ActaVerum.
ENEntrar
// PRIVACY · EXPLICADOR

Private DNS, VPN e o mínimo viável de privacidade em 2026

O básico de graça já fecha um buraco real na sua conexão; o resto é threat model. Um guia honesto sobre o que cada camada esconde — e o que ela deixa escapar.

Por Redação·9 jun 2026·Privacy

Tem uma pergunta que volta toda vez que alguém pega um Wi-Fi de aeroporto ou lê uma manchete sobre vigilância: "eu preciso de VPN?". A resposta honesta é menos sexy do que o marketing vende. Boa parte do que você precisa já está no seu celular, de graça, e não tem assinatura nenhuma. A outra parte depende de uma pergunta que quase ninguém faz antes de pagar: do que, exatamente, você está se escondendo?

A privacidade em rede funciona por camadas. Cada camada tampa um vazamento específico e ignora o resto. Confundir uma com a outra é como trancar a porta da frente e deixar a janela escancarada, achando que a casa está segura. Vamos por partes, do mais barato pro mais caro.

Camada 0: ligar o DNS criptografado (custo zero)

Toda vez que você digita um endereço, seu aparelho pergunta a um servidor de DNS "qual é o IP desse site?". Por décadas essa pergunta viajou em texto puro. O seu provedor de internet lia cada domínio que você consultava, feito carteiro lendo o destinatário de cada carta.

Dois padrões resolvem isso. O DoT (DNS over TLS) cifra a consulta numa porta dedicada, a 853; o DoH (DNS over HTTPS) embrulha a consulta dentro do tráfego HTTPS normal, na porta 443, ficando indistinguível de uma navegação web qualquer pra quem observa a rede.¹ ² São padrões abertos da IETF, não produto de empresa nenhuma. Suporte a DoH chegou cedo, no Firefox 60 e no Chrome 83.³

No Android, isso tem nome de menu: "Private DNS", em Rede e internet, é literalmente DoT.⁴ Existe desde o Android 9 (Pie). Você pode deixar no automático ou apontar pra um resolver à mão; dns.google ou 1.1.1.1 resolvem.⁵ ⁶ No browser do desktop dá pra ligar DoH direto nas configurações. É o passo de maior retorno por menos esforço em privacidade hoje: zero reais, dois toques.

O que o DNS criptografado NÃO resolve

Aqui mora a parte que o marketing prefere não explicar. Cifrar a consulta de DNS esconde o nome do site que você procurou. Ela não esconde para onde você foi.

Depois que o DNS te devolve o IP, seu aparelho abre uma conexão direta com aquele endereço. O provedor continua vendo o IP de destino, a duração e o volume do tráfego.⁷ E na maioria dos casos o IP mapeia de volta pro serviço — se a conexão vai pros servidores da Netflix, não é preciso ler nenhum DNS pra saber que você está assistindo Netflix. O próprio Privacy Guides diz, sem meias-palavras, que DNS criptografado com um resolver de terceiros serve pra contornar bloqueio básico, e "não vai esconder nada da sua atividade de navegação".⁸

Pior: análise de tráfego derruba boa parte da proteção. Um estudo de 2019 identificou domínios sobre DNS cifrado com F1 em torno de 0,90, usando 124 vezes menos dados do que ataques sobre fluxos HTTPS.⁹ E não é teórico nem some com o Private DNS ligado: um trabalho apresentado no ARES 2021 descreveu um ataque que identifica quais apps você usa só pelo padrão do tráfego DoT, com até 72% de acurácia mesmo com preenchimento de padding. O mesmo estudo notou que cerca de 81% dos resolvers ditos "de privacidade" nem implementam padding.¹⁰ Cifrar a query fecha um vazamento, não a viagem inteira.

Tem ainda um último farelo de metadado. Mesmo com o DNS cifrado, o handshake do HTTPS expunha o nome do site num campo chamado SNI (Server Name Indication), em texto claro. O ECH (Encrypted Client Hello) cifra essa parte do aperto de mãos e fecha esse gap. Em março de 2026 ele deixou de ser rascunho pra virar padrão oficial, a RFC 9849.¹¹ Mas não venda ECH como bala de prata: na prática o suporte está concentradíssimo na Cloudflare, e mesmo lá um intermediário ainda vê que você está num site hospedado na Cloudflare, só não distingue qual.¹² E ECH é ativamente bloqueado na Rússia, no Irã e na China.¹²

O contexto brasileiro: a lei guarda os logs por você

No Brasil isso deixa de ser teoria. O Marco Civil da Internet (Lei 12.965/2014) obriga provedores de conexão a guardar registros de conexão por no mínimo um ano.¹³ Decisões mais recentes, como uma do TJSP em 2024, e novos decretos foram além e passaram a exigir também a porta lógica de origem, pra identificar sem ambiguidade o terminal que originou a conexão.¹⁴

Tradução: o seu provedor é legalmente obrigado a manter um registro de quando você conectou e por onde. DNS criptografado não toca nisso. É exatamente o argumento de quem diz que o "mínimo viável" começa em cifrar a query, mas não termina aí.

A camada VPN: deslocar confiança, não virar invisível

É aqui que a VPN entra, e onde mais gente se confunde. Uma VPN roteia sua conexão por outra rede, de modo que o seu provedor para de ver o destino e passa a ver só o túnel. O problema é que essa visibilidade não some: ela muda de dono. Sai do seu ISP, entra no provedor de VPN.

A EFF é categórica: "uma VPN não oferece anonimato online, e DNS criptografado ou HTTPS também não".¹⁵ Só o Tor entrega anonimato real. VPN é deslocamento de confiança: útil em Wi-Fi hostil, pra contornar bloqueio, pra tirar a visibilidade do ISP. Não é um botão de invisibilidade.

E "ferramenta de privacidade" não é selo de bom comportamento. Em fevereiro de 2024 a FTC fechou acordo de US$ 16,5 milhões com a Avast e a proibiu de vender dados de navegação: a empresa prometia bloquear rastreamento de terceiros enquanto vendia o histórico reidentificável dos usuários, via a subsidiária Jumpshot, a mais de cem terceiros.¹⁶ O antivírus era o rastreador.

E nem o túnel é à prova de tudo. Em maio de 2024 a Leviathan Security publicou o TunnelVision (CVE-2024-3661): um servidor DHCP malicioso na mesma rede local usa a Option 121 (rotas estáticas não autenticadas) pra desviar tráfego pra fora do túnel, vazando pela interface física.¹⁷ A EFF resume o ponto: VPNs nunca foram projetadas pra mitigar ataque na rede local física.¹⁵

Se você vai pagar por uma VPN, a pergunta que importa não é "qual tem mais servidores", é "ela prova que não guarda nada?". Duas referências valem como padrão:

Tem um meio-termo elegante: o iCloud Private Relay da Apple roteia o Safari por dois relays separados, de forma que nenhuma parte (nem a própria Apple) vê ao mesmo tempo quem você é e que site visita.²⁰ Cobre só o Safari, não o aparelho todo, mas é um bom exemplo de design de dois saltos pra quem já vive no ecossistema.

O que a comunidade diz

Nos fóruns de privacidade (r/privacy, r/VPN) o clima é de ceticismo maduro, não de negação. Dois mantras se repetem há anos: VPN não te deixa anônimo, e a maioria das pessoas não precisa de uma — posição que o próprio Privacy Guides sustenta.²¹ Há respeito real por DNS criptografado e por VPNs provadamente no-logs, e uma alergia forte a marketing. A maior irritação da galera não são os protocolos, é a indústria de review pago: rankings inflados por afiliado fazem o Reddit virar um dos poucos lugares tratados como "transparentes" pra pesquisar VPN. Parte da comunidade chama o marketing do setor de "óleo de cobra digital" — termos vazios tipo "criptografia de nível militar". A implicância tem lastro: um estudo da Consumer Reports (dez/2021) achou que, de 16 serviços testados, 12 faziam alegações exageradas sobre quanto protegem, e elegeu Mullvad, IVPN e Mozilla VPN como os melhores.²² (O sentimento é leitura de comunidade; o número é fato.)

Os dois lados aparecem limpos. De um, o "ligue o básico e relaxe": HTTPS já cobre o conteúdo, Private DNS fecha a query, e isso resolve o caso de uso de quase todo mundo sem assinatura. Do outro, o "DNS sozinho é teatro": cifrar a query não esconde o IP de destino nem dribla a retenção legal de logs; quem quer mesmo esconder destino vai de VPN no-logs séria ou de Tor. Um take recorrente resume a coisa: "VPN não é botão de anonimato, é trocar quem te observa — se você loga na sua conta real, fingerprint e cookies te entregam do mesmo jeito" (sentimento de r/privacy). E sobre confiança, a frase que ronda o caso Mullvad: "a prova que importa não é o slogan, é o dia em que a polícia bate na porta e não tem nada pra levar".

Veredito

O mínimo viável de privacidade em 2026 cabe em três frases. Ligue o DNS criptografado no celular e no browser: é grátis, é dois toques, e fecha um vazamento real para o seu provedor. Entenda que isso esconde o quê você procurou, não para onde você foi: o IP de destino, e no Brasil o registro de conexão de um ano, continuam de pé. E só pague uma VPN quando você conseguir responder "do que estou me escondendo?". Quando pagar, escolha uma que tenha provado, em auditoria ou em tribunal, que não tem nada pra entregar. Anonimato real não está nessa lista: isso é Tor, e quem precisa dele já sabe.

A privacidade não é um produto que você compra. É uma série de portas, e o truque é saber qual cada uma tranca.

Fontes

  1. RFC 7858 — Specification for DNS over Transport Layer Security (TLS) · IETF Datatracker · https://datatracker.ietf.org/doc/html/rfc7858 · maio/2016
  2. RFC 8484 — DNS Queries over HTTPS (DoH) · IETF Datatracker · https://datatracker.ietf.org/doc/html/rfc8484 · out/2018
  3. DNS over HTTPS · Wikipedia · https://en.wikipedia.org/wiki/DNS_over_HTTPS · acessado 2026-06-18
  4. DNS over TLS support in Android P Developer Preview · Android Developers Blog (Google) · https://android-developers.googleblog.com/2018/04/dns-over-tls-support-in-android-p.html · abr/2018
  5. DNS-over-TLS · Google Public DNS / Google for Developers · https://developers.google.com/speed/public-dns/docs/dns-over-tls · acessado 2026-06-18
  6. Set up 1.1.1.1 on Android · Cloudflare Docs · https://developers.cloudflare.com/1.1.1.1/setup/android/ · acessado 2026-06-18
  7. Your ISP can still see every site you visit unless you enable this browser setting · MakeUseOf · https://www.makeuseof.com/your-isp-can-still-see-every-site-you-visit-unless-you-enable-this-browser-setting/ · acessado 2026-06-18
  8. DNS Overview · Privacy Guides · https://www.privacyguides.org/en/advanced/dns-overview/ · acessado 2026-06-18
  9. Encrypted DNS ⟹ Privacy? A Traffic Analysis Perspective · Siby, Juarez, Diaz, Vallina-Rodriguez, Troncoso · arXiv:1906.09682 · https://arxiv.org/abs/1906.09682 · 2019
  10. How Private is Android's Private DNS Setting? Identifying Apps by Encrypted DNS Traffic · Mühlhauser, Pridöhl, Herrmann · ARES 2021 · arXiv:2106.14058 · DOI 10.48550/arXiv.2106.14058 · https://arxiv.org/abs/2106.14058 · 2021
  11. RFC 9849 — TLS Encrypted Client Hello · IETF Datatracker · https://datatracker.ietf.org/doc/draft-ietf-tls-esni/ · mar/2026 (Standards Track)
  12. Encrypted Client Hello (ECH) in Censorship Circumvention · PETS/FOCI 2025 (Niere et al.) · https://petsymposium.org/foci/2025/foci-2025-0016.pdf · 2025
  13. Lei nº 12.965/2014 (Marco Civil da Internet), art. 13 · Planalto · http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm · 2014
  14. Novos Decretos Atualizam Regras e Responsabilidades no Marco Civil da Internet · Souto Correa Advogados · https://www.soutocorrea.com.br/client-alerts/novos-decretos-atualizam-regras-e-responsabilidades-no-marco-civil-da-internet/ · acessado 2026-06-18
  15. A Wider View on TunnelVision and VPN Advice · Electronic Frontier Foundation (EFF) · https://www.eff.org/deeplinks/2024/05/wider-view-tunnelvision-and-vpn-advice · maio/2024
  16. FTC Order Will Ban Avast from Selling Browsing Data for Advertising Purposes, Require It to Pay $16.5 Million · FTC · https://www.ftc.gov/news-events/news/press-releases/2024/02/ftc-order-will-ban-avast-selling-browsing-data-advertising-purposes-require-it-pay-165-million-over · 2024-02-22
  17. CVE-2024-3661: TunnelVision · Leviathan Security Group · https://www.leviathansecurity.com/blog/tunnelvision · 2024-05-06
  18. Proton VPN Publishes Results of Latest Independent No-Logs Audit · CyberInsider · https://cyberinsider.com/proton-vpn-publishes-results-of-latest-independent-no-logs-audit/ · 2025 (datas 18/ago–19/set/2025, Zurique)
  19. Mullvad VPN was subject to a search warrant. Customer data not compromised. · Mullvad Blog (oficial) · https://mullvad.net/en/blog/2023/4/20/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised · 2023-04-20
  20. About iCloud Private Relay · Apple Support · https://support.apple.com/en-us/102602 · acessado 2026-06-18
  21. How Do VPNs Protect Your Privacy? · Privacy Guides · https://www.privacyguides.org/en/basics/vpn-overview/ · acessado 2026-06-18
  22. VPN Testing Reveals Poor Privacy and Security Practices, Hyperbolic Claims · Consumer Reports · https://www.consumerreports.org/vpn-services/vpn-testing-poor-privacy-security-hyperbolic-claims-a1103787639/ · dez/2021

Comunidade (opinião, não fonte): roundups de r/VPN e r/privacy via Cybernews e TechRadar; consenso documentado do Privacy Guides; crítica "snake oil" via Tom's Guide.

Redação · Acta Verum