cr0x.net — Problemas difíciles. Soluciones limpias.
Español

Explicación del arreglo Winsock: por qué las aplicaciones pierden internet al azar

febrero 24, 2026 • febrero 24, 2026 • Lectura: 24 min • Views: 0

¿Te fue útil?

Tu portátil muestra Wi‑Fi conectado. Teams se reconecta como si estuviera entrenando para un maratón. Tu navegador gira la rueda y luego declara que el internet está “no disponible”, mientras que ping funciona y tu compañero en la misma red está bien. Reinicias, se arregla. Luego vuelve a suceder—usualmente justo antes de que presentes.

Este es el tipo de fallo que hace que los ingenieros sospechen de todo: el router, el ISP, las actualizaciones de Windows, la luna. A menudo no es ninguno de esos. Es la pila de red de Windows enredándose—frecuentemente alrededor de Winsock, su catálogo y complementos como VPNs, seguridad de endpoint, proxies y “optimizadores” supuestamente útiles.

Qué es Winsock realmente (y qué no es)

Winsock (Windows Sockets) es la superficie de la API y la tubería que las aplicaciones usan para hablar TCP/UDP en Windows. Tu navegador no “hace redes” inventando tramas Ethernet; llama a funciones de Winsock y el SO se encarga del resto: resolución de nombres, enrutamiento, establecimiento de conexiones, opciones de socket e interacciones con los controladores de red.

En términos prácticos, Winsock es la interfaz de la “capa de sockets” entre las aplicaciones en modo usuario y la pila de red inferior. También soporta un modelo de plug-in: los proveedores pueden insertarse en la ruta para inspeccionar/modificar el tráfico. Ese modelo de plug-in es útil—hasta que deja de serlo.

El reset de Winsock corrige una clase específica de problemas: corrupción o estado incorrecto en el catálogo de Winsock, a menudo debido a Layered Service Providers (LSPs) o proveedores de red relacionados instalados por VPNs, antivirus, moldeadores de tráfico, controles parentales, bloqueadores de anuncios o agentes empresariales de “prevención de pérdida de datos”.

El reset de Winsock no arregla todo. Si el controlador de la NIC está fallando, tu Wi‑Fi está cambiando de punto de acceso continuamente, o tu router está fundiéndose, reiniciar Winsock es como cambiar las escobillas del limpiaparabrisas para arreglar una avería de motor. Te sentirás productivo, pero no estarás en lo correcto.

Datos interesantes y contexto histórico (porque el pasado sigue rompiendo el presente)

  • Dato 1: Winsock 1.1 apareció a principios de los años 1990 para estandarizar la programación de sockets en Windows; Winsock 2 introdujo capacidades más modernas (como mejor extensibilidad y I/O solapado).
  • Dato 2: Los LSPs se usaron ampliamente en la era de Windows XP para antivirus y “protección web”, y también fueron abusados por adware. Ese legado aún importa.
  • Dato 3: El “catálogo de Winsock” es una lista respaldada en el registro de proveedores y su orden. Cuando el orden se rompe, las aplicaciones pueden fallar de maneras extrañamente selectivas.
  • Dato 4: La resolución de nombres en Windows no es solo DNS; es una cadena (archivo hosts, caché del cliente DNS, multicast, NetBIOS en algunos entornos), y diferentes aplicaciones usan rutas distintas.
  • Dato 5: Muchos informes de “internet caído” son en realidad fallos de TLS—deriva de tiempo, certificados interceptados o SChannel roto—porque las aplicaciones modernas tratan “no se puede hacer handshake” como “sin internet”.
  • Dato 6: Las configuraciones de proxy HTTP pueden ser por usuario y por aplicación; WinHTTP y WinINET no son la misma pila de proxy. Por eso un navegador funciona mientras un servicio falla (o viceversa).
  • Dato 7: Windows tiene múltiples capas de firewall: la política del Windows Defender Firewall, los callouts de WFP (Windows Filtering Platform) y filtros de terceros. “Desactivado” en la interfaz no siempre significa “no filtra”.
  • Dato 8: “Reset de TCP/IP” y “reset de Winsock” son operaciones diferentes; una apunta a parámetros de la interfaz y de la pila, la otra apunta al estado del catálogo de proveedores de sockets.

Por qué solo fallan algunas aplicaciones: modos de fallo que parecen caos

“Pierde internet aleatoriamente” normalmente significa: algunas rutas están rotas, y la ruta que usa cada app es distinta. Tus síntomas son una huella digital. Aprende a leerla.

1) DNS parece bien, pero las conexiones fallan

Puedes resolver nombres, pero las conexiones TCP agotan el tiempo o se reinician. Esto apunta a filtrado (firewall/WFP), problemas de MTU/PMTUD, o una cadena de proveedores de red rota. Si solo fallan ciertos puertos, sospecha de políticas o inspección. Si solo fallan ciertos destinos (especialmente sobre VPN), sospecha de rutas/MTU.

2) Los pings funcionan, pero los navegadores dicen “Sin internet”

Ping es ICMP. Los navegadores usan TCP+TLS+HTTP. En redes corporativas, ICMP puede estar permitido mientras la inspección TLS falla o un proxy está mal configurado. O puedes alcanzar una IP, pero DNS/proxy/handshake TLS está roto. El ping es una manta de consuelo, no una comprobación de salud.

3) El navegador funciona, pero “aplicaciones” fallan (Outlook, Teams, aplicaciones de la tienda)

Diferentes pilas de API. Los navegadores a menudo usan WinINET con su propia lógica de proxy; los servicios y componentes del sistema suelen usar WinHTTP. Si el proxy de WinHTTP está mal, los servicios en segundo plano mueren mientras tu navegador charla felizmente.

4) Todo muere después de desconectar la VPN

Clásico. Los clientes VPN instalan controladores y callouts de WFP y pueden añadir proveedores tipo LSP o proveedores de espacio de nombres. Si la desinstalación/actualización deja una entrada obsoleta, el SO puede seguir intentando pasar tráfico por un proveedor que ya no existe. Resultado: fallos selectivos y retrasos extraños.

5) Funciona por minutos, falla por minutos

Esa periodicidad grita “renovación de lease”, “roaming”, “gestión de energía” o “algo que escanea”. Windows puede apagar NICs para ahorrar energía. Agentes de seguridad interceptarán flujos. Las renovaciones DHCP y los portales cautivos pueden rebotar rutas. Busca cosas con estado y temporizadores.

Una cita que vale la pena tener en la pared, de Richard Cook (a menudo parafraseada en círculos de fiabilidad): idea parafraseada: el éxito en operaciones se construye con incontables pequeños ajustes, no con un gran diseño. Eso es la red en Windows: funciona porque una docena de subsistemas suelen cooperar. Cuando uno deja de cooperar, obtienes historias fantasmales.

Broma 1: El internet no está caído. Simplemente se tomó un día personal y no le avisó a tus sockets.

Qué cambia “Winsock reset” bajo el capó

Cuando ejecutas:

cr0x@server:~$ netsh winsock reset
Successfully reset the Winsock Catalog.
You must restart the computer in order to complete the reset.

Le estás diciendo a Windows que reconstruya el catálogo de Winsock a una línea base conocida y buena. Esa línea base incluye los proveedores de sockets por defecto (típicamente MSAFD Tcpip [TCP/UDP sobre IPv4/IPv6]) y elimina entradas de LSP de terceros de la cadena (o al menos elimina el registro que apunta a ellas).

En eras antiguas de Windows, esto era una solución común para malware que se insertaba como LSP. Hoy en día sigue siendo igual de relevante—excepto que el “malware” a menudo es un agente empresarial legítimo que tuvo una mala actualización.

Qué afecta:

  • El orden y registro de proveedores para operaciones de socket.
  • Cómo las aplicaciones en modo usuario obtienen sus sockets y hacia dónde se enrutan esas llamadas.
  • Potencialmente, proveedores de resolución de nombres (dependiendo de lo que se instaló).

Qué no arregla directamente:

  • Controladores de NIC rotos, Wi‑Fi inestable o puertos de switch defectuosos.
  • Rutas malas, gateways incorrectos o errores de enrutamiento de VPN split‑tunnel.
  • Problemas de inspección TLS/confianza de certificados.
  • Configuraciones de proxy en WinHTTP/WinINET (aunque algunas recetas de “reset completo” también restablecen proxy por separado).

El requisito de reinicio es real. El catálogo no es solo un archivo que editas; la pila de red y los servicios tienen caché de estado. Si ejecutas el comando y no reinicias, básicamente le pides a Windows que olvide algo mientras sigue recordándolo activamente.

Guion rápido de diagnóstico (primero/segundo/tercero)

Esta es la sección de “deja de adivinar”. El objetivo es responder una pregunta rápidamente: ¿Dónde está el fallo—resolución de nombres, enrutamiento, transporte o política/inspección?

Primero: Prueba la ruta básica (enlace, IP, ruta)

  • Comprueba que tienes una IP válida, gateway y servidores DNS.
  • Comprueba que la ruta hacia 0.0.0.0/0 y ::/0 se ve razonable (especialmente después de conectar/desconectar VPN).
  • Comprueba si el problema es solo IPv6 o solo IPv4.

Segundo: Separa DNS de conectividad

  • Resuelve un nombre a una IP.
  • Conéctate a la IP en un puerto conocido (443) sin depender de DNS si es necesario.
  • Si DNS resuelve pero la conexión TCP falla, deja de culpar a DNS.

Tercero: Identifica intercepción (proxy, firewall, agente de seguridad, LSP/WFP)

  • Revisa el proxy de WinHTTP y las configuraciones de proxy de usuario.
  • Revisa el perfil del Firewall de Windows y eventos recientes de bloqueo.
  • Comprueba si hay una pila VPN/seguridad instalada y actualizada recientemente.
  • Si los síntomas son “aplicaciones selectivas”, “después de VPN” o “tras actualización de seguridad”, Winsock/WFP/cadena de proveedores es un sospechoso principal.

Si haces esas tres pasadas, casi siempre aterrizarás en uno de: (a) enrutamiento, (b) DNS/proxy, (c) filtrado/inspección, (d) enlace inestable.

Tareas prácticas: comandos, salidas y decisiones (12+)

Estas tareas están diseñadas para ejecutarse en una terminal elevada de Windows (PowerShell/CMD). Las muestro en bloques de código con salidas realistas. Tu trabajo es leer la salida y tomar una decisión, no coleccionar capturas como si fueran Pokémon.

Task 1: Confirmar estado de la interfaz y configuración IP

cr0x@server:~$ ipconfig /all
Windows IP Configuration

Ethernet adapter Ethernet:

   Connection-specific DNS Suffix  . : corp.example
   Description . . . . . . . . . . . : Intel(R) Ethernet Connection
   Physical Address. . . . . . . . . : 3C-52-82-11-22-33
   DHCP Enabled. . . . . . . . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 10.42.18.57(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Lease Obtained. . . . . . . . . . : Monday, February 5, 2026 9:10:01 AM
   Lease Expires . . . . . . . . . . : Monday, February 5, 2026 5:10:01 PM
   Default Gateway . . . . . . . . . : 10.42.18.1
   DNS Servers . . . . . . . . . . . : 10.42.0.10
                                       10.42.0.11

Qué significa: Tienes un lease DHCP válido, gateway y DNS. Si ves 169.254.x.x, DHCP falló; si el gateway está en blanco, no estás enrutando fuera de la subred.

Decisión: Si IP/gateway/DNS faltan o están mal, arregla eso primero (DHCP, VLAN, Wi‑Fi). No toques Winsock todavía.

Task 2: Comprobar tabla de enrutamiento para rutas por defecto (IPv4/IPv6)

cr0x@server:~$ route print
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      10.42.18.1     10.42.18.57     25
       10.42.18.0    255.255.255.0         On-link     10.42.18.57    281
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
::/0                     fe80::1           On-link      25

Qué significa: Existe la ruta por defecto. Si la VPN dejó una ruta por defecto con métrica más alta hacia ninguna parte, parte del tráfico será un agujero negro.

Decisión: Si falta la ruta por defecto o apunta a una interfaz VPN obsoleta, arregla la configuración de enrutamiento/VPN antes de hacer resets.

Task 3: Probar resolución DNS explícitamente

cr0x@server:~$ nslookup www.microsoft.com
Server:  dns01.corp.example
Address:  10.42.0.10

Non-authoritative answer:
Name:    www.microsoft.com
Addresses:  13.107.246.45
           13.107.213.45

Qué significa: DNS responde y devuelve registros A. Si esto agota el tiempo, tienes un problema de alcance DNS o de bloqueo UDP/TCP 53.

Decisión: Si DNS falla, revisa servidores DNS, reglas de firewall o portal cautivo. No culpes a Winsock hasta que DNS responda consistentemente.

Task 4: Evitar DNS y probar TCP 443 a una IP

cr0x@server:~$ powershell -Command "Test-NetConnection 13.107.246.45 -Port 443"
ComputerName     : 13.107.246.45
RemoteAddress    : 13.107.246.45
RemotePort       : 443
InterfaceAlias   : Ethernet
SourceAddress    : 10.42.18.57
TcpTestSucceeded : True

Qué significa: La conectividad de transporte a 443 funciona. Si DNS funciona pero esto falla, estás ante un problema de enrutamiento/MTU/firewall/inspección.

Decisión: Si TcpTestSucceeded es False, salta a comprobaciones de firewall/WFP y sospecha de MTU/VPN.

Task 5: Comprobar si IPv6 es el culpable

cr0x@server:~$ powershell -Command "Test-NetConnection www.microsoft.com -Port 443"
ComputerName     : www.microsoft.com
RemoteAddress    : 2603:1020:201:10::10f
InterfaceAlias   : Ethernet
SourceAddress    : 2001:db8:42:18::57
TcpTestSucceeded : False

Qué significa: DNS devolvió una dirección IPv6 primero; la ruta IPv6 falló. Muchas aplicaciones preferirán IPv6 y luego se comportarán “aleatoriamente” si IPv6 está parcialmente roto.

Decisión: Arregla enrutamiento/RA/DHCPv6 o deshabilita IPv6 solo como diagnóstico temporal. A largo plazo, un IPv6 parcial es peor que no tener IPv6.

Task 6: Inspeccionar proxy WinHTTP (causa común de “apps fallan, el navegador funciona”)

cr0x@server:~$ netsh winhttp show proxy
Current WinHTTP proxy settings:

    Proxy Server(s) : http=proxy.corp.example:8080;https=proxy.corp.example:8080
    Bypass List     : (none)

Qué significa: Los servicios del sistema y muchas aplicaciones empresariales usarán este proxy. Si apunta a un proxy muerto o a un PAC equivocado, la conectividad en segundo plano morirá.

Decisión: Si estás fuera de la red o el proxy es inalcanzable, configura WinHTTP a acceso directo o importa la configuración correcta.

Task 7: Resetear proxy WinHTTP a acceso directo (diagnóstico, no ideología)

cr0x@server:~$ netsh winhttp reset proxy
Current WinHTTP proxy settings:

    Direct access (no proxy server).

Qué significa: WinHTTP ahora conectará directamente. Si las aplicaciones funcionan de repente, tu configuración o alcance del proxy era el problema.

Decisión: O arreglas la alcanzabilidad del proxy (VPN, DNS, rutas) o restauras la configuración correcta vía políticas/PAC.

Task 8: Comprobar configuraciones de proxy a nivel usuario (WinINET)

cr0x@server:~$ reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    ProxyEnable    REG_DWORD    0x1

Qué significa: El usuario tiene un proxy activado. Un proxy obsoleto puede hacer que navegadores y algunas apps fallen mientras otras tienen éxito.

Decisión: Si no deberías usar proxy, desactívalo. Si debes usarlo, confirma que PAC/host/puerto son correctos.

Task 9: Volcar el catálogo de Winsock para identificar proveedores de terceros

cr0x@server:~$ netsh winsock show catalog
Catalog Entries:
------------------------------------
Entry #0000000001
-----------------
Service Provider : MSAFD Tcpip [TCP/IP]
Provider Path    : %SystemRoot%\system32\mswsock.dll

Entry #0000000009
-----------------
Service Provider : Contoso Security LSP
Provider Path    : C:\Program Files\Contoso\NetFilter\contosolsp.dll

Qué significa: Existen proveedores de terceros. Si el DLL falta, tiene versión equivocada o está roto, las aplicaciones fallarán de maneras poco obvias.

Decisión: Si ves proveedores de VPN/AV desinstalados, planifica un reset de Winsock (y probablemente reinstalar/limpiar el producto ofensivo).

Task 10: Ejecutar reset de Winsock (y aceptar el reinicio)

cr0x@server:~$ netsh winsock reset
Successfully reset the Winsock Catalog.
You must restart the computer in order to complete the reset.

Qué significa: Reset del catálogo encolado; reinicio obligatorio para aplicar completamente.

Decisión: Reinicia ahora si estás en un incidente. Si no puedes reiniciar, deja de pretender que lo arreglaste y sigue diagnosticando.

Task 11: Resetear parámetros de la pila TCP/IP (útil cuando las interfaces quedan “pegadas”)

cr0x@server:~$ netsh int ip reset
Resetting Global, OK!
Resetting Interface, OK!
Resetting Neighbor, OK!
Resetting Path, OK!
Restart the computer to complete this action.

Qué significa: Esto restablece configuraciones relacionadas con interfaces de TCP/IP, no los proveedores de Winsock. Útil después de rarezas por VPN/controlador o ajustes manuales.

Decisión: Úsalo cuando el comportamiento de enrutamiento/interfaz sea extraño (gateway/MTU/cache de vecinos). También requiere reinicio para efecto completo.

Task 12: Vaciar caché del cliente DNS (bajo riesgo, a veces decisivo)

cr0x@server:~$ ipconfig /flushdns
Windows IP Configuration

Successfully flushed the DNS Resolver Cache.

Qué significa: Se eliminaron las entradas DNS en caché. Útil cuando cambia DNS dividido (VPN on/off) y la caché guarda respuestas obsoletas.

Decisión: Si el problema ocurre solo después de moverte entre redes o alternar VPN, haz esto temprano.

Task 13: Comprobar perfil y estado del firewall

cr0x@server:~$ netsh advfirewall show allprofiles
Domain Profile Settings:
----------------------------------------------------------------------
State                                 ON

Private Profile Settings:
----------------------------------------------------------------------
State                                 ON

Public Profile Settings:
----------------------------------------------------------------------
State                                 ON

Qué significa: El firewall está activado para todos los perfiles. Eso es normal. La pregunta es si las políticas están bloqueando salidas o forzando inspección.

Decisión: Si la máquina está en una red corporativa pero quedó en perfil Público, arregla la detección de ubicación de red; no desactives el firewall como “prueba” a menos que te gusten los informes de incidentes.

Task 14: Identificar si NCSI miente sobre la conectividad a internet

cr0x@server:~$ reg query "HKLM\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet" /v EnableActiveProbing

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet
    EnableActiveProbing    REG_DWORD    0x1

Qué significa: Windows usa sondeos activos para decidir si hay “internet”. Si los endpoints de sondeo están bloqueados, Windows puede mostrar “Sin internet” incluso cuando la conectividad existe.

Decisión: Si los usuarios se quejan del icono pero las apps funcionan, tienes un problema de NCSI/sondeo, no de transporte.

Task 15: Comprobación rápida de MTU (síntoma: TLS se queda, algunos sitios fallan)

cr0x@server:~$ ping -f -l 1472 8.8.8.8
Pinging 8.8.8.8 with 1472 bytes of data:
Packet needs to be fragmented but DF set.
Packet needs to be fragmented but DF set.
Ping statistics for 8.8.8.8:
    Packets: Sent = 2, Received = 0, Lost = 2 (100% loss)

Qué significa: La MTU del camino es menor que 1500 (1472 payload + 28 cabeceras). Las VPNs y túneles suelen reducir MTU; PMTUD roto hace que paquetes grandes sean agujeros negros.

Decisión: Si esto sucede, baja la MTU de la interfaz o arregla PMTUD/bloqueo ICMP en la ruta. El reset de Winsock no tocará esto.

Broma 2: Si tu “optimizador de red” promete internet 300% más rápido, normalmente está optimizando tu tiempo gastado reiniciando.

Tres minihistorias corporativas desde la trinchera

Mini-historia 1: El incidente causado por una suposición equivocada

En una empresa mediana, el helpdesk tenía un ritual: cada vez que una app no podía conectar, hacían flush DNS y reiniciaban. Funcionaba lo suficiente como para volverse doctrina. Luego se desplegó un nuevo cliente VPN, y en días las incidencias de “pérdida aleatoria de internet” se dispararon. El patrón era extraño: los navegadores casi siempre funcionaban, pero Teams, Outlook y herramientas internas que usaban servicios del sistema fallaban.

Alguien supuso “DNS está roto” porque estaban involucrados nombres. Cambiaron los servidores DNS, luego aumentaron el tamaño de caché DNS. Nada ayudó. En realidad dificultaron la resolución porque ahora varias variables cambiaron a la vez. Movimiento corporativo clásico: si no está claro, cambia más cosas.

La verdadera causa: el instalador de la VPN añadió una configuración de proxy WinHTTP, pensada para usarse solo cuando se está conectado a la red corporativa. Pero no la limpió o la dejó en bypass cuando se desconectaba. Usuarios fuera de la oficina acabaron con componentes del sistema intentando proxy por un host inalcanzable. El tráfico del navegador no usaba ese camino consistentemente, así que el navegador seguía “bien”, reforzando la suposición equivocada.

La solución fue aburrida: resetear WinHTTP proxy a directo para usuarios fuera de la red y ajustar la política de la VPN para establecer y limpiar esa configuración de forma fiable. También escribieron un runbook de una página: “El navegador funciona, las apps fallan: revisar proxy WinHTTP.” Las incidencias bajaron rápido.

Mini-historia 2: La optimización que salió mal

Un equipo de seguridad desplegó un módulo de inspección de tráfico para detectar exfiltración. Se insertó en la pila de red, porque ahí es donde está el tráfico. El despliegue fue por fases, y los primeros usuarios juraban que nada cambió. Entonces llegó el ciclo de parches trimestral.

Tras el martes de parches, un subconjunto de máquinas comenzó a perder conectividad “aleatoriamente”, especialmente después de suspender/reanudar. No era un corte total; era peor. Algunas apps agotaban el tiempo, otras conectaban lento, y los fallos no eran consistentes entre máquinas. Los ingenieros perdieron días persiguiendo drivers de Wi‑Fi y puntos de acceso.

La “optimización” era un ajuste de rendimiento: el módulo de inspección habilitó pooling agresivo de conexiones y alteró ciertos comportamientos de socket para reducir la sobrecarga. Bajo un timing específico—suspender/reanudar y cambios rápidos de red—la cadena de proveedores acababa en un estado malo, haciendo que llamadas a connect() se quedaran colgadas hasta timeout. Eso parecía “internet caído” pero no lo era. Era creación de socket y evaluación de políticas atascadas.

El reset de Winsock arregló temporalmente las máquinas afectadas al reconstruir el catálogo y vaciar el estado de la cadena de proveedores, lo que facilitó el diagnóstico erróneo de “Windows es inestable.” La solución real fue un parche al módulo y un cambio en la práctica de despliegue: no más “optimizaciones silenciosas a nivel de controlador” sin rollback escalonado y comprobaciones explícitas de salud para suspend/reanudar y transiciones VPN.

Mini-historia 3: La práctica aburrida pero correcta que salvó el día

Otra organización funcionaba de forma disciplinada. No perfecta, pero ordenada. Mantenían un script estándar de “sanidad de red” que recopilaba: configuración IP, rutas, pruebas de resolución DNS, estado de proxy y un volcado del catálogo Winsock. Cada vez que un usuario reportaba conectividad intermitente, ejecutaban ese mismo paquete antes de hacer cualquier reset.

Una semana, llegaron una oleada de tickets: “La app interna no puede alcanzar la API, pero internet funciona.” El paquete mostró una pista consistente: la ruta por defecto estaba correcta, DNS estaba correcto, pero TCP 443 hacia el balanceador interno fallaba solo cuando se prefería IPv6. La ruta IPv6 existía, pero el camino estaba roto más allá del primer salto. Las apps que usaban IPv4 seguían funcionando; las que preferían IPv6 fallaban “aleatoriamente”.

Como tenían salidas base de máquinas sanas, pudieron comparar rápido y escalar con evidencia al equipo de red. La causa raíz fue un RA mal configurado en un segmento que anunciaba conectividad IPv6 que en realidad no estaba enrutable al centro de datos. La solución fue en el lado de red, no en los endpoints.

La práctica aburrida—recopilar antes de resetear—les ahorró desplegar un “arreglo Winsock” masivo que no habría cambiado nada. También le ahorró al equipo de red el ticket clásico e inútil: “internet roto por favor arreglen.” Recibieron un ticket preciso: “Ruta IPv6 por defecto presente; TCP 443 falla solo sobre IPv6; aquí está el traceroute e interfaz.” Así se consiguen arreglos rápidos en la vida corporativa.

Errores comunes: síntoma → causa raíz → solución

Esta es la sección donde dejas de hacer danza interpretativa con la pila de red.

1) Síntoma: Icono “Conectado, sin internet”, pero el navegador funciona

Causa raíz: Sondeo activo NCSI bloqueado por política de firewall/proxy; Windows etiqueta mal la conectividad.

Solución: Permitir el mecanismo de sondeo a través de los controles corporativos o configurar la política apropiadamente. No “lo arregles” deshabilitando NCSI a menos que te guste romper el comportamiento de la VPN y la confianza de los usuarios.

2) Síntoma: El navegador funciona, Teams/Outlook/tienda fallan

Causa raíz: Proxy WinHTTP mal configurado o inalcanzable; WinINET (navegador) usa una ruta de proxy diferente.

Solución: netsh winhttp show proxy, reset/importa el proxy correcto, asegúrate de que la VPN establezca/limpie el proxy consistentemente.

3) Síntoma: DNS resuelve, pero la conexión TCP agota el tiempo en muchos sitios

Causa raíz: Intercepción de firewall/WFP bloqueando salidas, o la ruta por defecto apunta a una interfaz obsoleta.

Solución: Revisa políticas/eventos del firewall, valida route print, elimina adaptadores/ rutas VPN obsoletos, y considera reset de Winsock si la cadena de proveedores está corrupta.

4) Síntoma: Funciona hasta desconectar la VPN; luego nada conecta

Causa raíz: Driver/proveedor de filtro de la VPN quedó en mal estado; ajustes de proxy o rutas no se revirtieron; sufijo/búsqueda de DNS atascado.

Solución: Actualizar/reparar el cliente VPN, resetear proxy a directo, vaciar DNS, luego reset de Winsock + reinicio si los proveedores están pegados.

5) Síntoma: Solo fallan descargas grandes o algunos sitios HTTPS; pings pequeños funcionan

Causa raíz: MTU/PMTUD en agujero negro, a menudo vía VPN o túneles GRE/IPsec con ICMP bloqueado.

Solución: Diagnostica con ping DF, ajusta la MTU en la interfaz o arregla el manejo de ICMP “fragmentation‑needed” en la política de red.

6) Síntoma: Tras actualizar software de seguridad, timeouts aleatorios y resets

Causa raíz: Driver de callout WFP roto o proveedor tipo LSP corrupto; entradas de catálogo apuntan a versiones de DLL que no coinciden.

Solución: Parche/rollback del proveedor; reset de Winsock puede limpiar la corrupción del catálogo pero no arreglará un driver de filtrado con bugs.

7) Síntoma: Nombres internos resuelven al entorno equivocado (prod vs dev), de forma intermitente

Causa raíz: DNS dividido y cambios en el orden de sufijos de búsqueda con transiciones de red; caché DNS obsoleta.

Solución: Vacía DNS, asegúrate de que la configuración DNS de la VPN es correcta, verifica la lista de sufijos de búsqueda y evita hardcodear servidores DNS en endpoints.

Listas de verificación / plan paso a paso

Checklist A: Triage en una máquina (10 minutos, sin heroicidades)

  1. Ejecuta ipconfig /all. Confirma IP, gateway, DNS y lease. Si está roto: arregla enlace/DHCP primero.
  2. Ejecuta route print. Confirma rutas por defecto, especialmente tras transiciones de VPN.
  3. Ejecuta nslookup para un dominio conocido. Si falla: enfócate en alcance DNS.
  4. Ejecuta Test-NetConnection a una IP:443. Si falla: enfócate en enrutamiento/firewall/MTU.
  5. Revisa proxy WinHTTP: netsh winhttp show proxy. Si está mal: reset/importa proxy correcto.
  6. Vuelca catálogo Winsock: netsh winsock show catalog. Busca proveedores de terceros ligados a instalaciones/actualizaciones recientes.
  7. Si la cadena de proveedores parece sospechosa y los síntomas coinciden: netsh winsock reset y reinicia.

Checklist B: “Ejecuté Winsock reset y sigue fallando” (bien, ahora hacemos el trabajo real)

  1. Revisa de nuevo settings de proxy (tanto WinHTTP como proxy de usuario). El reset de Winsock no arregla el estado de proxy.
  2. Prueba IPv4 vs IPv6 por separado. Prefiere deshabilitar IPv6 solo como confirmación temporal.
  3. Comprueba MTU con ping DF; verifica que el overhead de VPN/túnel no esté creando agujeros negros.
  4. Valida perfiles de firewall y si hay filtrado de seguridad de terceros instalado.
  5. Busca problemas de drivers: logs de eventos, gestión de energía de la NIC, triggers de suspend/resume.

Checklist C: Práctica para la flota (qué estandarizar para que esto deje de ser “aleatorio”)

  1. Estandarizar versiones del cliente VPN y hacer cumplir procesos limpios de desinstalación/reinstalación.
  2. Prohibir herramientas “optimizadoras de internet” en las imágenes corporativas. Rara vez optimizan lo que necesitas.
  3. Mantener un script de diagnóstico y recopilar salidas antes de resets.
  4. Definir una estrategia clara de proxy: PAC vs estático, WinHTTP vs WinINET, on‑network vs off‑network.
  5. Rastrear cambios: upgrades de seguridad en endpoints, upgrades de VPN, actualizaciones de drivers. Correlacionar con picos de tickets.

Preguntas frecuentes

1) ¿El reset de Winsock borra mis adaptadores de red?

No. Resetea el catálogo de Winsock (proveedores). Tus adaptadores permanecen. Pero debes reiniciar, y algún software que insertó proveedores puede necesitar reparación/reinstalación.

2) ¿Por qué reiniciar “lo arregla” aunque no cambió nada?

El reinicio borra estado en caché: registros de proveedores, estado de drivers, caches de vecinos y servicios atascados en medio de un fallo. Es una herramienta contundente que oculta causas raíz.

3) ¿Debo ejecutar ambos netsh winsock reset y netsh int ip reset?

Sólo cuando tengas evidencia de dos cosas: rarezas en la cadena de proveedores (Winsock) y rarezas en parámetros de interfaz/pila (TCP/IP). Ejecutarlos a ciegas es cómo pierdes pista de qué lo arregló.

4) ¿Por qué solo fallan algunas apps y no todas?

Las apps usan pilas diferentes (WinHTTP vs WinINET), diferentes configuraciones de proxy, diferentes comportamientos de DNS y preferencias distintas entre IPv4/IPv6. El fallo selectivo es esperado en sistemas por capas.

5) ¿Puede una VPN causar problemas de Winsock incluso después de desinstalarla?

Sí. Si la desinstalación deja registros de proveedores obsoletos o drivers de filtrado, la pila de red puede seguir intentando enrutar llamadas por algo que ya no existe o que ya no funciona.

6) ¿Es un problema de DNS si nslookup funciona?

No necesariamente. La resolución DNS puede tener éxito mientras el transporte falla. Separa “¿puedo resolver?” de “¿puedo conectar?” usando una prueba TCP directa a un puerto.

7) ¿Por qué Windows muestra “Sin internet” cuando puedo navegar?

Windows usa comprobaciones de conectividad (NCSI) que pueden estar bloqueadas por políticas o proxy. El icono es una pista, no un veredicto.

8) ¿Cuándo debo sospechar MTU/PMTUD en lugar de Winsock?

Si el tráfico pequeño funciona (DNS, HTTP pequeño) pero transferencias HTTPS grandes se quedan, o solo ciertos sitios fallan, especialmente sobre VPN. Prueba con ping DF y ajusta MTU o manejo de ICMP.

9) ¿Desactivar el firewall es un buen paso de diagnóstico?

No en entornos corporativos. Cambiarás la postura de seguridad y aún podrías no evitar filtros WFP de terceros. Prefiere comprobaciones dirigidas: perfil, reglas y pruebas controladas de puertos.

10) ¿Cuál es la “secuencia de resets” más segura si estoy atascado?

En orden: vacía DNS, resetea el proxy WinHTTP a conocido/funcional, luego Winsock reset + reinicio. Solo añade reset de TCP/IP si el comportamiento de la interfaz está claramente corrupto.

Siguientes pasos que deberías tomar

Si las aplicaciones pierden internet aleatoriamente en Windows, deja de tratarlo como un misterio y empieza a tratarlo como un sistema por capas con una capa rota.

  1. Ejecuta el guion rápido de diagnóstico y separa DNS vs transporte vs política.
  2. Revisa proxies (WinHTTP y proxy de usuario). Es el arreglo de mayor ROI para “apps fallan, navegador funciona”.
  3. Inspecciona el catálogo Winsock cuando sospeches intercepción de terceros. Si está contaminado o obsoleto, resetealo y reinicia.
  4. No apliques resets en masa en la flota sin recolectar salidas base primero; arregla la capa que falla realmente.
  5. Escala con evidencia: tabla de rutas, estado de proxy, pruebas IPv4/IPv6 y si los fallos coinciden con actualizaciones de VPN/seguridad.

El reset de Winsock es una buena herramienta. No es un estilo de vida. Úsala cuando la cadena de proveedores sea la sospechosa y sé lo suficientemente disciplinado para probarlo.

← Anterior
Postfix: Manual de colapso de la cola (cuando el correo se detiene de repente)
Siguiente →
Reparación de arranque GPT/MBR: arreglar «No Boot Device» sin pérdida de datos

Artículos relacionados

El truco del ‘arranque limpio’: aisla la aplicación problemática en menos de 10 minutos febrero 28, 2026 Calor, ventiladores y throttling: demuestra que es térmico (o no) con herramientas integradas febrero 27, 2026 Windows Update atascado: soluciona sin formatear el PC febrero 26, 2026 Uso de disco al 100%: las causas reales (y las soluciones reales) febrero 25, 2026 Solucionar el bucle “Su dispositivo carece de correcciones importantes de seguridad y calidad” febrero 22, 2026 Drenaje de batería del portátil durante la noche: el estado de suspensión que miente febrero 21, 2026 Reparación de errores de disco al arrancar: Qué hacer antes de que empeore febrero 21, 2026 Picos de CPU cada pocos minutos: la tarea programada que debes revisar primero febrero 21, 2026 Visor de eventos para humanos: encuentra errores reales en 5 minutos febrero 18, 2026 Bloqueos aleatorios sin BSOD: el registro que revela al culpable febrero 17, 2026

Deja un comentario