VPN realmente pode proteger a privacidade? Diretor de segurança da IBM analisa os riscos de confiança por trás

À medida que a rede privada virtual (VPN) se torna uma “ferramenta de privacidade” amplamente promovida no mundo digital, a sua publicidade está presente em sites, aplicações e anúncios no YouTube, destacando o anonimato na navegação e a proteção de dados pessoais. Sobre isso, o responsável técnico de segurança da IBM, Jeff Crume, em um vídeo de análise, partindo de cenários reais de transmissão na internet, desmonta passo a passo o funcionamento técnico do VPN, o modelo de confiança e as limitações de privacidade, esclarecendo que o VPN não é uma solução milagrosa, mas uma ferramenta de “redistribuição de confiança”.

Dados sensíveis na rede pública, Wi-Fi malicioso como método comum de ataque

Crume aponta que, ao transmitir números de cartão de crédito, informações de identidade ou dados de valor comercial pela internet, esses conteúdos são, na prática, enviados através de uma “rede pública”, como falar alto em um espaço público, podendo ser interceptados por terceiros não específicos.

Ele destaca um método de ataque comum, como em cafés ou hotéis, onde o atacante pode criar um ponto de acesso com nome quase idêntico ao Wi-Fi legítimo, induzindo o usuário a conectar-se erroneamente. Uma vez conectado, os dados podem ser interceptados e visualizados pelo atacante antes mesmo de entrarem na verdadeira internet.

Princípio básico do VPN: criar um canal criptografado

Para mitigar esses riscos, Crume explica que a função principal do VPN é estabelecer uma conexão criptografada entre o dispositivo do usuário e o provedor de serviços VPN.

Nesse esquema, todos os dados enviados ao exterior são primeiro criptografados, enviados ao provedor de VPN, que os descriptografa, avalia o destino, criptografa novamente e encaminha ao site real. O percurso de retorno segue o mesmo processo.

Assim, interceptadores externos, atacantes de Wi-Fi público ou até mesmo o provedor de serviços de internet (ISP) só conseguem ver que há uma conexão entre o usuário e o provedor de VPN, sem acesso ao conteúdo real ou ao destino final.

A essência do VPN: não eliminar a confiança, mas transferi-la

Crume enfatiza que, independentemente do uso do VPN, a “confiança” não pode ser eliminada, apenas transferida. Ele diferencia os objetos de confiança em diferentes cenários:

Sem VPN: o usuário deve confiar no ISP e em todos os possíveis terceiros que possam acessar os pacotes durante a transmissão.

VPN corporativo: funcionários acessando remotamente a rede interna da empresa, na verdade, transferem a confiança ao empregador, com foco na segurança corporativa, não na privacidade pessoal.

VPN de terceiros: o usuário centraliza a confiança, que antes estava dispersa na rede e no ISP, na própria provedora de VPN.

Ele afirma que o verdadeiro papel do VPN é transformar “você tendo que confiar em muitas pessoas” para “você tendo que confiar totalmente em uma pessoa ou organização”.

Quais são os riscos reais do VPN de terceiros

Jeff Crume aponta que, como o provedor de VPN precisa descriptografar o tráfego no meio do caminho, ele pode ver o destino da conexão, o endereço IP, a frequência de uso e até o conteúdo real dos dados. Isso gera alguns riscos que não podem ser ignorados:

Modelo de monetização de dados de VPN gratuito: se o usuário não paga, o provedor pode lucrar coletando e vendendo dados.

Risco de incidentes de segurança: mesmo que o provedor não tenha intenções maliciosas, um ataque hacker pode expor os dados dos usuários.

Requisitos legais e judiciais: em alguns países, os provedores de VPN podem ser obrigados por lei a entregar registros de uso.

Ele alerta que o uso de VPN de terceiros não se resume a “se vale a pena” ou não, mas sim a “compreender realmente quem você está confiando”.

Auto-hospedagem de VPN também não elimina completamente o problema de confiança

Para usuários que valorizam muito a privacidade, Crume também menciona a opção de “auto-hospedar” um VPN, mantendo toda a infraestrutura sob seu controle. Mas ele ressalta que, mesmo assim, o usuário ainda precisa confiar no software de VPN, seja de código aberto ou comercial, pois envolve confiança no código e no mecanismo de atualização, não sendo isento de riscos.

(Curiosidades Tecnológicas: O embaixador da paz entre as duas margens afirma que a China não bloqueia realmente o VPN, basta usar um VPN para acessar tudo)

Este artigo, “VPN realmente pode proteger a privacidade? Análise do responsável de segurança da IBM sobre os riscos de confiança por trás”, foi originalmente publicado na 链新闻 ABMedia.