Saiba o que é verdade e o que é mito na segurança do DNS personalizado e privacidade de VPN

Usando DNS como da Cloudflare 1.0.0.2, o provedor de internet o verá que li ou que visitei o site do Portal Web Rádio Xis, por exemplo? VPN chega a esconder totalmente o serviço no tráfego de rede ou sabem que estou usando uma VPN? – Jeiel Miranda
Antes de seguir com a resposta, vamos relembrar as recomendações de segurança do blog sobre configurações de DNS personalizados (como o da Cloudflare) e as VPNs.

A forma de DNS personalizado (seja da Cloudflare, do Google ou outro) exige cautela. Não é incomum que uso desse tipo de serviço deixe a navegação mais lenta – contrariando a propaganda desses serviços, que prometem apressar a navegação.

Isso acontece porque a internet possui várias tecnologias para otimizar o acesso a determinados sites, e elas nem sempre funcionam corretamente quando o usuário modifica suas configurações de rede.
A não ser que sua conexão apresente problemas, a preferência deve ser pelo uso do DNS fornecido pelo provedor de internet, que é o ajuste padrão dos seus dispositivos e do seu roteador.
Outro ponto importante é não confundir uma VPN intermediadora com uma VPN empresarial.

A VPN empresarial é utilizada por quem precisa se conectar à rede da empresa estando fora da rede interna (por exemplo, um funcionário trabalhando de home office). As “VPNs intermediadoras”, que oferecem serviços para supostamente proteger sua navegação na web com criptografia, são outro tipo de serviço.

As VPNs intermediadoras podem ser usadas em redes Wi-Fi públicas para melhorar levemente a sua privacidade, mas também exigem cautela e nem sempre beneficiam sua segurança.
Vale lembrar que a maioria dos sites e aplicativos utiliza criptografia na conexão, protegendo as informações transmitidas mesmo que a rede seja insegura. Os bons programadores de aplicativos sabem que as pessoas costumam usar redes Wi-Fi abertas em cafeterias e lojas, e preparam os apps para que a conexão seja segura em qualquer lugar.

Sendo assim, você tem muito pouco a lucrar usando uma VPN, a não ser que a rede utilizada seja de fato hostil ou esteja bloqueando o conteúdo que você pretende acessar.

Feitas as recomendações, vamos a um resumo das respostas: utilizar um DNS personalizado, por si só, não esconde as informações sobre os sites que você visita. E a VPN, embora consiga esconder sua navegação, ainda fica visível para o provedor – ou seja, ele vai, sim, saber que você usa uma VPN.

Em certa medida, a troca da configuração de DNS parece melhorar sua privacidade, porque suas consultas a essa “agenda” de nomes não estarão mais indo para o provedor, mas sim à empresa escolhida (como Google e Cloudflare).

Mas isso ignora um aspecto muito importante da segurança: a lei.
O seu provedor de internet é uma empresa estabelecida no Brasil e que opera por concessão. Ele é obrigado a executar uma série de exigências legais – inclusive no que se refere à privacidade – que nem sempre se aplicam a outras empresas que não são provedores.

Aliás, as conexões de DNS não usam criptografia, o que significa que um provedor “espião” ainda poderia não só examinar o tráfego da rede, mas até interceptar a conexão de DNS a adulterar os dados recebidos.

Por isso, tanto no aspecto técnico como no jurídico, trocar o DNS por questão de privacidade é uma escolha equivocada.
Para usar criptografia no DNS e esconder essa atividade do seu provedor, você precisa ativar o DNS sobre HTTPS. Ao contrário do DNS comum, que é definido no sistema operacional, esse ajuste faz parte das configurações do navegador web.

Configuração de DNS sobre HTTPS no navegador Firefox. Por se tratar de uma tecnologia nova, o DNS sobre HTTPS nem sempre está disponível. Assim como a troca do DNS regular, essa feitio pode reduzir a velocidade da sua navegação.

Reprodução
O DNS sobre HTTPS criptografa as consultas, impedindo a interceptação e a adulteração do DNS. Porém, o seu provedor de internet precisa saber o IP que você quer acessar, o que significa que ele ainda poderia saber quais sites você visita.

É aí que entra uma VPN intermediadora.
VPN pode criptografar todos os dados
Quando você está usando uma rede totalmente hostil ou insegura, um serviço de VPN pode ser usado para colocar uma “cápsula de proteção” em todos os dados que você transmite. Com isso, todos os dados são transmitidos primeiramente à VPN e depois para a internet.

O provedor de internet, nesse caso, só poderá ver o acesso à VPN, e você passa a depositar sua confiança na VPN em vez do seu provedor de internet.
Isso responde à segunda parte da pergunta: tecnicamente, o provedor de internet poderá ver que uma VPN está sendo utilizada e até bloquear totalmente o uso da VPN, se assim desejar.
O que proíbe que isso aconteça – além de pressões de mercado, já que os consumidores não querem que suas conexões legítimas sejam bloqueadas – são as regulamentações do setor. Um provedor não pode realizar esse tipo de bloqueio seletivo na conexão fornecida aos clientes.

Da mesma forma, o provedor só pode tomar os dados de navegação de seus usuários caso tenha sido obrigado a isso pela Justiça. Sem uma ordem dos tribunais, o provedor tem obrigação lícito de manter a privacidade dos clientes.

Já as VPNs intermediadoras muitas vezes são sediadas em país com legislação de privacidade muito mais frouxa do que a brasileira. Mesmo que você descubra alguma conduta irregular, pode ser impossível acionar a Justiça para conseguir qualquer reparo pelo malfeito.

A moral da história é que, no término das contas, você precisa confiar no seu provedor de internet. Se você é obrigado a usar a internet em um local hostil (em uma viagem, por exemplo), a VPN pode ser útil. A regra, porém, é que o seu provedor precisa ser de confiança.
Mais do que os aspectos técnicos da conexão, é a lei que visa prometer a prestação do serviço de forma segura. Embora tecnologias possam nos ajudar a melhorar a privacidade, elas precisam estar aliadas a garantias legais.