Kill switch de VPN explicado: o que faz, por que importa e como verificar se o seu funciona
Um kill switch de VPN bloqueia todo o tráfego que não passa pela VPN quando o túnel cai, impedindo que seu IP real vaze no meio da sessão. Veja o que cada grande VPN auditada oferece e como testá-lo por conta própria.
O que é um kill switch de VPN
Um kill switch de VPN é um recurso que bloqueia todo o tráfego de internet em um dispositivo sempre que o túnel da VPN não está ativo. O objetivo é impedir que seu IP real, atribuído pelo provedor de internet, vaze para um serviço de destino na breve janela entre a queda do túnel e uma reconexão. Túneis caem por motivos comuns — mudança de rede, reinício do servidor, suspensão do notebook — e, sem um kill switch, o sistema operacional falha aberto, roteando pacotes pela interface nua até a VPN reconectar. Com um kill switch, esses pacotes são descartados. O serviço de destino ou vê o IP de saída da VPN ou não vê nada.
Quais VPNs auditadas incluem um kill switch
Todas as cinco grandes VPNs pagas auditadas incluem um kill switch em seus aplicativos clientes oficiais: Mullvad (o modo de firewall é a implementação do kill switch; documentado em mullvad.net), Proton VPN (opções de kill switch + kill switch permanente em todas as plataformas), NordVPN (kill switch em todo o sistema no macOS / Windows / Linux; o iOS usa o perfil Always-On VPN da Apple), ExpressVPN (Network Lock — kill switch com marca própria) e Surfshark (kill switch documentado nas configurações do aplicativo). A implementação varia por plataforma: no macOS / Windows / Linux, uma regra de firewall no nível do sistema operacional é a implementação mais forte; no iOS, o comportamento do kill switch depende de a configuração ser instalada como uma Per-App VPN ou um perfil Always-On.
O comportamento do kill switch faz parte do escopo da auditoria
O comportamento do kill switch não é apenas um recurso — é um alvo de teste padrão nas auditorias de infraestrutura publicadas. A auditoria da Mullvad pela Cure53 (junho de 2024) incluiu testes de segurança em caixa branca cobrindo 'qualquer coisa que afete a privacidade' em servidores OpenVPN e WireGuard de produção; não conseguir se recuperar de uma conexão derrubada sem vazar seria um achado. A Praetorian e a Cure53 revisaram a reescrita em Rust do Lightway da ExpressVPN em set–out 2024; o resultado do reteste, em dezembro de 2024, confirmou a correção de todos os problemas relatados. A correção do kill switch é, implicitamente, parte de qualquer afirmação de 'no-logs / no-leak' — se uma falha de kill switch vaza o IP real, a propriedade de no-logs torna-se irrelevante para aquela conexão.
Como as implementações de kill switch diferem
Existem três padrões. (1) Regras de firewall no nível do sistema operacional — as mais fortes. O cliente VPN instala regras de PF/iptables/Firewall do Windows que descartam todo o tráfego fora do túnel. O modo de firewall da Mullvad pertence a essa categoria. (2) Kill switches no nível do aplicativo — mais fracos. O cliente VPN bloqueia o tráfego apenas de uma lista configurada de aplicativos. Útil para derrubar seletivamente um cliente de torrent quando o túnel cai, mas não protege o tráfego em segundo plano de outros aplicativos. (3) Always-On VPN do iOS — forte, mas condicional. A configuração Always-On no nível do sistema operacional garante que nenhum tráfego flua sem a VPN, mas só funciona quando configurada como um perfil gerenciado, e não como uma instalação de consumidor com um toque. A documentação do Always-On VPN está no site para desenvolvedores da Apple (developer.apple.com).
Como verificar se o seu kill switch está funcionando
Conecte-se à sua VPN, abra um terminal e execute `curl ifconfig.me` para confirmar que o IP de saída da VPN aparece. Em seguida, desative sua interface de rede (Wi-Fi desligado / Ethernet desconectado) e reative-a. Enquanto a rede está sendo restabelecida, execute o mesmo curl em um laço apertado. Se, durante a janela de reconexão, você vir o IP real do seu provedor de internet, o kill switch falhou. Se você não vir nada (o curl retorna erros como 'no route to host' ou similar) até a VPN reconectar, o kill switch funcionou. Esse teste é destrutivo apenas para a sessão de VPN em execução — não requer nenhuma conta ou bancada de teste. Repita para cada protocolo de VPN que seu cliente suporta (WireGuard e OpenVPN se comportam de forma diferente ao reconectar).
Quando o kill switch é suficiente — e quando não é
Um kill switch protege a breve janela de queda do túnel. Ele não protege contra vazamentos de DNS enquanto o túnel está ativo (esses são uma preocupação separada, coberta pela configuração de DNS da VPN), e não desfaz retroativamente o vazamento de dados que fluíram antes de o túnel subir. Sempre inicie a VPN antes de lançar a atividade que depende dela — kill switches não têm memória.
Fontes
Auditoria Mullvad (Cure53 junho de 2024): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Auditorias de no-logs da Proton VPN: protonvpn.com/blog/no-logs-audit. Auditorias NordVPN: nordvpn.com/blog/nordvpn-no-logs-audit-2024. Auditorias do Lightway da ExpressVPN: expressvpn.com/blog/lightway-audits-cure53-praetorian. Apple Always-On VPN: developer.apple.com (busque por 'Always-On VPN'). Todas as URLs acessadas em 2026-04-30.