Cómo bloquear puertos peligrosos en Windows: Telnet, SSH, TeamViewer y más

Si alguna vez te has preguntado cómo bloquear puertos peligrosos en Windows, estás en el lugar correcto. Servicios como Telnet, SSH, SSHD o TeamViewer abren puertas de acceso remoto a tu equipo que, si no están correctamente configuradas o protegidas, pueden convertirse en vectores de ataque para ciberdelincuentes. En este artículo aprenderás qué son estos protocolos, qué riesgos representan, y cómo detectarlos, bloquearlos y eliminarlos paso a paso.

¿Qué son los puertos de acceso remoto y por qué son peligrosos?

Los puertos de acceso remoto son canales de comunicación abiertos en tu sistema operativo que permiten que aplicaciones o servicios externos se conecten a tu ordenador. Algunos de estos servicios son legítimos y necesarios en entornos corporativos; sin embargo, cuando están activos en equipos domésticos o sin la configuración adecuada, suponen un riesgo grave de seguridad informática.

Los atacantes escanean Internet continuamente en busca de equipos con estos puertos abiertos para lanzar ataques de fuerza bruta, explotar vulnerabilidades conocidas o instalar malware de acceso remoto (RAT). Conocer qué puertos bloquear en el firewall de Windows es clave. Saber cómo bloquear puertos peligrosos en Windows es una de las medidas preventivas más eficaces que puedes tomar.

Telnet: el protocolo más inseguro que aún existe y por qué debes bloquear este puerto peligroso en Windows

¿Qué es Telnet?

Telnet es un protocolo de red creado en 1969 que permite el acceso remoto a sistemas a través del puerto TCP 23. Transmite todos los datos, incluidos nombre de usuario y contraseña, en texto plano sin cifrado. Fue diseñado en una era en que la seguridad no era una prioridad, y hoy está considerado obsoleto y extremadamente peligroso.

Riesgos de Telnet

• Intercepción de credenciales: cualquier atacante en la misma red puede capturar tu usuario y contraseña con herramientas como Wireshark.
• Ataques Man-in-the-Middle (MitM): el tráfico no cifrado puede ser interceptado y modificado en tránsito.
• Ataques de fuerza bruta: el puerto 23 es escaneado de forma masiva por bots automatizados.
• Vector de propagación de malware: botnets como Mirai (consulta también cómo bloquear otros protocolos de red heredados como NetBIOS) utilizaron Telnet para infectar millones de dispositivos IoT.

Desactivar Telnet es uno de los pasos más básicos al aprender cómo bloquear puertos peligrosos en Windows, pero no el único.

SSH y SSHD: potente pero también objetivo prioritario

¿Qué es SSH?

SSH (Secure Shell) es el sucesor seguro de Telnet. Utiliza cifrado fuerte para proteger las comunicaciones de acceso remoto y opera por defecto en el puerto TCP 22. SSHD es el daemon o servicio servidor de SSH que escucha conexiones entrantes. Aunque SSH es seguro por diseño, sigue siendo uno de los puertos más atacados en Internet y uno de los primeros que debes considerar al aprender cómo bloquear puertos peligrosos en Windows.

Riesgos de SSH/SSHD

• Fuerza bruta al puerto 22: millones de intentos de login automatizados diariamente.
• Claves privadas comprometidas: si un atacante roba tu clave privada SSH, tiene acceso total.
• Túneles SSH maliciosos: los atacantes pueden usarlos para exfiltrar datos o saltar a otras redes internas.
• Versiones vulnerables: versiones antiguas de OpenSSH tienen CVEs conocidos explotables en la base NVD del NIST.
• Reenvío de agente SSH: mal configurado, puede permitir movimiento lateral en redes corporativas.

TeamViewer y herramientas similares de escritorio remoto

¿Qué es TeamViewer?

TeamViewer es una aplicación de escritorio remoto muy popular que utiliza los puertos TCP/UDP 5938 (principal), 443 y 80 como fallback. Permite controlar un ordenador de forma remota de manera gráfica. Aunque legítima, es también una herramienta frecuentemente abusada en estafas de soporte técnico falso y ataques dirigidos, por lo que saber cómo bloquear puertos peligrosos en Windows como el 5938 es fundamental.

Herramientas similares a TeamViewer

Existen numerosas aplicaciones con funcionalidad equivalente que presentan riesgos similares. Dominar cómo bloquear puertos peligrosos en Windows incluye gestionar correctamente todas estas herramientas:

• AnyDesk (puerto 7070 TCP/UDP)
• RDP / Remote Desktop Protocol de Windows (puerto 3389 TCP)
• VNC – Virtual Network Computing (puertos 5900-5906 TCP)
• LogMeIn (puertos 443 y 80)
• Chrome Remote Desktop (a través de HTTPS/443)
• Rustdesk (puertos 21115-21119 TCP/UDP)

Riesgos de las herramientas de acceso remoto

• Estafas de soporte técnico: el atacante engaña a la víctima para que instale la herramienta y ceda el control.
• Persistencia de malware: se instalan versiones sin interfaz (headless) como puerta trasera.
• Credenciales robadas: si el atacante tiene tu ID y contraseña de TeamViewer, accede sin interacción.
• Exfiltración de datos: con acceso remoto completo, el atacante puede copiar archivos libremente.
• RDP expuesto: el puerto 3389 abierto a Internet es uno de los vectores de ransomware más comunes.

Tabla comparativa de puertos y riesgos

Cómo detectar puertos abiertos en tu ordenador con Windows

Antes de bloquear nada, necesitas saber qué puertos tienes abiertos en Windows. Los siguientes scripts te dan una radiografía completa de tu sistema para identificar y bloquear puertos peligrosos en Windows con precisión.

Script 1: Ver todos los puertos abiertos y el proceso asociado

Abre el Símbolo del sistema como administrador (busca cmd, clic derecho → Ejecutar como administrador) y ejecuta:

netstat -ano | findstr "LISTENING"

Esto muestra todos los puertos en escucha. La última columna es el PID (identificador del proceso). Para saber qué programa usa un PID concreto:

tasklist /FI "PID eq 1234"

Sustituye 1234 por el PID que quieras investigar.

Script 2: Detectar específicamente puertos peligrosos (PowerShell)

Abre PowerShell como administrador y ejecuta el siguiente script. Detecta automáticamente si los puertos de Telnet, SSH, RDP, VNC y herramientas de escritorio remoto están activos:

# Script: Detector de puertos peligrosos
# Autor: seguridadenmipc.com
# Ejecutar en PowerShell como Administrador

$puertos_peligrosos = @{
    23   = "Telnet"
    22   = "SSH / SSHD"
    3389 = "RDP (Escritorio Remoto)"
    5900 = "VNC"
    5938 = "TeamViewer"
    7070 = "AnyDesk"
    5800 = "VNC (HTTP)"
    992  = "Telnet sobre TLS"
}

Write-Host "============================================" -ForegroundColor Cyan
Write-Host " ANALISIS DE PUERTOS PELIGROSOS - seguridadenmipc.com" -ForegroundColor Cyan
Write-Host "============================================`n" -ForegroundColor Cyan

$conexiones = Get-NetTCPConnection -ErrorAction SilentlyContinue

foreach ($puerto in $puertos_peligrosos.Keys) {
    $activo = $conexiones | Where-Object { $_.LocalPort -eq $puerto -and $_.State -eq "Listen" }
    if ($activo) {
        $proceso = Get-Process -Id $activo.OwningProcess -ErrorAction SilentlyContinue
        Write-Host "[!] ALERTA: Puerto $puerto ($($puertos_peligrosos[$puerto])) ABIERTO" -ForegroundColor Red
        Write-Host "    Proceso: $($proceso.Name) (PID: $($activo.OwningProcess))" -ForegroundColor Yellow
    } else {
        Write-Host "[OK] Puerto $puerto ($($puertos_peligrosos[$puerto])) cerrado" -ForegroundColor Green
    }
}

Write-Host "`n============================================" -ForegroundColor Cyan
Write-Host " Analisis completado" -ForegroundColor Cyan
Write-Host "============================================" -ForegroundColor Cyan

Cómo ejecutarlo: copia el código, pégalo en el PowerShell de administrador y pulsa Enter. Los resultados en rojo indican puertos que requieren atención inmediata.

Script 3: Exportar resultados a un fichero de texto

netstat -ano > C:\puertos_abiertos.txt && start notepad C:\puertos_abiertos.txt

Esto guarda todos los puertos activos en un archivo en C:\puertos_abiertos.txt y lo abre automáticamente en el Bloc de notas.

Cómo bloquear puertos peligrosos en el Firewall de Windows

El Firewall de Windows Defender es tu primera línea de defensa. A continuación aprenderás a bloquear puertos peligrosos en Windows tanto desde la interfaz gráfica del firewall como mediante scripts automatizados.

Método 1: Interfaz gráfica del Firewall avanzado — cómo bloquear puertos peligrosos en Windows sin scripts

1. Pulsa Win + R, escribe wf.msc y pulsa Enter.
2. En el panel izquierdo, haz clic en Reglas de entrada.
3. En el panel derecho, clic en Nueva regla…
4. Selecciona Puerto y pulsa Siguiente.
5. Elige TCP, escribe el número de puerto (ej.: 23) y pulsa Siguiente.
6. Selecciona Bloquear la conexión y pulsa Siguiente.
7. Marca las tres redes: Dominio, Privado, Público.
8. Ponle un nombre descriptivo (ej.: Bloquear Telnet puerto 23) y finaliza.

Método 2: Script PowerShell — Bloqueo automático de todos los puertos peligrosos

Este script crea automáticamente reglas de firewall para bloquear los puertos más peligrosos tanto en entrada como en salida:

# Script: Bloqueo de puertos peligrosos en Firewall de Windows
# Autor: seguridadenmipc.com
# IMPORTANTE: Ejecutar en PowerShell como Administrador
# AVISO: Revisa que no necesitas estos puertos antes de ejecutar

$reglas = @(
    @{ Puerto = 23;   Nombre = "Telnet";           Descripcion = "Bloquear Telnet - texto plano sin cifrado" },
    @{ Puerto = 22;   Nombre = "SSH-SSHD";         Descripcion = "Bloquear SSH entrante no autorizado" },
    @{ Puerto = 3389; Nombre = "RDP";              Descripcion = "Bloquear Escritorio Remoto RDP" },
    @{ Puerto = 5900; Nombre = "VNC";              Descripcion = "Bloquear VNC acceso remoto" },
    @{ Puerto = 5938; Nombre = "TeamViewer";       Descripcion = "Bloquear TeamViewer" },
    @{ Puerto = 7070; Nombre = "AnyDesk";          Descripcion = "Bloquear AnyDesk" },
    @{ Puerto = 5800; Nombre = "VNC-HTTP";         Descripcion = "Bloquear VNC interfaz HTTP" },
    @{ Puerto = 992;  Nombre = "Telnet-TLS";       Descripcion = "Bloquear Telnet sobre TLS" }
)

Write-Host "Iniciando bloqueo de puertos peligrosos...`n" -ForegroundColor Yellow

foreach ($regla in $reglas) {
    $nombreEntrada = "SEGPC-BLOQUEAR-$($regla.Nombre)-IN"
    $nombreSalida  = "SEGPC-BLOQUEAR-$($regla.Nombre)-OUT"

    # Eliminar regla previa si existe
    Remove-NetFirewallRule -DisplayName $nombreEntrada -ErrorAction SilentlyContinue
    Remove-NetFirewallRule -DisplayName $nombreSalida  -ErrorAction SilentlyContinue

    # Crear regla de ENTRADA
    New-NetFirewallRule `
        -DisplayName $nombreEntrada `
        -Direction Inbound `
        -Protocol TCP `
        -LocalPort $regla.Puerto `
        -Action Block `
        -Profile Any `
        -Description $regla.Descripcion | Out-Null

    # Crear regla de SALIDA
    New-NetFirewallRule `
        -DisplayName $nombreSalida `
        -Direction Outbound `
        -Protocol TCP `
        -RemotePort $regla.Puerto `
        -Action Block `
        -Profile Any `
        -Description $regla.Descripcion | Out-Null

    Write-Host "[OK] Bloqueado puerto $($regla.Puerto) ($($regla.Nombre))" -ForegroundColor Green
}

Write-Host "`nTodos los puertos peligrosos han sido bloqueados." -ForegroundColor Cyan
Write-Host "Para verificar: Get-NetFirewallRule -DisplayName 'SEGPC-*' | Format-Table" -ForegroundColor Cyan

Cómo ejecutarlo: guarda el código como bloquear_puertos.ps1, abre PowerShell como administrador, navega a la carpeta donde lo guardaste con cd C:\ruta\ y ejecuta:

Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass
.\bloquear_puertos.ps1

Método 3: Bloqueo por línea de comandos (netsh) — sin PowerShell

rem Bloquear Telnet (puerto 23)
netsh advfirewall firewall add rule name="Bloquear Telnet" protocol=TCP dir=in localport=23 action=block

rem Bloquear SSH (puerto 22)
netsh advfirewall firewall add rule name="Bloquear SSH" protocol=TCP dir=in localport=22 action=block

rem Bloquear RDP (puerto 3389)
netsh advfirewall firewall add rule name="Bloquear RDP" protocol=TCP dir=in localport=3389 action=block

rem Bloquear VNC (puerto 5900)
netsh advfirewall firewall add rule name="Bloquear VNC" protocol=TCP dir=in localport=5900 action=block

rem Bloquear TeamViewer (puerto 5938)
netsh advfirewall firewall add rule name="Bloquear TeamViewer" protocol=TCP dir=in localport=5938 action=block

Guarda estos comandos en un archivo .bat y ejecútalo como administrador con doble clic.

Cómo deshabilitar y eliminar servicios de acceso remoto en Windows

Deshabilitar Telnet en Windows

Windows 10/11 incluye el cliente Telnet como característica opcional desactivada por defecto. Saber cómo bloquear puertos peligrosos en Windows empieza por asegurarte de que Telnet está completamente desinstalado:

# PowerShell como Administrador — Desinstalar cliente Telnet
Disable-WindowsOptionalFeature -Online -FeatureName TelnetClient -NoRestart

# Verificar que está deshabilitado
Get-WindowsOptionalFeature -Online -FeatureName TelnetClient | Select-Object State

Deshabilitar el servicio SSH (OpenSSH Server) en Windows

Windows 10/11 puede tener instalado OpenSSH Server. Para detenerlo y deshabilitarlo:

# PowerShell como Administrador

# Detener el servicio SSH inmediatamente
Stop-Service -Name sshd -Force

# Deshabilitarlo para que no arranque al iniciar Windows
Set-Service -Name sshd -StartupType Disabled

# Desinstalar OpenSSH Server completamente
Remove-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0

# Verificar estado
Get-Service -Name sshd -ErrorAction SilentlyContinue | Select-Object Name, Status, StartType

Deshabilitar el Escritorio Remoto (RDP)

# PowerShell como Administrador — Deshabilitar RDP completamente

# Deshabilitar RDP en el registro
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' `
    -Name "fDenyTSConnections" -Value 1

# Deshabilitar el servicio TermService
Set-Service -Name TermService -StartupType Disabled
Stop-Service -Name TermService -Force

# Confirmar cambio
Get-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' `
    -Name "fDenyTSConnections"

Desinstalar TeamViewer completamente

TeamViewer deja servicios en segundo plano incluso al cerrar la aplicación. Para eliminarlo por completo:

# PowerShell como Administrador — Eliminar TeamViewer

# Detener y deshabilitar servicios de TeamViewer
$servicios_tv = @("TeamViewer", "TeamViewer_Service")
foreach ($svc in $servicios_tv) {
    if (Get-Service -Name $svc -ErrorAction SilentlyContinue) {
        Stop-Service -Name $svc -Force -ErrorAction SilentlyContinue
        Set-Service -Name $svc -StartupType Disabled -ErrorAction SilentlyContinue
        Write-Host "Servicio $svc detenido y deshabilitado" -ForegroundColor Green
    }
}

# Desinstalar via winget (si está disponible)
winget uninstall --id TeamViewer.TeamViewer --silent

# Limpiar entradas de registro residuales
$rutas_tv = @(
    "HKLM:\SOFTWARE\TeamViewer",
    "HKCU:\SOFTWARE\TeamViewer"
)
foreach ($ruta in $rutas_tv) {
    if (Test-Path $ruta) {
        Remove-Item -Path $ruta -Recurse -Force
        Write-Host "Registro limpiado: $ruta" -ForegroundColor Yellow
    }
}
Write-Host "TeamViewer eliminado. Reinicia el equipo para completar." -ForegroundColor Cyan

Alternativa manual: Ve a Configuración → Aplicaciones → Aplicaciones instaladas, busca TeamViewer y pulsa Desinstalar.

Checklist de seguridad: cómo bloquear puertos peligrosos en Windows y proteger tu equipo

Usa esta lista de verificación para comprobar el estado de seguridad de tu equipo frente a los accesos remotos no autorizados:

• ☐ He comprobado los puertos abiertos con netstat -ano y no hay servicios desconocidos en escucha.
• ☐ Telnet está desinstalado o deshabilitado en mi equipo.
• ☐ El servicio OpenSSH Server está detenido y deshabilitado (si no lo uso).
• ☐ El Escritorio Remoto (RDP) está deshabilitado si no lo necesito.
• ☐ TeamViewer, AnyDesk y similares están desinstalados o solo activos cuando los uso.
• ☐ El Firewall de Windows está activo en todos los perfiles (dominio, privado, público).
• ☐ He creado reglas de bloqueo para los puertos 23, 22, 3389, 5900 y 5938.
• ☐ Windows está actualizado con los últimos parches de seguridad.
• ☐ Tengo un antivirus activo que detecta RATs y herramientas de acceso remoto maliciosas.
• ☐ Reviso periódicamente los servicios de Windows activos con services.msc.
• ☐ He cambiado las contraseñas de cuentas de administrador por contraseñas fuertes y únicas.
• ☐ He activado la autenticación en dos factores (2FA) en todas las cuentas importantes.

Script completo de auditoría y protección (todo en uno)

Este script realiza un análisis completo de puertos peligrosos en Windows, genera un informe y opcionalmente aplica las correcciones de forma automática. Ideal para ejecutar periódicamente como tarea de mantenimiento.

# =====================================================
# Script: Auditoria y Proteccion de Puertos Peligrosos
# Web: seguridadenmipc.com
# Compatibilidad: Windows 10 / Windows 11
# Requiere: PowerShell 5.1+ como Administrador
# =====================================================

param(
    [switch]$AplicarCorrecciones,
    [string]$RutaInforme = "C:\auditoria_puertos_$(Get-Date -Format 'yyyyMMdd_HHmm').txt"
)

function Escribir-Log {
    param([string]$Mensaje, [string]$Color = "White")
    Write-Host $Mensaje -ForegroundColor $Color
    Add-Content -Path $RutaInforme -Value $Mensaje
}

# Cabecera
Escribir-Log "======================================================" "Cyan"
Escribir-Log " AUDITORIA DE PUERTOS - $(Get-Date -Format 'dd/MM/yyyy HH:mm')" "Cyan"
Escribir-Log " seguridadenmipc.com" "Cyan"
Escribir-Log "======================================================`n" "Cyan"

$puertos = @(
    @{ Puerto=23;   Nombre="Telnet";      Riesgo="CRITICO" },
    @{ Puerto=22;   Nombre="SSH/SSHD";    Riesgo="ALTO"    },
    @{ Puerto=3389; Nombre="RDP";         Riesgo="CRITICO" },
    @{ Puerto=5900; Nombre="VNC";         Riesgo="CRITICO" },
    @{ Puerto=5938; Nombre="TeamViewer";  Riesgo="ALTO"    },
    @{ Puerto=7070; Nombre="AnyDesk";     Riesgo="ALTO"    }
)

$alertas = 0

foreach ($p in $puertos) {
    $conn = Get-NetTCPConnection -LocalPort $p.Puerto -State Listen -ErrorAction SilentlyContinue
    if ($conn) {
        $proc = Get-Process -Id $conn.OwningProcess -ErrorAction SilentlyContinue
        Escribir-Log "[ALERTA $($p.Riesgo)] Puerto $($p.Puerto) ($($p.Nombre)) abierto — Proceso: $($proc.Name)" "Red"
        $alertas++

        if ($AplicarCorrecciones) {
            New-NetFirewallRule -DisplayName "SEGPC-AUTO-BLOCK-$($p.Nombre)" `
                -Direction Inbound -Protocol TCP -LocalPort $p.Puerto `
                -Action Block -Profile Any -ErrorAction SilentlyContinue | Out-Null
            Escribir-Log "  -> Regla de firewall creada automaticamente para bloquear $($p.Nombre)" "Yellow"
        }
    } else {
        Escribir-Log "[SEGURO]  Puerto $($p.Puerto) ($($p.Nombre)) cerrado" "Green"
    }
}

Escribir-Log "`n------------------------------------------------------" "Cyan"
if ($alertas -eq 0) {
    Escribir-Log " RESULTADO: No se detectaron puertos peligrosos abiertos." "Green"
} else {
    Escribir-Log " RESULTADO: $alertas puerto(s) peligroso(s) detectado(s)." "Red"
    if (-not $AplicarCorrecciones) {
        Escribir-Log " Ejecuta el script con -AplicarCorrecciones para bloquearlos automaticamente." "Yellow"
    }
}
Escribir-Log " Informe guardado en: $RutaInforme" "Cyan"
Escribir-Log "======================================================" "Cyan"

Cómo ejecutarlo:

• Solo auditoría (sin cambios): .\auditoria_puertos.ps1
• Auditoría + bloqueo automático: .\auditoria_puertos.ps1 -AplicarCorrecciones
• Guardar informe en ruta personalizada: .\auditoria_puertos.ps1 -RutaInforme "D:\informe.txt"

Buenas prácticas para reducir la superficie de ataque remoto

Saber cómo bloquear puertos peligrosos en Windows es solo una parte de una estrategia completa de reducción de la superficie de ataque. Complementa las medidas anteriores con estas recomendaciones:

• Usa VPN en lugar de RDP expuesto: si necesitas acceso remoto al trabajo, usa siempre una VPN corporativa. Nunca expongas el puerto 3389 directamente a Internet.
• Cambia los puertos por defecto: si SSH es imprescindible en tu servidor, cámbialo del puerto 22 a un puerto no estándar como el 22222. Reduce enormemente el ruido de bots automatizados.
• Autenticación por clave en SSH: deshabilita el acceso SSH por contraseña y usa solo claves criptográficas.
• Fail2Ban o alternativas en Windows: herramientas que bloquean IPs tras varios intentos fallidos de login; consulta las guías de configuración segura de INCIBE para más información.
• Monitoriza con el Visor de eventos: busca el ID de evento 4625 (intentos de login fallidos) y 4624 (logins exitosos) en el Visor de eventos de Windows.
• Segmenta la red: si usas equipos en red local, separa los equipos sensibles en una VLAN distinta.

Conclusión

Saber cómo bloquear puertos peligrosos en Windows es una habilidad fundamental — al igual que endurecer el navegador — en ciberseguridad doméstica y profesional. Protocolos como Telnet, SSH, RDP, VNC y herramientas de escritorio remoto como TeamViewer o AnyDesk representan vectores de ataque activos y cotidianos. La solución no es eliminar por defecto toda capacidad de acceso remoto, sino controlar qué está activo, por qué, y protegerlo adecuadamente.

Con los scripts de este artículo sobre puertos peligrosos Windows puedes en pocos minutos: detectar qué puertos están abiertos en tu equipo, crear reglas de firewall específicas para bloquearlos, deshabilitar servicios innecesarios y generar un informe de auditoría que puedes programar para ejecutarse automáticamente. La seguridad no es un evento puntual, sino un proceso continuo. Revisa periódicamente el estado de tus puertos — ahora ya sabes cómo bloquear puertos peligrosos en Windows —, mantén el sistema actualizado y desinstala cualquier herramienta de acceso remoto que no uses activamente.

Preguntas frecuentes sobre puertos de acceso remoto y su seguridad

Estas son las dudas más habituales de los usuarios que buscan saber cómo bloquear puertos peligrosos en Windows de forma segura y efectiva.

¿Es peligroso tener el puerto 22 (SSH) abierto en Windows?

Sí, especialmente si está expuesto a Internet. El puerto 22 recibe millones de intentos de fuerza bruta al día de forma automatizada. Si no necesitas SSH, esta es una forma de bloquear un puerto peligroso en Windows: desactiva directamente el servicio OpenSSH Server. Si lo necesitas, usa autenticación por clave, cambia el puerto y limita las IPs que pueden conectarse.

¿Debo desinstalar TeamViewer si no lo uso habitualmente?

Sí. TeamViewer mantiene un servicio en segundo plano aunque no lo estés usando, lo que representa una superficie de ataque innecesaria. Si lo usas ocasionalmente, una opción más segura es instalarlo solo cuando lo necesites o usar la versión portable que no instala servicios permanentes.

¿Puedo bloquear el puerto 3389 si tengo activado el Escritorio Remoto?

Una pregunta frecuente sobre cómo bloquear puertos peligrosos en Windows es si se puede bloquear el 3389 teniendo el Escritorio Remoto activo. Si bloqueas el puerto 3389 en el firewall, las conexiones entrantes quedarán bloqueadas aunque el servicio esté activo. Lo ideal es deshabilitar también el servicio RDP si no lo necesitas. Si sí lo usas, protégelo con una VPN en lugar de exponerlo directamente.

¿Qué diferencia hay entre Telnet y SSH?

Entender la diferencia es clave para saber cómo bloquear puertos peligrosos en Windows con criterio. Telnet transmite todo en texto plano sin ningún cifrado, lo que lo hace completamente inseguro. SSH cifra toda la comunicación con algoritmos modernos, protegiendo las credenciales y los datos en tránsito. SSH fue diseñado precisamente para reemplazar a Telnet. Hoy no existe ningún caso de uso legítimo para Telnet en un equipo moderno.

¿Cómo sé si alguien se ha conectado remotamente a mi equipo sin permiso?

Revisa el Visor de eventos de Windows (eventvwr.msc): busca en Registros de Windows → Seguridad los eventos con ID 4624 (inicio de sesión exitoso) y 4625 (intento fallido). Presta especial atención a inicios de sesión de tipo 3 (red) y tipo 10 (remoto interactivo) en horas inusuales o desde IPs desconocidas.

¿Afecta el bloqueo de puertos al rendimiento de mi ordenador?

No de forma apreciable. Aprender cómo bloquear puertos peligrosos en Windows no tiene coste en rendimiento: las reglas de firewall tienen un impacto prácticamente nulo para equipos de uso doméstico o de oficina. Al contrario, deshabilitar servicios innecesarios como SSH o RDP libera recursos del sistema.