🔒Bloquear P2P en Windows con PowerShell: 3 métodos paso a paso
hace 4 meses
Cómo bloquear P2P en Windows con PowerShell
Bloquear P2P Windows con PowerShell es una medida de seguridad imprescindible: las redes peer-to-peer son uno de los principales vectores de distribución de malware y exposición involuntaria de datos, y hacerlo desde el firewall nativo cierra ese vector sin instalar software adicional. Aprender a bloquear P2P Windows correctamente implica aplicar tres métodos complementarios que cubren puertos, ejecutables y rangos de IP.
En este archivo técnico de ciberseguridad documentamos cómo tres métodos de PowerShell pueden cerrar esos vectores en minutos, aplicando reglas de firewall con nombre único que se pueden verificar y revertir en un solo comando. Todas las guías de protección de red están en la academia técnica de Windows seguro: hardening, firewall, puertos y mitigación de amenazas en 2026.
New-NetFirewallRule -Direction Outbound -Action Block con tres métodos: por puerto (6881-6889, 51413, 22000, 32400), por ejecutable (-Program "ruta\cliente.exe") y por rangos de IP de trackers. Un script unificado con 3 tareas programadas (inicio, logon y cada 10 minutos) garantiza que el bloqueo P2P en Windows persista frente a actualizaciones y reinicios. Instalación en un solo comando desde PowerShell como administrador.💡 Resumen rápido
📂 Bloquear P2P en Windows: 3 métodos con PowerShell
- ✅ Método 1: bloqueo de puertos (BitTorrent, qBittorrent, Syncthing, Plex)
- ✅ Método 2: bloqueo por ejecutable independientemente del puerto dinámico
- ✅ Método 3: bloqueo de rangos de IP de trackers conocidos
- ✅ Script unificado con 3 tareas programadas: inicio, logon y cada 10 minutos
- ✅ Instalación en un solo comando desde PowerShell
- ✅ Reversible en un comando con script de reversión incluido
📅 2026 · 🕐 7 minutos de lectura
📌 ¿Qué significa bloquear P2P en Windows?
Bloquear P2P en Windows consiste en cerrar mediante reglas de firewall los puertos y ejecutables que usan las aplicaciones peer-to-peer para comunicarse. Las principales aplicaciones y sus puertos:
- Torrents (BitTorrent, uTorrent, qBittorrent): puertos 6881-6889, 6969, 51413
- Sincronización P2P (Syncthing): puertos 22000, 6121
- Streaming P2P (Plex): puerto 32400
- Aplicaciones descentralizadas (IPFS, I2P, GNUtella): puertos dinámicos
Los tres métodos combinados (puerto + ejecutable + rangos IP) eliminan las tres vías de evasión más habituales que usan los clientes P2P para evadir controles.
Para bloquear P2P Windows de forma eficaz, primero hay que identificar qué aplicaciones y protocolos están activos en el equipo. Los nodos P2P comparten archivos directamente entre sí sin servidor central, lo que significa que tu equipo puede estar actuando como punto de distribución sin que seas consciente de ello.
- 🔄 Torrents: BitTorrent, uTorrent, qBittorrent (puertos 6881-6889, 6969, 51413).
- 🔁 Sincronización P2P: Syncthing (puertos 22000, 6121).
- 🎬 Streaming P2P: Plex, Emby (puerto 32400).
- 🌐 Aplicaciones descentralizadas: IPFS, I2P, ZeroNet, GNUtella (puertos dinámicos).
💡 ¿Por qué los puertos no estándar?
Las redes P2P usan intencionalmente puertos no estándar (6881, 51413) para evadir los filtros de firewall que solo supervisan los puertos convencionales. Esta técnica está documentada en MITRE ATT&CK T1571 (Non-Standard Port) como vector habitual para establecer comunicaciones C2 maliciosas. Al bloquear P2P Windows por puerto, ejecutable y rango de IP simultáneamente se eliminan las tres vías de evasión más habituales. La misma problemática de puertos peligrosos está documentada en la guía técnica de NetBIOS: cómo deshabilitar los puertos UDP 137, UDP 138 y TCP 139 con script en 2026.
🚨 ¿Por qué bloquear P2P en Windows?
Seis riesgos críticos de no bloquear P2P en Windows:
- Malware en archivos descargados (crítico): payloads maliciosos en torrents de software pirata
- Distribución de ransomware (crítico): archivos con ransomware circulando por BitTorrent
- Exposición de IP pública (alto): tu IP visible para miles de nodos P2P
- Puertos no estándar abiertos (alto): 6881-6889, 51413, 22000 accesibles desde Internet
- Nodo proxy malicioso (alto): el equipo puede retransmitir tráfico C2 sin saberlo (MITRE T1090)
- Riesgos legales (medio): distribución involuntaria de contenido protegido por derechos
| Riesgo | Descripción | Nivel |
|---|---|---|
| Malware en archivos descargados | Payloads maliciosos en torrents de software pirata | 🔴 Crítico |
| Exposición de IP pública | Tu IP visible para miles de nodos P2P | 🔴 Alto |
| Puertos no estándar abiertos | 6881-6889, 51413, 22000 accesibles desde Internet | 🟠 Alto |
| Nodo proxy malicioso | El equipo retransmite tráfico C2 (MITRE T1090) | 🟠 Alto |
| Distribución de ransomware | Archivos con ransomware circulando por BitTorrent | 🔴 Crítico |
| Riesgos legales | Distribución involuntaria de contenido protegido | 🟡 Medio |
⚙️ Los 3 métodos para bloquear P2P en Windows
Tres métodos complementarios ordenados de mayor a menor cobertura:
- Bloqueo por puerto:
New-NetFirewallRule -LocalPort 6881-6889,51413,22000,32400 -Direction Outbound -Action Block— cierra los puertos estándar de BitTorrent, qBittorrent, Syncthing y Plex - Bloqueo por ejecutable:
New-NetFirewallRule -Program "ruta\cliente.exe" -Direction Outbound -Action Block— bloquea todo el tráfico del proceso independientemente del puerto; resistente a clientes que cambian de puerto dinámicamente - Bloqueo por rangos de IP:
New-NetFirewallRule -RemoteAddress "rango/24" -Direction Outbound -Action Block— elimina la comunicación con rangos de IP de trackers y nodos P2P conocidos
Los tres métodos combinados eliminan las tres vías de evasión más habituales de los clientes P2P modernos.
🛠️ Método 1: bloqueo por puerto
| Puerto | Protocolo | Aplicación P2P |
|---|---|---|
| 6881-6889 | TCP + UDP | BitTorrent (rango estándar) |
| 6969 | TCP | BitTorrent tracker |
| 51413 | TCP + UDP | qBittorrent |
| 22000 | TCP | Syncthing |
| 32400 | TCP | Plex Media Server |
🌐 Método 2: bloqueo por ejecutable
El bloqueo por ejecutable con New-NetFirewallRule -Program aplica la regla al proceso completo: ninguna conexión de ese ejecutable puede establecerse independientemente del puerto elegido. Es el método más resistente para bloquear P2P Windows frente a clientes que cambian de puerto dinámicamente.
🔐 Método 3: bloqueo por rangos de IP
Elimina la comunicación con rangos de IP de trackers y nodos P2P conocidos, impidiendo que el equipo se conecte con servidores que coordinan la distribución de contenido. Combinado con los métodos 1 y 2, ofrece la cobertura más completa para bloquear P2P en Windows.
La misma metodología de script con tareas programadas que garantizan la persistencia del bloqueo está documentada en el script completo para endurecer Windows 11 con 7 tareas programadas en 2026 — ambos scripts son complementarios y pueden ejecutarse juntos para un hardening integral.
⚙️ Script completo para bloquear P2P Windows con 3 tareas programadas
C:\Logs\bloqueo-p2p.log.📅 Las 3 tareas programadas
| Tarea | Disparador | Propósito |
|---|---|---|
Bloqueo-P2P-Inicio | Al iniciar Windows | Restablece reglas si un reinicio las ha eliminado |
Bloqueo-P2P-Logon | Al iniciar sesión | Reaplica el bloqueo antes de que se abra cualquier cliente P2P |
Bloqueo-P2P-10min | Cada 10 minutos | Anula cualquier intento de la app P2P de restablecer conectividad |
📥 Cómo instalar el script — un solo comando
Abre PowerShell como administrador y pega este comando. El script se descarga, instala y ejecuta automáticamente:
⚙️ Pega este comando en PowerShell como administrador:
👉 Pulsa Windows → escribe PowerShell → clic derecho → Ejecutar como administrador
Invoke-WebRequest -Uri "https://seguridadenmipc.com/wp-content/uploads/2026/06/Bloqueo-P2P.txt" -OutFile "$HOME\bloqueo-p2p.ps1" -UseBasicParsing; Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass -Force; & "$HOME\bloqueo-p2p.ps1"
⚠️ Problemas conocidos y soluciones
Start-Transcript captura toda la salida al log. Verifica siempre con: Get-Content C:\Logs\bloqueo-p2p.log -Tail 30.txt, ábrelo con el Bloc de notas, añade # al principio de las líneas correspondientes, guárdalo como .ps1 y ejecútalo.Remove-NetFirewallRule -DisplayName "BLOQUEO_P2P ..."↩️ Script de reversión (elimina las 3 tareas + todas las reglas)
Ejecuta este script para revertir el bloqueo P2P en Windows. Elimina primero las 3 tareas, porque si no, el bloqueo se reaplicará en menos de 10 minutos.
# ============================================================
# Revertir bloqueo P2P Windows
# ============================================================
# 1. ELIMINAR PRIMERO las 3 tareas programadas
$tareas = @("Bloqueo-P2P-Inicio", "Bloqueo-P2P-Logon", "Bloqueo-P2P-10min")
foreach ($t in $tareas) {
if (Get-ScheduledTask -TaskName $t -ErrorAction SilentlyContinue) {
Unregister-ScheduledTask -TaskName $t -Confirm:$false
Write-Host "[OK] Tarea $t eliminada." -ForegroundColor Green
}
}
# 2. Eliminar todas las reglas BLOQUEO_P2P
$reglas = Get-NetFirewallRule | Where-Object { $_.DisplayName -like "BLOQUEO_P2P*" }
$total = $reglas.Count
if ($total -gt 0) {
$reglas | Remove-NetFirewallRule
Write-Host "[OK] $total reglas BLOQUEO_P2P eliminadas." -ForegroundColor Green
} else {
Write-Host "[i] No habia reglas BLOQUEO_P2P activas." -ForegroundColor Cyan
}
Write-Host "[OK] Bloqueo P2P Windows revertido por completo." -ForegroundColor Green
Write-Host " Logs preservados en C:\Logs\bloqueo-p2p.log" -ForegroundColor Yellow🔎 Cómo verificar que el bloqueo P2P en Windows está activo
Cuatro comprobaciones para confirmar que el bloqueo está activo:
- Puertos cerrados:
netstat -an | findstr "6881 6969 51413 22000 32400"no debe devolver resultados ESTABLISHED - Reglas activas:
Get-NetFirewallRule | Where-Object {$_.DisplayName -like "BLOQUEO_P2P*"}debe listar todas las reglas creadas - 3 tareas en Ready:
Get-ScheduledTask -TaskName "Bloqueo-P2P-*" | Select TaskName, State, LastTaskResult - Log sin errores:
Get-Content C:\Logs\bloqueo-p2p.log -Tail 30sin errores críticos
💡 Comandos de verificación (PowerShell como administrador):
netstat -an | findstr "6881 6969 51413 22000 32400"
Get-NetFirewallRule | Where-Object {$_.DisplayName -like "BLOQUEO_P2P*"} | Select DisplayName, Enabled, ActionGet-ScheduledTask -TaskName "Bloqueo-P2P-*" | Select TaskName, State, LastRunTime, LastTaskResult
Las 3 tareas deben estar en estado Ready con LastTaskResult = 0. El primer comando no debe devolver ninguna conexión ESTABLISHED en esos puertos.
✅ Checklist post-instalación
Verifica estos 6 puntos para confirmar que el bloqueo está activo:
- ☑
netstat -an | findstr "6881 6969 51413 22000 32400"no devuelve resultados ESTABLISHED - ☑ Reglas BLOQUEO_P2P visibles en
wf.msccon estado activo - ☑ 3 tareas en estado Ready en taskschd.msc
- ☑ Log en
C:\Logs\bloqueo-p2p.logsin errores críticos - ☑ Firewall activo en los tres perfiles:
Get-NetFirewallProfile | Select Name, Enabled - ☑ uPnP desactivado en el router
✔ 6/6 = bloqueo P2P completo y activo · ✘ menos de 4 = revisar instalación
⚠️ Riesgos y efectos de bloquear P2P Windows
| Función | ¿Afectada? | Detalle |
|---|---|---|
| Inicio de sesión local | 🟢 No | No toca cuentas ni contraseñas |
| Inicio de Windows | 🟢 No | La tarea se ejecuta en background tras el arranque |
| Banca online y web | 🟢 No | HTTPS (443) y HTTP (80) no están bloqueados |
| Streaming Netflix/Disney+ | 🟢 No | Usan HTTPS/HLS sobre 443, no puertos P2P |
| Clientes torrent | 🔴 Sí (a propósito) | Bloqueados por puerto y ejecutable |
| Plex Media Server | 🔴 Sí (configurable) | Comenta la línea de Plex si lo usas legítimamente |
| Syncthing | 🔴 Sí (configurable) | Comenta la línea de Syncthing si lo usas |
| Videojuegos online | 🟡 Posible | Algunos juegan en UDP altos; revisa los puertos del juego |
| Carga de CPU (3 tareas) | 🟡 Mínima | Menos de 1 segundo por ejecución; unos 2 min/día total |
🆚 Antes y después de bloquear P2P Windows
| Característica | Sin bloquear P2P Windows | Con bloqueo P2P activo |
|---|---|---|
| Riesgo de malware P2P | 🔴 Alto | 🟢 Muy bajo |
| Exposición de IP pública | 🔴 Alta | 🟢 Eliminada |
| Puertos no estándar abiertos | 🔴 Múltiples | 🟢 Solo los necesarios |
| Bloqueo por puerto dinámico | 🔴 Los clientes evaden el bloqueo | 🟢 Método 2 bloquea el ejecutable completo |
| Persistencia tras actualizaciones | 🔴 Las apps recrean sus reglas | 🟢 Tareas programadas reaplican cada 10 min |
| Auditoría y reversibilidad | 🔴 Sin trazabilidad | 🟢 Prefijo BLOQUEO_P2P permite auditar y revertir |
🏁 Conclusión
Bloquear P2P Windows con PowerShell es una medida de hardening eficaz para reducir la superficie de ataque y eliminar vectores de distribución de malware sin software adicional. Los tres métodos combinados (por puerto, ejecutable y rangos de IP) ofrecen la cobertura más completa, y las tres tareas programadas garantizan que el bloqueo persista pase lo que pase.
🔐 Resumen de acciones recomendadas
- ✅ Ejecuta el comando de instalación en PowerShell como administrador
- ✅ Verifica con
Get-Content C:\Logs\bloqueo-p2p.log -Tail 30 - ✅ Confirma las 3 tareas con
Get-ScheduledTask -TaskName "Bloqueo-P2P-*" - ✅ Verifica reglas con
Get-NetFirewallRule | Where-Object {$_.DisplayName -like "BLOQUEO_P2P*"} - ✅ Desactiva uPnP en el router
- ✅ Revisa mensualmente con
Get-ScheduledTask -TaskName "Bloqueo-P2P-*" | Select TaskName, State, LastTaskResult
❓ Preguntas frecuentes
¿El bloqueo afecta a la navegación normal?
👉 No. Al bloquear P2P Windows solo se cierran los puertos no estándar P2P. La navegación web (80/443), correo y otros servicios usan puertos completamente distintos.
¿Se puede revertir?
👉 Sí. Ejecuta el script de reversión. Elimina primero las 3 tareas o el bloqueo P2P en Windows se reaplicará en menos de 10 minutos.
¿Por qué cada 10 minutos y no cada hora?
👉 Los clientes P2P modernos recrean sus reglas de firewall al actualizarse o reinstalarse. Cada hora dejaría una ventana demasiado amplia. Cada 10 minutos es el equilibrio óptimo para bloquear P2P en Windows de forma persistente: 144 ejecuciones de menos de 1 segundo suman unos 2 minutos de CPU al día.
¿Qué diferencia hay entre bloquear por puerto y por ejecutable?
👉 El bloqueo por puerto falla si el cliente cambia de puerto dinámicamente. El bloqueo por ejecutable bloquea todo el tráfico del proceso independientemente del puerto. Para bloquear P2P Windows con máxima eficacia aplica ambos métodos.
¿Cómo consulto las tareas programadas?
👉 PowerShell: Get-ScheduledTask -TaskName "Bloqueo-P2P-*" | Select TaskName, State, LastRunTime, LastTaskResult. GUI: Win+R → taskschd.msc → Biblioteca → Bloqueo-P2P-*.
¿Afecta a Plex o Syncthing?
👉 Sí por defecto. Descarga el script, edítalo y añade # al principio de las líneas correspondientes antes de ejecutarlo. Para control más preciso usa solo el Método 2 sobre los clientes torrent.
Deja una respuesta