vpn

O Mullvad é Seguro? Análise de Segurança, Privacidade e Auditorias

O Mullvad é seguro? Resultados de auditorias independentes, protocolos de criptografia, análise de jurisdição, teste de kill switch e verificação da política de zero logs.

VPN.com Editorial Team · ·9 min de leitura

O Mullvad é Seguro? Uma Avaliação Direta

O Mullvad obtém 86/100 no nosso índice de confiança. Opera sob jurisdição sueca, cobra uma taxa fixa de €5/mês sem necessidade de contas e aplica uma política de zero logs verificada. Auditorias independentes realizadas pela Cure53 e pela Assured AB confirmaram vulnerabilidades mínimas. O Mullvad não armazena registros de conexão, dados de tráfego ou informações pessoalmente identificáveis nos seus 700+ servidores em 50+ países.

Jurisdição Sueca e Solicitações Legais de Dados

A Suécia faz parte da aliança de partilha de inteligência dos 14 Olhos. Isso pode soar alarmante à primeira vista. Na prática, o quadro jurídico conta uma história mais matizada para fornecedores de VPN.

A lei sueca não obriga as empresas de VPN a reter dados de utilizadores. O Mullvad não tem qualquer obrigação de retenção de dados ao abrigo das atuais regulamentações suecas de telecomunicações. Isso significa que as autoridades podem emitir solicitações, mas o Mullvad não tem nada armazenado para entregar.

Em abril de 2023, a polícia sueca entrou fisicamente no escritório do Mullvad em Gotemburgo com um mandado de busca. Os agentes pretendiam apreender computadores com dados de clientes. Os funcionários do Mullvad explicaram que não existiam dados de clientes em nenhuma das máquinas, e a polícia saiu de mãos vazias. Esse teste no mundo real provou que a política de zero logs se mantém sob pressão legal.

Histórico de Auditorias Independentes

O Mullvad concluiu múltiplas auditorias de segurança por terceiros. Cada auditoria examinou diferentes partes da infraestrutura e das aplicações cliente.

Auditoria da Cure53 (2020)

A Cure53, uma empresa de testes de penetração sediada em Berlim, auditou as aplicações do Mullvad VPN em 2020. A equipa identificou 7 vulnerabilidades no total: 2 classificadas com severidade média e 5 com severidade baixa. O Mullvad corrigiu todos os 7 problemas antes de publicar o relatório completo da auditoria publicamente no seu site.

Auditoria da Assured AB (2023)

A Assured AB realizou uma auditoria de infraestrutura aos servidores e sistemas internos do Mullvad em 2023. A avaliação abrangeu configurações de servidores, implementação de criptografia e procedimentos de tratamento de dados. Os resultados confirmaram que a infraestrutura do Mullvad correspondia às suas declarações públicas de zero logs. Nenhuma vulnerabilidade crítica foi descoberta durante este trabalho.

Auditoria de Aplicações da Cure53 (2023)

A Cure53 regressou para uma segunda ronda em 2023, focando-se no código atualizado das aplicações. Este acompanhamento encontrou menos problemas do que a auditoria de 2020. O Mullvad resolveu todas as descobertas e voltou a publicar o relatório completo para revisão pública.

Publicar relatórios completos de auditoria é incomum na indústria de VPN. O Mullvad não redige as descobertas nem seleciona apenas os resultados favoráveis. Essa transparência acrescenta um peso significativo às suas afirmações de segurança.

Política de Logs: O Que o Mullvad Armazena e Não Armazena

Dados que o Mullvad Não Recolhe

O Mullvad não regista dados de tráfego, marcações de tempo de conexão, durações de sessão ou endereços IP. Não armazena consultas DNS, registros de uso de largura de banda ou atribuições de servidores VPN. A atividade da conta permanece completamente desvinculada do comportamento de navegação ou dos metadados de conexão.

Dados que o Mullvad Processa

O Mullvad processa o número total de conexões simultâneas por conta (limitado a 5). Este contador existe em tempo real e não é gravado em nenhum armazenamento persistente. No momento em que se desconecta, o contador decrementa. Nenhum registo histórico persiste.

O Mullvad também processa dados agregados de carga de servidor a curto prazo para otimização de desempenho. Estes dados não contêm qualquer informação identificável do utilizador e rodam automaticamente.

O Sistema de Conta

O Mullvad gera um número de conta aleatório de 16 dígitos. Não é necessário e-mail, nome ou senha. Pode pagar com dinheiro enviado num envelope, Bitcoin ou Monero. Este design elimina completamente as informações pessoalmente identificáveis do processo de registo.

Padrões de Criptografia e Protocolos

O Mullvad suporta dois protocolos: WireGuard e OpenVPN. Ambas as implementações utilizam padrões criptográficos robustos e bem avaliados.

Implementação WireGuard

O WireGuard utiliza ChaCha20 para criptografia simétrica, Curve25519 para troca de chaves e BLAKE2s para hashing. O Mullvad usa WireGuard por padrão em todas as plataformas. Os handshakes de conexão completam-se em menos de 100 milissegundos na maioria das redes.

Implementação OpenVPN

As conexões OpenVPN utilizam AES-256-GCM para criptografia do canal de dados. A troca de chaves depende de certificados RSA-4096 com autenticação SHA-512. O Mullvad configura o OpenVPN com tls-auth para prevenir fingerprinting e ataques DDoS ao túnel VPN.

Túneis Resistentes a Computação Quântica

O Mullvad adicionou troca de chaves pós-quântica aos túneis WireGuard em 2023. Esta funcionalidade combina o encapsulamento de chaves Classic McEliece e Kyber sobre a criptografia padrão do WireGuard. O Mullvad foi o primeiro VPN comercial a implementar esta funcionalidade em plataformas desktop.

Kill Switch e Proteção contra Fugas de DNS

Comportamento do Kill Switch

O kill switch do Mullvad ativa-se por padrão em todas as plataformas. Bloqueia todo o tráfego de internet quando o túnel VPN cai inesperadamente. A implementação opera ao nível do firewall, não ao nível da aplicação. Isso previne fugas mesmo que a aplicação do Mullvad falhe completamente.

No Linux, o Mullvad usa regras nftables para impor o bloqueio de tráfego. No Windows, modifica a Plataforma de Filtragem do Windows. No macOS, usa regras de filtro de pacotes. Cada implementação previne fugas IPv4 e IPv6 simultaneamente.

Proteção contra Fugas de DNS

O Mullvad encaminha todas as consultas DNS através dos seus próprios servidores DNS encriptados. A aplicação bloqueia pedidos DNS do sistema que tentam contornar o túnel. O Mullvad opera servidores DNS em cada localização de servidor VPN, resolvendo as consultas localmente sem reencaminhar para terceiros.

Os utilizadores também podem configurar DNS personalizado dentro da aplicação. Mesmo com DNS personalizado, as consultas continuam a viajar dentro do túnel encriptado. Testes de fuga independentes mostram consistentemente zero fugas de DNS, WebRTC ou IPv6 em todos os clientes Mullvad.

Incidentes de Segurança Anteriores

Busca Policial (Abril de 2023)

Seis agentes da Polícia Nacional Sueca entraram no escritório do Mullvad em Gotemburgo. Transportavam um mandado de busca de um tribunal de distrito a solicitar informações de clientes. O CEO do Mullvad explicou que a empresa não armazena dados de clientes. A polícia não apreendeu nenhum equipamento e saiu após a equipa jurídica do Mullvad contestar a aplicabilidade do mandado.

Nenhuma Violação de Dados Conhecida

Até ao último ciclo de auditoria, o Mullvad não reportou nenhuma violação de dados. Nenhum dado de utilizador apareceu em bases de dados vazadas. Nenhum ataque de credential stuffing se aplica porque o Mullvad não usa senhas nem endereços de e-mail. O sistema de número de conta de 16 dígitos limita substancialmente a superfície de ataque.

Divulgações de Vulnerabilidades

O Mullvad mantém uma abordagem ativa de bug bounty e publica avisos de segurança no seu blog. Todas as vulnerabilidades encontradas durante as auditorias receberam correções no prazo de semanas após a descoberta. A empresa não sofreu qualquer exploração de zero-day na sua infraestrutura de produção.

Funcionalidades de Segurança Únicas

DAITA (Defesa Contra Análise de Tráfego Guiada por IA)

O Mullvad desenvolveu o DAITA para combater ataques de análise de tráfego. Esta funcionalidade uniformiza o tamanho dos pacotes e injeta padrões de tráfego fictícios. Impede que adversários identifiquem quais os sites visitados pelos utilizadores com base em impressões digitais de tráfego.

DNS Encriptado Sobre HTTPS (DoH)

O Mullvad oferece um serviço público de DoH em dns.mullvad.net. Os utilizadores podem encriptar consultas DNS mesmo sem o VPN ativo. O serviço inclui perfis de DNS opcionais com bloqueio de anúncios e rastreadores.

Servidores Sem Disco em Modo RAM

O Mullvad opera toda a sua frota de servidores em modo apenas RAM. Não existem discos rígidos nos servidores. Cada reinicialização apaga todos os dados completamente. Esta arquitetura garante que as apreensões físicas de servidores não produzam qualquer informação utilizável.

Encaminhamento Multihop

Os utilizadores podem encaminhar o tráfego através de 2 servidores VPN separados em países diferentes. Isso acrescenta uma segunda camada de criptografia e separa o ponto de entrada do ponto de saída. O Multihop é configurável diretamente na aplicação sem configuração manual.

Perguntas Frequentes

O Mullvad Guarda Logs?

O Mullvad não mantém logs persistentes. Nenhum log de tráfego, marcação de tempo de conexão, endereço IP ou dado de sessão toca o armazenamento em disco. Duas auditorias independentes verificaram esta afirmação. A infraestrutura de servidores apenas em RAM garante que mesmo os dados temporários desaparecem no reinício. A busca policial ao Mullvad em 2023 confirmou que não existiam dados de utilizadores para apreender.

O Mullvad Foi Alguma Vez Hackeado?

O Mullvad não foi hackeado. Nenhuma violação de dados ou evento de acesso não autorizado foi publicamente reportado ou descoberto durante as auditorias. O sistema de conta sem senha e os servidores apenas em RAM reduzem a superfície de ataque abaixo da dos fornecedores de VPN típicos. A Cure53 não encontrou vulnerabilidades críticas durante as auditorias de 2020 ou 2023.

O Mullvad é Confiável?

O Mullvad demonstra confiabilidade através de auditorias independentes repetidas, total transparência dos relatórios e um teste jurídico real. A empresa publica o seu código-fonte abertamente no GitHub. Aceita pagamentos anónimos em dinheiro. Sobreviveu a uma busca policial sem ceder qualquer dado. Estas ações verificadas têm mais peso do que promessas de marketing.

O Mullvad Pode Ver os Meus Dados?

O Mullvad não consegue ver os seus dados de navegação. O tráfego dentro do túnel VPN utiliza criptografia AES-256 ou ChaCha20. Os servidores do Mullvad processam pacotes encriptados, mas não inspecionam, registam nem armazenam conteúdo. A arquitetura apenas em RAM impede que quaisquer dados de processamento temporário persistam além da sessão ativa.

A Conclusão sobre a Segurança do Mullvad

O Mullvad merece a sua pontuação de confiança de 86/100 através da sua arquitetura, não de promessas. Servidores apenas em RAM, anonimato de conta, relatórios de auditoria publicados e o resultado verificado de uma busca policial distinguem-no. A taxa fixa de €5/mês sem períodos de teste ou descontos reflete uma empresa focada no serviço em vez do volume de subscritores. Para utilizadores que priorizam a verificação da privacidade em detrimento do número de funcionalidades, o Mullvad continua a ser uma das opções mais sólidas disponíveis nos seus 700+ servidores em 50+ países.