Seu provedor está observando: o que o seu ISP realmente vê

Seu provedor de internet fica entre você e todo site que você visita. Eles processam todo byte duas vezes — uma na ida, outra na volta. Sabem tudo sobre os metadados da sua vida na internet. A maioria dos usuários não entende o quanto.

Isto é o que eles realmente veem, o que estão legalmente autorizados a fazer com isso, e como isso varia por país.

O que seu ISP consegue ver

Três categorias. Vale entender a distinção.

1. Queries DNS. Toda vez que você digita um domínio (ou clica num link), seu computador pergunta a um servidor DNS pelo IP. A maioria dos usuários usa o DNS do ISP por padrão. O ISP vê todo domínio que você consulta — google.com, seu banco, seu perfil de namoro, o site de sintoma médico que você visitou às 3 da manhã.

Queries DNS não são criptografadas por padrão. Mesmo se você usa um resolver DNS de terceiro (1.1.1.1 da Cloudflare, 8.8.8.8 do Google), o ISP consegue ver o IP de destino dessas requisições e inferir que são lookups DNS. DNS criptografado — DNS-over-HTTPS (DoH) ou DNS-over-TLS (DoT) — esconde as queries do ISP, mas a adoção é desigual.

2. SNI em handshakes TLS. Toda conexão HTTPS começa com handshake TLS. O campo Server Name Indication (SNI) diz ao servidor a qual hostname o cliente está conectando — e é mandado em texto claro. Então mesmo quando o resto do tráfego é criptografado, o ISP vê o hostname de todo site que você visita no início de toda conexão.

Encrypted Client Hello (ECH) é o padrão que corrige isso. Está sendo implantado pela Cloudflare e suportado pelo Firefox e Chrome atrás de uma flag. A maior parte do tráfego em 2026 ainda tem SNI em texto claro. O ISP sabe quais sites você visita mesmo quando não sabe o que você lê neles.

3. Metadados de conexão. IP de origem (seu), IP de destino (do servidor), timestamps, tamanhos de pacote, padrões de timing de tráfego. A partir disso, ISPs conseguem identificar protocolos (BitTorrent, streaming de vídeo, VoIP), serviços (Netflix vs YouTube vs Zoom pela forma do tráfego), e comportamento (quando você dorme, quando você trabalha, quais dispositivos estão ativos).

O que ISPs não conseguem ver: o conteúdo de tráfego criptografado. HTTPS, mensagens criptografadas, seu túnel VPN — esses são ilegíveis para o ISP. Eles veem que você conectou, quando, por quanto tempo, e para qual IP. Não o que você disse.

O que ISPs fazem com esses dados

Três coisas, em ordem aproximada de difusão:

Uso operacional. Planejamento de capacidade, gerenciamento de tráfego, lidar com abuso, conformidade com lei. Todo ISP faz isso. Não é opcional.

Monetização comercial. Vendendo dados de navegação para redes de ads, data brokers e firmas de analytics. Se isso é permitido depende do país.

Conformidade governamental. Retendo dados por períodos fixos para que autoridades possam intimar. Se isso é exigido depende do país.

Estados Unidos: ISPs podem vender seus dados

Os EUA não têm lei federal abrangente de privacidade. ISPs são regulados como common carriers sob o Communications Act, mas as regras de privacidade de banda larga da FCC de 2016 — que teriam exigido que ISPs obtenham consentimento opt-in antes de vender dados de navegação — foram revogadas em março de 2017 pelo Congresso sob o Congressional Review Act.

Desde então, ISPs dos EUA estão legalmente autorizados a vender dados de navegação sem consentimento opt-in. A maioria dos grandes ISPs (Comcast, Verizon, AT&T, T-Mobile, Charter/Spectrum) tem programas de monetização de dados. "Custom Experience" da Verizon e "Internet Preferences" da AT&T são os nomes explícitos; opt-out existe mas está enterrado em configurações de conta que a maioria dos usuários nunca visita.

Para usuários nos EUA, a presunção deveria ser: se você não fez opt-out especificamente, seu ISP está monetizando seus dados de navegação. O opt-out existe; achar exige esforço deliberado.

Reino Unido: 12 meses de retenção obrigatória

A Investigatory Powers Act 2016 (a "Snoopers' Charter") exige que ISPs do Reino Unido retenham "registros de conexão de internet" por 12 meses. ICRs incluem IP de origem, IP de destino, hora, duração. Autoridades podem pedir acesso sem mandado em algumas categorias; com mandado, podem pedir mais detalhe.

A IPA também autoriza capacidades de interceptação em massa para os serviços de inteligência. A Court of Appeal decidiu partes da lei de 2016 ilegais em 2018; o governo não reescreveu fundamentalmente o framework.

Para usuários do Reino Unido, a presunção deveria ser: há uma janela rolante de 12 meses de metadados sobre sua atividade de internet sentada no seu ISP, recuperável por vários órgãos governamentais sob vários níveis de autorização.

Austrália: 2 anos de retenção obrigatória

A Telecommunications (Interception and Access) Amendment (Data Retention) Act 2015 exige que ISPs australianos retenham metadados por 2 anos. Origem/destino, hora, duração, informação de conta, localização. Acesso por 21 agências designadas incluindo a AFP e ASIO sem mandado para os metadados em si.

A Austrália não tem lei abrangente de privacidade para uso comercial de dados de ISP. ISPs operam sob o Privacy Act 1988 mais regras específicas de telecom; o framework foi criticado por sub-proteger usuários.

Rússia: acesso em tempo real do SORM

A Rússia opera o Sistema Operativno-Rozysknykh Meropriyatii (SORM) — equipamento instalado em todo ISP russo desde o SORM-2 (1995). FSB tem acesso direto, em tempo real, ao tráfego de internet russo sem precisar mostrar ordem judicial ao ISP.

As leis Yarovaya (2016, expandidas em 2019) exigem que ISPs e serviços de mensageria retenham metadados de usuário por 6 meses e conteúdo por até 6 meses, e forneçam chaves de descriptografia aos serviços de segurança mediante pedido.

Para usuários russos, a presunção deveria ser: todo ISP doméstico é canal direto de vigilância. Uma VPN com saída fora da Rússia move a questão de vigilância de "o que a FSB pode ver diretamente" para "o que a jurisdição do provedor de VPN permite".

A General Data Protection Regulation (GDPR) limita uso comercial de dados pessoais, incluindo dados de navegação de ISP, mais estritamente que a lei dos EUA. ISPs não podem vender dados de navegação sem consentimento explícito.

Retenção obrigatória de dados para fins de cumprimento da lei é mais complicada. A Diretiva de Retenção de Dados de 2006 foi derrubada pelo Tribunal de Justiça Europeu em 2014 (caso Digital Rights Ireland) por ser excessivamente ampla. Estados-membros implementaram suas próprias leis de retenção desde então, com graus variados de contestação judicial. A lei de retenção da Alemanha também foi derrubada em 2010.

O estado atual varia por membro da UE: França retém por 1 ano, Itália por períodos variados, Holanda foi pressionada para trás de regimes anteriores de retenção por decisões judiciais. A direção geral foi para retenção mais restritiva que o modelo EUA/Reino Unido/Austrália.

Outros casos notáveis

China. Tráfego de internet roteia por infraestrutura mandatada pelo Estado com monitoramento abrangente. ISPs são extensão direta da vigilância estatal. A Great Firewall fornece a camada de filtragem; a camada de monitoramento é mais ampla.

Irã. Monitoramento abrangente em nível de ISP sob o Cyberspace Supreme Council e o Comitê de Filtragem. Casos documentados de processos de dissidentes usando metadados em nível de ISP.

Singapura. A PDPA limita uso comercial; o Computer Misuse Act e várias outras leis autorizam acesso investigativo amplo.

Maior parte da América Latina e África. Retenção obrigatória menos formal; monetização comercial de dados de ISP varia; acesso governamental varia enormemente pelo ambiente político.

O que uma VPN realmente muda

Uma VPN criptografa a conexão entre o seu dispositivo e o provedor de VPN. Da perspectiva do ISP, todo o seu tráfego vira um único túnel criptografado para um IP — o servidor de saída do provedor de VPN.

O que o ISP vê com uma VPN ativa:

Origem: seu IP
Destino: o IP de saída do provedor de VPN
Volume: quanto dado fluiu pelo túnel
Duração: quando o túnel ficou ativo

O que o ISP não vê:

Quais sites você visitou (sem SNI, sem queries DNS vazando)
Quais protocolos você usou (BitTorrent, streaming, jogo todos parecem iguais)
O que você escreveu, assistiu ou baixou

Isso desloca a questão de confiança. Em vez de confiar no seu ISP, você está confiando no seu provedor de VPN. O provedor de VPN consegue ver o que o seu ISP via antes: suas queries DNS, seu SNI, seus destinos. As perguntas relevantes viram:

O provedor de VPN loga esses dados? Um provedor genuinamente no-logs não loga.
Em qual jurisdição está o provedor de VPN? Algumas jurisdições podem obrigar logs.
A alegação no-logs foi verificada de forma independente? Auditorias existem para alguns provedores.
Qual é a trilha de pagamento? Pagamento em cripto limita o vínculo entre sua conta e sua identidade real.

Uma VPN não elimina confiança. Move. Se a mudança vale depende de o seu provedor de VPN ser genuinamente mais confiável que o seu ISP para o seu modelo de ameaça específico.

O que uma VPN não muda

Vale ser honesto:

Serviços logados ainda sabem quem você é. Google, Facebook, seu banco — eles te identificam por login, não por IP. Uma VPN não te anonimiza para serviços onde você está logado.
Fingerprinting de navegador ainda funciona. Pixels de tracking, cookies, características de navegador todas ainda te identificam entre sites. Uma VPN é ferramenta de privacidade na camada de rede, não na camada de aplicação.
Sua rede local ainda é sua rede local. Qualquer um no seu Wi-Fi de casa vê suas queries DNS antes de baterem no túnel VPN (depende da configuração). O kill switch importa aqui.

Para a maioria dos usuários, o escopo relevante de VPN é: ISP não consegue ver sua atividade. É o que a maioria quer, e é o que uma VPN entrega.

Onde a Fexyn se encaixa

Somos um provedor de VPN. Somos parciais sobre você usar VPN — vendemos. Somos honestos sobre o que podemos e não podemos oferecer:

Sem logs de histórico de navegação, sem logs de query DNS, sem logs de conteúdo de tráfego
Pagamento em cripto como opção para usuários que querem vínculo mínimo conta-identidade
Jurisdição Wyoming (EUA) — reconhecemos que é Five Eyes; a estrutura no-logs é a mitigação
Kill switch de kernel baseado em WFP no Windows para que queries DNS nunca vazem em torno do túnel
VLESS Reality com Vision flow para usuários em países onde protocolos VPN padrão são bloqueados

Ainda não completamos auditoria independente por terceiros. Planejada para 2026. Para usuários que precisam de validação por terceiros hoje, ProtonVPN e Mullvad têm alegações auditadas atuais que ainda não igualamos. Dizemos isso abertamente.

Perguntas frequentes

Meu ISP consegue ver o que faço em sites HTTPS?

Parcialmente. Vê o hostname (via SNI), o IP de destino, padrões de tráfego. Não vê o conteúdo da página. Encrypted Client Hello (ECH) está sendo implantado para corrigir a parte SNI; a maior parte do tráfego em 2026 ainda vaza SNI.

Meu ISP consegue ver o que faço por VPN?

Não, além da existência do próprio túnel VPN. Vê tráfego criptografado para o IP do seu provedor de VPN. Não vê o que está dentro.

Meu ISP pode bloquear uso de VPN?

Alguns tentam. A maioria não. ISPs em países com censura pesada (China, Irã, Rússia, EAU) bloqueiam ativamente protocolos VPN conhecidos. ISPs na maioria das democracias não bloqueiam tráfego VPN, embora alguns façam throttling durante disputas de peering ou congestionamento.

Meu ISP vende meus dados?

Nos EUA, provavelmente sim a menos que você tenha feito opt-out especificamente. No Reino Unido e Austrália, menos uso comercial mas retenção obrigatória de acesso governamental. Na UE, GDPR limita uso comercial. Especificidades por país variam.

Devo usar VPN em casa?

Se você se importa com a visibilidade do ISP sobre sua navegação, sim. Se não, você não precisa por razões de privacidade contra ISP. Pode haver outras razões (bypass de geolocalização, proteção em Wi-Fi público em viagem, contorno de censura) que se aplicam ou não a você.

Experimente a Fexyn grátis por 7 dias — sem cartão exigido para o trial. A entrada política de no-logs cobre o que "no-logs" significa de fato; o texto data brokers cobre o que acontece com dados de ISP depois que eles coletam.

Última revisão 2026-05-09.