Bloquear puertos USB con regedit y más métodos en Windows

Si quieres poner a raya el uso de memorias externas y discos USB en tu equipo, aquí tienes una guía completa para bloquear los puertos USB en Windows con regedit y otras opciones. Verás métodos para desactivar por completo el almacenamiento extraíble o limitarlo (solo lectura), junto a alternativas desde políticas de grupo, Administrador de dispositivos, BIOS/UEFI y utilidades de terceros.

Antes de meternos en harina, ten en cuenta que algunos métodos pueden impedir que funcionen periféricos USB como el teclado y el ratón. Si vas a deshabilitar puertos de forma agresiva, considera usar un teclado y ratón Bluetooth mientras haces cambios. Y ojo con el Registro: tocar lo que no debes puede dejar Windows inestable, así que actúa con responsabilidad y haz una copia de seguridad o un punto de restauración.

Qué implica bloquear los puertos USB en Windows 10 y 11

Hay varias formas de “bloquear USB” y cada una tiene efectos distintos. Cambiar el servicio de almacenamiento masivo (USBSTOR) desde el Registro bloquea específicamente los dispositivos de almacenamiento (memorias USB, discos externos, algunas tarjetas SD), pero no otros dispositivos USB como cámaras web o impresoras. En cambio, desactivar controladoras en el Administrador de dispositivos o desde BIOS/UEFI puede inutilizar todos los puertos USB, afectando también a teclado y ratón.

Otro enfoque son las políticas de grupo o su equivalente en el Registro, que permiten negar el acceso a todas las clases de almacenamiento extraíble o solo a la lectura/escritura en discos extraíbles. Estas opciones son ideales para entornos corporativos o educativos, ya que son más granulares y administrables.

Como ves, no existe un único “interruptor mágico”. Elegir el método correcto depende de si necesitas bloquear completamente el puerto o solo impedir que se copien datos desde/hacia unidades externas.

Bloquear el almacenamiento USB con el Editor del Registro (regedit)

Este método desactiva el servicio que permite a Windows montar unidades de almacenamiento USB. Es rápido y efectivo, y se revierte fácilmente. Aun así, haz una copia del Registro o un punto de restauración antes de empezar.

1. Pulsa Win + R, escribe regedit y acepta para abrir el Editor del Registro. No toques entradas que no conozcas.
2. Navega hasta la clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor. Asegúrate de que estás en la ruta correcta para evitar errores.
3. En el panel derecho, haz doble clic en Start. Cambia el valor de 3 a 4 (base Hexadecimal) y pulsa Aceptar. Esto deshabilita USBSTOR.
4. Reinicia el equipo para aplicar los cambios. Las unidades USB quedarán inutilizadas (no se montarán).

Para revertirlo, vuelve a la misma ruta y cambia Start a 3, reiniciando después. Si notas que sigue sin funcionar, mira las políticas de la siguiente sección, ya que pueden estar negando el acceso por otra vía.

Denegar el acceso a todo el almacenamiento extraíble con directivas (GPO)

Si usas Windows Pro o Enterprise, las políticas de grupo son el método más limpio y centralizado. Permite bloquear todas las clases de almacenamiento extraíble con un par de clics y es ideal para varias máquinas.

1. Abre Win + R, escribe gpedit.msc y entra en el Editor de directivas de grupo local. Necesitas permisos de administrador.
2. Navega a: Configuración del equipo > Plantillas administrativas > Sistema > Acceso de almacenamiento extraíble. Esto centraliza las reglas de acceso.
3. Activa la directiva “Todas las clases de almacenamiento extraíble: denegar acceso a todo”. Aplica y Acepta. Con ello Windows negará acceso a USB flash, discos externos, CD/DVD y otros medios extraíbles.

Opcionalmente, puedes jugar con directivas específicas para “Discos extraíbles: denegar acceso de lectura” y “Discos extraíbles: denegar acceso de escritura”. Con estas, el usuario puede leer pero no escribir, o viceversa, según lo que necesites.

Hacer lo mismo vía Registro: RemovableStorageDevices

Las directivas anteriores crean entradas en el Registro que puedes revisar o manipular manualmente. Si notas que, aunque hayas revertido otros cambios, Windows sigue negando el acceso, comprueba esta clave:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows/RemovableStorageDevices

1. Abre regedit con Win + R y busca la ruta anterior. Si la clave existe y no necesitas las restricciones, puedes eliminarla.
2. Haz clic derecho sobre RemovableStorageDevices y elige Eliminar. Confirma con cuidado; estás tocando políticas de sistema.
3. Cierra el Registro y reinicia. Con ello, los bloques impuestos por políticas deberían desaparecer y volver a permitir USB.

Recuerda la advertencia: modificar el Registro incorrectamente puede causar problemas graves. Si dudas, consulta con IT o crea un punto de restauración antes de nada.

Restringir solo la escritura en unidades USB (modo solo lectura)

Otra estrategia es permitir que las unidades se monten pero impedir que se escriban datos, útil si quieres evitar que copien información desde tu PC a un USB.

Método desde Registro:

1. Abre regedit y ve a: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies. Si no existe la clave, créala con ese nombre.
2. Dentro, crea un valor DWORD (32 bits) llamado WriteProtect con dato 1 para activar la protección de escritura. Con 0 vuelves a permitirla.
3. Reinicia el equipo para aplicar. El usuario podrá leer, pero no podrá grabar ni modificar contenido en unidades extraíbles.

Método con GPO (Pro/Enterprise): ve a Configuración del equipo > Plantillas administrativas > Sistema > Acceso de almacenamiento extraíble y habilita “Discos extraíbles: denegar acceso de escritura”. Es una forma limpia y centralizada de aplicar la política.

Desactivar puertos USB desde el Administrador de dispositivos

Si prefieres actuar por hardware lógico, el Administrador de dispositivos te permite deshabilitar controladoras USB específicas. Es útil cuando quieres bloquear ciertos puertos pero mantener otros.

1. Pulsa Win + X y abre Administrador de dispositivos. Esta consola muestra el árbol de hardware.
2. Despliega Controladoras de bus serie universal (USB). Verás hubs, controladoras y, a veces, puertos concretos.
3. Haz clic derecho en el dispositivo que quieras limitar y elige Deshabilitar dispositivo. Confirma. Desde ese momento, Windows no cargará controladores para ese elemento.
4. Para revertir, clic derecho y Habilitar dispositivo. La reversión es inmediata tras habilitar.

Ten presente que puedes dejar sin funcionamiento el teclado o el ratón si deshabilitas el controlador que los gestiona. Actúa con cautela y documenta qué tocas para poder revertir.

Otras técnicas avanzadas y alternativas

Además de las rutas más conocidas, existen varios métodos complementarios que pueden ajustarse a escenarios más concretos o a restricciones corporativas.

Desinstalar los controladores de almacenamiento masivo USB

En entornos compartidos (escuela, oficina), puedes desinstalar los drivers de “almacenamiento masivo USB”. Cuando alguien conecte una memoria, Windows pedirá instalar de nuevo los controladores. Es una barrera útil si el usuario no tiene permisos para instalar.

En el Administrador de dispositivos, bajo Controladoras USB, localiza el dispositivo de almacenamiento masivo, botón derecho y Desinstalar. Al reconectar, el sistema solicitará controladores, lo que frena el acceso inmediato.

DevCon: gestionar USB por línea de comandos

DevCon (devcon.exe) es una utilidad de Microsoft incluida en el Windows Driver Kit (WDK) que permite listar, habilitar y deshabilitar dispositivos desde la consola. Instala el WDK para disponer de DevCon.

• Lista dispositivos USB: devcon find usb*. Con esto identificas el ID de hardware del dispositivo a tratar.
• Deshabilita un dispositivo concreto: devcon disable ID_DE_TU_DISPOSITIVO. Cámbialo por el ID correcto para bloquear ese USB específico.
• Para revertir: devcon enable ID_DE_TU_DISPOSITIVO. Así reactivas el dispositivo cuando lo necesites.

DevCon es ideal para scripts y automatizaciones, por ejemplo, aplicar políticas al arrancar o al cerrar sesión sin intervención manual.

Denegar permisos a los archivos de instalación de USBSTOR

Si en el equipo aún no hay dispositivos de almacenamiento USB instalados, puedes impedir su instalación denegando permisos de lectura a usbstor.inf y usbstor.pnf. Es un enfoque clásico que bloquea la instalación de drivers.

1. Abre el Explorador y ve a %SystemRoot%\Inf. Aquí viven los ficheros .inf de drivers.
2. En Usbstor.inf y Usbstor.pnf, abre Propiedades > Seguridad. Agrega los usuarios o grupos objetivo y la cuenta SISTEMA, marcando Denegar: Control total.
3. Tras esto, los usuarios no podrán instalar dispositivos de almacenamiento USB en ese equipo.

Ojo: al denegar a “SISTEMA” puedes crear efectos colaterales. Documenta y prueba en un equipo de ensayo antes de aplicarlo masivamente.

Desmontar/expulsar unidades para bloquear su uso temporal

Si solo quieres impedir el uso mientras permanece conectada, puedes expulsarla desde el Explorador (Este equipo > botón derecho sobre la unidad > Expulsar). El sistema dejará de montarla aunque esté conectada, quedando inoperativa hasta que la reconectes.

Desactivar puertos desde la BIOS/UEFI

Algunas placas permiten desactivar los puertos USB a nivel de firmware. Consulta el manual de tu placa o equipo y, si existe, desactiva los puertos deseados desde BIOS/UEFI. Es un método robusto, aunque más delicado y avanzado; evita tocarlo si no estás seguro.

Desconexión física de puertos frontales

En torres de PC, a veces basta con desconectar el cable que une los puertos frontales a la placa base. No suele ser viable para todos los puertos, pero reduce la manipulación no autorizada de los más accesibles.

Aplicaciones de terceros para bloquear USB

Si prefieres una solución con interfaz y mínima fricción, hay utilidades ligeras para activar o desactivar USB con uno o dos clics, sin meterte en Registro o BIOS. No obstante, su diseño puede ser básico y con pocas opciones avanzadas.

Nomesoft USB Guard

Herramienta liviana y fácil para bloquear dispositivos USB, pensada para evitar infecciones por unidades flash. Consume pocos recursos y se maneja en muy pocos pasos, ideal para usuarios con poca experiencia. Como contrapartida, su interfaz luce algo anticuada.

USB Drive Disabler

Aplicación portable que permite deshabilitar el acceso a todos los puertos USB con un clic y volver a habilitarlos igual de rápido. Al ser portable, no instala ni modifica el Registro permanentemente y no deja restos al eliminarse. La pega: ofrece pocas opciones de personalización para usuarios avanzados.

Motivos, riesgos y buenas prácticas

Bloquear o limitar el uso de USB ayuda a proteger datos sensibles y la red. Un simple pendrive puede introducir malware o facilitar fuga de información en entornos corporativos.

• Evitar robo de datos: dispositivos no autenticados son un punto ciego en muchas empresas.
• Reducir infecciones: el malware en USB sigue siendo un vector clásico de ataque.
• Controlar flujo de información: restringir lectura/escritura limita la exposición.

Entre las causas frecuentes de pérdida de datos en USB están la eliminación accidental, formateos sin copia, daños físicos, desconexiones bruscas e infecciones. Mantén copias de seguridad regulares y políticas claras sobre el uso de medios extraíbles.

Recuerda que medidas agresivas (desactivar controladoras, BIOS) pueden romper la operativa de periféricos. Si planeas un bloqueo total, ten a mano alternativas como teclado/ratón Bluetooth y una cuenta administrativa local para revertir con garantías.

Solución de problemas y cómo revertir cambios

Si tras aplicar cambios tu equipo no reconoce pendrives ni discos USB, repasa estos puntos antes de darlo por perdido:

• En Registro, verifica HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor y pon Start = 3 para habilitar. Reinicia y prueba de nuevo.
• Revisa la clave de políticas: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices. Si existe, elimínala (clic derecho > Eliminar) y reinicia.
• En GPO, pon “No configurada” o “Deshabilitada” en “Todas las clases de almacenamiento extraíble: denegar acceso a todo” y en las de lectura/escritura.
• En Administrador de dispositivos, habilita cualquier controladora USB que desactivaras por error.

Si al conectar sale un mensaje de denegación o el equipo ni pestañea, lo más probable es que una directiva o el servicio USBSTOR sigan bloqueando el acceso. Ajusta primero políticas y Registro, reinicia y vuelve a probar.

Recuperar datos de un USB: opciones y pasos

Cuando los datos de una memoria USB desaparecen por borrados, formateos o corrupción, es clave actuar rápido: evita escribir nada nuevo en el dispositivo para no sobrescribir. Existen herramientas de recuperación como Wondershare Recoverit que simplifican el proceso.

1. Conecta la unidad USB y asegúrate de que el sistema la detecta. Si no, prueba otros puertos o un adaptador distinto y consulta soluciones de alimentación USB.
2. Abre la herramienta de recuperación, elige la unidad USB y pulsa Iniciar para realizar un análisis completo. El escaneo puede tardar varios minutos según el tamaño.
3. Previsualiza los resultados (fotos, vídeos, documentos) y marca los archivos que necesites recuperar.
4. Pulsa Recuperar y guarda en una ubicación distinta de la unidad origen para evitar sobrescribir.

Este tipo de software admite gran cantidad de formatos y escenarios, pero recuerda: cuanto antes intentes la recuperación, mejores resultados obtendrás.