📂 SMBv1, LLMNR y Print Spooler: los servicios que propagaron WannaCry y cómo desactivarlos
hace 4 meses
Servicios de compartición Windows: cómo desactivarlos hoy mismo con PowerShell
Los servicios de compartición Windows son uno de los principales vectores de ataque en redes locales: WannaCry propagó ransomware a 200.000 equipos en 150 países en cuestión de horas, aprovechando exactamente los servicios de compartición Windows que la mayoría de usuarios domésticos tienen activos sin saberlo.
En esta cátedra técnica de ciberseguridad documentamos cómo SMBv1, LLMNR, NetBIOS y Print Spooler son protocolos con vulnerabilidades documentadas y activamente explotadas, y cómo un único script de PowerShell los desactiva todos en segundos. Según la alerta oficial de CISA sobre WannaCry, la deshabilitación de SMBv1 es la medida preventiva prioritaria. Para guías técnicas sobre NTLM relay, Responder, Pass-the-Hash y EternalBlue accede a nuestro vademécum técnico de Windows seguro.
💡 Resumen rápido
📂 Servicios de compartición Windows: cómo desactivarlos con PowerShell
- ✅ 5 vulnerabilidades: SMBv1 (EternalBlue), LLMNR, NetBIOS, Print Spooler y Remote Registry
- ✅ Script PowerShell completo con punto de restauración automático
- ✅ 7 tareas programadas: inicio, logon, horaria, red nueva, nuevo servicio, cambio de modo y auditoría semanal
- ✅ Detección reactiva ante reactivaciones silenciosas (eventos 7045 y 7040)
- ✅ Instalación en un solo comando desde PowerShell
- ✅ Problemas conocidos y soluciones documentados
📅 2026 · 🕐 10 minutos de lectura
📌 ¿Qué son los servicios de compartición Windows?
Los servicios de compartición Windows incluyen la compartición de archivos, impresoras y carpetas en red mediante el protocolo SMB. Activos por defecto en la mayoría de equipos, estos protocolos mal configurados representan una superficie de ataque amplia.
- 📁 Compartición de archivos y carpetas — acceso al sistema de archivos desde otros equipos mediante SMB
- 🖨️ Compartición de impresoras — Print Spooler y servicio de impresión en red local
- 🔍 Resolución de nombres de red — LLMNR y NetBIOS como alternativas al DNS
- 📋 Registro remoto — servicio que permite acceso y modificación remota del registro
- 🌐 Detección de equipos en red — Computer Browser para enumerar dispositivos en LAN
| Servicio | Puerto | Riesgo |
|---|---|---|
| SMB | TCP 445 | 🔴 EternalBlue, WannaCry, movimiento lateral |
| NetBIOS Session | TCP 139 | 🔴 Captura NTLM, relay attacks |
| NetBIOS Name | UDP 137 | 🟠 NBT-NS spoofing |
| LLMNR | UDP 5355 | 🔴 LLMNR poisoning con Responder/Inveigh |
| Print Spooler | RPC dinámico | 🔴 PrintNightmare, escalada a SYSTEM |
| Remote Registry | RPC sobre 445 | 🟠 Persistencia, recolección de hashes |
| Computer Browser | UDP 137-138 | 🟡 Reconocimiento previo a movimiento lateral |
🚨 Riesgos de los servicios de compartición Windows mal configurados
| Servicio | CVE / Vulnerabilidad | Vector | MITRE | Nivel |
|---|---|---|---|---|
| SMBv1 | CVE-2017-0144 EternalBlue (CVSS 9.3) | Ejecución remota sin autenticación | T1210 | 🔴 Crítico |
| LLMNR | LLMNR poisoning | Captura hashes NTLM con Responder | T1557.001 | 🟠 Alto |
| NetBIOS | NBT-NS spoofing | Captura credenciales y relay attack | T1557.001 | 🟠 Alto |
| Print Spooler | CVE-2021-34527 PrintNightmare (CVSS 8.8) | Escalación a SYSTEM mediante DLL | T1210 | 🔴 Crítico |
| Remote Registry | Modificación remota del registro | Persistencia sin presencia física | T1112 | 🟠 Alto |
Cerrar estos servicios elimina los vectores de ataque más críticos de la red local, pero los puertos que Windows mantiene abiertos por defecto van más allá de SMB y NetBIOS. Para un cierre sistemático de todos los puertos de alto riesgo consulta la guía de cómo bloquear puertos peligrosos en Windows.
⚙️ Script completo SharingDisable-Guard con 7 tareas programadas
C:\Logs\sharing-disable-guard.log y CSV en C:\Logs\sharing-disable-guard-historico.csv.📅 Las 7 tareas programadas
| Tarea | Disparador | Propósito |
|---|---|---|
SharingDisable-Guard-Inicio | Al iniciar Windows | Reaplica el bloqueo tras Windows Update (vector nº1 de reactivación silenciosa) |
SharingDisable-Guard-Logon | Al iniciar sesión | Verifica al iniciar sesión; detecta software que haya reactivado servicios |
SharingDisable-Guard-Horaria | Cada hora | Vigilancia continua; revierte cambios en menos de una hora |
SharingDisable-Guard-Red | Evento 10000 (red nueva) | Al conectar a red nueva verifica LLMNR/NetBIOS; momento crítico para poisoning |
SharingDisable-Guard-NuevoServicio | Evento 7045 (servicio instalado) | Cuando un instalador registra un servicio nuevo, reaplica el bloqueo al instante |
SharingDisable-Guard-CambioServicio | Evento 7040 (cambio arranque) | Revierte cambios de Disabled a Automatic en servicios bloqueados |
SharingDisable-Guard-Auditoria | Domingo 3:00 AM (semanal) | Snapshot completo semanal en el CSV histórico |
📥 Cómo instalar el script — un solo comando
Abre PowerShell como administrador y pega este comando. El script se descarga, instala y ejecuta automáticamente creando las 7 tareas programadas:
⚙️ Pega este comando en PowerShell como administrador:
👉 Pulsa Windows → escribe PowerShell → clic derecho → Ejecutar como administrador
Invoke-WebRequest -Uri "https://seguridadenmipc.com/wp-content/uploads/2026/06/Comparticion-Windows.txt" -OutFile "$HOME\sharing-disable-guard.ps1" -UseBasicParsing; Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass -Force; & "$HOME\sharing-disable-guard.ps1"
⚠️ Problemas conocidos y soluciones
Start-Transcript captura toda la salida al log. Verifica con: Get-Content C:\Logs\sharing-disable-guard.log -Tail 30Set-Service -Name Spooler -StartupType Automatic; Start-Service Spooler.↩️ Script de reversión (elimina las 7 tareas y reactiva servicios)
Elimina primero las 7 tareas programadas o el bloqueo se reaplicará en el siguiente disparador. SMBv1, LLMNR y NetBIOS se mantienen desactivados por seguridad.
# ============================================================
# Revertir SharingDisable-Guard
# ============================================================
# 1. ELIMINAR PRIMERO las 7 tareas programadas
$tareas = @(
"SharingDisable-Guard-Inicio",
"SharingDisable-Guard-Logon",
"SharingDisable-Guard-Horaria",
"SharingDisable-Guard-Red",
"SharingDisable-Guard-NuevoServicio",
"SharingDisable-Guard-CambioServicio",
"SharingDisable-Guard-Auditoria"
)
foreach ($t in $tareas) {
if (Get-ScheduledTask -TaskName $t -ErrorAction SilentlyContinue) {
Unregister-ScheduledTask -TaskName $t -Confirm:$false
Write-Host "[OK] Tarea $t eliminada." -ForegroundColor Green
}
}
# 2. Reactivar Print Spooler (necesario para impresoras)
Set-Service -Name Spooler -StartupType Automatic
Start-Service -Name Spooler
Write-Host "[OK] Spooler reactivado." -ForegroundColor Green
# NOTA: SMBv1, LLMNR y NetBIOS se mantienen desactivados por seguridad.
Write-Host "[OK] SharingDisable revertido. Reinicia el equipo." -ForegroundColor Green
Write-Host " SMBv1, LLMNR y NetBIOS se mantienen desactivados." -ForegroundColor Yellow🔎 Cómo verificar que el bloqueo está activo
💡 Comandos de verificación (PowerShell como administrador):
Invoke-WebRequest -Uri "https://seguridadenmipc.com/wp-content/uploads/2026/06/Comparticion-Windows.txt" -OutFile "$HOME\sharing-disable-guard.ps1" -UseBasicParsing; Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass -Force; & "$HOME\sharing-disable-guard.ps1"
Las 7 tareas deben estar en Ready con LastTaskResult = 0. Si CambiosAplicados sube con frecuencia en el CSV, las tareas están revirtiendo reactivaciones silenciosas.
✅ Checklist post-instalación:
- ☑
Get-WindowsOptionalFeature -Online -FeatureName SMB1ProtocoldevuelveState: Disabled - ☑
Get-SmbServerConfiguration | Select EnableSMB1ProtocoldevuelveFalse - ☑ Servicios Spooler, RemoteRegistry y Browser en
Stopped / Disabled - ☑
net sharesolo muestraIPC$ - ☑ 7 tareas en estado Ready en taskschd.msc
- ☑ Log en
C:\Logs\sharing-disable-guard.logsin errores críticos - ☑ CSV en
C:\Logs\sharing-disable-guard-historico.csvcon la primera entrada
⚠️ Riesgos y efectos del script
| Función | ¿Afectada? | Detalle |
|---|---|---|
| Inicio de sesión local | 🟢 No | No modifica LSASS ni políticas de cuentas |
| Navegación web y banca online | 🟢 No | Solo bloquea servicios de red local; el tráfico 80/443 no se toca |
| DNS normal | 🟢 No | Solo desactiva LLMNR como fallback; el DNS tradicional sigue funcionando |
| Impresión a impresora USB local | 🔴 Sí (a propósito) | Spooler deshabilitado detiene toda impresión. Usa el script de reversión parcial si tienes impresora |
| Compartición de carpetas en red | 🔴 Sí (SMBv1) | SMBv1 desactivado; SMBv2/v3 siguen funcionando |
| NAS antiguo con solo SMBv1 | 🔴 Sí | NAS pre-2018 que solo soportan SMBv1 dejarán de ser accesibles |
| Detección de equipos en "Red" | 🔴 Sí (a propósito) | Browser + NetBIOS desactivados = equipos no aparecen en la pestaña Red |
| Carga de CPU (7 tareas) | 🟡 Mínima | Menos de 5 segundos por ejecución; menos de 2 min/día total |
🆚 Servicios activos vs desactivados
| Característica | Activos | Desactivados con SharingDisable-Guard |
|---|---|---|
| Riesgo SMBv1 | 🔴 EternalBlue / WannaCry | 🟢 Eliminado |
| Riesgo LLMNR/NetBIOS | 🔴 Captura hashes NTLM y relay attack | 🟢 Eliminado |
| Riesgo Print Spooler | 🔴 PrintNightmare, escalación a SYSTEM | 🟢 Eliminado |
| Reactivación tras Windows Update | 🔴 Frecuente y silenciosa | 🟢 Tarea de inicio reaplica el bloqueo |
| Reactivación por instalador | 🔴 Inadvertida | 🟢 Evento 7045 dispara tarea reactiva |
| Cambio manual de arranque | 🔴 No se detecta | 🟢 Evento 7040 revierte el cambio al instante |
🏁 Conclusión
Desactivar los servicios de compartición Windows innecesarios es una de las medidas de hardening de red con mayor impacto y menor coste. El script SharingDisable-Guard reduce drásticamente la superficie de ataque en un solo paso y sus 7 tareas programadas garantizan que el bloqueo no se pierda tras actualizaciones, instalaciones o cambios de red. Las tareas reactivas por eventos 7045 y 7040 lo convierten en una solución de auto-defensa continua.
🔐 Resumen de acciones recomendadas
- ✅ Ejecuta el comando de instalación en PowerShell como administrador
- ✅ Verifica con
Get-Content C:\Logs\sharing-disable-guard.log -Tail 30 - ✅ Confirma las 7 tareas con
Get-ScheduledTask -TaskName "SharingDisable-Guard-*" - ✅ Verifica SMBv1:
Get-SmbServerConfiguration | Select EnableSMB1Protocol - ✅ Revisa el CSV histórico semanalmente
- ✅ Si tienes impresora, reactiva Spooler con el comando de reversión parcial
Comparte este artículo con quien tenga SMBv1 activo sin saberlo. WannaCry infectó 200.000 equipos aprovechando exactamente estos servicios de compartición Windows que la mayoría tiene activos por defecto.
❓ Preguntas frecuentes
¿Son peligrosos los servicios de compartición Windows?
👉 Sí. SMBv1 fue el vector de WannaCry y NotPetya. LLMNR permite capturar hashes NTLM en la red local sin privilegios previos. Print Spooler activo permitió escalada a SYSTEM con PrintNightmare. Desactivar los que no se usan es la recomendación de Microsoft, CISA y el CIS Benchmark nivel 1.
¿Por qué 7 tareas programadas?
👉 Cada tarea cubre un vector distinto de reactivación. La más crítica es la del evento 7040 (cambio de arranque de servicio): revierte al instante cualquier intento de poner Disabled a Automatic. Sin ella, una actualización de Windows o un instalador podría reactivar SMBv1 o Spooler en silencio.
¿Qué son los eventos 7045 y 7040?
👉 El 7045 se registra cuando se instala un servicio nuevo. El 7040 cuando un servicio cambia su tipo de arranque de Disabled a Automatic. Son los dos eventos más importantes para detectar reactivaciones silenciosas de los servicios bloqueados.
¿Cómo consulto las tareas programadas?
👉 PowerShell: Get-ScheduledTask -TaskName "SharingDisable-Guard-*" | Select TaskName, State, LastRunTime, LastTaskResult. GUI: Win+R → taskschd.msc → Biblioteca → SharingDisable-Guard-*.
¿Qué hago si la impresora deja de funcionar?
👉 Set-Service -Name Spooler -StartupType Automatic; Start-Service Spooler. Luego ejecuta el script de reversión para eliminar las tareas que lo volverían a deshabilitar.
¿SMBv2 y SMBv3 también se desactivan?
👉 No. El script solo desactiva SMBv1. SMBv2 y SMBv3 son versiones modernas con cifrado y autenticación mejorada; deben mantenerse activos. Nunca desactives SMBv2 o SMBv3.
Deja una respuesta