Item: ExpressVPN
Rating: 68
Author: vpn.social

A ExpressVPN foi fundada em 2009 e opera sob a jurisdição das Ilhas Virgens Britânicas, que não possuem leis obrigatórias de retenção de dados. Em setembro de 2021, a Kape Technologies adquiriu a empresa por 936 milhões de dólares — a maior aquisição de uma VPN na história. O historial da Kape é central para avaliar a ExpressVPN: a empresa operou como Crossrider de 2011 a 2018, gerindo uma plataforma que injetava anúncios em extensões de browser. A Symantec classificou o software da Crossrider como malware, e a Google identificou-o como distribuidor de aplicações potencialmente indesejadas. O acionista maioritário da Kape, Teddy Sagi, cumpriu pena de prisão por fraude em valores mobiliários na década de 1990. A Kape é também proprietária da CyberGhost, PIA, ZenMate e, de forma significativa, dos sites de análise vpnMentor e WizCase — que atualmente classificam as próprias VPNs da Kape nas suas posições de topo.

A controvérsia em torno de Daniel Gericke acrescentou mais uma camada ao problema. Contratado como CIO em dezembro de 2019, Gericke havia trabalhado anteriormente no Projeto Raven — uma operação de vigilância do governo dos EAU que visava cidadãos norte-americanos, jornalistas estrangeiros e ativistas de direitos humanos através de exploits sem clique. Foi multado em 335.000 dólares pelo DOJ ao abrigo de um acordo de acusação diferida. A ExpressVPN reconheceu ter conhecimento de factos fundamentais antes de o contratar, argumentando que o seu historial adversarial melhorava a segurança defensiva. Edward Snowden questionou publicamente o critério da empresa. Gericke saiu em julho de 2023.

Perante este contexto de propriedade, a infraestrutura de segurança técnica da ExpressVPN é genuinamente impressionante. O TrustedServer funciona inteiramente em RAM sem discos rígidos — cada reinicialização carrega uma imagem de sistema operativo nova e assinada criptograficamente, e os servidores passam por ciclos de atualização semanais que eliminam todos os dados anteriores. Esta arquitetura foi auditada pela PwC (2019), Cure53 (2022) e KPMG (2022, 2023, 2025). A política de zero registos recebeu validação no mundo real em 2017, quando as autoridades turcas apreenderam um servidor físico durante uma investigação a um assassinato e não recuperaram quaisquer dados de utilizadores.

O protocolo Lightway, desenvolvido internamente e disponibilizado como open-source no GitHub, foi reescrito de C para Rust em 2025 para maior segurança de memória. O Lightway Turbo, introduzido no mesmo ano, utiliza tunelamento multi-via e descarregamento do canal de dados ao nível do kernel para atingir velocidades até 1.479 Mbps no Windows — embora atualmente seja exclusivo para Windows. O Lightway padrão atinge 200-300 Mbps em testes independentes, sendo competitivo mas mais lento do que o NordLynx da NordVPN na maioria das comparações diretas.

A encriptação pós-quântica com ML-KEM (o padrão NIST) está implementada por defeito tanto no Lightway como no WireGuard, tornando a ExpressVPN um dos primeiros fornecedores a disponibilizar proteção pós-quântica em múltiplos protocolos. O suporte ao WireGuard foi adicionado em agosto de 2025, juntamente com a integração pós-quântica.

A rede de servidores abrange mais de 3.000 servidores em mais de 105 países e mais de 160 localizações. A ExpressVPN contorna de forma fiável a censura na China, Irão, EAU, Rússia e Arábia Saudita — uma capacidade crítica que muitos concorrentes não possuem. O desbloqueio de streaming é consistentemente o mais forte do setor, com acesso confirmado a mais de 20 bibliotecas da Netflix, Disney+, Prime Video, BBC iPlayer, Hulu, HBO Max e DAZN.

Uma falha de segurança significativa foi a fuga de DNS no split tunneling do Windows (CVE-2024-25728), presente de maio de 2022 a fevereiro de 2024 — 21 meses durante os quais os pedidos DNS contornavam o túnel VPN quando o split tunneling estava ativado. A ExpressVPN estima que menos de 1% dos utilizadores de Windows foram afetados. A resposta incluiu duas análises de causa raiz, um teste de penetração encomendado à Nettitude e a desativação temporária do split tunneling até à correção do problema.

Os preços foram reestruturados em setembro de 2025 em três níveis: Basic (2,44 dólares/mês em planos de 2 anos, 10 ligações), Advanced (4,49 dólares/mês, inclui gestor de palavras-passe e monitorização de identidade) e Pro (7,49 dólares/mês, inclui IP dedicado). O preço mensal continua a ser o mais elevado do setor, a 12,99 dólares. As opções de pagamento incluem cartões de crédito, PayPal, Bitcoin, Apple Pay e Google Pay, com uma garantia de reembolso de 30 dias.

As ausências notáveis incluem o reencaminhamento de portas (indisponível em qualquer servidor), o encaminhamento multi-hop e as aplicações cliente open-source — apenas a biblioteca central do Lightway é pública. O split tunneling não está disponível no iOS. Estas lacunas fazem-se sentir de forma mais acentuada dado o preço premium da ExpressVPN.

A ExpressVPN removeu proativamente todos os servidores físicos da Índia em junho de 2022, em vez de cumprir o mandato de retenção de dados da CERT-In, passando a utilizar servidores virtuais em Singapura e no Reino Unido para endereços IP indianos. Os relatórios de transparência mostram 529 pedidos governamentais em 2025 e 2,44 milhões de reclamações DMCA — sem que quaisquer dados tenham sido divulgados em nenhum caso.

A empresa tem procurado obter as certificações ISO 27001, 9001 e 18295, com a ISO 27701 (privacidade) e a ISO 42001 (IA) previstas para 2026. Um nível gratuito EventVPN lançado em novembro de 2025 funciona em infraestrutura premium com proteção pós-quântica e zero registos — um contraste notável com a maioria das ofertas de VPN gratuitas.