📂 SMBv1, LLMNR y Print Spooler: Los servicios que propagaron WannaCry y cómo desactivarlos
hace 4 meses
Servicios de compartición de Windows: cómo desactivarlos hoy mismo con PowerShell
Los servicios de compartición Windows son uno de los principales vectores de ataque en redes locales: WannaCry propagó ransomware a 200.000 equipos en 150 países en cuestión de horas, aprovechando exactamente los servicios de compartición Windows que la mayoría de usuarios domésticos tienen activos sin saberlo.
En esta cátedra técnica de ciberseguridad documentamos cómo SMBv1, LLMNR, NetBIOS y Print Spooler son protocolos con vulnerabilidades documentadas y activamente explotadas, y cómo un único script de PowerShell los desactiva todos en segundos. Según la alerta oficial de CISA sobre WannaCry, la deshabilitación de SMBv1 es la medida preventiva prioritaria. Para guías técnicas sobre NTLM relay, Responder, Pass-the-Hash y EternalBlue accede al vademécum técnico de Windows seguro: hardening, servicios, firewall y mitigación de amenazas en 2026.
💡 Resumen rápido
📂 Servicios de compartición Windows: cómo desactivarlos con PowerShell
- ✅ 5 vulnerabilidades: SMBv1 (EternalBlue), LLMNR, NetBIOS, Print Spooler y Remote Registry
- ✅ Script PowerShell completo con punto de restauración automático
- ✅ 7 tareas programadas: inicio, logon, horaria, red nueva, nuevo servicio, cambio de modo y auditoría semanal
- ✅ Detección reactiva ante reactivaciones silenciosas (eventos 7045 y 7040)
- ✅ Instalación en un solo comando desde PowerShell
- ✅ Problemas conocidos y soluciones documentados
📅 2026 · 🕐 10 minutos de lectura
📌 ¿Qué son los servicios de compartición de Windows?
Los servicios de compartición Windows son protocolos y servicios que permiten compartir archivos, impresoras y recursos en red local. Los cinco más peligrosos si están mal configurados:
- SMB (TCP 445): vector de EternalBlue, WannaCry y movimiento lateral — riesgo crítico
- LLMNR (UDP 5355): permite capturar hashes NTLM con Responder sin privilegios — riesgo crítico
- NetBIOS (TCP 139 / UDP 137): NBT-NS spoofing y relay attacks — riesgo alto
- Print Spooler (RPC dinámico): PrintNightmare, escalada a SYSTEM — riesgo crítico
- Remote Registry (RPC sobre 445): persistencia y recolección de hashes — riesgo alto
Los servicios de compartición Windows incluyen la compartición de archivos, impresoras y carpetas en red mediante el protocolo SMB. Activos por defecto en la mayoría de equipos, estos protocolos mal configurados representan una superficie de ataque amplia que un atacante en la misma red local puede explotar sin privilegios previos.
- 📁 Compartición de archivos y carpetas — acceso al sistema de archivos desde otros equipos mediante SMB.
- 🖨️ Compartición de impresoras — Print Spooler y servicio de impresión en red local.
- 🔍 Resolución de nombres de red — LLMNR y NetBIOS como alternativas al DNS.
- 📋 Registro remoto — servicio que permite acceso y modificación remota del registro.
- 🌐 Detección de equipos en red — Computer Browser para enumerar dispositivos en LAN.
| Servicio | Puerto | Riesgo |
|---|---|---|
| SMB | TCP 445 | 🔴 EternalBlue, WannaCry, movimiento lateral |
| NetBIOS Session | TCP 139 | 🔴 Captura NTLM, relay attacks |
| NetBIOS Name | UDP 137 | 🟠 NBT-NS spoofing |
| LLMNR | UDP 5355 | 🔴 LLMNR poisoning con Responder/Inveigh |
| Print Spooler | RPC dinámico | 🔴 PrintNightmare, escalada a SYSTEM |
| Remote Registry | RPC sobre 445 | 🟠 Persistencia, recolección de hashes |
| Computer Browser | UDP 137-138 | 🟡 Reconocimiento previo a movimiento lateral |
NetBIOS es uno de los servicios más críticos a desactivar: consulta la guía técnica de NetBIOS: cómo deshabilitar UDP 137, UDP 138 y TCP 139 con script en 2026 para entender en detalle los vectores de ataque por NBT-NS spoofing y los métodos de desactivación con verificación incluida.
🚨 Riesgos de los servicios de compartición de Windows mal configurados
Cinco riesgos críticos documentados con CVE real:
- SMBv1 → EternalBlue (CVE-2017-0144, CVSS 9.3): ejecución remota sin autenticación — vector de WannaCry y NotPetya
- LLMNR → LLMNR poisoning (MITRE T1557.001): captura hashes NTLM con Responder en la red local sin privilegios previos
- NetBIOS → NBT-NS spoofing (MITRE T1557.001): captura credenciales y relay attack sin acceso físico al equipo
- Print Spooler → PrintNightmare (CVE-2021-34527, CVSS 8.8): escalación a SYSTEM mediante DLL maliciosa
- Remote Registry → persistencia remota (MITRE T1112): modificación del registro sin presencia física
| Servicio | CVE / Vulnerabilidad | Vector | MITRE | Nivel |
|---|---|---|---|---|
| SMBv1 | CVE-2017-0144 EternalBlue (CVSS 9.3) | Ejecución remota sin autenticación | T1210 | 🔴 Crítico |
| LLMNR | LLMNR poisoning | Captura hashes NTLM con Responder | T1557.001 | 🟠 Alto |
| NetBIOS | NBT-NS spoofing | Captura credenciales y relay attack | T1557.001 | 🟠 Alto |
| Print Spooler | CVE-2021-34527 PrintNightmare (CVSS 8.8) | Escalación a SYSTEM mediante DLL | T1210 | 🔴 Crítico |
| Remote Registry | Modificación remota del registro | Persistencia sin presencia física | T1112 | 🟠 Alto |
Cerrar estos servicios elimina los vectores de ataque más críticos de la red local, pero los puertos que Windows mantiene abiertos por defecto van más allá de SMB y NetBIOS. Para un cierre sistemático de todos los puertos de alto riesgo consulta la guía de cómo bloquear puertos peligrosos en Windows con PowerShell en 2026.
⚙️ Script completo Sharing Disable-Guard con 7 tareas programadas
El script SharingDisable-Guard desactiva SMBv1, LLMNR, NetBIOS, Print Spooler y Remote Registry en un solo paso y crea 7 tareas programadas para mantener el bloqueo activo de forma permanente:
- Inicio: reaplica el bloqueo tras Windows Update (principal vector de reactivación silenciosa)
- Logon: verifica al iniciar sesión si algún instalador ha reactivado servicios
- Horaria: vigilancia continua que revierte cambios en menos de una hora
- Red nueva (evento 10000): verifica LLMNR/NetBIOS al conectar a red nueva
- Nuevo servicio (evento 7045): reaplica el bloqueo cuando un instalador registra un servicio
- Cambio de arranque (evento 7040): revierte al instante cualquier cambio de Disabled a Automatic
- Auditoría semanal (domingo 3:00 AM): snapshot completo en CSV histórico
C:\Logs\sharing-disable-guard.log y CSV en C:\Logs\sharing-disable-guard-historico.csv.📅 Las 7 tareas programadas
| Tarea | Disparador | Propósito |
|---|---|---|
SharingDisable-Guard-Inicio | Al iniciar Windows | Reaplica el bloqueo tras Windows Update (vector nº1 de reactivación silenciosa) |
SharingDisable-Guard-Logon | Al iniciar sesión | Verifica al iniciar sesión; detecta software que haya reactivado servicios |
SharingDisable-Guard-Horaria | Cada hora | Vigilancia continua; revierte cambios en menos de una hora |
SharingDisable-Guard-Red | Evento 10000 (red nueva) | Al conectar a red nueva verifica LLMNR/NetBIOS; momento crítico para poisoning |
SharingDisable-Guard-NuevoServicio | Evento 7045 (servicio instalado) | Cuando un instalador registra un servicio nuevo, reaplica el bloqueo al instante |
SharingDisable-Guard-CambioServicio | Evento 7040 (cambio arranque) | Revierte cambios de Disabled a Automatic en servicios bloqueados |
SharingDisable-Guard-Auditoria | Domingo 3:00 AM (semanal) | Snapshot completo semanal en el CSV histórico |
La misma arquitectura de tareas reactivas por eventos del sistema está documentada en el script completo para endurecer Windows 11 con 7 tareas programadas en 2026 — ambos scripts son complementarios y pueden ejecutarse juntos para un hardening integral del sistema.
📥 Cómo instalar el script — un solo comando
Abre PowerShell como administrador y pega este comando. El script se descarga, instala y ejecuta automáticamente creando las 7 tareas programadas:
⚙️ Pega este comando en PowerShell como administrador:
👉 Pulsa Windows → escribe PowerShell → clic derecho → Ejecutar como administrador
Invoke-WebRequest -Uri "https://seguridadenmipc.com/wp-content/uploads/2026/06/Comparticion-Windows.txt" -OutFile "$HOME\sharing-disable-guard.ps1" -UseBasicParsing; Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass -Force; & "$HOME\sharing-disable-guard.ps1"
⚠️ Problemas conocidos y soluciones
Start-Transcript captura toda la salida al log. Verifica con: Get-Content C:\Logs\sharing-disable-guard.log -Tail 30Set-Service -Name Spooler -StartupType Automatic; Start-Service Spooler.↩️ Script de reversión (elimina las 7 tareas y reactiva servicios)
Elimina primero las 7 tareas programadas o el bloqueo se reaplicará en el siguiente disparador. SMBv1, LLMNR y NetBIOS se mantienen desactivados por seguridad.
# ============================================================
# Revertir SharingDisable-Guard
# ============================================================
# 1. ELIMINAR PRIMERO las 7 tareas programadas
$tareas = @(
"SharingDisable-Guard-Inicio",
"SharingDisable-Guard-Logon",
"SharingDisable-Guard-Horaria",
"SharingDisable-Guard-Red",
"SharingDisable-Guard-NuevoServicio",
"SharingDisable-Guard-CambioServicio",
"SharingDisable-Guard-Auditoria"
)
foreach ($t in $tareas) {
if (Get-ScheduledTask -TaskName $t -ErrorAction SilentlyContinue) {
Unregister-ScheduledTask -TaskName $t -Confirm:$false
Write-Host "[OK] Tarea $t eliminada." -ForegroundColor Green
}
}
# 2. Reactivar Print Spooler (necesario para impresoras)
Set-Service -Name Spooler -StartupType Automatic
Start-Service -Name Spooler
Write-Host "[OK] Spooler reactivado." -ForegroundColor Green
# NOTA: SMBv1, LLMNR y NetBIOS se mantienen desactivados por seguridad.
Write-Host "[OK] SharingDisable revertido. Reinicia el equipo." -ForegroundColor Green
Write-Host " SMBv1, LLMNR y NetBIOS se mantienen desactivados." -ForegroundColor Yellow🔎 Cómo verificar que el bloqueo está activo
Cuatro comprobaciones para confirmar que el bloqueo está activo:
- SMBv1 desactivado:
Get-SmbServerConfiguration | Select EnableSMB1Protocoldebe devolverFalse - Servicios parados:
Get-Service Spooler, RemoteRegistry, Browser | Select Name, Status, StartType— deben mostrar Stopped/Disabled - 7 tareas en Ready:
Get-ScheduledTask -TaskName "SharingDisable-Guard-*" | Select TaskName, State, LastRunTime, LastTaskResult - Log sin errores:
Get-Content C:\Logs\sharing-disable-guard.log -Tail 30— sin errores críticos
Si CambiosAplicados sube con frecuencia en el CSV, las tareas están revirtiendo reactivaciones silenciosas correctamente.
💡 Comandos de verificación (PowerShell como administrador):
Get-SmbServerConfiguration | Select EnableSMB1Protocol
Get-Service Spooler, RemoteRegistry, Browser | Select Name, Status, StartType
Get-ScheduledTask -TaskName "SharingDisable-Guard-*" | Select TaskName, State, LastRunTime, LastTaskResult
Las 7 tareas deben estar en Ready con LastTaskResult = 0. EnableSMB1Protocol debe ser False. Si CambiosAplicados sube con frecuencia en el CSV, las tareas están revirtiendo reactivaciones silenciosas correctamente.
✅ Checklist post-instalación
Verifica estos 7 puntos para confirmar que el bloqueo está activo:
- ☑
Get-WindowsOptionalFeature -Online -FeatureName SMB1ProtocoldevuelveState: Disabled - ☑
Get-SmbServerConfiguration | Select EnableSMB1ProtocoldevuelveFalse - ☑ Servicios Spooler, RemoteRegistry y Browser en
Stopped / Disabled - ☑
net sharesolo muestraIPC$ - ☑ 7 tareas en estado Ready en taskschd.msc
- ☑ Log en
C:\Logs\sharing-disable-guard.logsin errores críticos - ☑ CSV en
C:\Logs\sharing-disable-guard-historico.csvcon la primera entrada
✔ 7/7 = bloqueo completo y activo · ✘ menos de 5 = revisar instalación
⚠️ Riesgos y efectos del script
| Función | ¿Afectada? | Detalle |
|---|---|---|
| Inicio de sesión local | 🟢 No | No modifica LSASS ni políticas de cuentas |
| Navegación web y banca online | 🟢 No | Solo bloquea servicios de red local; el tráfico 80/443 no se toca |
| DNS normal | 🟢 No | Solo desactiva LLMNR como fallback; el DNS tradicional sigue funcionando |
| Impresión a impresora USB local | 🔴 Sí (a propósito) | Spooler deshabilitado detiene toda impresión. Usa el script de reversión parcial si tienes impresora |
| Compartición de carpetas en red | 🔴 Sí (SMBv1) | SMBv1 desactivado; SMBv2/v3 siguen funcionando |
| NAS antiguo con solo SMBv1 | 🔴 Sí | NAS pre-2018 que solo soportan SMBv1 dejarán de ser accesibles |
| Detección de equipos en "Red" | 🔴 Sí (a propósito) | Browser + NetBIOS desactivados = equipos no aparecen en la pestaña Red |
| Carga de CPU (7 tareas) | 🟡 Mínima | Menos de 5 segundos por ejecución; menos de 2 min/día total |
🆚 Servicios activos vs desactivados
| Característica | Activos | Desactivados con SharingDisable-Guard |
|---|---|---|
| Riesgo SMBv1 | 🔴 EternalBlue / WannaCry | 🟢 Eliminado |
| Riesgo LLMNR/NetBIOS | 🔴 Captura hashes NTLM y relay attack | 🟢 Eliminado |
| Riesgo Print Spooler | 🔴 PrintNightmare, escalación a SYSTEM | 🟢 Eliminado |
| Reactivación tras Windows Update | 🔴 Frecuente y silenciosa | 🟢 Tarea de inicio reaplica el bloqueo |
| Reactivación por instalador | 🔴 Inadvertida | 🟢 Evento 7045 dispara tarea reactiva |
| Cambio manual de arranque | 🔴 No se detecta | 🟢 Evento 7040 revierte el cambio al instante |
🏁 Conclusión
Desactivar los servicios de compartición Windows innecesarios es una de las medidas de hardening de red con mayor impacto y menor coste. El script SharingDisable-Guard reduce drásticamente la superficie de ataque en un solo paso y sus 7 tareas programadas garantizan que el bloqueo no se pierda tras actualizaciones, instalaciones o cambios de red. Las tareas reactivas por eventos 7045 y 7040 lo convierten en una solución de auto-defensa continua.
🔐 Resumen de acciones recomendadas
- ✅ Ejecuta el comando de instalación en PowerShell como administrador
- ✅ Verifica con
Get-Content C:\Logs\sharing-disable-guard.log -Tail 30 - ✅ Confirma las 7 tareas con
Get-ScheduledTask -TaskName "SharingDisable-Guard-*" - ✅ Verifica SMBv1:
Get-SmbServerConfiguration | Select EnableSMB1Protocol - ✅ Revisa el CSV histórico semanalmente
- ✅ Si tienes impresora, reactiva Spooler con el comando de reversión parcial
❓ Preguntas frecuentes
¿Son peligrosos los servicios de compartición Windows?
👉 Sí. SMBv1 fue el vector de WannaCry y NotPetya. LLMNR permite capturar hashes NTLM en la red local sin privilegios previos. Print Spooler activo permitió escalada a SYSTEM con PrintNightmare. Desactivar los que no se usan es la recomendación de Microsoft, CISA y el CIS Benchmark nivel 1.
¿Por qué 7 tareas programadas?
👉 Cada tarea cubre un vector distinto de reactivación. La más crítica es la del evento 7040 (cambio de arranque de servicio): revierte al instante cualquier intento de poner Disabled a Automatic. Sin ella, una actualización de Windows o un instalador podría reactivar SMBv1 o Spooler en silencio.
¿Qué son los eventos 7045 y 7040?
👉 El 7045 se registra cuando se instala un servicio nuevo. El 7040 cuando un servicio cambia su tipo de arranque de Disabled a Automatic. Son los dos eventos más importantes para detectar reactivaciones silenciosas de los servicios bloqueados.
¿Cómo consulto las tareas programadas?
👉 PowerShell: Get-ScheduledTask -TaskName "SharingDisable-Guard-*" | Select TaskName, State, LastRunTime, LastTaskResult. GUI: Win+R → taskschd.msc → Biblioteca → SharingDisable-Guard-*.
¿Qué hago si la impresora deja de funcionar?
👉 Set-Service -Name Spooler -StartupType Automatic; Start-Service Spooler. Luego ejecuta el script de reversión para eliminar las tareas que lo volverían a deshabilitar.
¿SMBv2 y SMBv3 también se desactivan?
👉 No. El script solo desactiva SMBv1. SMBv2 y SMBv3 son versiones modernas con cifrado y autenticación mejorada; deben mantenerse activos. Nunca desactives SMBv2 o SMBv3.
Deja una respuesta