Vazamento de WebRTC: como ele expõe seu endereço IP real.
Sua VPN está ativada. O nó de saída indica que você está em Zurique. Sua carteira parece anônima. E então, um recurso integrado ao seu navegador revela silenciosamente a um site seu endereço IP real — aquele associado à sua casa e ao seu nome. Esse recurso é o WebRTC, e a brecha que ele abre é chamada de vazamento de WebRTC.
Para a maioria das pessoas, isso é apenas uma questão de privacidade. Para quem possui criptomoedas, é o primeiro elo de uma cadeia que termina com um estranho sabendo a qual pessoa pertence cada carteira. Este guia explica o restante dessa cadeia: o que é um vazamento de WebRTC, como ele passa despercebido por uma VPN, como detectá-lo e como bloqueá-lo em todos os navegadores. E por que isso se torna muito mais importante no momento em que seu navegador acessa uma carteira.
O que é um vazamento de WebRTC e por que ele acontece.
WebRTC significa Web Real-Time Communication (Comunicação Web em Tempo Real). Em termos simples, é a infraestrutura que permite aos navegadores realizar chamadas de vídeo, bate-papo por voz e transferência de arquivos sem a necessidade de plugins, e está presente em todos os principais navegadores desde aproximadamente 2011. Aqui está o ponto crucial: para conectar duas pessoas diretamente, cada lado precisa descobrir o endereço IP do outro. Isso não é um bug. É o processo completo.
O problema é que qualquer site pode desencadear isso. Uma página abre uma conexão WebRTC em segundo plano. Ela lê os endereços IP que seu navegador fornece. Sem solicitação de permissão. Sem nenhuma marca visível. Faça isso por trás de uma VPN, veja seu endereço real aparecer mesmo assim, e você terá um vazamento de WebRTC. Nada disso é novidade. O desenvolvedor Daniel Roesler publicou uma prova de conceito funcional em janeiro de 2015, extraindo IPs reais diretamente dos navegadores de usuários de VPN. Dez anos depois, o mecanismo praticamente não mudou.
O que torna este vazamento perigoso é a sua discrição. Sem pop-up. Sem solicitação de permissão. Nada na barra de endereços. A requisição nunca aparece no registro de rede que uma pessoa normal verificaria, e os bloqueadores de anúncios a ignoram, porque para o navegador parece uma configuração WebRTC comum, não um rastreador. Assim, você pode usar uma VPN paga, um navegador limpo e um bloqueador de anúncios simultaneamente, e ainda fornecer seu endereço real para a primeira página que o solicitar. Invisível e rotineiro: é exatamente por isso que o vazamento sobreviveu por dez anos.
Como funciona o vazamento: STUN, NAT e seu IP
Para entender por que uma VPN não protege automaticamente contra vazamentos de WebRTC, é útil observar o que o navegador realmente faz nos bastidores.
ATORDOAMENTO e GELO, o mecanismo
A maioria dos dispositivos fica atrás de um roteador que realiza NAT (Network Address Translation), então seu computador não sabe seu próprio endereço IP público. Para encontrá-lo, o WebRTC usa um auxiliar chamado servidor STUN. O navegador faz uma pergunta simples ao servidor STUN: "Do seu ponto de vista, de qual endereço você me vê vindo?". O servidor responde com seu IP público. O WebRTC coleta várias dessas respostas, chamadas de candidatos ICE, e as lista para que um servidor possa escolher uma rota. Um site espião simplesmente lê essa lista. Fim de jogo.
Por que isso importa? Porque toda a troca de informações STUN é executada em JavaScript, que qualquer página pode disparar. Sem caixa de diálogo, como acontece com a câmera ou sua localização. O script abre uma conexão ponto a ponto. Ele coleta os candidatos ICE gerados pelo navegador. Lê os endereços da lista. Tudo em uma fração de segundo, e nada parece errado para o navegador. Ele simplesmente faz o trabalho para o qual o WebRTC foi criado.
IP público versus IP local
O WebRTC pode fornecer dois endereços diferentes, e eles revelam informações distintas. Seu endereço IP público indica sua localização aproximada e seu provedor de internet. Seu IP local — algo como 192.168.1.7 — mapeia apenas a rede dentro da sua casa ou escritório. Nenhum deles deve estar nas mãos de um site aleatório. Mas o endereço IP público é o que deve lhe preocupar, pois ele leva de volta ao mundo real: uma cidade, um provedor, eventualmente uma porta.
Por que uma VPN não impede isso
Uma VPN redireciona seu tráfego normal. O problema é que uma solicitação STUN pode escapar desse túnel, alcançar o servidor STUN diretamente e retornar carregando seu IP público real. Os navegadores corrigiram parte disso em 2019 e 2020, substituindo o IP local por um nome de host mDNS criptografado. Isso ajuda, mas oculta apenas o candidato local. O IP público do STUN ainda pode vazar. Pior ainda, a ocultação geralmente cai no momento em que um site concede permissão para usar o microfone ou a câmera. Assim, o vazamento sobrevive exatamente onde a maioria das pessoas presume estar segura.
Como executar corretamente um teste de vazamento de WebRTC
A verificação leva cerca de um minuto e você não precisa acreditar na palavra de ninguém.
Comece com a VPN desligada e anote o endereço IP público exibido na sua conexão. Agora, ligue a VPN e abra uma página de teste de vazamento de WebRTC, como browserleaks.com/webrtc ou ipleak.net. Compare. Se a VPN estiver funcionando corretamente e não houver vazamento de IP, você deverá ver apenas o endereço da VPN. Se esse número da primeira etapa aparecer em qualquer lugar da página, você encontrou o vazamento. Para uma visão mais completa de tudo o que seu navegador expõe, a mesma lógica se aplica ao conjunto mais amplo de verificações abordadas em nosso guia do BrowserLeaks.
Algumas coisas costumam confundir as pessoas ao verificar vazamentos de WebRTC. Você pode ver um IP local que parece uma sequência embaralhada terminando em .local. Não se preocupe; isso é o mascaramento mDNS funcionando, não um vazamento. O endereço que importa é o público. Teste exatamente no mesmo navegador e perfil que você usa para qualquer conteúdo sensível. Configurações e extensões não são transferidas entre navegadores. E execute o teste novamente após cada atualização do navegador, já que uma atualização pode reverter essas configurações silenciosamente.
Quais navegadores vazam seu IP e quais não vazam?
Nem todos os navegadores lidam com vazamentos de WebRTC da mesma maneira, e essas diferenças são importantes devido à forma como o mercado está dividido.
| Navegador | risco de vazamento do WebRTC | Proteção integrada |
|---|---|---|
| Cromo | Alto | Nenhuma nativa; precisa de uma extensão. |
| Firefox | Médio-alto | Vaza o endereço IP público por padrão, mas é fácil de desativar. |
| Corajoso | Baixo | Proteção por impressão digital e WebRTC ativada por padrão |
| Navegador Tor | Nenhum | RTCPeerConnection totalmente desativado |
O Chrome está no centro do problema, puramente por causa de seu alcance. Ele detinha cerca de 70% do mercado global de navegadores em maio de 2026 e não possui uma opção nativa para impedir que o WebRTC revele seu endereço IP. O Firefox, com aproximadamente 2% de participação, também vaza o IP público por padrão, embora pelo menos permita desativar o recurso em uma única configuração. O Brave é o ponto positivo. Ele ultrapassou 101 milhões de usuários ativos mensais em setembro de 2025 e é o único navegador Chromium popular que ativa a proteção contra WebRTC por padrão. E o Tor? O Tor contorna toda a questão desativando completamente a conexão ponto a ponto, e é exatamente por isso que pesquisadores de privacidade continuam recomendando-o para novos usuários.
Como desativar o WebRTC e evitar vazamentos
Existem duas maneiras de bloquear isso. Desative o WebRTC completamente ou restrinja o acesso para que ele veja apenas o endereço que você escolher. A escolha depende de você realmente fazer videochamadas no seu navegador. Aqui está a versão prática, navegador por navegador.
| Navegador | Como desativar ou limitar | Efeito |
|---|---|---|
| Firefox | about:config, defina media.peerconnection.enabled como false | Desativação total |
| Cromo | Instale o WebRTC Network Limiter ou o WebRTC Control. | Limita a exposição |
| Borda | edge://flags, habilite "Anonimizar IPs locais" | Parcial |
| Safári | Desenvolver menu, Recursos experimentais, limitar WebRTC | Parcial |
Chrome e Edge
O Chrome é o mais complicado. Não há uma opção para desativá-lo escondida nos menus, então, para bloquear o WebRTC, você precisa de uma extensão. O Google oferece a sua própria, o WebRTC Network Limiter. Ele bloqueia os endereços de risco sem interromper suas chamadas. Quer algo mais direto? O WebRTC Control desativa o recurso com um clique. O Microsoft Edge usa o mesmo mecanismo Chromium, então essas extensões também funcionam nele, mas ele também esconde uma opção útil em edge://flags que anonimiza seu IP local.
Firefox
O Firefox facilita tudo. Digite about:config na barra de endereços, ignore o aviso assustador, procure por media.peerconnection.enabled e desative o valor. Pronto. O WebRTC está desativado. A ressalva: as chamadas de vídeo e voz no navegador ficam indisponíveis até que você o reative.
Safári e Ópera
O Safari adota uma abordagem mais conservadora por padrão, e você pode restringir ainda mais o acesso ao WebRTC no menu Desenvolvedor, em Recursos Experimentais. O Opera utiliza o Chromium, portanto, depende das mesmas extensões que funcionam no Chrome.
Usar uma VPN e as suas desvantagens.
Existe também a opção da VPN. Se você usar uma VPN com proteção contra vazamentos de IP genuína, ela encaminhará o tráfego WebRTC por meio de seu próprio túnel, de modo que o servidor STUN verá apenas o endereço da VPN. Essa é a opção mais segura, pois suas chamadas continuam funcionando e um servidor proxy confiável pode evitar vazamentos de IP da mesma forma. A questão é a confiança. Nem todas as VPNs fazem isso. Quando a VoidSec testou 70 provedores de VPN em 2018 , 16 deles ainda vazavam o IP real por meio do WebRTC. Cerca de 23%. Os bons provedores já corrigiram isso, mas a lição permanece: teste, não presuma. Quer a solução mais completa? Desative o WebRTC completamente. Só lembre-se de que isso quebra qualquer coisa que dependa dele.
Por que um vazamento de WebRTC ameaça os detentores de criptomoedas
Para um usuário de criptomoedas, um endereço IP exposto não é uma mera nota de rodapé sobre privacidade. É a linha divisória entre sua vida online e sua vida física. E ultimamente essa linha divisória se tornou perigosa.
A cadeia de eliminação IP-para-carteira
Os endereços da blockchain são pseudônimos, não anônimos. Cada transação que você já fez está exposta ao público. A única coisa que impede que ela aponte para você é a ausência de um rótulo: um nome, uma localização. Um endereço IP é esse rótulo. E pesquisadores comprovaram a viabilidade dessa ligação há mais de uma década. Em um estudo de 2014 , Alexandre Biryukov e seus colegas usaram alguns nós bem posicionados para vincular pseudônimos do Bitcoin aos endereços IP que transmitiram suas transações pela primeira vez. Um vazamento de WebRTC oferece a um invasor essa mesma conexão gratuitamente. Abra um explorador de blocos ou uma DEX enquanto seu IP real estiver exposto, e uma única página pode vincular a carteira que você está monitorando à sua rede doméstica e ao seu provedor de serviços.
E o perigo se agrava, porque o vazamento não precisa te pegar no meio de uma transação. Basta que ele ocorra uma única vez, em qualquer página que execute um script malicioso, enquanto você estiver consultando seu saldo ou navegando em um marketplace. Depois disso? O endereço IP é cruzado com registros de provedores de internet, perfis de corretores de dados, um vazamento antigo. Cedo ou tarde, um nome aparece. A carteira sempre foi pública. O vazamento apenas repassou o rótulo.
Da desanonimização a uma batida na porta
Antes, isso era uma preocupação abstrata. Não mais. Os chamados ataques de chave mestra, nos quais os detentores de tokens são roubados ou sequestrados para que suas chaves sejam confiscadas, aumentaram cerca de 75% em 2025, com 72 incidentes confirmados e pelo menos US$ 41 milhões roubados, de acordo com dados do setor . O padrão praticamente não muda: os atacantes combinam riqueza visível na blockchain com uma identidade oculta para associar uma pessoa real a um endereço real. Seu IP é uma das maneiras mais seguras de identificar essa segunda parte.
Inverta a perspectiva e pense como o atacante. Ele já consegue ver quais carteiras contêm dinheiro real; essa parte é pública. O que lhe falta é o mapa que liga um endereço IP à porta da frente de uma pessoa. Um endereço IP restringe a busca de toda a internet a uma cidade, um provedor de internet, muitas vezes um único bairro. O resto é trabalho de campo comum. Para um navegador comum, um vazamento como esse é irrelevante. Para alguém que detém milhões em criptomoedas na blockchain, é a linha divisória entre um pseudônimo e um alvo identificado. Essa lacuna é o motivo pelo qual os usuários de criptomoedas devem registrar um vazamento de WebRTC como medida de segurança, e não como uma questão de privacidade online.
Seu endereço IP é um dado pessoal.
Há também um aspecto legal. Em 2016, o Tribunal de Justiça da União Europeia decidiu, no caso Breyer, que mesmo um endereço IP dinâmico é considerado dado pessoal, desde que alguém possa razoavelmente usá-lo para reidentificá-lo. Seguindo essa lógica, um site que coleta silenciosamente seu IP por meio do WebRTC está processando dados pessoais sem consentimento. Isso não resolve o problema, mas demonstra a seriedade com que os órgãos reguladores encaram a informação que seu navegador fornece gratuitamente.
Feche o vazamento antes que ele se alastre.
Um vazamento de WebRTC é silencioso, não pede permissão e uma VPN sozinha não o protegerá. Portanto, reforce suas defesas. Escolha um navegador que o proteja por padrão ou desative o WebRTC onde ele não o fizer. Use uma VPN que realmente passe em um teste de vazamento para ocultar seu IP. Verifique novamente após cada atualização. Para quem movimenta fundos, o objetivo é específico e vale a pena ser dito claramente: impedir que a ligação entre sua carteira e seu IP seja estabelecida, porque, uma vez criada, não há como reverter. Então, quando foi a última vez que você testou o que seu navegador realmente está vazando?
