El kill switch de la VPN explicado: qué hace, por qué importa y cómo verificar que el tuyo funciona
Un kill switch de VPN bloquea todo el tráfico ajeno a la VPN cuando el túnel se cae, evitando que tu IP real se filtre a mitad de sesión. Aquí tienes lo que ofrece cada gran VPN auditada y cómo probarlo tú mismo.
Qué es un kill switch de VPN
Un kill switch de VPN es una función que bloquea todo el tráfico de internet de un dispositivo siempre que el túnel de la VPN no está activo. Su finalidad es evitar que tu IP real asignada por el ISP se filtre a un servicio de destino en el breve intervalo entre una caída del túnel y una reconexión. Los túneles se caen por motivos corrientes: cambio de red, reinicio del servidor, suspensión del portátil, y sin un kill switch el sistema operativo falla en abierto, enrutando paquetes a través de la interfaz desnuda hasta que la VPN se reconecta. Con un kill switch, esos paquetes se descartan. El servicio de destino ve la IP de salida de la VPN o no ve nada.
Qué VPN auditadas incluyen un kill switch
Las cinco grandes VPN de pago auditadas incluyen un kill switch en sus aplicaciones cliente oficiales: Mullvad (el modo cortafuegos es la implementación del kill switch; documentado en mullvad.net), Proton VPN (opciones de kill switch y kill switch permanente en todas las plataformas), NordVPN (kill switch en todo el sistema en macOS / Windows / Linux; iOS usa el perfil de VPN siempre activa de Apple), ExpressVPN (Network Lock, su kill switch de marca) y Surfshark (kill switch documentado en los ajustes de la aplicación). La implementación difiere según la plataforma: en macOS / Windows / Linux, una regla de cortafuegos a nivel del sistema operativo es la implementación más sólida; en iOS, el comportamiento del kill switch depende de si la configuración se instala como VPN por aplicación o como perfil de VPN siempre activa.
El comportamiento del kill switch forma parte del alcance de la auditoría
El comportamiento del kill switch no es solo una función: es un objetivo de prueba estándar en las auditorías de infraestructura publicadas. La auditoría de Cure53 a Mullvad (junio de 2024) incluyó pruebas de seguridad de caja blanca que cubrían 'todo lo que afecta a la privacidad' en los servidores de producción OpenVPN y WireGuard; no recuperarse de una conexión caída sin filtrar datos sería un hallazgo. Praetorian y Cure53 revisaron la reescritura en Rust de Lightway de ExpressVPN en sep–oct de 2024; el resultado de la reprueba en diciembre de 2024 confirmó la subsanación de todos los problemas notificados. La corrección del kill switch forma parte, de forma implícita, de cualquier afirmación de 'sin registros / sin filtraciones': si un fallo del kill switch expone la IP real, la propiedad de no registros queda anulada para esa conexión.
En qué se diferencian las implementaciones del kill switch
Existen tres patrones. (1) Reglas de cortafuegos a nivel del sistema operativo: las más sólidas. El cliente VPN instala reglas de PF/iptables/Firewall de Windows que descartan todo el tráfico ajeno al túnel. El modo cortafuegos de Mullvad pertenece a esta categoría. (2) Kill switches a nivel de aplicación: más débiles. El cliente VPN solo corta el tráfico de una lista de aplicaciones configurada. Útil para cerrar selectivamente un cliente de torrents cuando el túnel se cae, pero no protege el tráfico en segundo plano de otras aplicaciones. (3) VPN siempre activa de iOS: sólida pero condicional. La configuración de VPN siempre activa a nivel del sistema operativo garantiza que no fluya tráfico sin la VPN, pero solo funciona cuando se configura como perfil gestionado, no como una instalación de consumo de un toque. La documentación de la VPN siempre activa está en el sitio para desarrolladores de Apple (developer.apple.com).
Cómo verificar que tu kill switch funciona
Conéctate a tu VPN, abre un terminal y ejecuta `curl ifconfig.me` para confirmar que aparece la IP de salida de la VPN. A continuación, desactiva tu interfaz de red (Wi-Fi apagado / Ethernet desconectado) y vuelve a activarla. Mientras se restablece la red, ejecuta el mismo curl en un bucle cerrado. Si durante la ventana de reconexión ves tu IP real del ISP, el kill switch falló. Si no ves nada (curl da errores como 'no route to host' o similares) hasta que la VPN se reconecta, el kill switch funcionó. Esta prueba solo es destructiva para la sesión VPN en curso; no requiere ninguna cuenta ni banco de pruebas. Repítela con cada protocolo VPN que admita tu cliente (WireGuard y OpenVPN se comportan de forma distinta al reconectarse).
Cuándo basta con el kill switch y cuándo no
Un kill switch protege la breve ventana de caída del túnel. No protege frente a filtraciones de DNS mientras el túnel está activo (eso es un asunto aparte, cubierto por la configuración DNS de la VPN), y no deshace retroactivamente la filtración de datos que circularon antes de que el túnel se estableciera. Inicia siempre la VPN antes de lanzar la actividad que depende de ella: los kill switches no tienen memoria.
Fuentes
Auditoría de Mullvad (Cure53 junio de 2024): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Auditorías sin registros de Proton VPN: protonvpn.com/blog/no-logs-audit. Auditorías de NordVPN: nordvpn.com/blog/nordvpn-no-logs-audit-2024. Auditorías de Lightway de ExpressVPN: expressvpn.com/blog/lightway-audits-cure53-praetorian. VPN siempre activa de Apple: developer.apple.com (busca 'Always-On VPN'). Todas las URL consultadas el 2026-04-30.