Skip to main content
Blog
Blog

O que é detecção de viagem impossível e como funciona?

A detecção de viagem impossível sinaliza sessões onde a localização muda mais rápido do que é fisicamente possível. Saiba como funciona e o que a camada do navegador adiciona.

Jul 04, 2026 5 min read
O que é detecção de viagem impossível e como funciona?

A detecção de viagem impossível identifica sessões onde a localização de um usuário muda mais rápido do que é fisicamente possível. Se uma conta fizer login em Londres às 09:00 e depois em Singapura às 09:15, a sessão é sinalizada: nenhum voo direto cobre essa distância em 15 minutos. O sinal é simples. O que determina se ele é útil é como o sistema lida com VPNs, infraestrutura compartilhada, viajantes reais e agentes de IA que reutilizam tokens roubados.

O que conta como viagem impossível

O cálculo central é distância dividida por tempo. Se a velocidade necessária exceder um limite razoável, tipicamente em torno de 800 km/h como limite superior generoso para voos comerciais, o movimento é sinalizado como fisicamente implausível.

CenárioDistânciaIntervalo de tempoVelocidadeVeredicto
Londres a Paris340 km25 min816 km/hSinalizar
Londres a Manchester260 km40 min390 km/hSem sinal
Nova York a Londres5.540 km2 horas2.770 km/hSinalizar
Mesma cidade, mudança de VPN0 kminstante0 km/hPrecisa de contexto

O tempo é o que diferencia isso da simples geolocalização. Uma conta ativa em um lugar e depois em outro uma hora depois pode ser uma troca de VPN, uma transferência de rede móvel ou um viajante real em um voo curto. A velocidade resolve a maioria das ambiguidades, mas não todas.

Onde a detecção baseada apenas em IP falha

A lógica padrão de viagem impossível compara duas geolocalizações de IP. Isso funciona quando os IPs representam origem geográfica real. Falha nestas situações:

  • Trocas de VPN alteram a localização aparente sem nenhum movimento físico.
  • Proxies residenciais fazem o tráfego do invasor parecer originado de uma conexão doméstica próxima ao alvo.
  • Saída corporativa compartilhada coloca muitos usuários em uma localização independentemente de onde estejam fisicamente.
  • Roaming de rede móvel altera atribuições de países IP quando a operadora transfere células.

Falsos positivos nesses casos são custosos. Um usuário real sinalizado enquanto viaja, troca servidores VPN ou se conecta por uma rede corporativa cria atrito sem capturar um invasor.

O que a camada do navegador adiciona

As impressões digitais de dispositivos mudam o significado de "mesmo usuário". Em vez de perguntar se o IP corresponde à localização esperada, você pode perguntar se o dispositivo corresponde ao histórico da conta, e se o ambiente do navegador parece um usuário real ou um framework de automação.

A cside captura inteligência de dispositivos dos navegadores de visitantes reais: mais de 102 sinais incluindo impressão digital do hardware, ambiente de renderização, indicadores de automação e postura de VPN/proxy. Dois logins de cidades diferentes podem ser um viajante real. Os mesmos dois logins de cidades diferentes com uma impressão digital de dispositivo diferente e um ASN de proxy residencial é um problema diferente.

Essa combinação detecta o que a velocidade de IP sozinha não consegue:

  • Viagem mascarada por VPN: o IP permanece em uma cidade, mas o perfil do dispositivo muda no meio da sessão. Essa mudança não é movimento físico, mas é uma quebra de confiança.
  • Reutilização de tokens por agentes de IA: um agente de IA que captura um token de sessão roubado pode reproduzi-lo de um contexto geográfico e de rede completamente diferente. O salto de localização é imediato e o perfil do dispositivo não corresponderá ao histórico da conta.
  • Roubo de sessão real: um cookie de sessão capturado por meio de um ataque na camada do navegador e reproduzido pelo invasor de outro país aparece como viagem impossível mais uma repentina incompatibilidade de impressão digital de dispositivo.

Viagem impossível como um sinal em um modelo de sessão

Viagem impossível é um sinal útil, não um veredicto. Uma conta que o aciona deve ver um desafio de autenticação adicional, uma reautenticação forçada ou uma retenção em ações de alto risco (pagamento, mudança de endereço, atualização de método de pagamento), não um bloqueio imediato. Um viajante real que confirma sua identidade continua sem atrito. Uma sessão de preenchimento de credenciais que não passa no desafio é interrompida.

O modelo correto combina o sinal com a deriva de impressão digital do dispositivo, a reputação da rede (pontuação de VPN e proxy, tipo de ASN), continuidade comportamental e a velocidade de ações pós-login. A cside entrega todos esses sinais de risco de sessão via API, para que sua lógica de fraude possa pontuar o contexto completo em vez de reagir apenas à localização.

Para ver como a viagem impossível se encaixa em um modelo mais amplo de prevenção de tomada de contas, incluindo pontuação de sessões e controles pós-autenticação, consulte o manual completo.

Simon Wijckmans
Founder & CEO

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

FAQ

Frequently Asked Questions

Viagem impossível ocorre quando uma sessão autenticada parece saltar de uma localização geográfica para outra mais rápido do que o movimento físico permite. É um sinal usado na detecção de tomada de contas: um login de Londres seguido minutos depois por um login de Singapura marca a segunda sessão para revisão, pois nenhuma rota de viagem conecta as duas cidades nesse tempo.

O cálculo básico divide a distância geográfica entre dois locais de login consecutivos pelo tempo entre eles. Se a velocidade resultante exceder um limite (tipicamente em torno da velocidade máxima de voo comercial, aproximadamente 800 km/h), a segunda sessão é sinalizada. Implementações mais avançadas também comparam as impressões digitais dos dispositivos entre sessões, pois um salto de localização combinado com uma mudança de dispositivo é evidência mais forte de uso indevido da conta do que a localização isolada.

A detecção baseada apenas em IP pode ser contornada por uma VPN. Se um invasor usar um nó de saída próximo à última localização conhecida da vítima, a distância de viagem aparente é pequena e nada é sinalizado. As impressões digitais de dispositivos fecham essa lacuna: mesmo que o IP VPN do invasor corresponda à região esperada, os sinais da camada do navegador detectam a incompatibilidade entre o novo perfil do dispositivo e o histórico de impressões da conta.

Pode gerar falsos positivos sem contexto. Viajantes de longa distância e usuários de VPN corporativa mostrarão saltos de localização quando a atribuição do servidor VPN mudar. Sistemas bem calibrados desconsideram cenários conhecidos como benignos: transferências de rede móvel, pools de saída corporativa e padrões de viagem consistentes com o histórico da conta. Combinar velocidade de localização com continuidade de dispositivo reduz consideravelmente os falsos positivos.

A detecção de velocidade conta tentativas de login ao longo do tempo e sinaliza alta frequência. A detecção de viagem impossível compara pares de localizações e sinaliza movimentos fisicamente implausíveis. Elas são complementares: a velocidade detecta campanhas de preenchimento de credenciais; a viagem impossível detecta reutilização de sessões e reprodução de tokens roubados entre geografias.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança
Related Articles
Agende uma demonstração