AnonymFlow
securite-reseauINFO

Kill switch VPN explicado: cómo funciona y por qué es innegociable

El kill switch corta tu conexión si el VPN cae - para evitar que tu IP real aparezca en claro durante 30 segundos. Aquí la mecánica exacta, las variantes por SO, y los errores que hay que evitar.

Por Eric Gerard · Editor · AnonymFlow15 min de lecturaFoto: Unsplash

La página de ajustes de un cliente VPN suele mostrar una decena de interruptores. De esa lista, solo uno marca la diferencia entre una protección real y una falsa sensación de seguridad: el kill switch. Cuando el túnel cae - y cae, varias veces por sesión en algunas redes -, sin kill switch tu tráfico sigue saliendo en claro a través de tu ISP durante 5 a 30 segundos. Esos segundos son suficientes para filtrar tu IP real a Netflix, enviar una petición DNS sensible a tu ISP, o exponer tu cliente de torrents a los trackers.

Esta guía cubre la mecánica exacta a nivel de cortafuegos, las dos variantes (aplicación vs sistema), el procedimiento de activación para los cuatro VPN principales en 2026, los casos particulares de Linux/router/móvil, y las situaciones en las que el kill switch se vuelve contraproducente.

Por qué existe un kill switch - el problema de la desconexión silenciosa

El escenario que justifica la existencia del kill switch es trivialmente fácil de reproducir e invisible cuando ocurre. Estás conectado a un servidor VPN en Ámsterdam desde tu hotel en Bangkok. Sobrecarga del servidor, micro-corte por parte del hotel, cambio de canal Wi-Fi - tu túnel se desconecta tres segundos. Sin kill switch, tu SO sigue enviando tráfico por la ruta predeterminada, es decir, la interfaz Wi-Fi directa. Durante esos tres segundos, tu correo HTTPS sale con tu IP real, tu petición DNS para Netflix pasa por el DNS del hotspot, y tu tracker BitTorrent recibe tu IP pública tailandesa.

No ves nada. El cliente VPN se reconecta en segundo plano, la interfaz vuelve a mostrar «Conectado». Pero esos tres segundos de fuga ya han sido registrados por los trackers, los logs del ISP, y potencialmente los contadores anti-VPN de los servicios de streaming. Bajo la LSSI/LGT o la directiva ePrivacy en España, una sola conexión peer-to-peer sin tunelizar puede bastar para generar una notificación - la defensa «tenía un VPN» no se sostiene ante un log con marca de tiempo.

El kill switch es la respuesta estructural. En lugar de confiar en la estabilidad del túnel (que nunca puede garantizarse al 100 %), instala reglas de cortafuegos que hacen imposible cualquier tráfico fuera del túnel. Túnel activo: el tráfico pasa. Túnel caído: nada sale, tu internet parece cortado, lo corriges manualmente. La misma lógica que una puerta cortafuegos - se acepta una molestia puntual para garantizar la hermeticidad. El concepto está documentado en Wikipedia: Internet kill switch.

Los 2 tipos de kill switch: aplicación vs sistema

El kill switch de aplicación bloquea únicamente los procesos de la lista (Chrome, qTorrent) - todo lo demás sale en claro si el túnel cae. El kill switch de sistema (Internet Kill Switch en NordVPN, Network Lock en ExpressVPN) bloquea todo el tráfico saliente a nivel del cortafuegos del SO - nada sale fuera del túnel. Solo el modo sistema protege de verdad. El modo aplicación es una opción de confort, no un valor predeterminado de seguridad.

La confusión entre los dos tipos está alimentada por la comunicación de marketing de los proveedores, que a menudo presentan el «kill switch por app» como una función premium cuando técnicamente es inferior al modo sistema. Entender la diferencia es lo que determina si tu VPN te protege de verdad.

El kill switch de aplicación - también «App Kill Switch» o «kill switch por app» - opera a nivel de SO. Defines una lista de procesos (chrome.exe, qbittorrent.exe) y el cliente VPN supervisa su estado de red. Si el túnel cae, esos procesos se cierran o bloquean mediante hooks del SO. Ventaja: puedes dejar que otras apps continúen por la conexión normal (un cliente de correo corporativo que debe seguir siendo accesible). Inconveniente mayor: todo lo que no esté en la lista pasa en claro. Si solo listas tu navegador pero Dropbox se sincroniza en segundo plano, este último expone tu IP real durante los cortes. Falsa sensación de seguridad en la mayoría de los usos.

El kill switch de sistema - Internet Kill Switch en NordVPN, Network Lock en ExpressVPN y Mullvad, «Permanent Kill Switch» en ProtonVPN - opera a nivel del cortafuegos del SO. En Windows, inserta reglas WFP (Windows Filtering Platform) que bloquean todo el tráfico saliente fuera de la interfaz del túnel. En macOS, programa pfctl. En Linux, manipula iptables o nftables para prohibir cualquier ruta fuera de tun0 o wg0. Ventaja: protección estructural, independiente de la lista de apps y de los bugs del cliente. Inconveniente: si el servicio VPN se cuelga sin limpiar sus reglas, internet sigue bloqueado hasta intervención manual. Raro en clientes maduros, pero conviene conocerlo.

Regla general. Salvo caso específico (VPN corporativo separado, correo legítimamente fuera del túnel), el modo sistema es el único realmente protector. El modo aplicación es una opción de confort, no un valor por defecto razonable.

Cómo activar el kill switch en NordVPN, ExpressVPN, Surfshark, ProtonVPN

Racks de servidores iluminados en azul en un centro de datos
Racks de servidores iluminados en azul en un centro de datos

NordVPN: Ajustes → Kill Switch → activar «Internet Kill Switch» (desactivado por defecto). ExpressVPN: Ajustes → General → «Network Lock» (activo por defecto desde 2023). Surfshark: Ajustes → VPN → Kill Switch. ProtonVPN: Ajustes → Conexión → «Permanent Kill Switch». En Android, activar también «VPN permanente» + «Bloquear conexiones sin VPN» a nivel de sistema para mayor cobertura.

Los cuatro VPN principales en 2026 implementan todos el kill switch, pero con convenciones de nomenclatura y valores predeterminados distintos. Aquí el procedimiento exacto para cada uno, actualizado a mayo de 2026.

NordVPN

Escritorio Windows/macOS: Ajustes → Kill Switch. Dos interruptores distintos - «Internet Kill Switch» (modo sistema, activar obligatoriamente) y «App Kill Switch» (modo aplicación, opcional). El Internet Kill Switch está desactivado por defecto en la instalación - es el error más frecuente. Linux: nordvpn set killswitch on, verificar con nordvpn status. Android: el ajuste de sistema Ajustes → Red → VPN → icono de engranaje NordVPN → «VPN permanente» + «Bloquear conexiones sin VPN» es más fiable que la opción integrada en la app. iOS: no hay botón dedicado, pero el perfil «Conexión bajo demanda» en los ajustes avanzados cumple esta función a nivel de sistema.

ExpressVPN

ExpressVPN llama a su kill switch de sistema Network Lock. Windows/macOS: Ajustes → General → «Stop all internet traffic if the VPN disconnects unexpectedly». Activado por defecto desde 2023 - diferenciación destacable frente a NordVPN. Linux (CLI expressvpn): Network Lock activo automáticamente al conectar. Android: opción «Network Protection». iOS: perfil «On-Demand», como todos los demás.

Surfshark

Surfshark ofrece simplemente Kill Switch, sin variantes - modo sistema por defecto. Ajustes → VPN → Kill Switch → activar. Linux: surfshark-vpn killswitch on. Cliente más minimalista en opciones, lo que reduce el riesgo de mala configuración pero limita la granularidad.

ProtonVPN

ProtonVPN ofrece dos modos distintos. El Kill Switch clásico bloquea el tráfico solo cuando la conexión cae de forma inesperada. El Permanent Kill Switch es más estricto - bloquea todo el tráfico fuera del túnel incluso cuando el usuario desconecta voluntariamente - útil para periodistas o activistas que quieren eliminar cualquier riesgo de descuido. Ajustes → Conexión → Kill Switch o Permanent Kill Switch. Consulta la página Kill Switch de ProtonVPN para los detalles de implementación por SO.

Casos particulares: Linux, router, iOS/Android móvil

Los casos no estándar merecen un tratamiento separado porque la lógica del kill switch se implementa de forma diferente en ellos - a veces sin ningún ajuste en la app.

Linux. Los clientes oficiales (NordVPN, ExpressVPN, ProtonVPN) usan iptables o nftables inyectados al iniciar el túnel. Si usas WireGuard o OpenVPN directamente sin cliente propietario, configúralo manualmente mediante PostUp/PostDown en la configuración de WireGuard. Mullvad publica excelentes guías de código abierto que reproducen esta configuración. La distribución Tails implementa de forma nativa un kill switch equivalente mediante iptables preconfigurado.

Router. El VPN a nivel de router (DD-WRT, OpenWRT, AsusWRT-Merlin, pfSense) protege todos los dispositivos del hogar pero requiere una configuración explícita de kill switch - nunca activa por defecto. En pfSense, crear un gateway group con el VPN como primario y sin ningún fallback: si el VPN cae, el enrutamiento falla en lugar de volver al WAN en claro. La configuración más robusta para un hogar donde televisores, consolas e IoT pasan todos por el túnel. Para el cifrado radio subyacente, nuestra guía WPA2 vs WPA3 seguridad Wi-Fi explica por qué WPA3 cierra el fallo KRACK y endurece la capa bajo el túnel VPN.

iOS. iOS no expone una API de kill switch directa. Los clientes se apoyan en el perfil «Conexión bajo demanda» del framework Network Extensions, que fuerza la reconexión en cualquier tráfico saliente. Funcionalmente equivalente en la mayoría de los casos, con una ventana de unos cientos de milisegundos durante la reconexión. Suficiente para el uso cotidiano, con limitaciones para la privacidad estricta.

Android. Desde Android 8, el ajuste de sistema «VPN permanente» + «Bloquear conexiones sin VPN» en Ajustes → Red → VPN → icono de engranaje de la app. Este es el kill switch más robusto disponible en móvil - a nivel de SO, sobrevive a los cuelgues del cliente. Recomendación sistemática: Always-on de sistema además del kill switch de la app; las dos capas se complementan.

Selección editorial
4.6 / 5

Probar NordVPN - Internet Kill Switch + auto-conexión incluidos

Auditoría no-log Deloitte 2024 · NordLynx (WireGuard) · App Kill Switch + Internet Kill Switch · 30 días satisfecho o reembolsado

Auditoría Deloitte 2024Garantía de 30 días14M+ usuarios
Ver la oferta

Cuándo el kill switch puede ser contraproducente

El kill switch no es un absoluto - existen tres contextos operativos en los que se vuelve molesto o incluso bloqueante. Conocerlos permite desactivarlo temporalmente de forma razonada en lugar de hacerlo con prisas.

Portal cautivo de hotel o aeropuerto. El operador de Wi-Fi público intercepta tu primera petición HTTP y la redirige a una página de aceptación. Esta intercepción ocurre antes de que el túnel esté establecido - un kill switch de sistema estricto bloquea la petición al portal cautivo, impidiéndote validar y, por tanto, acceder a internet. Los clientes modernos (NordVPN, ExpressVPN, ProtonVPN) gestionan este caso mediante una excepción temporal para las peticiones de portal cautivo detectadas. Si la detección falla, desactiva temporalmente el kill switch, acepta el portal, reconecta el VPN y vuelve a activarlo. Procedimiento en nuestra guía de Wi-Fi público 2026. En itinerancia, pasar al anclaje a la red móvil sigue siendo la opción más simple: ver hotspot móvil vs Wi-Fi público en seguridad para el compromiso velocidad/exposición.

Red corporativa con proxy. En algunas redes de empresa, el acceso a internet pasa por un proxy corporativo (inspección SSL, DLP). Activar un VPN comercial con kill switch corta el acceso a ese proxy. Los dos son incompatibles; desactiva el VPN comercial durante esas sesiones.

Conferencias con autenticación 802.1X. Algunos eventos profesionales despliegan 802.1X con autenticación por certificado. El kill switch activo en el momento del handshake EAP puede provocar que el protocolo falle - ciertas variantes de 802.1X requieren peticiones fuera del túnel. Caso poco frecuente pero documentado.

Regla pragmática: si el kill switch te bloquea, desactívalo temporalmente, comprende el porqué y vuelve a activarlo cuanto antes. La protección estructural vale más que una excepción permanente.

Probar tu kill switch en 30 segundos

La función es inútil si no se ha verificado al menos una vez. Aquí el procedimiento mínimo para confirmar que tu kill switch hace su trabajo - aplicable en menos de un minuto.

Paso 1 - Iniciar una descarga larga. Comienza a descargar un archivo de varios cientos de megabytes (ISO de Linux, imagen Docker, vídeo) desde tu navegador o un cliente de torrents legal. Verifica que la velocidad de transferencia lleva 10-15 segundos siendo estable.

Paso 2 - Desconectar manualmente el túnel. En el cliente VPN, haz clic en Desconectar. No cierres el cliente; solo desconéctate del servidor. Esto es exactamente lo que ocurre durante un corte de red real.

Paso 3 - Observar la descarga. Si el kill switch está activo y funciona, la descarga debe detenerse de inmediato - no en 5 segundos, de inmediato. El navegador muestra habitualmente «conexión perdida» o «ERR_NETWORK_CHANGED». Si la descarga continúa, tu kill switch está mal configurado o inactivo. Si solo se detiene la descarga pero otra app (Spotify, Slack) sigue cargando, estás en modo aplicación en lugar de modo sistema.

Paso 4 - Verificar la ausencia de fuga residual. Mientras el túnel sigue caído, abre nuestra herramienta Prueba de fuga DNS o un servicio equivalente (ipleak.net, dnsleaktest.com). No debe aparecer ninguna dirección IP, DNS ni IPv6 pública - todo debe fallar con un error de red. Si aparece tu IP real, el cortafuegos del kill switch no cubre todo el tráfico. Caso típico: IPv6 no bloqueado cuando IPv4 sí lo está.

Paso 5 - Reconectar y confirmar. Vuelve a conectar el VPN. La IP mostrada por la herramienta debe volver a ser la del servidor VPN. Repite el test al cabo de unos minutos para verificar que ningún estado residual distorsiona el resultado. El procedimiento completo está detallado en nuestra guía para verificar que un VPN funciona, que cubre los controles mínimos al inicio de cada sesión.

Para ir más lejos

El kill switch es un ajuste que se activa una vez y se olvida - como el cinturón de seguridad. Inútil en el 99 % de los trayectos, indispensable en ese uno por ciento en el que evita una fuga invisible e irreversible. En los VPN modernos, la implementación es madura y el coste de funcionamiento es nulo; no hay ninguna buena razón para no activarlo en modo sistema desde la primera sesión.

Para los perfiles que van más allá del uso cotidiano (periodistas en zonas sensibles, fuentes protegidas), combinar kill switch + Always-on Android + router VPN + máquina dedicada constituye el OPSEC estándar. Para el 95 % de los usos - streaming, navegación con privacidad, Wi-Fi público, torrents legales -, kill switch de sistema + auto-conexión en Wi-Fi no seguro cierra todos los vectores de exposición estructural. Sin kill switch, el túnel es una comodidad; con él, una protección.

La INCIBE recuerda en sus guías para trabajadores en movilidad la importancia de una cadena de confianza ininterrumpida en redes no controladas - es exactamente lo que garantiza el kill switch en el lado del cliente. Nuestra auditoría completa en 9 tests lo integra como control prioritario, a aplicar una vez por trimestre.

Ver también. Relacionado: Split tunneling explicado.

Herramientas y guías relacionadas con el kill switch y la seguridad VPN


Artículo publicado el 29 de mayo de 2026. Esta guía describe el comportamiento documentado de los kill switches de NordVPN (Internet Kill Switch + App Kill Switch), ExpressVPN (Network Lock), Surfshark (Kill Switch) y ProtonVPN (Kill Switch + Permanent Kill Switch) en Windows, macOS, Linux y Android, y explica la verificación que puedes aplicar tú mismo (capturar el tráfico con Wireshark o tcpdump cortando manualmente el túnel) - no es el informe de un banco de pruebas privado. Referencias: documentación pública de ProtonVPN, guías WireGuard de Mullvad, recomendaciones del INCIBE sobre conexiones en movilidad.

Selección editorial
4.6 / 5

Asegura tu conexión con NordVPN

Threat Protection bloquea rastreadores y malware · kill switch · 30 días de garantía

Auditoría Deloitte 2024Garantía de 30 días14M+ usuarios
Ver la oferta
Todo lo que necesitas saber.

Preguntas frecuentes

¿El kill switch está activo por defecto en NordVPN?

No, y es algo que hay que corregir justo después de la primera instalación. En la aplicación de escritorio NordVPN (Windows, macOS, Linux), el kill switch está desactivado en la instalación y debe activarse manualmente en Ajustes → Kill Switch. Encontrarás dos interruptores distintos: «Internet Kill Switch» (modo sistema, bloquea todo el tráfico si el túnel cae) y «App Kill Switch» (modo aplicación, solo cierra las apps que añadas a la lista). En las apps iOS y Android, la lógica es diferente porque los SO imponen sus propias restricciones VPN - en iOS, el perfil VPN «Conexión bajo demanda» en los ajustes avanzados cumple esta función a nivel de sistema; en Android, el ajuste de sistema «VPN permanente» + «Bloquear conexiones sin VPN» (Ajustes → Red → VPN → icono de engranaje NordVPN) es más robusto que el kill switch integrado en la app. Recomendación práctica: activa Internet Kill Switch en escritorio desde la primera sesión, y Always-on a nivel de sistema en Android.

Kill switch de aplicación vs kill switch de sistema - ¿cuál es la diferencia?

El kill switch de aplicación (a veces llamado «App Kill Switch» o «kill switch por app») solo cierra los procesos concretos que añades a una lista. Si listas Chrome y qTorrent, esas dos apps se cierran si cae el VPN; todo lo demás - Spotify, tu cliente de correo, tu sincronizador en la nube - sigue comunicándose en claro a través de tu ISP. El kill switch de sistema (Internet Kill Switch en NordVPN, Network Lock en ExpressVPN, modo sistema en Mullvad) opera a nivel del cortafuegos: inserta reglas iptables, netfilter o pf que bloquean **todo** el tráfico saliente fuera de la interfaz del túnel. Si el VPN cae, no sale nada, punto. Este es el único nivel que protege de verdad en Wi-Fi público y para el seeding de torrents. El kill switch de aplicación es útil en contextos concretos (dejar pasar un cliente de correo corporativo fuera del túnel) pero no debe ser el ajuste predeterminado.

¿Qué ocurre si el kill switch se activa sin previo aviso?

Desde el punto de vista del usuario, ves que las páginas web dejan de cargar, las descargas se interrumpen y las llamadas VoIP se cortan. El navegador muestra habitualmente «ERR_NETWORK_CHANGED» o «DNS_PROBE_FINISHED_NO_INTERNET». Es deliberadamente brusco porque la función del kill switch es precisamente evitar que sigas usando la red en claro sin darte cuenta. Bajo el capó, el cliente VPN intenta una reconexión automática al mismo servidor o a uno de respaldo; la mayoría de los clientes modernos (NordVPN, ExpressVPN, ProtonVPN) restablecen el túnel en 3 a 10 segundos sobre una conexión estable. En una red inestable (hotspot saturado, 4G en movimiento), la reconexión puede tardar más - la experiencia del usuario será la de un «corte de internet» de 15-30 segundos. Ese es el coste esperado de la protección; un kill switch silencioso que nunca se activa no lo es.

¿El kill switch funciona también para IPv6?

No siempre, y es una de las fugas más sutiles que hay que verificar. Muchos clientes VPN encapsulan únicamente el tráfico IPv4 y dejan salir el IPv6 en claro por la interfaz de red nativa - esto se conoce como «IPv6 leak». En un kill switch correctamente implementado, las reglas del cortafuegos bloquean tanto IPv4 como IPv6 fuera del túnel; en un kill switch con errores o antiguo, el IPv6 sigue saliendo aunque el IPv4 esté bloqueado. NordVPN desactiva automáticamente IPv6 en Windows y macOS cuando el túnel está activo (política «IPv6 disable»), lo que es una solución pragmática aunque inelegante. ExpressVPN y Mullvad bloquean explícitamente el IPv6 fuera del túnel mediante sus reglas Network Lock / pf. Test práctico: visita ipv6leak.com (o nuestra herramienta Prueba de fuga DNS, que cubre IPv6 en un solo análisis) después de desconectar manualmente tu VPN - si aparece una dirección IPv6 pública mientras el túnel está caído, tu kill switch no cubre IPv6.

¿Es necesario un kill switch si no uso el VPN por seguridad?

Sí, y la matiz vale la pena desarrollarla. El kill switch no está reservado para los usos de «seguridad estricta»; también protege los usos de streaming y la privacidad cotidiana. Si usas NordVPN para ver Netflix de EE.UU. y el túnel cae 20 segundos, Netflix detecta tu IP española real, cambia el catálogo y puede incluso marcar temporalmente tu cuenta como «VPN detectado» para las sesiones siguientes. Para los torrents, la ausencia de kill switch es aún más problemática: cualquier interrupción del túnel expone tu IP real a los trackers y a los peers, y algunos ISPs bajo la LSSI o la directiva ePrivacy envían notificaciones basándose en esa exposición. Para la navegación con privacidad habitual, el kill switch evita que tu ISP reconstruya tu historial durante las micro-interrupciones del túnel. En resumen: kill switch siempre, independientemente del uso principal del VPN. Es un ajuste que se activa una vez y se olvida.

¿Qué es el kill switch de un VPN?

Un kill switch VPN es una función de seguridad que bloquea automáticamente todo el tráfico de internet de tu dispositivo si la conexión VPN se interrumpe inesperadamente - impidiendo que tu IP real, tus peticiones DNS o tus datos de aplicación se filtren en texto claro durante la ventana de reconexión. Sin kill switch, una interrupción del túnel de 3 a 30 segundos expone silenciosamente tu tráfico a tu ISP y a los sitios visitados. Existen dos tipos: a nivel de aplicación (solo mata las apps de la lista) y a nivel de sistema (bloquea todo el tráfico en el cortafuegos del SO). Solo el nivel de sistema garantiza la protección.

¿El kill switch ralentiza tu VPN?

No. Un kill switch no añade latencia al funcionamiento normal del VPN - solo se activa si el túnel cae. Las reglas de kill switch a nivel sistema (WFP en Windows, pfctl en macOS, iptables/nftables en Linux) son reglas de cortafuegos evaluadas en el núcleo del SO, no proxies en el camino. El único efecto secundario: si el cliente VPN se bloquea sin limpiar sus reglas, todo el tráfico queda bloqueado hasta que el cliente se reinicie. En clientes maduros como NordVPN, ExpressVPN y Mullvad, esto se gestiona automáticamente en 3 a 10 segundos.