Não é segredo nenhum que os produtos tecnológicos inflacionam as suas caraterísticas, para impressionar os consumidores. Mas e os produtos tecnológicos que 'omitem' algumas das suas características? Os serviços VPN são especialistas nisso, uma vez que a maioria afirma que não guarda registos ou que possui uma 'Política de Registo Zero'.
No entanto, isto não podia estar mais longe da verdade.
'Sem registo? ou 'zero registos' são os termos mais variáveis na ciber segurança, pois os termos dependem do que cada empresa entende por registo.
Por isso, aqui fica um resumo rápido de como os registos realmente funcionam.
Os Tipos de Registos
Os Verdadeiros Registos Zero
Tal como o nome sugere, um serviço que utiliza uma verdadeira política de registo zero é o mais segura possível. O serviço não recolhe, genuinamente, nenhum dos seus dados quando utiliza o software, por isso, o utilizador é realmente anónimo. Este tipo de política de registo é, de longe, o mais eficaz uma vez que é impossível conseguirem vender os seus dados a agências publicitárias ou utilizá-los contra si, no caso de uma investigação policial. Uma VPN famosa por sustentar esta política, em tribunal, é a Private Internet Access, uma vez que a empresa já negou, repetidas vezes, o acesso do FBI aos registos dos utilizadores, pois não ficam com nenhum.
Registos de Sessão
Os registos de sessão são a que a maioria das VPNs se refere quando dizem que possuem uma 'política de não registo'. Um registo de sessão é um registo relativamente básico que mantém o rasto dos metadados que inclui, quando está a utilizar uma VPN. Os metadados que são, normalmente, recolhidos vêm de métricas como o tempo de utilização, largura de banda utilizada e que servidor VPN foi usado.
Apesar desses registos conterem, de facto, alguns dados pessoais, são não maioria das vezes inofensivos. No entanto, os utilizadores que não querem que absolutamente nenhum tipo de dados seja recolhido, é melhor procurarem um serviço de real registo zero.
Registos de Actividade
Os registos de actividade são bastante assustadores porque podem gravar uma grande quantidade de dados relativos ao que faz na web, quando usa uma VPN: Os registos de actividade conseguem recolher métricas tas como o que pesquisou, os websites que visitou, os ficheiros aos quais acedeu/descarregou e até aos itens que comprou online. Estes registos são, de facto, muito assustadores uma vez que os dados podem ser vendidos por empresas de VPNs a terceiros, nomeadamente, agências publicitárias ou utilizados contra indivíduos, em casos de investigação criminal.
Registos de Endereços IP
Os registos de endereços IP são ligeiramente menos preocupantes do que os registos de actividade mas continua a ser uma característica que deve fazer soar alguns alarmes. Os registos de endereço IP recolhem a sua localização física através do seu endereço IP da Internet e, frequentemente, a hora em que se ligou à VPN. Assim, o serviço fica com um histórico do seu endereço IP e hora de registo, o que pode ser informação suficiente para o identificar numa série de situações de investigação.
Acordos de Dados e Políticas Que Afectam o Registo
Os serviços não costumam guardar registos a não ser que sejam obrigados a isso por uma entidade do governo que possua políticas centradas na monitorização de cidadãos. Os acordos governamentais mais conhecidos são os Cinco, Nove e Quatorze Olhos que monitorizam as actividades dos cidadãos que residem nestes países. Se as agências de dados do país não tiverem jurisdição legal para espiar os seus próprios cidadãos, vão simplesmente pedir a um dos outros governos para o fazer por eles. Abaixo, encontra um apanhado dos acordos e países que fazem parte dos acordos, de massa, para espiar/partilhar dados.
Acordo dos Cinco Olhos
O mais conhecido dos acordos de governos para monitorizar indivíduos é o Acordo dos Cinco Olhos, que é um acordo entre os EUA, o Reino Unido, a Austrália, a Nova Zelândia e o Canadá para partilhar dados sobre cidadãos de cada país. A política data de 1946 entre os EUA e o Reino Unido, após a Segunda Guerra Mundial, como um meio de monitorizar a actividade da União Soviética e dos seus aliados. O acordo pretendia interceptar sinais dos militares soviéticos mas, ao longo dos anos, desenvolveu a capacidade de espiar telefones, computadores e faxes, para cidadãos civis. Com uma rede de informação tão vasta, não levou muito tempo até que o Canadá, a Austrália e a Nova Zelândia também se juntassem ao acordo.
Nos dias de hoje, esse sistema de rastreio de informação é executado por um software conhecido por ECHELON, que permite aos governos espiar tanto as operações comerciais como privadas e recolher quantidades enormes de dados de indivíduos. Esta informação pode, depois, ser partilhada entre qualquer um dos países membros e utilizada para localizar indivíduos suspeitos. A grande maioria dos dados actuais vêm de chamadas telefónicas, actividade na web, faxes e de qualquer outro tipo de dispositivo de comunicação. Assim, os indivíduos que residem nos cinco países membro estão sujeitos a uma intercepção em massa de dados, se se revelarem suspeitos. Por esta razão precisa, o governo de cada país tem o poder de pedir informações sobre a actividade dos utilizadores aos serviços de VPN.
Acordo dos Nove Olhos
Não levou muito tempo até que outros países se quisessem juntar ao acordo de partilha de dados dos Cinco Olhos, uma vez que se tornou uma ferramenta muito útil para os países membros iniciais, em vários aspectos. Assim, mais quatro nações se juntaram ao acordo, acrescentando a Holanda, a França, a Noruega e a Dinamarca. Apesar dos novos membros fazerem, de facto, parte do acordo, alguns possuem as suas próprias leis de protecção de dados, é o caso da Holanda. Algumas das políticas de protecção de dados da Holanda protegem de forma rigorosa, a privacidade pessoal, limitando a informação que pode ser guardada pelas VPNs.
Acordo dos Quatorze Olhos
Devido à eficácia dos acordos dos Cinco e dos Nove Olhos, voltaram a expandir o acordo a mais cinco países, acrescentando a Espanha, a Alemanha, a Bélgica, a Itália e a Suécia. Estes países também se tornaram sujeitos à partilha de dados, o que permitiu ao grupo de países espiar, de forma eficaz, os indivíduos de outros países. Desta forma, o acordo dos Quatorze Olhos tornou-se o sistema supremo de espionagem que afecta actualmente, de forma dramática, a validade das VPNs, com base nesses países.
Casos Recentes com Registos
Enquanto tantas empresas alegam que possuem políticas de não registo, poucas são as que realmente não ficam com nenhum registo. Tal é o caso da PureVPN; uma VPN com base em Hong Kong que, recentemente, entregou os dados de um utilizador específico ao FBI.
A PureVPN foi convidada a ajudar o FBI num caso de perseguição, em que um cliente da PureVPN utilizou, aparentemente, o serviço para cometer ciber crimes e perseguições. A pedido do FBI, a PureVPN forneceu horas de registo e localizações ao FBI indicando de onde o suspeito acedeu ao serviço e em que alturas. Os registos de sessão acabaram por ajudar o FBI na sua perseguição do suspeito, mas colocou a PureVPN numa posição de destaque, uma vez que o serviço sempre alegou que não mantinha nenhum registo.
Após uma investigação mais aprofundada, chegou-se à conclusão que as políticas de privacidade da PureVPN possuíam afirmações contrárias, que acabavam por permitir ao serviço manter registos de sessão dos indivíduos que utilizavam o serviço.
Apesar do caso da PureVPN ser o mais conhecido, não é, definitivamente, o único caso em que uma VPN entregou os dados dos seus utilizadores às autoridades. Este caso, tal como muitos outros, prova o quão variáveis as políticas de 'não registo' podem realmente ser.
Formas de Se Proteger
Leia as Entrelinhas
Apesar de muitas empresas alegarem que não guardam registos, as entrelinhas às vezes, dizem o contrário. Leia com atenção as entrelinhas de cada serviço para garantir que nenhuma da sua informação está a ser capturada para fins de pesquisa.
Evite os Países dos Quatorze Olhos
Em conjunto, as VPNs que vêm de países membros dos Quatorze Olhos são, normalmente, menos privadas devido às políticas rigorosas de retenção de dados. No entanto, algumas VPNs, nestes países, não levam, de facto, em consideração as regras obrigatórias e recusam-se a guardar registos dos utilizadores, alegando que o direito humano ao acesso à informação, em privacidade é superior às políticas. Além disso, alguns desses países possuem, de facto, leis de protecção de dados rigorosas para os seus cidadãos, tornando-se questionável o facto de uma VPN poder ou não registar os dados dos utilizadores.
Utilize uma VPN com Tor
Utilizar uma VPN com Tor (o router cebola) pode proporcionar-lhe um nível extremamente elevado de privacidade se for feito correctamente, tornando quase impossível localizar os seus dados, até nos países com regras rígidas. Porém, se a sua VPN não for utilizada, correctamente, com o Tor, a sua actividade na web pode ser rastreada através dos nós de saída do Tor, tornando-o ainda menos protegido do que antes.
Conclusão
No fim de contas, o nível de privacidade que deseja deve ajudar a determinar que tipo de serviço VPN é o mais adequado para si. Faça as suas pesquisas antes de subscrever uma VPN e garante que qualquer que seja a que escolher, ela seja exctamente aquilo que procura.