Seguro no Wi-Fi do hotel — e conectado com a sua casa

Se você fica no seu próprio país com o seu plano de celular e não toca em Wi-Fi compartilhado nem em contas sensíveis, a VPN é menos crítica. Para praticamente qualquer viagem internacional que envolva Wi-Fi ou acesso remoto às suas contas, ela entra na mesma gaveta de essenciais que o seguro-viagem e o adaptador de tomada.

• Você vai logar em algo pelo Wi-Fi de hotel, aeroporto ou cafeteria: Redes abertas e compartilhadas são o maior motivo de quem viaja precisar de uma VPN. Tudo o que você digita — senhas, sessões bancárias, e-mail — pode ser interceptado por terceiros na mesma rede sem as precauções certas. Uma VPN criptografa cada byte antes de sair do aparelho, e torna essas interceptações ilegíveis.
• Quer que banco, pagamentos e apps de casa continuem funcionando: Muitos bancos e provedores de pagamento detectam um IP estrangeiro e bloqueiam a sessão por suspeita de fraude. Uma VPN roteia a sua conexão por um servidor no seu país para que o banco veja um endereço familiar e libere o acesso. Sem ela, você pode acabar com saldo bloqueado, pagamento com cartão recusado ou solicitação de duplo fator que não avança.
• A sua biblioteca habitual de streaming, notícia ou esporte importa: Plataformas de streaming giram o catálogo por região por causa de licenças. Sites de notícias e transmissões esportivas fazem o mesmo. Uma conexão VPN por meio do seu país restabelece a biblioteca pela qual você paga, inclusive as transmissões ao vivo que você perderia.
• O seu destino tem uma rede com filtros pesados: Algumas redes bloqueiam apps de mensagens populares, plataformas sociais ou serviços de nuvem. Uma VPN tunela esse bloqueio porque a rede local enxerga apenas tráfego criptografado em direção ao servidor da VPN, e não quais serviços você está realmente usando.

Uma VPN — Virtual Private Network — cria um túnel criptografado entre o seu aparelho e um servidor mantido pelo provedor. Tudo o que você envia passa por esse túnel antes de chegar ao restante da internet. De fora — para o sistema de Wi-Fi do hotel, para os outros hóspedes na mesma rede, para o provedor local — o seu tráfego é apenas ruído criptografado fluindo até um servidor em algum lugar. Ninguém consegue ler o conteúdo, ver quais sites você visita ou capturar senhas.

O servidor da VPN então atua como intermediário. Recebe a sua requisição criptografada, decifra, encaminha ao site ou serviço que você queria de fato alcançar, recebe a resposta, criptografa de novo e devolve pelo túnel ao seu aparelho. Do ponto de vista do site, a requisição saiu da localização do servidor VPN, não da sua. Por isso uma VPN permite continuar usando o banco e a sua biblioteca de streaming: para esses serviços, você ainda está em casa.

Tudo isso acontece de forma contínua e invisível. Conectada a VPN, você usa o celular ou o notebook exatamente como sempre. Páginas carregam, apps funcionam, e-mails entram e saem. A única diferença é que tudo viaja criptografado e a sua localização real fica escondida.

O Wi-Fi público é a razão número um pela qual quem viaja recorre a uma VPN, e o risco não é teórico. Lobbies de hotel, salas de embarque, halls de estação e cafeterias rodam redes abertas ou compartilhadas. Nelas, alguém com ferramentas básicas pode se colocar entre você e o roteador no chamado ataque de man-in-the-middle — lendo em silêncio os seus dados ao passar. A variante mais comum é o evil twin: um Wi-Fi falso com um nome como Hotel_Guest_WiFi, que parece legítimo mas, na verdade, é controlado pelo atacante. O seu aparelho engata no sinal mais forte e, a partir daí, tudo que você envia passa por hardware que você não controla.

Sites modernos usam, na maior parte, HTTPS, que criptografa o conteúdo de uma sessão de navegador. Mas HTTPS não cobre tudo. Não cobre o aplicativo de e-mail buscando mensagens em segundo plano. Não cobre os metadados da maioria dos aplicativos de mensagens. Não cobre as consultas DNS que, em silêncio, denunciam todo domínio que você visita. Uma VPN criptografa tudo isso no nível do aparelho, antes de a rede ver. Mesmo em um Wi-Fi comprometido, quem opera a rede não obtém nada legível.

A outra categoria são os serviços sensíveis à localização. O site do banco detecta um IP estrangeiro e dispara a prevenção de fraude, bloqueando a conta até você ligar ao atendimento — já complicado a seis fusos de distância. Plataformas de streaming exibem uma biblioteca diferente ou simplesmente impedem o acesso. Sites de companhias aéreas e hotéis às vezes ajustam preços conforme a localização detectada. Uma conexão VPN por um servidor no país que você escolher derruba tudo isso. O banco vê você em casa. O streaming serve a biblioteca de sempre. Os sites de reservas não conseguem aplicar a precificação por localização em você.

E em redes que filtram com força — Wi-Fi corporativo, certas redes de hotel, alguns sistemas de filtragem mais amplos — uma boa VPN tunela limpinha, porque o filtro só enxerga tráfego criptografado até um servidor VPN. Quais serviços você usa de fato permanece invisível para o filtro.

• Uma VPN não te torna anônimo: O seu provedor de VPN enxerga o seu IP real e a quais sites você se conecta. Provedores sérios assumem políticas de não-registro auditadas por firmas independentes, mas isso é palavra deles — você confia neles. Se anonimato real é o seu objetivo (raro para viajantes), uma VPN sozinha não basta.
• Uma VPN deixa a conexão um pouco mais lenta: Criptografia custa algum processamento e rotear por um servidor remoto adiciona distância. Um bom provedor cobra de você uns 10–30% de velocidade bruta — quase imperceptível em navegação e e-mail, mais nítido em videochamadas e downloads grandes. Escolha um servidor geograficamente perto de onde você está de fato para minimizar a perda.
• Algumas redes tentam bloquear VPN ativamente: Algumas redes corporativas, alguns portais cativos de hotel e certos sistemas de filtragem usam inspeção profunda de pacotes para identificar e descartar tráfego VPN. Provedores premium contra-atacam com ofuscamento, que disfarça o tráfego VPN como navegação HTTPS comum. Quando uma conexão falha, trocar de protocolo ou ativar o ofuscamento costuma resolver.
• Alguns serviços conseguem identificar uso de VPN: Bancos e serviços de streaming mantêm listas de faixas de IP de provedores VPN conhecidos. Alguns bloqueiam essas faixas por completo, outros liberam o acesso mas sinalizam a sessão para verificação extra — um código a mais, uma suspensão temporária, uma notificação de acompanhamento. É a segurança funcionando como deveria, não um defeito. Avisar o banco das datas de viagem antes de sair reduz bastante o atrito.

• Instale em todos os aparelhos da viagem: Celular, notebook, tablet. Provedores premium permitem cinco a dez conexões simultâneas por conta, então não há malabarismo. Instale o app nativo em vez de uma extensão de navegador — extensões só protegem abas, apps nativos criptografam tudo o que o aparelho envia.
• Teste contra usos reais: Conecte-se a um servidor no seu país e confira o que importa de verdade: o banco entra, o duplo fator chega, a biblioteca de streaming reproduz, as ferramentas de trabalho carregam. Em seguida, teste um servidor próximo ao destino e repita. O que falha em casa também falha lá fora — resolva agora.
• Ative o kill switch: O kill switch é a função mais importante para viajar. Bloqueia todo o tráfego de internet se a conexão VPN cair sem aviso — algo que acontece quando o notebook sai da suspensão, quando você troca de Wi-Fi ou quando a conexão do hotel oscila. Sem ele, o aparelho volta em silêncio para a rede desprotegida e o app do banco pode enviar uma requisição com o seu IP real antes que você perceba.
• Confirme a proteção contra vazamento de DNS: Consultas DNS traduzem nomes de sites em endereços. Se essas consultas vazam para fora do túnel, quem observa a rede vê todo domínio que você visita, mesmo com o conteúdo da página criptografado. Bons apps de VPN roteiam o DNS pelo túnel automaticamente, mas vale confirmar com um site de teste de vazamento de DNS estando conectado.
• Tenha um protocolo reserva pronto: Se o protocolo padrão não conectar no destino, saber como trocar importa. A maioria dos provedores oferece várias opções — WireGuard, OpenVPN, às vezes um modo de ofuscamento próprio. O movimento de resgate padrão é passar de WireGuard a OpenVPN sobre TCP 443, que para a maioria dos filtros parece tráfego web comum.

• Usar uma VPN gratuita: Provedores de VPN gratuita precisam de receita, e se você não paga com dinheiro, paga com dados. Em geral, monetizam vendendo dados de navegação a anunciantes, injetando publicidade nas páginas ou rodando processos pesados no aparelho. Vários apps gratuitos conhecidos já foram pegos fazendo as três coisas. A ferramenta de segurança que você instalou para proteger seus dados está minerando você. Uma VPN de viagem paga custa menos por mês do que um café no aeroporto.
• Não testar antes de viajar: Descobrir em viagem que o app não instala, a assinatura venceu ou o serviço está bloqueado no destino é o pior momento. Baixar apps novos e resolver problemas de conexão em uma rede estrangeira, com possíveis barreiras de idioma e banda, é bem mais difícil do que fazer isso do sofá.
• Deixar a VPN desligada em Wi-Fi público: A VPN só te protege quando está conectada. Muita gente liga só para o banco e segue navegando normal sem ela, expondo consultas DNS, histórico e tráfego em segundo plano de apps não criptografados individualmente. Em Wi-Fi público, o mais seguro é deixar a VPN ligada o tempo todo.
• Esquecer de ativar o kill switch: A VPN está ativa, você navega seguro, e o Wi-Fi do hotel cai por três segundos. Sem kill switch, o aparelho se reconecta em silêncio sem proteção, o app do banco manda uma requisição com o seu IP real, e essa janelinha já basta para um vazamento. Kill switches existem exatamente para isso — ative-os.
• Esperar anonimato total: Uma VPN te protege contra ameaças da rede local e libera serviços restritos por região. Ela não te torna invisível online. O seu provedor de VPN, os sites em que você loga (via cookies e contas) e o próprio aparelho ainda conseguem te identificar. Para fins de viagem o nível de proteção é mais que suficiente — mas vale saber onde está o limite.

Quando você toca em «Conectar», o seu aparelho e o servidor VPN executam um aperto de mão criptográfico. Os dois lados trocam chaves usando criptografia assimétrica — um processo que estabelece um segredo compartilhado sem nunca transmiti-lo pela rede. Concluído o aperto de mão, todo o tráfego seguinte vai criptografado por algoritmos simétricos rápidos como AES-256 ou ChaCha20.

Os dois protocolos que você mais vai encontrar lidam com isso de jeitos diferentes. WireGuard é o padrão moderno: base de código mínima e auditável (cerca de 4 000 linhas, contra centenas de milhares dos protocolos mais antigos), só UDP, e excepcionalmente eficiente em mobile, onde bateria conta. A principal limitação é justamente esse só-UDP — um administrador de rede pode bloqueá-lo descartando tráfego não-TCP em portas incomuns.

OpenVPN é a alternativa mais antiga e mais flexível. Pode rodar em UDP ou TCP, e quando configurado em TCP 443 — a mesma porta que todo site HTTPS usa — fica muito difícil para um firewall básico distinguir de uma navegação normal. Por isso OpenVPN é a melhor escolha em redes restritivas, mesmo custando um pouco de velocidade em relação a WireGuard.

Inspeção profunda de pacotes (DPI) é a técnica que sistemas avançados de filtragem usam para identificar tráfego VPN mesmo em portas padrão. Cada protocolo tem padrões de bytes distintos nos cabeçalhos — a DPI examina esses padrões para identificar e bloquear conexões VPN. O ofuscamento responde aleatorizando cabeçalhos e preenchendo o tráfego para que ele combine com o perfil estatístico do HTTPS comum. É uma corrida tecnológica contínua entre provedores VPN e sistemas de filtragem.

Um vazamento de DNS ocorre quando o aparelho envia consultas de nome fora do túnel. Normalmente, ao visitar um site, o aparelho pede a um servidor DNS para traduzir o nome de domínio em um endereço IP. Se essa consulta vai para o DNS do seu provedor de internet em vez do DNS da VPN, esse provedor — e quem observa a rede — vê todo site que você visita, mesmo com o conteúdo da página criptografado. Bons apps de VPN roteiam todas as consultas DNS pelo túnel automaticamente, mas uma página de teste de vazamento é o jeito fácil de verificar.

• Meu iPhone não já faz isso com o iCloud Private Relay?: Não exatamente. O Private Relay é um recurso do Safari e do Mail, não uma VPN no nível do sistema — ele não criptografa o tráfego do seu app bancário, do seu cliente de e-mail que não seja o Apple Mail, dos seus apps de mensagens ou de qualquer outra coisa fora do Safari. Também não muda a sua localização aparente de um jeito que satisfaça o banco ou libere a sua biblioteca de streaming. Private Relay é um extra útil; não substitui uma VPN de viagem.
• Netflix e outros serviços de streaming continuam funcionando?: Em geral sim, com algumas inconstâncias. Plataformas mantêm listas de IPs pertencentes a provedores VPN conhecidos, então um servidor pode estar bloqueado enquanto outro no mesmo país passa sem problema. O movimento padrão é trocar para outro servidor no seu país até um passar. Provedores premium giram IPs com frequência, e isso faz parte do que você paga.
• Preciso de VPN se só uso dados móveis do celular?: Celular é bem mais seguro que Wi-Fi aberto — a conexão entre o aparelho e a antena já vai criptografada, então ataques de man-in-the-middle e evil twin não se aplicam. Mas o celular não resolve o geoblock (o banco continua vendo um IP estrangeiro, a biblioteca de streaming continua girando) e não muda o fato de que a sua operadora em roaming ou a operadora local ainda vê a quais sites você se conecta. O caso a favor de uma VPN no celular é mais fraco do que no Wi-Fi de hotel, mas não é zero.
• Devo deixar a VPN ligada a viagem inteira?: Em Wi-Fi público ou compartilhado, sim — deixe rodando continuamente. Nos seus próprios dados móveis é menos crítico, mas ainda soma privacidade e impede que bancos e streamings te puxem para fora do fluxo de sempre. O custo é uma pequena perda de velocidade e um pouco de bateria. Muitos viajantes experientes deixam ligada por padrão e só desconectam para tarefas específicas que precisam de IP local, como apps de navegação que não funcionam por VPN.
• Uma VPN consome muita bateria do celular?: Um pouco. Criptografia exige processamento, processamento consome bateria. Em um celular moderno com um protocolo eficiente como WireGuard, o impacto fica entre 5 e 15% de consumo extra ao longo de um dia — perceptível, sem paralisar. Se a bateria estiver apertada em um dia específico, ligue a VPN em Wi-Fi ou para acessar serviços sensíveis e desligue nos dados móveis quando estiver confortável com a rede.