Seguridad en mi PC

📂 SMBv1, LLMNR y Print Spooler: los servicios que propagaron WannaCry y cómo desactivarlos

Autor

hace 2 meses · Actualizado hace 18 horas

SMBv1, LLMNR y Print Spooler: los servicios que propagaron WannaCry y cómo desactivarlos

SMBv1, LLMNR y Print Spooler: los servicios de Windows que deberías desactivar hoy mismo con PowerShell

WannaCry propagó ransomware a 200.000 equipos en 150 países en cuestión de horas, aprovechando exactamente los servicios de compartición Windows que la mayoría de usuarios domésticos tienen activos sin saberlo. En Seguridad en mi PC documentamos cómo SMBv1, LLMNR, NetBIOS y Print Spooler son vectores de ataque documentados y activamente explotados, y cómo un único script de PowerShell los desactiva todos en segundos, sin afectar al uso normal del equipo. Todas las guías de hardening de red están en nuestra sección de hardening de servicios y seguridad Windows, y puedes explorar también el catálogo completo de guías de hardening y seguridad Windows disponibles en el sitio.

💡 Resumen rápido

📂 Servicios de compartición Windows: cómo desactivarlos con PowerShell 2026

Los servicios de compartición Windows (SMB, LLMNR, NetBIOS, Print Spooler) son vectores de ataque documentados activamente explotados. SMBv1 fue el vector de WannaCry y NotPetya. LLMNR permite capturar hashes NTLM mediante ataques de envenenamiento de red sin privilegios previos. Print Spooler activo permitió escalada a SYSTEM en PrintNightmare.

  • 5 vulnerabilidades críticas: SMBv1 (EternalBlue), LLMNR, NetBIOS, Print Spooler y Remote Registry
  • ✅ Script PowerShell completo: desactiva SMBv1, LLMNR, NetBIOS, Spooler y Remote Registry en un solo paso
  • ✅ 2 métodos: configuración gráfica de red y PowerShell para todos los servicios a la vez
  • ✅ Cómo verificar que los cambios están activos: net share, Get-WindowsOptionalFeature y Get-Service
  • ✅ Cuándo desactivar: PC doméstico sin impresora en red, portátil en redes públicas y uso general

📅 2026 · 🕐 8 minutos de lectura

Esta guía complementa el hardening general de Windows 11 y el artículo sobre cómo bloquear P2P en Windows para reducir la superficie de ataque de red.

¿Qué son los servicios de compartición Windows?

📌 ¿Qué son los servicios de compartición Windows?

Los servicios de compartición Windows incluyen la compartición de archivos, impresoras y carpetas en red mediante el protocolo SMB (Server Message Block). Estos protocolos de red fueron diseñados para facilitar la colaboración en entornos de red local, pero su activación por defecto en equipos domésticos y corporativos los convierte en una superficie de ataque de red innecesariamente amplia cuando no se usan.

  • 📁 Compartición de archivos y carpetas, acceso al sistema de archivos desde otros equipos mediante protocolo SMB
  • 🖨️ Compartición de impresoras, Print Spooler y servicio de impresión en red local
  • 🔍 Resolución de nombres de red, LLMNR (Link-Local Multicast Name Resolution) y NetBIOS como protocolo de resolución de nombres alternativo al DNS
  • 📋 Registro remoto, acceso y modificación remota del registro de Windows sin autenticación adicional
  • 🌐 Detección de equipos en red, Computer Browser para enumerar dispositivos en el segmento de red local

💡 ¿Qué es EternalBlue y por qué sigue siendo relevante?

EternalBlue (CVE-2017-0144, CVSS 9.3) es una vulnerabilidad crítica del protocolo SMBv1 que permite la ejecución remota de código sin autenticación. Desarrollada originalmente por la NSA y filtrada por el grupo Shadow Brokers en 2017, fue el vector que permitió a WannaCry y NotPetya propagarse de forma autónoma a cientos de miles de equipos. Microsoft lanzó el parche MS17-010, pero sistemas sin actualizar o con SMBv1 habilitado manualmente siguen siendo vulnerables en 2026.

Riesgos de los servicios de compartición Windows mal configurados

🚨 Riesgos de los servicios de compartición Windows mal configurados

🚨 Dato crítico: SMBv1 fue el vector de WannaCry y NotPetya (CVE-2017-0144, CVSS 9.3). LLMNR y NetBIOS permiten capturar hashes NTLM mediante ataques de envenenamiento de red (LLMNR poisoning) con herramientas como Responder sin ningún privilegio previo (MITRE T1557.001). Print Spooler activo sin impresora permitió escalada a SYSTEM en PrintNightmare (CVE-2021-34527). Remote Registry expone el registro de Windows a modificación remota sin intervención del usuario.
Servicio de compartición WindowsVulnerabilidad documentadaVector de ataqueTécnica MITRENivel
SMBv1 activoCVE-2017-0144 EternalBlue (CVSS 9.3)Ejecución remota de código sin autenticación, propagación de ransomwareT1210🔴 Crítico
LLMNR activoLLMNR poisoning (envenenamiento de red)Captura de hashes NTLM con Responder desde la red localT1557.001🔴 Alto
NetBIOS activoNetBIOS Name Service spoofingCaptura de credenciales y relay attack en red localT1557.001🔴 Alto
Print Spooler activoCVE-2021-34527 PrintNightmare (CVSS 8.8)Escalación a SYSTEM mediante inyección de DLLT1210🔴 Crítico
Remote Registry activoModificación remota del registro de WindowsPersistencia y modificación de configuración sin presencia físicaT1112🟠 Alto
Detección de red activaEnumeración de equipos en red localReconocimiento de la red para movimiento lateralT1557🟠 Alto

💡 ¿Qué es LLMNR y por qué permite capturar credenciales?

LLMNR (Link-Local Multicast Name Resolution) es un protocolo de resolución de nombres de Windows que se activa cuando el DNS no puede resolver un nombre. Cuando un equipo envía una consulta LLMNR por multicast, cualquier atacante en el mismo segmento de red puede responder haciéndose pasar por el equipo buscado. En ese intercambio, el cliente Windows envía automáticamente su hash NTLM para autenticarse, que el atacante captura con herramientas como Responder sin necesitar ningún privilegio previo. Este ataque de envenenamiento de red (LLMNR poisoning) es uno de los vectores de captura de credenciales más frecuentes en auditorías de seguridad internas.

Referencias técnicas oficiales: CVE-2017-0144 (EternalBlue, CVSS 9.3) y CVE-2021-34527 (PrintNightmare) están documentadas en la base de datos nacional de vulnerabilidades NVD/NIST. La deshabilitación de SMBv1 y LLMNR está recomendada por el CIS Benchmark para Windows y por las alertas de CISA sobre WannaCry.

Cómo desactivar los servicios de compartición Windows

🔐 Cómo desactivar los servicios de compartición Windows

🛠️ Método 1: Desde la configuración de red

  1. Abre Panel de control → Centro de redes y recursos compartidos
  2. Haz clic en Configuración de uso compartido avanzado
  3. Desactiva Detección de redes para cerrar LLMNR y NetBIOS en la interfaz gráfica
  4. Desactiva Uso compartido de archivos e impresoras para cerrar el protocolo SMB de compartición
  5. Guarda los cambios y verifica con net share que no quedan carpetas compartidas activas

💻 Método 2: Desactivar con PowerShell (recomendado)

Script completo para desactivar los protocolos de red y servicios más peligrosos en un único paso:

# ============================================================
# DESACTIVAR SERVICIOS DE COMPARTICIÓN WINDOWS
# Alineado con MITRE ATT&CK, CIS Benchmark y CISA
# ============================================================

# 1. Deshabilitar SMBv1 (vector de WannaCry - CVE-2017-0144, CVSS 9.3)
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -NoRestart

# 2. Deshabilitar LLMNR (LLMNR poisoning, captura de hashes NTLM - T1557.001)
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient" /v EnableMulticast /t REG_DWORD /d 0 /f

# 3. Deshabilitar NetBIOS sobre TCP/IP (relay attack y captura de credenciales)
$adapters = Get-WmiObject Win32_NetworkAdapterConfiguration
foreach ($adapter in $adapters) {
    $adapter.SetTcpipNetbios(2) | Out-Null
}

# 4. Deshabilitar Print Spooler si no hay impresora en red (PrintNightmare - CVE-2021-34527)
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled

# 5. Deshabilitar Remote Registry (modificación remota del registro - T1112)
Stop-Service -Name RemoteRegistry -Force
Set-Service -Name RemoteRegistry -StartupType Disabled

# 6. Deshabilitar Computer Browser (enumeración de red para movimiento lateral)
Stop-Service -Name Browser -Force -ErrorAction SilentlyContinue
Set-Service -Name Browser -StartupType Disabled -ErrorAction SilentlyContinue

Write-Host "Servicios de compartición Windows desactivados correctamente." -ForegroundColor Green
Referencia oficial SMBv1: Cómo detectar y deshabilitar SMBv1, v2 y v3 en Windows, guía técnica de Microsoft Learn

🔎 Cómo verificar el estado tras aplicar los cambios

💡 ¿Cómo verificar si SMBv1 está desactivado en Windows?

Ejecuta este comando en PowerShell para comprobar el estado real del protocolo SMBv1 y de los servicios de compartición Windows:

# Ver carpetas compartidas activas (debe devolver solo IPC$)
net share

# Verificar estado de SMBv1 (debe mostrar State: Disabled)
Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

# Verificar estado de servicios de compartición Windows
Get-Service Browser, RemoteRegistry, Spooler | Select-Object Name, Status, StartType

Si Get-WindowsOptionalFeature devuelve State: Disabled y los servicios muestran Stopped / Disabled, la superficie de ataque de red queda correctamente reducida.

✅ Checklist de verificación tras aplicar el script

Después de ejecutar el script, confirma que cada servicio está correctamente desactivado:

  • ☐  Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol devuelve State: Disabled
  • ☐  Get-SmbServerConfiguration | Select EnableSMB1Protocol devuelve False
  • ☐  LLMNR desactivado: clave de registro EnableMulticast = 0 presente en HKLM\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
  • ☐  NetBIOS sobre TCP/IP desactivado en todos los adaptadores de red
  • ☐  Servicio Spooler: Estado Stopped, inicio Disabled
  • ☐  Servicio RemoteRegistry: Estado Stopped, inicio Disabled
  • ☐  Servicio Browser: Estado Stopped, inicio Disabled
  • ☐  net share solo muestra IPC$ (compartición administrativa mínima)
  • ☐  El firewall de Windows está activo en todos los perfiles (dominio, privado, público)

🧠 Cuándo deberías desactivarlos

Situación¿Desactivar servicios de compartición Windows?UrgenciaNota
PC doméstico sin impresora en red✅ Todos🔴 RecomendadoNinguno de estos servicios es necesario en uso doméstico habitual
Portátil que usa redes WiFi públicas✅ Todos, especialmente LLMNR y SMBv1🔴 UrgenteEl envenenamiento LLMNR es trivial en redes públicas con Responder
PC con impresora local (no en red)✅ Desactivar Print Spooler en red🟠 RecomendadoMantener solo el acceso local al spooler si es necesario
PC en red de empresa con archivos compartidos⚠️ Solo SMBv1 y LLMNR; mantener SMBv2/v3🟠 Consultar con ITSMBv2 y SMBv3 son seguros; SMBv1 nunca debe estar activo
Servidor Windows en producción⚠️ Revisar con política de grupo (GPO) y segmentación de red🟠 Revisar con administradorAplicar CIS Benchmark y segmentar SMB solo al segmento necesario

🧩 Buenas prácticas adicionales para reducir la superficie de ataque de red

  • 🔄 Mantén Windows actualizado: los parches y actualizaciones Windows corrigen vulnerabilidades en el protocolo SMB y otros servicios de red; parchear y deshabilitar son capas complementarias, no alternativas
  • 🔒 Combina con la gestión de cuentas y acceso Windows para bloquear accesos no autorizados mediante autenticación NTLM robusta
  • 🛡️ Mantén activo el firewall de Windows con las reglas de entrada SMB (puerto 445) bloqueadas para redes públicas
  • 🛡️ Mantén activo Windows Defender con protección en tiempo real para detectar herramientas de captura de hashes NTLM
  • 📡 Evita redes WiFi públicas sin VPN; el envenenamiento LLMNR y los ataques relay attack son especialmente efectivos en redes compartidas
  • 🏢 En entornos corporativos, aplica segmentación de red para limitar el alcance del protocolo SMB al segmento estrictamente necesario
  • 🔑 Usa contraseñas seguras en todas las cuentas del sistema; un hash NTLM capturado es más fácil de crackear con contraseñas débiles
Recomendación oficial: La alerta de CISA sobre el ransomware WannaCry establece la deshabilitación de SMBv1 como medida preventiva prioritaria. El CIS Benchmark para Windows incluye la desactivación de LLMNR y NetBIOS como controles de nivel 1 aplicables a todos los sistemas.

Servicios de compartición Windows activos vs desactivados

🆚 Servicios de compartición Windows activos vs desactivados

CaracterísticaServicios de compartición Windows activosServicios desactivados
Riesgo SMBv1🔴 EternalBlue / WannaCry (ejecución remota sin autenticación)🟢 Eliminado
Riesgo LLMNR/NetBIOS🔴 Captura de hashes NTLM y relay attack desde red local🟢 Eliminado
Riesgo Print Spooler🔴 PrintNightmare, escalación a SYSTEM mediante inyección DLL🟢 Eliminado
Riesgo Remote Registry🔴 Modificación remota del registro de Windows🟢 Eliminado
Superficie de ataque de red🔴 Alta; múltiples protocolos de red expuestos en el puerto 445 y otros🟢 Muy reducida
Movimiento lateral🔴 Posible mediante protocolo SMB y enumeración de red🟢 Bloqueado sin SMBv1 ni NetBIOS activos
Cumplimiento CIS Benchmark🔴 Incumple controles de nivel 1🟢 Alineado con CIS Benchmark nivel 1
Recomendado

🏁 Conclusión

Desactivar los protocolos de red innecesarios en Windows es una de las medidas de hardening de red con mayor impacto y menor coste. SMBv1, LLMNR, NetBIOS y Print Spooler son vectores de ataque documentados y activamente explotados en 2026. Desactivarlos con el script de esta guía reduce drásticamente la superficie de ataque de red sin afectar al uso normal del equipo: ningún usuario doméstico necesita SMBv1, LLMNR ni Remote Registry activos.

Lo más valioso de este script es que actúa sobre todos los vectores a la vez, y el resultado es verificable en segundos con Get-Service y Get-WindowsOptionalFeature. Es hardening de red de nivel profesional alineado con el CIS Benchmark que cualquier usuario puede aplicar en menos de cinco minutos.

  • 🔒 Desactiva SMBv1 siempre: Microsoft no lo incluye por defecto en Windows 11 y su único uso práctico en 2026 es ser explotado por EternalBlue o sus variantes
  • 🔒 LLMNR es el vector más infravalorado: cualquier atacante en tu red local puede capturar hashes NTLM con Responder sin privilegios previos mediante envenenamiento de red
  • 🔒 Print Spooler desactivado si no hay impresora en red: PrintNightmare escalaba a SYSTEM en segundos mediante inyección de DLL desde usuario estándar
  • 🔒 Verifica con Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol: State: Disabled confirma el cierre del vector EternalBlue
  • 🔒 Combina con las actualizaciones de Windows: parchear y deshabilitar servicios de red son capas complementarias del hardening, no alternativas

Comparte este artículo con quien tenga SMBv1 activo en Windows. WannaCry propagó ransomware a 200.000 equipos usando exactamente ese protocolo SMB, y la mayoría de usuarios domésticos lo tienen activo sin saberlo.

❓ Preguntas frecuentes sobre servicios de compartición Windows

¿Son peligrosos los servicios de compartición Windows?

👉 Sí si están mal configurados o activos sin necesidad. SMBv1 fue el vector de WannaCry y NotPetya. LLMNR permite capturar hashes NTLM en la red local mediante envenenamiento de red sin privilegios previos. Desactivarlos si no se usan es la recomendación de Microsoft, CISA y el CIS Benchmark nivel 1.

¿Debo desactivar los servicios de compartición Windows en casa?

👉 Sí, si no compartes archivos ni impresoras en red. La mayoría de usuarios domésticos tienen estos servicios de red activos por defecto sin ninguna necesidad real, lo que amplía innecesariamente la superficie de ataque y expone el sistema a ataques de relay y captura de credenciales.

¿Desactivar los servicios de compartición Windows afecta al funcionamiento del PC?

👉 No para uso doméstico normal. Solo limita el acceso al sistema de archivos desde otros dispositivos de la red. Si tienes impresora en red o carpetas compartidas con otros equipos mediante protocolo SMB, revisa primero qué servicios necesitas antes de desactivar.

¿Se pueden reactivar los servicios de compartición Windows?

👉 Sí, en cualquier momento desde Configuración, el Panel de Control o PowerShell. Para SMBv1: Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol. Para servicios: Set-Service -Name Spooler -StartupType Automatic seguido de Start-Service Spooler.

¿Qué es SMBv1 y por qué es tan peligroso?

👉 SMBv1 es la versión original del protocolo de compartición de archivos de Windows, con vulnerabilidades críticas de seguridad documentadas. La CVE-2017-0144 (EternalBlue, CVSS 9.3) permitió a WannaCry propagarse de forma autónoma a 200.000 equipos sin intervención del usuario. Microsoft recomienda deshabilitar SMBv1 en todos los sistemas y no lo incluye activo por defecto en Windows 11.

¿Qué diferencia hay entre desactivar SMBv1 y SMBv2?

👉 SMBv1 debe desactivarse siempre: tiene vulnerabilidades críticas del protocolo documentadas y Microsoft ya no lo activa por defecto en Windows 11. SMBv2 y SMBv3 son versiones modernas del protocolo SMB con cifrado y autenticación mejorada; deben mantenerse activos si necesitas compartir archivos en red local. Nunca desactives SMBv2 o SMBv3 pensando que reduces la seguridad: son la alternativa segura a SMBv1.

¿Qué es un relay attack y cómo lo evita desactivar LLMNR?

👉 Un relay attack (o ataque de retransmisión NTLM) ocurre cuando un atacante captura el hash NTLM obtenido mediante envenenamiento LLMNR y lo retransmite en tiempo real a otro servicio de la red para autenticarse con las credenciales de la víctima, sin necesidad de crackear el hash. Desactivar LLMNR y NetBIOS elimina el mecanismo de captura inicial, haciendo imposible el ataque de relay sin comprometer primero otra credencial.

 

Autor

Entusiasta de la seguridad informática con años de experiencia en protección de sistemas Windows y defensa contra amenazas digitales. Apasionado por la tecnología y la privacidad, comparto en este blog consejos prácticos, análisis detallados y guías paso a paso para que cualquier usuario pueda fortalecer la seguridad de su PC y su vida digital

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tu puntuación: Útil

Subir