O que seu provedor realmente vê sem VPN

Seu provedor de internet senta entre você e tudo o mais na internet. Cada pacote que seu laptop manda passa pela rede deles. Eles veem tudo isso — mas com HTTPS agora cobrindo a maior parte da web, "veem tudo" é mais nuançado do que era. Aqui está a versão exata.

O que o provedor pode ver em 2026

Toda query DNS que você faz

Quando você digita example.com no navegador, seu computador primeiro pergunta a um servidor DNS "qual é o IP do example.com?". Sem VPN ou DNS-over-HTTPS, essa pergunta vai em texto puro pro DNS resolver do seu provedor. O provedor vê:

O domínio que você está buscando
A hora exata da busca
A frequência com que você busca
Se você buscou antes

Provedores tipicamente guardam logs de queries DNS. O período de retenção varia por jurisdição e provedor, mas logging por padrão é a regra, não a exceção. No Brasil, o Marco Civil da Internet (Lei 12.965/2014) obriga provedores de conexão a manter logs de conexão por 12 meses, e provedores de aplicação por 6 meses. Disponibilizados a autoridades mediante ordem judicial.

Todo domínio que você visita, mesmo via HTTPS

HTTPS criptografa o conteúdo, mas não o destino. O TLS handshake inclui um campo Server Name Indication (SNI) — um header em texto puro que diz "quero conectar com www.example.com", pro servidor saber qual certificado servir. SNI é necessário — múltiplos sites compartilham endereços IP em shared hosting, e o servidor precisa saber qual você quer.

Esse SNI é visível pra qualquer um observando o cabo, incluindo seu provedor. Mesmo com HTTPS completo, o provedor sabe exatamente quais sites você visita — só não sabe o que você faz neles.

Alguns navegadores suportam Encrypted SNI (ESNI) e Encrypted Client Hello (ECH), mas o suporte é desigual e a filtragem de provedor pega muitos edge-cases. Na prática, SNI é visível pro provedor hoje.

Metadados de conexão

O provedor vê:

IP de origem e destino. Eles sabem seu IP (eles deram) e o IP de destino pra cada conexão.
Protocolo e porta. Se você usa HTTP, HTTPS, SSH, RDP, BitTorrent, VPN. Geralmente conseguem identificar o protocolo por padrões de pacote, mesmo se você muda a porta.
Timing. Quando conexões acontecem, quanto duram, com que frequência se repetem.
Volume de dados. Quanto você mandou e recebeu em cada direção.

Juntos, isso basta pra construir um quadro detalhado. Provedores sabem quando você está streamando vídeo, quando está em videochamada, quando baixa arquivos grandes, e aproximadamente que serviços usa.

O que é realmente privado sem VPN

Dentro duma sessão HTTPS, o provedor não vê:

O caminho completo da URL (só o domínio)
O conteúdo da página
Submissão de formulários
Cookies
Requisições de API dentro da página

Então eles sabem que você entrou no site do banco, mas não em qual página. Sabem que você usou um chat, mas não com quem fala nem sobre o quê. Esse é o piso do que HTTPS te dá.

O que provedores realmente fazem com esses dados

Vendem pra anunciantes

Nos EUA, as regras de broadband privacy da FCC foram revogadas em 2017. Provedores podem vender seu histórico de navegação pra anunciantes sem consentimento explícito, e vários fazem. Verizon, AT&T e Comcast todos tiveram programas de targeted-advertising usando dados de navegação a nível ISP. Os dados são "anonimizados" antes da venda, mas anonimização de dados de navegação se reverte vez após vez em pesquisa.

No Reino Unido, provedores são obrigados a guardar registros de conexão por 12 meses pelo Investigatory Powers Act e providenciar a agências governamentais sob requisição. A retenção é obrigatória; o acesso não é anunciado mas bem documentado em relatórios de transparência.

Na União Europeia, GDPR dá proteções mais fortes, mas provedores ainda guardam logs operacionais e respondem a pedidos de law enforcement por legislação nacional, variando por país.

No Brasil, o Marco Civil obriga retenção de logs e provedores respondem a ordens judiciais. ANATEL regula o setor mas a vigilância pra fins de aplicação da lei segue rito judicial.

Throttle de tráfego específico

Provedores priorizam algum tráfego sobre outro. Os alvos mais comuns:

BitTorrent e outros P2P
Streaming de vídeo em horários de pico, especialmente em planos de tier mais baixo
Às vezes tráfego de jogos em planos consumidor
Qualquer coisa que reconheçam como serviço competidor (por exemplo, um provedor que possui um serviço de vídeo pode estrangular Netflix)

Isso é tecnicamente violação de net neutrality onde net neutrality se aplica, e tecnicamente legal onde não. No Brasil, o Marco Civil prevê neutralidade de rede mas com exceções; throttling de classes específicas de tráfego acontece e raramente é contestado publicamente.

Atendem pedidos governamentais

Pedidos de law enforcement a provedores são rotina. Países Five Eyes (EUA, Reino Unido, Canadá, Austrália, Nova Zelândia) compartilham inteligência, incluindo metadados de comunicações. Volume de pedidos chega a centenas de milhares por ano por provedor grande. A maioria é processada sem contestação.

Subpoena, search warrant ou NSL (nos EUA) — ou ordem judicial brasileira sob o Marco Civil — permite a law enforcement obter seus registros de subscriber, histórico de atribuição de IP, logs de conexão e logs de query DNS do provedor. Não precisam quebrar seu computador; podem perguntar ao provedor.

Injetam ads (mais raro agora, mas ainda)

Antes da era HTTPS-em-tudo, alguns provedores injetavam ads em respostas HTTP. AT&T e vários provedores menores foram pegos nisso no início de 2010. A prática é mais rara agora porque a maioria das páginas é HTTPS, mas ainda acontece nas bordas em texto puro (respostas DNS redirecionando pra páginas "search assist", por exemplo).

Como uma VPN muda o quadro

VPN criptografa tudo entre seu dispositivo e o servidor VPN. O provedor vê:

Um túnel criptografado pra um IP (o servidor VPN)
Protocolo e porta do túnel
Quanto dado você mandou
Quanto tempo o túnel ficou de pé

Eles não veem:

Que sites você visitou
Queries DNS (acontecem dentro do túnel, são resolvidas pelo DNS da VPN)
Conteúdo de qualquer tráfego
Destinos que você alcançou depois do servidor VPN

Eles sabem que você usa VPN. Sabem quanta banda sua VPN consumiu. Não sabem o que você fez com ela.

Isso remove preocupações de vigilância e traffic-shaping a nível de provedor. Move a confiança do provedor pro provedor de VPN — por isso a política de logging do provedor de VPN importa. Uma VPN que loga tudo é só outro provedor com outra jurisdição.

O Fexyn não loga histórico de navegação, queries DNS ou conteúdo de tráfego. Esse é o compromisso preciso, com letra miúda.

VLESS Reality vai um passo além

Uma VPN padrão diz pro seu provedor "você usa VPN" pelo padrão do protocolo. Pacotes WireGuard parecem WireGuard. Pacotes OpenVPN parecem OpenVPN. O provedor sabe que você está tunelando, mesmo se não sabe o quê.

VLESS Reality (Fexyn Stealth) é diferente. Estabelece uma conexão TLS 1.3 real com um site público real tipo microsoft.com. Pro provedor, o tráfego parece sessão HTTPS pro microsoft.com. Mesmo SNI, certificado real de CA real, perfil de bandwidth plausível.

Em países onde "uso de VPN" por si só é flag, isso importa. O provedor não consegue dizer que você está tunelando sem false-positive bloquear tráfego pra sites públicos legítimos.

Side channel via DNS leaks

Uma VPN que não tunela DNS completamente deixa um side channel aberto. Mesmo com túnel de pé, queries DNS podem vazar pro provedor via OS-level shortcuts (Smart Multi-Homed Name Resolution no Windows, IPv6 fallback paths, IPv4-mapped queries). Aí o provedor vê os domínios via DNS, mesmo que o túnel esconda tudo o resto.

Teste DNS leaks independente de qual VPN você usa. Se aparecerem leaks — conserte.

O Fexyn força todo DNS pelo túnel via regras NRPT a nível de SO mais config DNS por protocolo. A combinação remove os caminhos de leak comuns.

Leitura relacionada

Experimente o Fexyn grátis por 7 dias. Seu provedor vai continuar vendo que você está online — vai parar de ver o que você faz.