; verifique o cadeado para páginas sensíveis.
Uma VPN tunela todo o tráfego do seu dispositivo por uma conexão criptografada no nível do SO. Um proxy normalmente roteia tráfego para uma aplicação (tipicamente um navegador) e pode não criptografar de jeito nenhum. Proxies são mais simples e rápidos; VPNs cobrem mais do seu sistema e adicionam criptografia real.
Sim, por qualquer coisa que não dependa do seu IP. Cookies, logins de conta, fingerprinting de navegador e sinais comportamentais te rastreiam independente do status de VPN. A camada de tracking baseada em IP muda; o resto não.
Padrão WireGuard (Bolt) para velocidade. Use VLESS Reality (Stealth) em redes que bloqueiam VPNs (alguns trabalhos, alguns países, alguns ISPs). Use OpenVPN (Secure) quando infraestrutura mais antiga ou problemas específicos de compatibilidade exigem. A Fexyn escolhe automaticamente e faz fallback quando um falha.