Quem vive em um país governado de forma autoritária e ainda assim deseja se informar sobre a situação local tem uma tarefa difícil, uma vez que a mídia oposicionista, crítica ao governo, costuma ser proibida, e sites estrangeiros são frequentemente bloqueados.

A solução: uma conexão VPN, ou seja, uma rede privada virtual, que tem duas vantagens: os endereços de IP são mascarados e os conteúdos são criptografados. Isso permite acessar sites bloqueados e exercer o direito à liberdade de imprensa e informação. Centenas de milhões de pessoas utilizam isso em todo o mundo.

As redes VPN (sigla em inglês para virtual private network) são ilegais ou, ao menos, fortemente restritas em países como China, Rússia, Belarus, Irã e Coreia do Norte. Nesses países, o uso é discreto. Espera-se, portanto, que o provedor também trate os dados gerados com discrição. Mas será que isso acontece em todos os lugares?

Infelizmente, não. Um amplo estudo da Open Technology Fund, uma organização independente sem fins lucrativos que promove a liberdade global na internet, revela deficiências preocupantes em alguns provedores de VPN. E as consequências disso, na pior das hipóteses, podem levar usuários à prisão.

Quando a China assume o controle

A lista de problemas começa com relações de propriedade pouco transparentes. O estudo aponta que "muitos serviços de VPN ocultam seus verdadeiros proprietários por meio de estruturas empresariais complexas". Em outras palavras: muitas vezes, não fica claro quem realmente tem influência sobre as companhias.

As empresas Innovative Connecting PTE, Autumn Breeze PTE e Lemon Clove PTE afirmam, por exemplo, que estão registradas em Cingapura. Mas, na realidade, seriam controladas por cidadãos chineses a partir da China e, portanto, estariam sujeitas às leis chinesas de controle de informações, segundo os autores. Outro relatório chegou a uma conclusão muito semelhante: "Muitos VPNs criam empresas de fachada em países com leis frouxas dearmazenamento de dados".

Oito provedores e 16 VPNs "altamente problemáticos"

Vários serviços de VPN seriam desenvolvidos pela mesma empresa: "Um pequeno número de empresas controla uma parcela desproporcionalmente grande do mercado por meio de soluções 'white label'", ou seja, um produto desenvolvido por um provedor terceirizado e vendido por outra empresa sob sua própria marca.

O estudo identificou oito provedores de VPN altamente problemáticos, com 16 aplicativos VPN, e um total de mais de 700 milhões de downloads na Google Play Store, que ocultam as conexões entre si: "Os aplicativos distribuídos por esses provedores também apresentam problemas de privacidade e segurança que expõem os usuários ao risco de monitoramento".

Risco para centenas de milhões de usuários

Entre os aplicativos considerados "extremamente preocupantes" estão o Turbo VPN, o VPN Proxy Master, o XY VPN e o 3X VPN – Smooth Browsing, cada um deles baixado 100 milhões de vezes na Google Play Store.

Desta forma, centenas de milhões de usuários acreditam estar protegidos por uma segurança que não existe: "Isso porque os provedores utilizam o chamado protocolo de Shadowsocks (que não foi projetado para garantir privacidade) para estabelecer o túnel VPN e afirmam que as conexões de seus usuários são seguras", aponta o levantamento.

Senhas programadas como risco à segurança

Também de acordo com o estudo, intitulado "Who owns, operates, and develops your VPN matters" (Quem possui, opera e desenvolve seu VPN importa, em tradução livre para o português), ambos os grupos de provedores utilizam o protocolo Shadowsocks com senhas programadas que são armazenadas nos aplicativos – uma grave falha de segurança. Invasores podem ler essas senhas e, assim, descriptografar e ler todas as comunicações.

Além disso, muitos provedores utilizam servidores alugados em centros de dados, sem ter controle total sobre o hardware. E mais: alguns aplicativos de VPN coletam secretamente dados de localização, embora suas políticas de privacidade afirmem o contrário.

Meu VPN também está afetado?

A conclusão do estudo é de que "infelizmente, na melhor das hipóteses, os VPNs podem transmitir uma falsa sensação de segurança e, na pior das hipóteses, comprometer totalmente a privacidade e a segurança. Nos casos de Innovative Connecting, Autumn Breeze, Lemon Clove, Matrix Mobile, ForeRaya Technologies, Wildlook Tech, Hong Kong Silence Technology e Yolo Mobile Technology Limited, todos os usuários correm um grande risco, pois os aplicativos apresentam sérios problemas de privacidade e segurança".

Devido a isso, os autores da pesquisa recomendam VPNs pagos, que, geralmente, são considerados mais confiáveis e seguros. Por exemplo, não foram identificados problemas graves de privacidade ou segurança com Lantern, Psiphon, ProtonVPN ou Mullvad.

"Catastrófico para a segurança dos usuários"

Benjamin Mixon-Baca, um dos autores do estudo, profere palavras drásticas para descrever essas descobertas: "Isso é catastrófico para a privacidade e a segurança desses usuários. Independentemente do país, as vulnerabilidades que identificamos mostram que os VPNs não oferecem nenhuma privacidade ou segurança, o que contradiz as alegações desses provedores em seus sites. Os usuários têm uma falsa sensação de segurança, pois um agente governamental pode ver tudo o que os usuários desses produtos fazem".

Considerando ainda o quão longe os provedores foram para ocultar sua verdadeira identidade e que, apesar de seus argumentos contrários, eles realmente coletaram informações geográficas, trata-se de "graves violações da confiança dos usuários".

Apelo aos operadores de lojas de aplicativos

Em resumo, "os usuários devem dar preferência a provedores de VPN que ofereçam total transparência em relação à propriedade, infraestrutura e jurisdição", aponta o estudo. Soluções de código aberto e auditorias independentes são indicadores decisivos de qualidade.

Os autores também recomendam de maneira enfática que os operadores de lojas de aplicativos prestem mais atenção às falhas de segurança ao fazer suas seleções. Caso contrário, o ícone VPN disponível na Google Play Store transmite aos usuários uma sensação de segurança que não pode ser comprovada.

Último recurso: navegador Tor

Para Mixon-Baca, existe uma contradição fundamental no que diz respeito às soluções para o uso de VPNs: "A privacidade e a segurança, ou seja, o que as pessoas esperam ou acreditam que esses produtos lhes proporcionam, estão em contradição direta com a publicidade e a geração de receita. Nós e outros descobrimos que misturar privacidade com publicidade para ganhar dinheiro não dá certo".

Na opinião do especialista, uma solução financiada com recursos públicos, semelhante ao aplicativo de mensagens Signal, seria ótima, mas não resolveria as restrições fundamentais em termos de privacidade e segurança, que não podem ser resolvidas nem mesmo dessa forma. Quem realmente quiser ter segurança deve usar o navegador Tor: "O Tor, como tudo na vida, tem suas limitações, mas, se a privacidade é sua principal preocupação, é a melhor opção".