"A ExpressVPN nunca guarda dados que o possam ligar a qualquer atividade online." Esta é a promessa destacada pelo fornecedor de VPN no seu site, e uma recente auditoria independente, conduzida no final de fevereiro, vem agora reforçar essa alegação. A conceituada empresa de contabilidade KPMG concluiu, com "razoável garantia", que o sistema do serviço impede o registo da atividade dos seus utilizadores.
A ExpressVPN é, recorde-se, uma das principais escolhas de serviços de VPN no mercado da tecnologia.
TrustedServer: A tecnologia de servidores baseada em RAM
A auditoria da KPMG colocou o sistema TrustedServer da ExpressVPN sob um autêntico microscópio. Este sistema destaca-se por ser totalmente baseado em memória RAM. Em teoria, esta abordagem significa que todos os dados de uma sessão são completamente eliminados sempre que um servidor é reiniciado, impossibilitando o armazenamento de informação a longo prazo.
Esta não é uma abordagem exclusiva. Concorrentes de peso, como a NordVPN, também já adotaram servidores baseados em RAM. No entanto, existem outras perspetivas no mercado. A ProtonVPN, por exemplo, argumenta que discos rígidos, quando devidamente encriptados, oferecem um nível de segurança igualmente robusto.
Um dos principais contra-argumentos aos servidores RAM é que a sua eficácia depende diretamente da frequência com que são reiniciados. Teoricamente, uma empresa poderia anunciar o uso desta tecnologia por motivos de marketing, mas raramente efetuar os reinícios necessários. É aqui que auditorias independentes como a da KPMG se tornam cruciais para a transparência.
O que dizem as conclusões da KPMG?
A KPMG expressou um elevado nível de confiança de que o sistema de não-registos (no-logging) da ExpressVPN funcionava conforme anunciado no final de fevereiro de 2025. "Os controlos fornecem uma garantia razoável de que o TrustedServer da ExpressVPN não recolhe registos da atividade dos utilizadores", pode ler-se no documento da auditoria. Isto inclui "nenhum registo do histórico de navegação, destino do tráfego, conteúdo dos dados, consultas de DNS ou registos de ligação específicos."
A avaliação foi uma auditoria do tipo ISAE 3000 Tipo I. Isto significa que se focou no design e na implementação dos controlos da ExpressVPN num ponto específico no tempo. Uma auditoria do Tipo II, mais aprofundada, teria testado a eficácia desses controlos ao longo de um período prolongado. A KPMG é uma das "Big Four", as quatro maiores empresas de contabilidade do mundo, sendo um nome de confiança pelo qual as corporações pagam valores avultados para auditorias como esta.
Limitações e transparência
O processo de auditoria envolveu a revisão de documentação, a observação do sistema em funcionamento e entrevistas com colaboradores da ExpressVPN. É importante notar que a conclusão do relatório aplica-se "a 28 de fevereiro de 2025", representando, portanto, uma fotografia daquele momento específico e não uma garantia permanente.
A avaliação não incluiu testes de stress a todo o sistema nem uma análise de segurança completa à empresa. Para os mais interessados nos pormenores técnicos, pode consultar o relatório completo da KPMG para uma análise mais detalhada.
Nenhum comentário
Seja o primeiro!