A página de definições de um cliente VPN mostra normalmente uma dezena de interruptores. Dessa lista, só um faz a diferença entre proteção real e uma falsa sensação de segurança: o kill switch. Quando o túnel cai — e cai, várias vezes por sessão em algumas redes — sem um kill switch o teu tráfego continua a sair em claro através do teu fornecedor de internet durante 5 a 30 segundos. Esses segundos chegam para vazar o teu IP real para a Netflix, enviar uma consulta DNS sensível ao teu fornecedor de internet ou expor o teu cliente de torrents a trackers.
Este guia cobre a mecânica exata ao nível da firewall, as duas variantes (app vs sistema), o procedimento de ativação para as quatro principais VPNs em 2026, os casos-limite para Linux / router / dispositivos móveis, e as situações em que o kill switch se torna contraproducente.
Porque existe um kill switch — o problema da desconexão silenciosa
O cenário que justifica o kill switch é trivialmente fácil de reproduzir e invisível quando acontece. Estás ligado a um servidor VPN em Amesterdão a partir do teu hotel em Banguecoque. Sobrecarga do servidor, uma micro-falha do lado do hotel, uma mudança de canal Wi-Fi — o teu túnel desliga-se durante três segundos. Sem um kill switch, o teu sistema operativo continua a enviar tráfego pela rota predefinida, ou seja, a interface Wi-Fi direta. Durante esses três segundos, o teu e-mail HTTPS sai com o teu IP real, a tua consulta DNS para a Netflix passa pelo DNS do hotspot, e o teu tracker BitTorrent recebe o teu IP público tailandês real.
Não vês nada. O cliente VPN reconecta-se em segundo plano, a interface mostra «Ligado» de novo. Mas esses três segundos de fuga já foram registados por trackers, registos do fornecedor de internet e potencialmente pelos contadores anti-VPN dos serviços de streaming. Uma única ligação ponto-a-ponto fora do túnel pode bastar para desencadear uma notificação — a defesa «eu tinha uma VPN» não resiste a um registo com marca temporal.
O kill switch é a resposta estrutural. Em vez de confiar na estabilidade do túnel (que nunca pode ser garantida a 100%), instala regras de firewall que tornam impossível qualquer tráfego fora do túnel. Túnel ativo: o tráfego flui. Túnel em baixo: nada sai, a tua internet parece cortada, corriges manualmente. A mesma lógica de uma porta corta-fogo — aceitas um incómodo momentâneo para garantir uma contenção hermética. O conceito está documentado na Wikipedia: Internet kill switch.
Quais são os 2 tipos de kill switch de VPN?
O app kill switch bloqueia apenas os processos que listares (Chrome, qTorrent) — todo o resto passa em claro durante as quedas do túnel. O kill switch de sistema (Internet Kill Switch no NordVPN, Network Lock no ExpressVPN) bloqueia todo o tráfego de saída ao nível da firewall do sistema operativo — nada sai fora do túnel. Só o modo de sistema protege verdadeiramente. O modo de app é uma comodidade, não uma predefinição de segurança.
A confusão entre os dois tipos é alimentada pelo marketing dos fornecedores, que muitas vezes apresenta o «kill switch por app» como uma funcionalidade premium quando é tecnicamente inferior ao modo de sistema. Compreender a diferença determina se a tua VPN te protege de facto.
O app kill switch — também «App Kill Switch» ou «kill switch por app» — opera ao nível do sistema operativo. Defines uma lista de processos (chrome.exe, qbittorrent.exe) e o cliente VPN monitoriza o seu estado de rede. Se o túnel cair, esses processos são terminados ou bloqueados através de hooks do sistema operativo. Vantagem: podes deixar outras apps continuar pela ligação normal (um cliente de correio empresarial que tem de permanecer acessível). Grande desvantagem: tudo o que não estiver na lista passa em claro. Se só listares o teu navegador mas o Dropbox estiver a sincronizar em segundo plano, o Dropbox expõe o teu IP real durante as quedas do túnel. Falsa sensação de segurança na esmagadora maioria dos casos de uso.
O kill switch de sistema — Internet Kill Switch no NordVPN, Network Lock no ExpressVPN e Mullvad, «Permanent Kill Switch» no ProtonVPN — opera ao nível da firewall do sistema operativo. No Windows, insere regras WFP (Windows Filtering Platform) que bloqueiam todo o tráfego de saída fora da interface do túnel. No macOS, programa o pfctl. No Linux, manipula o iptables ou o nftables para proibir qualquer rota fora de tun0 ou wg0. Vantagem: proteção estrutural, independente da lista de apps e dos bugs do cliente. Desvantagem: se o serviço VPN bloquear sem limpar as suas regras, a internet permanece bloqueada até intervenção manual. Raro em clientes maduros, mas vale a pena saber.
Regra geral. A menos que tenhas um caso de uso específico (VPN empresarial separada, tráfego legitimamente fora do túnel), o modo de sistema é a única opção verdadeiramente protetora. O modo de app é uma comodidade, não uma predefinição sensata.
Como se ativa o kill switch no NordVPN, ExpressVPN, Surfshark, ProtonVPN?
NordVPN: Definições → Kill Switch → ativa «Internet Kill Switch» (não só o App Kill Switch — desativado por predefinição). ExpressVPN: Definições → Geral → «Network Lock» (ativo por predefinição desde 2023). Surfshark: Definições → VPN → Kill Switch. ProtonVPN: Definições → Ligação → «Permanent Kill Switch» para proteção máxima. No Android, ativa sempre «Always-on VPN» + «Bloquear ligações sem VPN» ao nível do sistema para melhor cobertura.
As quatro principais VPNs em 2026 implementam todas um kill switch, mas com convenções de nomenclatura e predefinições diferentes. Eis o procedimento exato para cada uma, atualizado a maio de 2026.
NordVPN
Ambiente de trabalho Windows/macOS: Definições → Kill Switch. Dois interruptores separados — «Internet Kill Switch» (modo de sistema, a ativar) e «App Kill Switch» (modo de app, opcional). O Internet Kill Switch está desativado por predefinição na instalação — é o erro mais comum. Linux: nordvpn set killswitch on, verifica com nordvpn status. Android: a definição de sistema Definições → Rede → VPN → ícone de engrenagem do NordVPN → «VPN permanente» + «Bloquear ligações sem VPN» é mais fiável do que a opção integrada na app. iOS: sem botão dedicado, mas o perfil «Connect on demand» nas definições avançadas desempenha este papel ao nível do sistema.
ExpressVPN
O ExpressVPN chama ao seu kill switch de sistema Network Lock. Windows/macOS: Definições → Geral → «Parar todo o tráfego de internet se a VPN se desligar inesperadamente». Ativo por predefinição desde 2023 — um diferenciador notável face ao NordVPN. Linux (CLI expressvpn): o Network Lock fica ativo automaticamente ao ligar. Android: opção «Network Protection». iOS: perfil «On-Demand», como todos os outros.
Surfshark
O Surfshark oferece um simples Kill Switch, sem variantes — modo de sistema por predefinição. Definições → VPN → Kill Switch → ativar. Linux: surfshark-vpn killswitch on. Um cliente mais minimalista em termos de opções, o que reduz o risco de má configuração mas limita a granularidade.
ProtonVPN
O ProtonVPN oferece dois modos distintos. O Kill Switch padrão bloqueia o tráfego apenas quando a ligação cai inesperadamente. O Permanent Kill Switch é mais rigoroso — bloqueia todo o tráfego fora do túnel mesmo quando o utilizador se desliga voluntariamente — útil para jornalistas ou ativistas que queiram eliminar qualquer risco de esquecimento. Definições → Ligação → Kill Switch ou Permanent Kill Switch. Consulta a página Kill Switch do ProtonVPN para os detalhes de implementação por sistema operativo.
Casos-limite: Linux, router, móvel iOS/Android
As configurações não padrão merecem um tratamento à parte porque a lógica do kill switch é implementada de forma diferente — por vezes sem qualquer definição na app.
Linux. Os clientes oficiais (NordVPN, ExpressVPN, ProtonVPN) usam iptables ou nftables injetados no arranque do túnel. Se usas WireGuard ou OpenVPN diretamente sem um cliente proprietário, configura-o manualmente através de PostUp/PostDown na configuração do WireGuard. A Mullvad publica excelentes guias de código aberto que reproduzem esta configuração. A distribuição Tails implementa nativamente um kill switch equivalente através de iptables pré-configuradas.
Router. A VPN ao nível do router (DD-WRT, OpenWRT, AsusWRT-Merlin, pfSense) protege todos os dispositivos da rede mas exige uma configuração explícita do kill switch — nunca ativa por predefinição. No pfSense, cria um grupo de gateway com a VPN como primária e sem recurso: se a VPN cair, o encaminhamento falha em vez de recuar para a WAN em claro. A configuração mais robusta para uma casa onde TVs, consolas e dispositivos IoT passam todos pelo túnel. Para a encriptação rádio subjacente, o nosso guia de segurança Wi-Fi WPA2 vs WPA3 explica porque o WPA3 fecha a falha KRACK e reforça a camada abaixo do túnel VPN.
iOS. O iOS não expõe uma API direta de kill switch. Os clientes apoiam-se no perfil «Connect on Demand» da framework Network Extensions, que força a reconexão em qualquer tráfego de saída. Funcionalmente equivalente na maioria dos casos, com uma janela de algumas centenas de milissegundos durante a reconexão. Suficiente para o uso quotidiano, com limitações para uma privacidade rigorosa.
Android. Desde o Android 8, a definição de sistema «Always-on VPN» + «Bloquear ligações sem VPN» em Definições → Rede → VPN → ícone de engrenagem da app. Este é o kill switch mais robusto disponível em dispositivos móveis — ao nível do sistema operativo, sobrevive a falhas da app. Recomendação sistemática: Always-on ao nível do sistema além do app kill switch; as duas camadas complementam-se.
Experimenta o NordVPN — Internet Kill Switch + ligação automática incluídos
Auditoria no-log Deloitte 2024 · NordLynx (WireGuard) · App Kill Switch + Internet Kill Switch · garantia de reembolso de 30 dias
Quando o kill switch pode ser contraproducente
O kill switch não é um absoluto — há três contextos operacionais em que se torna um incómodo ou mesmo um bloqueio. Conhecê-los permite-te desativá-lo temporária e deliberadamente, em vez de em pânico.
Captive portal de hotel ou aeroporto. O operador do Wi-Fi público interceta o teu primeiro pedido HTTP e reencaminha-o para uma página de aceitação. Esta interceção acontece antes de o túnel estar estabelecido — um kill switch de sistema rigoroso bloqueia o pedido ao captive portal, tornando-te impossível autenticar e, portanto, aceder à internet. Os clientes modernos (NordVPN, ExpressVPN, ProtonVPN) tratam disto através de uma exceção temporária para pedidos de captive portal detetados. Se a deteção falhar, desativa temporariamente o kill switch, aceita o portal, reconecta a VPN, reativa-o. Procedimento no nosso guia de Wi-Fi público 2026. Em viagem, mudar para o tethering do teu telemóvel continua a ser a opção mais simples: vê segurança de hotspot móvel vs Wi-Fi público para o compromisso entre débito e exposição.
Rede empresarial com proxy. Em algumas redes empresariais, o acesso à internet passa por um proxy corporativo (inspeção SSL, DLP). Ativar uma VPN comercial com kill switch corta o acesso a esse proxy. Os dois são incompatíveis; desativa a VPN comercial durante essas sessões.
Autenticação 802.1X em conferência. Alguns eventos profissionais implementam 802.1X com autenticação baseada em certificados. O kill switch ativo no momento do handshake EAP pode fazer o protocolo falhar — certas variantes de 802.1X exigem pedidos fora do túnel. Um caso-limite raro mas documentado.
Regra pragmática: se o kill switch te estiver a bloquear, desativa temporariamente, percebe porquê, reativa o mais cedo possível. A proteção estrutural vale mais do que uma exceção permanente.
Testar o teu kill switch em 30 segundos
A funcionalidade é inútil se nunca foi verificada pelo menos uma vez. Eis o procedimento mínimo para confirmar que o teu kill switch faz o seu trabalho — aplicável em menos de um minuto.
Passo 1 — Inicia uma transferência grande. Começa a transferir um ficheiro de várias centenas de megabytes (ISO Linux, imagem Docker, vídeo) pelo navegador ou por um cliente de torrents legal. Verifica que a velocidade de transferência está estável há 10-15 segundos.
Passo 2 — Desliga manualmente o túnel. No cliente VPN, clica em Desligar. Não feches o cliente; desliga-te apenas do servidor. É exatamente o que acontece durante uma queda de rede real.
Passo 3 — Observa a transferência. Se o kill switch estiver ativo e a funcionar, a transferência tem de parar imediatamente — não em 5 segundos, imediatamente. O navegador mostra normalmente «ligação perdida» ou «ERR_NETWORK_CHANGED». Se a transferência continuar, o teu kill switch está mal configurado ou inativo. Se só a transferência parar mas outra app (Spotify, Slack) continuar a carregar, estás em modo de app em vez de modo de sistema.
Passo 4 — Verifica a ausência de fugas residuais. Enquanto o túnel ainda está em baixo, abre a nossa ferramenta DNS Leak Test ou um serviço equivalente (ipleak.net, dnsleaktest.com). Não deve aparecer nenhum endereço IP público, DNS ou IPv6 — tudo deve falhar com um erro de rede. Se o teu IP real aparecer, a firewall do kill switch não cobre todo o tráfego. Caso típico: IPv6 não bloqueado quando o IPv4 está.
Passo 5 — Liga-te de novo e confirma. Reconecta a VPN. O IP mostrado pela ferramenta deve voltar ao endereço do servidor VPN. Testa uma segunda vez passados alguns minutos para garantir que nenhum estado residual distorce o resultado. O procedimento completo está detalhado no nosso guia sobre como verificar se a tua VPN funciona, que cobre as verificações mínimas a fazer no início de cada sessão.
Ir mais longe
O kill switch é uma definição que ativas uma vez e esqueces — como um cinto de segurança. Inútil em 99% das viagens, indispensável no um por cento em que impede uma fuga invisível e irreversível. Nas VPNs modernas, a implementação é madura e o custo de funcionamento é zero; não há nenhuma boa razão para não o ativar em modo de sistema desde a tua primeira sessão.
Para perfis para além do uso quotidiano (jornalistas em ambientes sensíveis, fontes protegidas), sobrepor kill switch + Android Always-on + router VPN + uma máquina dedicada constitui o OPSEC padrão. Para 95% dos casos de uso — streaming, navegação privada, Wi-Fi público, torrenting legal — kill switch de sistema + ligação automática em Wi-Fi não seguro fecha todos os vetores estruturais de exposição. Sem kill switch, o túnel é uma conveniência; com ele, é uma proteção.
O NCSC e agências nacionais de cibersegurança semelhantes sublinham nas suas orientações para trabalhadores remotos e móveis a importância de uma cadeia de confiança ininterrupta em redes não fidedignas — é precisamente isto que o kill switch garante do lado do cliente. A nossa auditoria completa em 9 testes trata-o como um controlo prioritário, a verificar uma vez por trimestre.
Ferramentas e guias relacionados com o kill switch e a segurança VPN
- Auditoria de VPN completa em 9 testes →Protocolo trimestral com verificação do kill switch em todos os vetores
- Riscos do Wi-Fi público em 2026 →Porque o kill switch é inegociável em hotspots abertos
- Testar fugas de DNS e IPv6 →Procedimento de 30 segundos para verificar que o kill switch cobre todas as camadas
- Como verificar se a tua VPN funciona →As 3 verificações mínimas no início de cada sessão, kill switch incluído
- A nossa análise NordVPN 2026 →Estabilidade do túnel e disparo real do kill switch medidos
- Ferramenta de teste de fugas DNS + WebRTC + IPv6 →As 3 fugas principais numa só passagem durante um teste do kill switch
Artigo publicado a 29 de maio de 2026. Este guia descreve como os kill switches estão documentados a comportar-se no NordVPN (Internet Kill Switch + App Kill Switch), ExpressVPN (Network Lock), Surfshark (Kill Switch) e ProtonVPN (Kill Switch + Permanent Kill Switch) em Windows, macOS, Linux e Android, e explica a verificação autoaplicável (capturar tráfego com Wireshark ou tcpdump ao cortar manualmente o túnel) — não é o relato de uma bancada de teste privada. Referências: documentação pública do ProtonVPN, guias WireGuard da Mullvad, orientações do NCSC sobre trabalho remoto.
Sécurise ta connexion avec NordVPN
Threat Protection bloque traqueurs & malwares · kill switch · 30 jours remboursé
