A localização alegada pela VPN não corresponde ao país real de saída do tráfego

(ipinfo.io)

11 pontos por GN⁺ 2025-12-14 | 2 comentários | Compartilhar no WhatsApp

Ao analisar 20 VPNs principais, verificou-se que em 17 serviços a saída real do tráfego era diferente do país alegado, e muitos usavam os mesmos datacenters nos EUA ou na Europa
Ao medir mais de 150.000 IPs de saída de VPN, constatou-se que 38 países eram “apenas virtuais”, ou seja, o tráfego real não saía desses países
Apenas Mullvad, IVPN e Windscribe tiveram correspondência entre a localização alegada e a real em todos os países; as demais apresentaram discrepâncias significativas
“Localização virtual” é quando a VPN mostra um determinado país, mas o tráfego na prática sai de outra região, como Miami ou Londres
A diferença entre o número de países alegado pelas VPNs e a localização física real gera problemas de transparência e confiança, e a IPinfo usa uma abordagem baseada em dados medidos com o ProbeNet para lidar com isso

Resultado da investigação em larga escala sobre inconsistências de localização em VPNs

A IPinfo analisou 20 VPNs populares e confirmou que 17 tinham país real de saída de tráfego diferente do alegado
- Algumas VPNs afirmam dar suporte a mais de 100 países, mas na prática compartilham poucos datacenters nos EUA e na Europa
No total, foram medidos 150.000 IPs de saída com base em 137 países
- 38 países eram exclusivamente virtuais, sem nenhuma VPN com tráfego real saindo de lá
- Apenas 3 VPNs tiveram todas as localizações alegadas confirmadas na prática
- Foram encontrados cerca de 8.000 erros de localização de IP em conjuntos de dados existentes
As medições do ProbeNet mostram que a maioria das VPNs tem menos países reais do que afirma ter

Resultados reais medidos por VPN

Comparação entre o número de países alegados por cada VPN e o número de países realmente medidos
- Mullvad, IVPN e Windscribe tiveram 0% de discrepância, com correspondência total
- NordVPN, ExpressVPN e CyberGhost, entre outras, tinham mais da metade das localizações como virtuais ou não mensuráveis
Quanto maior o número de países anunciado pela VPN, maior a taxa de discrepância, e a alegação de “100+ países” é difícil de considerar confiável

O significado de localização virtual

Mesmo que a VPN mostre “Bahamas” ou “Somália”, o tráfego real pode sair de Miami, nos EUA, ou Londres, no Reino Unido
- As informações de registro de IP também aparecem como “País X” com base em autodeclaração, mas as medições reais da rede apontam para outro país
O ProbeNet da IPinfo confirma a localização com base em RTT real (latência de ida e volta) por meio de mais de 1.200 pontos globais de medição
Em todo o conjunto de dados, 97 países eram virtuais ou não mensuráveis, e 38 deles existiam apenas como localizações totalmente virtuais

Estudos de caso: Bahamas e Somália

Bahamas: em NordVPN, ExpressVPN, PIA, FastVPN e IPVanish, o tráfego foi medido saindo dos EUA
- O RTT, entre 0,15 e 0,42 ms com referência em Miami, sugere que os servidores estavam de fato nos EUA
Somália: NordVPN e ProtonVPN exibiam “Mogadishu”, mas o tráfego real foi medido em Nice, na França, e Londres, no Reino Unido
- RTT entre 0,33 e 0,37 ms confirmou que os servidores estavam na Europa

Erros em conjuntos de dados de IP existentes

Provedores tradicionais de dados de IP usam informações baseadas em autodeclaração e, por isso, acabam reproduzindo localizações incorretas das VPNs
No resultado da comparação entre medições do ProbeNet e conjuntos de dados existentes para 736 IPs de saída de VPN:
- 83% tinham erro acima de 1.000 km, 28% acima de 5.000 km e 12% acima de 8.000 km
- O erro mediano foi de cerca de 3.100 km
O ProbeNet mostrou RTT médio de 0,27 ms, com 90% dos casos abaixo de 1 ms, indicando proximidade com a localização física real

Problemas de confiança e razões técnicas

Razões técnicas para usar localizações virtuais
- Evitar riscos regulatórios e de vigilância, diferenças na qualidade da infraestrutura, redução de custos e melhora de desempenho
Mas o problema de confiança surge principalmente em:
- Falta de divulgação explícita: não há indicação como “Bahamas virtual (hospedado nos EUA)”
- Problema de escala: dezenas de países existem apenas como localizações virtuais
- Dependência de dados: mídia, ONGs e sistemas de segurança podem confiar em informações de localização incorretas

O que isso significa para os usuários

A indicação de “100+ países” deve ser tratada como um número de marketing
- Em 17 VPNs, 97 países não existiam de forma real
É preciso verificar como a VPN apresenta a localização: se há servidores virtuais e se ela divulga o local real de hospedagem
Ao usar dados de IP, é necessário validar a origem: mais importante do que uma simples métrica de precisão é saber se os dados são baseados em medição real
Mais do que um problema do uso de VPN em si, o ponto central é a importância da transparência e de dados baseados em evidências

A abordagem baseada em medições da IPinfo

Provedores tradicionais de dados de IP dependem de informações de registro de RIR e dados autodeclarados
A IPinfo adota uma abordagem de medição real baseada no ProbeNet
1. Opera mais de 1.200 PoPs (pontos de medição)
2. Usa medições em tempo real baseadas em RTT para determinar a localização de endereços IPv4 e IPv6
3. Gera geolocalização baseada em evidências, fundamentada no funcionamento real da internet
O objetivo dessa abordagem é reduzir erros de autodeclaração e garantir maior precisão com foco em dados medidos

Metodologia da investigação

Foram coletados mais de 6 milhões de pontos de dados de 20 provedores de VPN a partir de sites, arquivos de configuração, APIs etc.
Cada localização de VPN foi acessada diretamente para medir IP de saída e RTT
Foi feita a comparação entre o país alegado pela VPN e o país real medido pelo ProbeNet
Apenas localizações declaradas de forma clara foram incluídas na análise; casos ambíguos ou não mensuráveis foram excluídos
Como resultado, mesmo com um critério conservador, foi confirmada uma alta taxa de discrepância; com critérios mais flexíveis, essa taxa provavelmente seria ainda maior

2 comentários

princox 2025-12-15

Uau, então tem caso de gente enganando até com isso para fazer negócio...;;; tem muito problema aí.

GN⁺ 2025-12-14

Comentários no Hacker News

Sou cofundador da WonderProxy. Nosso serviço não é uma VPN de consumidor, e sim para testes de apps, então não entrou na lista
Operamos em mais de 100 países, e isso é realmente uma dor de cabeça. No começo, muitos fornecedores diziam que eram do México ou da América do Sul, mas na prática estavam no Texas
Em certo momento, pensamos em levar servidores para o Peru por conta própria, mas desistimos ao descobrir que teríamos de pagar imposto de renda peruano sobre o dinheiro ganho localmente
Um cliente reclamou porque um concorrente dizia oferecer servidores no Oriente Médio, mas, quando fomos investigar, estava a menos de 1 ms de um servidor na Alemanha
Conheço várias pessoas que trabalham na Mullvad, e elas levam segurança e privacidade realmente a sério. Então este resultado não me surpreende
- Por trás da GFW da China, Mullvad, Windscribe e IVPN funcionaram, enquanto VPNs mais famosas não funcionaram. Parece que existem VPNs de verdade entre as VPNs
- Antes mesmo de ler o artigo, eu já tinha certeza de que a Mullvad passaria no teste
- Gosto cada vez mais da Mullvad com o tempo. Outras VPNs pioram com o tempo, mas com ela acontece o contrário. Gosto especialmente do fato de ser possível manter o anonimato com pagamento por carteira de criptomoedas
- Windscribe e iVPN também foram bem avaliadas, mas este texto está apontando o marketing enganoso das VPNs. VPNs não reforçam muito a segurança, mas são úteis para burlar censura ou desbloquear restrições regionais. Acho que redes dedicadas como Psiphon, Lantern e Tor são mais fortes
Sou cidadão de um país e residente de outro, então uso VPN com frequência. Até para acessar sites do governo eu preciso de VPN
O site do instituto nacional de estatística retorna 404 quando acesso com IP estrangeiro, mas funciona normalmente quando ligo a VPN. Para transmissões eleitorais também precisei de VPN
Para declarar imposto, a VPN é bloqueada e eu preciso desligá-la, mas IPs de residentes no exterior são permitidos
Se existisse uma VPN com IP residencial, eu estaria disposto a pagar 30 euros por mês. Mas a maioria é difícil de confiar
- Se você deixar uma AppleTV com Tailscale instalada na casa de um amigo ou familiar, pode usá-la como exit node para acessar. Eu faço isso
- Estou na mesma situação, então criei o TunnelBuddy (https://tunnnelbuddy.net) eu mesmo. É baseado em WebRTC e, se um amigo compartilhar a senha uma vez, você pode usar a internet como se estivesse acessando da casa dele
- Se você tiver um amigo nesse país, outra opção é deixar um Raspberry Pi conectado atrás do modem
- IP residencial normalmente não é cobrado por valor mensal fixo, e sim por GB, então sai caro. Em geral, custa mais de 2 dólares por 1 GB
- Outra opção é simplesmente usar um SIM card em roaming do seu país de origem para acessar sites do governo
Acho interessante que dê para estimar a localização real do servidor pela latência. Mas não seria possível enganar isso se a VPN adicionasse artificialmente de 100 a 300 ms de atraso?
Por exemplo, 74.118.126.204 diz ser um IP da Somália, mas o ipinfo.io o identifica como Londres. Dá para comparar curl ipinfo.io/74.118.126.204/json e curl ipwhois.app/json/74.118.126.204
- Acho que o tempo de ping é mais afetado pelo número de hops e pela qualidade da conexão do que pela velocidade da luz
- Assim como dá para estimar hashes de senha pelo tempo de resposta do servidor, ruído é só ruído
- A IPinfo envia pings de várias regiões ao mesmo tempo e calcula a localização por multilateração. Dizem que operam mais de 600 servidores de sondagem (fonte)
- Mesmo adicionando atraso a todos os pacotes, no fim Londres continuará mostrando a menor latência
- Se você enviar pings de vários países, dá para descobrir a localização real por triangulação
A maioria dos provedores de VPN na verdade informa que se trata de uma “localização virtual”. Então não dá para dizer que seja uma mentira completa
É uma questão interessante como definir o critério de exibição da localização geográfica da VPN. Deve-se mostrar a localização real do servidor ou o país selecionado pelo usuário?
Eu acho a segunda opção útil. Ela mostra onde o cliente ‘quer estar’
(Como referência, eu administro um serviço concorrente, e nós também mostramos a localização reportada pela VPN, mas deixamos claro que é uma VPN)
- A Proton explica isso claramente aqui: ProtonVPN Smart Routing
Passei a usar o ProtonVPN quando migrei para o ProtonMail, mas, quando ligo a VPN, metade dos sites não funciona. Até o Hacker News bloqueia VPN
Está ficando cada vez mais fácil para os sites identificarem endpoints de VPN, e fico curioso para saber como as VPNs vão conseguir evitar isso no futuro
- A Apple conseguiu pressionar sites a permitirem acesso via Private Relay. Se VPNs se popularizarem, os sites acabarão tendo de aceitar também
- Se mais gente usar VPN e Tor, fica mais difícil para os sites bloquearem. O ideal seria um mundo em que todo mundo usa Tor. Se todo mundo parecer igual, discriminar se torna impossível
- O Reddit aplica shadow ban quando você entra com VPN. Não há nenhum aviso, então, se ninguém reage aos seus comentários, você precisa abrir seu perfil em uma sessão privada para conferir
- Com o Tor acontece a mesma coisa. Há anonimato, mas ao mesmo tempo você se torna alguém que chama atenção
- Se o uso de VPN aumentar, os sites é que vão sair perdendo. Especialmente usuários mobile costumam deixar a VPN sempre ligada
  Se um site bloqueia VPN, os usuários se irritam e vão embora.
  Disfarçar o user agent como mobile pode ajudar. Também é preciso alinhar as assinaturas SSL e HTTP para parecer mobile
  É melhor evitar VPN com plano gratuito. Quanto mais paga for a VPN, melhor tende a ser a reputação do IP
Não entendi muito bem o que exatamente este teste fez. Também acho estranho que algumas VPNs importantes tenham ficado de fora
Eu uso AirVPN porque atende ao meu caso de uso e ao preço que quero pagar
Há vários motivos para usar VPN — privacidade, anonimato (não recomendado), desbloqueio regional, torrent, burlar censura (GFC) etc.
O último é o mais difícil
Link de referência: VPN Services Overview
- O teste verificou a localização real do nó de saída da VPN. Muitas empresas só alteram as informações de WHOIS do IP, mas mantêm o servidor físico em outro país
Para fugir de firewalls em nível nacional, a localização do nó de saída importa, mas a própria indústria de GeoIP já é um problema
Seria bom se os ISPs ajudassem os usuários a contornar bloqueios regionais via RFC8805
- Com a expansão de CGNAT, talvez seja necessário ter informação de localização por porta. Ex.: portas 10000~20000 em Nova York, 20000~30000 em Boston etc.
- Isso parece fala de quem nunca passou por sanções da OFAC. Meu negócio acaba imediatamente se eu violar sanções.
  Informações geográficas de IP são uma ferramenta essencial para evitar esse risco
- Seria bom poder lidar com essa informação como se faz com o registro PTR do DNS
Acho exagerado inferir conhecimento da rede backbone só com RTT (tempo de ida e volta).
O tráfego nem sempre é roteado de forma eficiente, e o caminho de transmissão muda conforme o volume de tráfego. Gostaria de ouvir outras opiniões
- Não é preciso supor roteamento eficiente. Se em Londres o RTT dá menos de 1 ms, fisicamente não pode estar fora do Reino Unido
  Pelo limite da velocidade da luz, 0,4 ms de RTT equivale a no máximo 120 km. Com isso, dá para afirmar com certeza que o servidor não está no país que alega estar
- Fazendo as contas pela velocidade da luz, RTT abaixo de 0,5 ms significa que o país medido está correto. Em fibra óptica a velocidade é ainda menor por causa da refração, então a margem de erro fica menor ainda
- Sobre “talvez eu tenha perdido algum detalhe” — sim, acho que você deixou passar a física. Se o ping submilissegundo vem de Londres, isso não é Maurício