Se você é usuário de iPhone ou utiliza VPN, provavelmente já se deparou com o Erro 403 ao tentar acessar os serviços do GOV.BR. O problema em questão, na verdade, trata-se de uma medida de segurança pensada para evitar acessos indevidos ou propositalmente bloqueados. Esse mesmo motivo também explica o texto “Forbidden”, ou “proibido”, que aparece na tela. Mas por quê?Na página oficial do Governo Digital sobre a questão, além do uso de Redes Virtuais Privadas (VPNs), um dos possíveis causadores do problema é o “comportamento suspeito identificado no endereço IP do provedor de internet”. Especificamente no caso dos iPads e iPhones, a causa pode ser a “funcionalidade de ocultar rastreamento IP”.As três justificativas partem do princípio de suspeita sobre o usuário, seja por alguma atividade ou pela omissão de seus dados. Para resolver o problema, basta interromper o uso da VPN, desabilitar a ofuscação do endereço IP, e possibilitar que os dados “reais” sejam lidos pelo sistema do governo.Mas afinal, por que o governo brasileiro precisa tanto que o endereço de IPs dos usuários fique “exposto”? É possível que seja para espionar a privacidade dos cidadãos? O TecMundo investiga.O que é e para que servem os endereços IP?Em termos simples, e a grosso modo, os endereços de IP podem ser comparados aos endereços residenciais ou comerciais de um lugar. Eles informam aos servidores a localização física dos usuários, e podem possibilitar a precisão de metros em alguns casos, mas não sua identidade ou dispositivo usado.Nessa analogia, toda troca de informações feita na Internet é baseada em visitas e troca de pacotes entre tais localizações. Por exemplo, ao acessar o site do Google, uma residência envia uma espécie de carta com solicitações e dúvidas – e assim como na vida real, é necessário informar dados do remetente e do destinatário.Contudo, essa comunicação não é feita diretamente pelos dispositivos móveis e os sites, mas passa por diversas paradas, a primeira sendo o roteador. Ele organiza os dispositivos conectados em uma fila, recebe todos os pacotes a serem trocados, e se encarrega de representá-los para a Internet. Em outras palavras, é o IP do Roteador que fica “exposto” às conexões da rede.Nesse contexto, antes de chegar ao destino final, os pacotes enviados e recebidos pelo roteador fazem mais uma parada: o serviço da provedora de internet (ISP). Mais uma vez simplificando, essa etapa obrigatória funciona como um grande centro de distribuição de encomendas, que fazem seu redirecionamento para rotas mais longas ou distantes.É claro, os detalhes técnicos desse processo são bem mais complexos e interessantes, mas fogem do escopo deste texto. Todavia, a analogia cumpre o objetivo de simplificar a dinâmica da comunicação online, além de uma característica importante: não há anonimidade total na Internet.Todas as informações enviadas e recebidas passam por muitas “mãos” e “olhos” digitais antes de chegar ao seu destino, o que prejudica diretamente o conceito de privacidade na navegação. Por outro lado, mesmo que ajudem a ofuscar os rastros, métodos como o uso de VPN ou bloqueio de rastreio do endereço IP ainda podem ser burlados pelas autoridades. Então, por que o governo se preocupa com eles e precisa do seu endereço de IP exposto?Por que o GOV.BR precisa do seu IP?Se os IPs funcionam como um endereço residencial, então, o GOV.BR precisa deles para confirmar que um usuário tenta acessar do Brasil? Não exatamente, contudo, é uma métrica que complementa a análise de navegação do usuário. Essa mesma medida, por exemplo, é bastante vista nas redes sociais, quando ocorre uma conexão em outro estado ou uma localização atípica.Os servidores avaliam as tentativas de conexão de várias maneiras, considerando métricas como as tentativas realizadas, velocidade entre tentativas, quantidade de vezes em que uma senha foi digitada errada – além de, claro, o IP. Quando em combinação, é como se essas medidas funcionassem como um fiscal: “Se há meses todos os logins ocorrem na cidade e estado do Rio de Janeiro, por que há uma nova tentativa em Pequim, na China? Por que o usuário está errando a senha de acesso tantas vezes seguidas?”Nesse contexto, por questões de segurança, o sistema assume o pior dos casos o quanto antes – que se trata de uma tentativa de invasão, e não de uma viagem de férias. Por esse motivo, alguns sites e redes sociais pedem testes Captcha e até autorização de acesso por outros dispositivos quando há login de localizações “estranhas” para o histórico.Assim, é compreensível que o GOV.BR exija que o usuário compartilhe seu IP para acessar os serviços – especialmente ao considerar que protege tantos dados sensíveis. Por esse mesmo motivo, o sistema veta tecnologias que mascarem o verdadeiro endereço de IP, ainda que sejam usadas de maneira legítima.“O uso de VPNs faz com que o IP aparente de um usuário seja não o da sua conexão residencial ou de sua operadora móvel e sim de outro país,” explica Thiago Ayub, Diretor de Tecnologia e Colunista do TecMundo. “Nos produtos Apple, com o serviço de ocultar rastreamento de IP ativado, a nacionalidade do IP é mantida, mas milhares de usuários aparentarão compartilharem o mesmo IP de fornecedores da Apple em vez de seus endereços IP individuais,” ele complementa.Em ambos os casos ilustrados por Ayub, os usuários podem acabar utilizando o mesmo “endereço residencial” de milhares de outros internautas, para fazer solicitações e tentativas de login. Diante disso, por precaução, os servidores entendem que o volume de pedidos é tão grande que não pode ser legítimo ou bem-intencionado – e retorna o Erro 403. No entanto, nem mesmo o bloqueio de IPs é uma solução perfeita.Mesmo endereço, milhares de outros moradoresAssim como uma cidade possui planos de urbanização e espaços dedicados para cada tipo de edifício, a internet também é segmentada para tipos de IP. Similarmente, da mesma maneira em que há terrenos limitados para construção, também há um número limitado de endereços IP para se usar.O Protocolo IPv4, que é o mais usado atualmente, possui cerca de 4,3 bilhões de endereços possíveis. Embora pareça um grande número, apenas uma parte deles está disponível para uso público e civil, com cerca de 600 milhões reservados para uso privado. Quem coordena essa distribuição é a IANA (Internet Assigned Numbers Authority), que também separa os endereços por propósitos – como empresas privadas, instituições, uso futuro e etc.Como esperado, atualmente, não há mais novos endereços de IPV4 para cadastro na IANA desde 2011. Mas então, como é possível tantos dispositivos se conectarem à internet simultaneamente, todos os dias? Bom, a resposta mais simples é que, assim como as casas e apartamentos se mantêm fixas, mudando apenas seus moradores, o mesmo ocorre com os endereços de IP.Generalizando a grosso modo, os endereços de IP são dinamicamente distribuídos pelas provedoras e, localmente, pelos roteadores. Sempre que um usuário se desconecta por um determinado período, o sistema realoca aquele número para outro usuário. No caso dos VPNs, incluindo os pagos, todos os usuários utilizam a mesma “avenida” de endereços alocados por uma empresa – como há muitas reconexões, também há muita mudança de usuários.Como cada usuário acessa serviços diferentes, esses IPs de VPNs se tornam conhecidos pelos servidores, com o volume de solicitações deixando um alerta vermelho para os sistemas. Por esse motivo, não é incomum que serviços gratuitos de VPN sejam bloqueados com mais facilidade, já que são utilizados por muitos mais usuários.Talvez você esteja se perguntando: “mas, se os endereços de IP são realocados de tempos em tempos, bloqueá-los não é inútil?”. Conforme mencionado anteriormente, a medida implementada pelo GOV.BR – e muitos outros serviços – é apenas uma camada de proteção contra comportamentos suspeitos. Especulando, é provável que o sistema possua uma lista dinâmica de bloqueio, baseada na sua frequência de interação com o servidor, além de outros fatores privados. Por outro lado, há ainda outro importante fator para as medidas do governo — e elas são diretamente relacionadas a agentes de ameaça.DDOS, os ataques de negação de serviçoEmbora não seja nenhuma novidade, os ataques distribuídos de negação de serviço estão cada vez mais frequentes e maiores em 2025. Também conhecido pela sigla em inglês “DDoS”, esse tipo de ameaça busca simplesmente derrubar ou atrapalhar o funcionamento de sistemas online, sejam sites ou plataformas especializadas.Todo o processo do DDoS é bem simples, e praticamente exige apenas o endereço virtual de seu alvo – em outras palavras, seu IP. Adiante, os atacantes enviam milhões de pacotes ou solicitações de transação, sobrecarregando a capacidade do sistema em processar tudo. Durante o incidente, é comum que os usuários experimentem lentidão extrema ou até indisponibilidade ao tentar navegar nos serviços.Nesse contexto, é importante destacar que é necessário utilizar um enorme número de IPs para que o ataque funcione – o que também explica a parte “distribuído”, ou o primeiro “D” em DDOS. Frequentemente, esse volume é alcançado por meio de redes de dispositivos infectados, as botnets, que incluem desde computadores com malware até câmeras de vigilância comprometidas.Resumindo a grosso modo, quando convocados pelos criminosos, esses dispositivos passam a enviar parte de seus dados para um endereço alvo, aumentando o poder de ataque. Um claro e recente exemplo disso foi registrado no mês de outubro pela Cloudflare, que possui serviços especializados contra DDOS.Na ocasião, a botnet Aisuru realizou um ataque DDOS recorde de quase 30 Terabytes por segundo, afetando mais de 15 mil ports. Segundo os relatórios da empresa, a operação pode ter sido apoiada por até 4 milhões de dispositivos infectados em todo o mundo.Apesar de ter sido o maior registrado até o momento, a Cloudflare afirma que impediu mais de 8,3 milhões de ataques DDOS apenas nos últimos três meses. Até o mês de outubro, os incidentes desse tipo também acumularam um aumento anual de 40%.Diante do problema, uma das formas mais comuns de mitigar e impedir a repetição desses ataques é bloquear endereços conhecidos de IP – algo comunicado pela Cloudflare nos últimos incidentes. Com o devido contexto, o recurso implementado pelo GOV.BR passa a fazer mais sentido, ainda que não seja ideal.Ao TecMundo, a especialista em cibersegurança e segurança de aplicativos, Daiane Santos, comenta sobre a exigência do GOV.BR quanto à exposição de IPs: “É um tema bem controverso, mas pensando como “empresa” tem alguns pontos que são bem válidos”.Daiane afirma: “O GOV.BR, assim como outros sites, deve sofrer várias tentativas de ataques, que geralmente vêm de IPs mascarados e de países específicos,” contextualiza. “É considerado uma boa prática fazer o bloqueio dos IPs desses países para evitar ataques como DDoS e possíveis indisponibilidades”.Ela conclui: “é uma maneira mais simples e usada pela grande maioria das empresas presentes no digital,” citando que as medidas de segurança também podem incluir outras validações.O GOV.BR está espionando seus usuários?Direto ao ponto, não há evidências de que as exigências do GOV.BR representem riscos de espionagem direta aos usuários. Na verdade, fazer a verificação dos IPs utilizados é uma prática bastante comum no mercado, e pode tornar o uso do serviço mais seguro no longo prazo.“Para plataformas que são alvos frequentes de ataques cibernéticos, o endereço IP é uma informação valiosa para distinguir o acesso que é legítimo daquele que é malicioso”, explica Ayub. “Na prevenção contra roubo de contas, é razoável que a plataforma trate como suspeita a tentativa de um IP de um país asiático tentar trocar a senha da conta do GOV.BR, por exemplo.”Ainda segundo o especialista, os métodos de ocultação de IP, como o VPN ou bloqueio da Apple, podem reduzir drasticamente os rastros forenses. Ayub afirma: “[a falta de evidências] pode resultar na impossibilidade de investigação quanto à autoria de crimes cometidos pela plataforma, como roubo de benefícios previdenciários, de saldo FGTS ou contratação de empréstimo consignado fraudulento,” conclui.Especificamente, Ayub explica: “O registro de um IP real possibilitaria que uma ordem judicial, expedida para operadoras móveis ou provedores de acesso à internet, diga a titularidade e a localidade da conexão de onde partiu aquele acesso". Assim, contribuindo para identificar o autor dos crimes.Se o GOV.BR exige a exposição de IPs, por que usar VPN?Enquanto o GOV.BR exige a exposição do IP de seus usuários por motivos válidos e razoáveis, isso não significa que é uma boa ideia navegar sem proteção na internet. É comum se deparar com anúncios de VPNs e funções para garantir mais privacidade na hora de acessar sites ou consumir mídias. Mas por quê? Se o governo brasileiro aceita o risco, por que os cidadãos também não deveriam aceitá-lo?Para isso, é importante esclarecer o que muda na navegação do usuário quando seu IP está exposto. Exemplificando, Daine comenta ao TecMundo: “em caso de vazamentos de dado pelo provedor [de internet], o seu histórico [de navegação] pode sofrer vazamento, uma vez que o registro dessas informações está previsto no Marco Civil da Internet”.Falando de riscos diretos e golpes, Daiane exemplifica o que criminosos podem fazer com o IP exposto de um usuário, além de ataques DDoS: “há o chamado doxing, em que há um cruzamento de dados e informações a fim de provocar exposição em toda a internet,” ela afirma, “há também ataques de Port Scanning, que realiza varreduras por portas disponíveis nos seus dispositivos”.Nesse contexto, Daiane explica a importância de usar VPN e outros métodos de bloqueio de rastreio de IP: “O uso de VPN ajuda prevenindo que os dados sensíveis e de navegação possam ser interceptados durante um acesso,” ela afirma, “principalmente quando levamos em consideração que o dispositivo acaba se conectando em várias redes Wi-Fi com níveis diferentes de segurança”.Daiane acrescenta: “[o uso de VPNs] também evita que ferramentas e serviços tracem um perfil mais detalhado do usuário, direcionem propagandas, mudem preços e muito mais,” ela afirma, “podemos ver muito isso ao comprar passagens de avião, por exemplo.” No lado recreativo, a especialista sugere: “outro uso é relacionado a acessar conteúdos que são bloqueados no nosso país, como o catálogo da Netflix”.Para Daiane, na verdade, todos os usuários deveriam usar VPN: “É recomendado para toda a população,” pontua, “principalmente para as pessoas que se conectam em muitos lugares, trabalham foram do escritório ou de casa, e até realizam acessos em outros países”.Assim, vale desativar o VPN ou o bloqueio de rastreamento de IP apenas ao utilizar os serviços do GOV.BR ou de algum aplicativo confiável que solicite a exposição, como de bancos. Ao fim da sessão, reative os recursos de proteção assim que possível.Continue acompanhando o TecMundo Security para ler mais reportagens como essa, e deixe sua opinião em nossas redes sociais!