¿Qué es un kill switch de VPN?

Un kill switch de VPN es una función que bloquea el tráfico de red si el túnel de la VPN se desconecta de forma inesperada. Este artículo explica qué hace realmente un kill switch, cómo se implementa a nivel del sistema operativo y cómo verificar que la función opera correctamente.

Definición

Un kill switch es un control a nivel de red que evita que el tráfico salga del dispositivo a través de una interfaz desprotegida mientras la VPN está nominalmente activa. Si el túnel de la VPN se desconecta —ya sea por cambios de red, una falla del servidor o cualquier otro motivo—, el kill switch garantiza que el tráfico no recaiga de forma silenciosa en la interfaz de red predeterminada.

A veces a esta función también se la llama “bloqueo de red,” “protección siempre activa” o “kill switch de internet.” El comportamiento es el mismo sin importar el nombre.

Por qué existe el kill switch

Los túneles de VPN no siempre son perfectamente estables. Los cambios de red —pasar de Wi-Fi a datos móviles, moverse entre puntos de acceso, atravesar túneles— pueden interrumpir brevemente la conexión. El mantenimiento del servidor, problemas intermitentes de interconexión o errores poco comunes del protocolo también pueden causar desconexiones.

Sin un kill switch, el sistema operativo enrutará el tráfico por cualquier interfaz que siga disponible. Desde la perspectiva del usuario, el dispositivo parece seguir funcionando con normalidad —las páginas web cargan, las aplicaciones se conectan—, pero el tráfico ahora atraviesa la red local y el proveedor de internet en lugar de la VPN.

Para quienes dependen de la VPN para su privacidad o para acceder a servicios específicos de una ubicación, este traspaso silencioso anula el propósito de usar una VPN. El kill switch garantiza que la conectividad se suspenda en lugar de redirigirse en silencio.

Cómo se implementa

La implementación del kill switch varía según la plataforma. Existen dos enfoques generales.

Implementación a nivel del sistema

En las plataformas con compatibilidad nativa para VPN, el kill switch lo aplica el sistema operativo. En iOS, el framework Network Extension ofrece una opción “includeAllNetworks” que, combinada con las reglas de enrutamiento adecuadas, evita que el tráfico salga del dispositivo por cualquier interfaz distinta del túnel. Esto se aplica a nivel del kernel y rige para todas las aplicaciones, incluidas las que se ejecutan en segundo plano.

En Linux, los kill switch suelen implementarse mediante reglas de firewall —iptables o nftables— que bloquean todo el tráfico salvo los paquetes destinados a la dirección del servidor VPN. Las reglas se agregan cuando se establece el túnel y se eliminan cuando se desconecta de forma intencional.

Implementación a nivel de aplicación

Algunas aplicaciones de VPN implementan el kill switch dentro de la propia app, supervisando el túnel y ajustando las reglas de enrutamiento o de firewall en respuesta a una desconexión. Las implementaciones a nivel de aplicación son más flexibles, pero dependen de que la app permanezca activa para aplicar la política.

La aplicación a nivel del sistema suele ser más confiable porque sigue funcionando incluso si la aplicación de VPN se cierra de forma inesperada o finaliza.

Tipos de kill switch

Los kill switch pueden configurarse en varios modos que se diferencian por lo agresivos que son al bloquear el tráfico.

• Kill switch permanente. El tráfico se bloquea siempre que la VPN no esté conectada de forma activa, incluso cuando la aplicación no se ha abierto. Esto ofrece la garantía más sólida, pero requiere una acción explícita para desactivarlo.
• Kill switch de sesión. El tráfico se bloquea solo durante una sesión activa de la VPN. Si el usuario se desconecta manualmente, el kill switch se desactiva y el tráfico normal se reanuda.
• Kill switch por aplicación. Disponible en algunas plataformas de escritorio, este modo bloquea aplicaciones específicas cuando la VPN está caída y permite que las demás sigan funcionando con normalidad. Esta configuración es útil para herramientas que manejan datos sensibles, pero ese nivel de detalle añade complejidad.

Cuándo se activa el kill switch

El kill switch está diseñado para manejar situaciones que el sistema operativo normalmente no trataría como fallas. Entre las causas comunes están:

• El servidor VPN deja de estar accesible por cortes de red o mantenimiento del lado del servidor.
• La interfaz de red del dispositivo cambia —por ejemplo, al pasar de Wi-Fi a datos móviles— y el túnel no se vuelve a establecer con rapidez.
• Un error a nivel de protocolo provoca el cierre del túnel.
• La red local pierde paquetes hacia o desde el servidor VPN, incluso en ciertos casos de portales cautivos.

Durante cada una de estas situaciones, el kill switch suspende el tráfico hasta que el túnel se vuelve a establecer o el usuario desactiva explícitamente el kill switch.

Limitaciones

Un kill switch es una función defensiva, no una solución completa. Vale la pena señalar dos limitaciones.

La transición no siempre es instantánea. Entre el momento en que el túnel falla y el momento en que el kill switch se activa por completo, puede existir una pequeña ventana durante la cual el tráfico podría, en teoría, filtrarse. En sistemas bien diseñados, esa ventana es lo bastante corta como para ser prácticamente insignificante —por lo general unos pocos milisegundos—, pero no siempre es cero. Las implementaciones a nivel del sistema cierran esa ventana de forma más confiable que las que operan a nivel de aplicación.

Las fugas de DNS son un asunto aparte. Un kill switch evita que el tráfico IP salga por interfaces desprotegidas, pero las solicitudes de DNS a veces pueden rodear el túnel a través de la configuración predeterminada del sistema. Una configuración completa usa tanto un kill switch como el enrutamiento del DNS a través del túnel. Snap VPN configura ambos de forma predeterminada.

Verificación

Un kill switch se puede verificar simulando una falla del túnel y confirmando que el tráfico queda bloqueado.

1. Conéctate a la VPN y confirma que un servicio que reporta tu IP muestre la dirección del servidor.
2. Sin desconectarte desde la aplicación, desactiva la interfaz de red que la VPN está usando —por ejemplo, apagando el Wi-Fi mientras el túnel está activo.
3. Intenta cargar una página web. Con un kill switch que funcione, la página debería fallar al cargar hasta que el túnel se vuelva a establecer o el kill switch se desactive de forma intencional.

En iOS, el kill switch se aplica a nivel del sistema cuando el perfil de VPN está configurado con las opciones adecuadas. Snap VPN activa el kill switch de forma predeterminada y no lo presenta como un ajuste opcional: la función forma parte de la configuración estándar y no es un ajuste que pueda desactivarse sin querer.

Para más información sobre la configuración de una VPN y qué se puede esperar de ella, consulta nuestra introducción a las VPN y la guía de configuración en iPhone.