- El acceso controlado a carpetas limita qué aplicaciones pueden modificar archivos en ubicaciones protegidas, reduciendo el impacto del ransomware.
- Funciona en Windows 10, Windows 11 y varias ediciones de Windows Server siempre que Microsoft Defender sea el antivirus activo.
- Permite añadir carpetas y aplicaciones de confianza, gestionarse desde Seguridad de Windows o de forma centralizada con Intune, GPO, Configuration Manager y PowerShell.
- Incluye modos de auditoría y genera eventos detallados para revisar bloqueos y ajustar la configuración sin interrumpir el trabajo.
Si te preocupa el ransomware y la seguridad de tus archivos en Windows 11, hay una función integrada que probablemente tengas desactivada y que puede marcar una gran diferencia: el acceso controlado a carpetas (Controlled Folder Access). No es magia, ni sustituye a las copias de seguridad, pero añade una capa extra y, si necesitas ajustar permisos, puedes asignar permisos a carpetas y archivos, lo que complica mucho la vida al malware que intenta cifrar o borrar tus documentos más importantes.
Esta característica viene incluida en Windows 11, Windows 10 y varias versiones de Windows Server y se integra con Microsoft Defender. Por defecto suele venir desactivada porque puede resultar algo estricta y a veces bloquea programas legítimos, pero se puede ajustar a tu gusto, cambiar la ubicación por defecto, añadir carpetas extra, permitir aplicaciones concretas y hasta gestionarla mediante directiva de grupo, Intune, Configuration Manager o PowerShell, tanto en equipos domésticos como en entornos corporativos.
Qué es exactamente el acceso controlado a carpetas
El acceso controlado a carpetas es una función de Microsoft Defender Antivirus diseñada para frenar el ransomware y otros tipos de malware que intentan modificar o eliminar archivos de determinadas ubicaciones protegidas. En lugar de bloquear todo lo que se ejecuta, lo que hace es permitir que solo las aplicaciones consideradas de confianza hagan cambios en esas carpetas.
En la práctica, esta protección se basa en una lista de aplicaciones de confianza y otra de carpetas protegidas. Las apps con buena reputación y alta prevalencia en el ecosistema de Windows se permiten de forma automática, mientras que las aplicaciones desconocidas o sospechosas no podrán modificar ni borrar archivos en las rutas controladas, aunque sí puedan leerlos.
Es importante tener claro que esta función no evita que el malware copie o lea datos; lo que bloquea son las acciones de modificación, cifrado o borrado sobre los ficheros protegidos. Si un atacante consigue colarse en tu equipo, podría seguir exfiltrando información, pero tendrá mucho más difícil romper tus documentos clave.
Controlled Folder Access está pensado para trabajar codo con codo con Microsoft Defender para endpoint y el portal de Microsoft Defender, donde se pueden ver informes detallados de lo que se ha bloqueado o auditado, muy útil sobre todo en empresas para investigar incidentes de seguridad.
Sistemas operativos compatibles y requisitos previos
Antes de plantearte activarlo, conviene saber en qué plataformas funciona. El acceso controlado a carpetas está disponible en Windows 11, Windows 10 y varias ediciones de Windows Server, además de algún sistema específico de Microsoft como Azure Stack HCI.
De forma más concreta, la función se admite en Windows 10 y Windows 11 en sus ediciones con Microsoft Defender como antivirus, y en el lado servidor está soportada en Windows Server 2016 y versiones posteriores, Windows Server 2012 R2, Windows Server 2019 y sucesores, así como en el sistema operativo de Azure Stack HCI a partir de la versión 23H2.
Un detalle clave es que el acceso controlado a carpetas solo funciona cuando el antivirus activo es Microsoft Defender. Si usas un antivirus de terceros que deshabilita Defender, la configuración de esta característica desaparece de la aplicación Seguridad de Windows o queda inoperativa, y tendrás que confiar en la protección antiransomware del producto que tengas instalado.
En entornos gestionados, además de Defender se requieren herramientas como Microsoft Intune, Configuration Manager o soluciones MDM compatibles para poder desplegar y administrar de forma centralizada las políticas de acceso controlado a carpetas en múltiples dispositivos.
Cómo funciona el acceso controlado a carpetas por dentro
El comportamiento de esta función se basa en dos pilares: por un lado las carpetas que se consideran protegidas y por otro las aplicaciones que se consideran de confianza. Cualquier intento de una app no confiable de escribir, modificar o borrar ficheros en esas carpetas se bloquea o se audita, en función del modo configurado.
Cuando se habilita la característica, Windows marca como protegidas una serie de carpetas de usuario muy habituales, como Documentos, Imágenes, Vídeos, Música y Favoritos, tanto de la cuenta en uso como de las carpetas públicas. Además, se incluyen también determinadas rutas de perfil del sistema (por ejemplo, carpetas de Documents del perfil del sistema) y sectores críticos de arranque.
El listado de aplicaciones permitidas se genera a partir de la reputación y prevalencia del software en el ecosistema de Microsoft. Programas muy utilizados que nunca han mostrado comportamiento malicioso se consideran fiables y se autorizan sin que tengas que hacer nada. Otras aplicaciones menos conocidas, herramientas caseras o ejecutables portables pueden verse bloqueados hasta que los apruebes manualmente.
En organizaciones empresariales, además de las listas automáticas, los administradores pueden añadir o permitir software concreto mediante Microsoft Intune, Configuration Manager, políticas de grupo o configuraciones MDM, afinando mucho qué se bloquea y qué no dentro del entorno corporativo.
Para evaluar el impacto antes de aplicar el bloqueo duro, existe un modo de auditoría que permite que las aplicaciones actúen con normalidad pero registra en los eventos qué habría sido bloqueado. De ese modo se puede revisar en detalle si, al pasar al modo estrictamente bloqueante, se interrumpirían procesos de negocio o aplicaciones críticas.
Por qué es tan importante frente al ransomware
Los ataques de ransomware tienen como objetivo cifrar tus documentos y pedir un rescate para devolverte el acceso. El acceso controlado a carpetas se centra precisamente en impedir que una aplicación no autorizada modifique los archivos que más te importan, que suelen estar en Documentos, Imágenes, Vídeos o en otras carpetas donde guardas tus proyectos y datos personales.
Cuando una aplicación desconocida intenta tocar un fichero de una carpeta protegida, Windows genera una notificación en el equipo alertando del bloqueo. Esa alerta puede personalizarse en entornos de empresa con información de contacto interna para que los usuarios sepan a quién recurrir si necesitan ayuda o si creen que se trata de un falso positivo.
Además de las carpetas de usuario habituales, el sistema protege también carpetas del sistema y sectores de arranque, reduciendo la superficie de ataque de malware que intenta manipular el arranque del sistema o componentes críticos de Windows.
Otra ventaja es poder activar primero el modo de auditoría para analizar el impacto. Así puedes ver qué programas se habrían bloqueado, revisar los registros y ajustar listas de carpetas y aplicaciones permitidas antes de dar el salto a un bloqueo estricto, evitando sorpresas en un entorno productivo.
Carpetas protegidas por defecto en Windows
De serie, Windows marca como protegidas una serie de ubicaciones muy típicas donde los usuarios guardan sus archivos. Esto incluye tanto carpetas del perfil del usuario como carpetas públicas, de manera que la mayoría de tus documentos, fotos, música y vídeos queden resguardados sin que tengas que configurar nada adicional.
Entre otras, se protegen rutas como c:\Users\<usuario>\Documents y c:\Users\Public\Documents, equivalentes para Imágenes, Vídeos, Música y Favoritos, además de las mismas rutas equivalentes para cuentas de sistema como LocalService, NetworkService o systemprofile, siempre que las carpetas existan en el sistema.
Estas ubicaciones aparecen de forma visible en el perfil del usuario, dentro de “Este equipo” en el Explorador de archivos, por lo que normalmente son las que utilizas a diario sin pensar demasiado en la estructura interna de carpetas de Windows.
Es importante tener en cuenta que las carpetas predeterminadas protegidas no se pueden eliminar de la lista. Puedes añadir más carpetas propias, en otras ubicaciones, pero las que vienen de fábrica permanecen siempre bajo protección para minimizar el riesgo de que por error desactives la defensa en zonas clave.
Cómo activar Controlled Folder Access desde Seguridad de Windows
Para la mayoría de usuarios domésticos y muchas pymes, el camino más sencillo para activar esta función es la aplicación Seguridad de Windows incluida en el sistema. No hay que instalar nada extra, basta con cambiar unas cuantas opciones.
Primero, abre el menú Inicio, escribe “Seguridad de Windows” o “Windows Security” y abre la aplicación. En el panel principal, entra en la sección “Protección antivirus y contra amenazas” (o “Virus & threat protection” si lo tienes en inglés), que es donde se concentran las opciones de Defender relacionadas con el malware.
Dentro de esa pantalla, desplázate hasta encontrar el apartado de “Protección contra ransomware” y haz clic en “Administrar protección contra ransomware” (“Manage ransomware protection”). Si estás usando un antivirus de terceros, es posible que aquí veas una referencia a ese producto y no podrás usar esta función mientras ese antivirus esté activo.
En la pantalla de protección contra ransomware verás un conmutador llamado “Acceso controlado a carpetas”. Actívalo y, si el sistema te muestra un aviso de Control de cuentas de usuario (UAC), acepta para que se apliquen los cambios con permisos de administrador.
Una vez habilitado, se mostrarán varias opciones adicionales: historial de bloqueos (Block history), Carpetas protegidas (Protected folders) y la posibilidad de permitir aplicaciones a través del acceso controlado a carpetas. Desde aquí podrás ir afinando la configuración según lo que vayas necesitando.
Configurar y ajustar el acceso controlado a carpetas
Cuando la función ya está en marcha, lo normal es que la mayor parte del tiempo no notes nada raro en tu día a día. Sin embargo, pueden aparecer avisos de vez en cuando si una aplicación que usas intenta escribir en una carpeta protegida y no está en la lista de confianza.
Si te saltan notificaciones, puedes volver en cualquier momento a Seguridad de Windows y entrar en Protección antivirus y contra amenazas > Administrar protección contra ransomware. Desde ahí tendrás acceso directo a la configuración de bloqueos, carpetas y apps permitidas.
La sección de “Block history” muestra el listado de todos los bloqueos que se han producido: qué archivo o ejecutable ha sido detenido, en qué momento, en qué carpeta protegida pretendía actuar y con qué nivel de gravedad (bajo, moderado, alto o severo). Si estás convencido de que se trata de un programa de confianza, puedes seleccionarlo y elegir la acción “Permitir en el dispositivo” para que deje de ser bloqueado.
En la parte de “Carpetas protegidas”, la aplicación muestra todas las rutas que actualmente están bajo la protección de Controlled Folder Access. Desde ahí podrás agregar nuevas carpetas o quitar las que hayas añadido tú, aunque las predeterminadas de Windows, como Documentos o Imágenes, no se pueden eliminar de la lista.
Si en algún momento la función te resulta demasiado intrusiva, siempre puedes desactivar de nuevo el conmutador de acceso controlado a carpetas desde la misma pantalla. El cambio es inmediato y todo vuelve a comportarse como antes de activarla, aunque lógicamente dejarás de tener esa barrera extra frente al ransomware.
Añadir o quitar carpetas protegidas adicionales
No todo el mundo guarda sus documentos en las bibliotecas estándar de Windows. Si sueles trabajar desde otras unidades, carpetas de proyectos o rutas personalizadas, te interesa incluirlas en el ámbito de protección del acceso controlado a carpetas.
Mediante la aplicación Seguridad de Windows, el proceso es muy sencillo: en la sección de protección contra ransomware, entra en “Carpetas protegidas” y acepta el aviso de UAC si aparece. Verás un listado con las carpetas actualmente protegidas y un botón de “Agregar una carpeta protegida”.
Al pulsar ese botón, se abrirá una ventana del explorador para que selecciones la carpeta que quieres añadir. Elige la ruta (por ejemplo, una carpeta en otra unidad, un directorio de trabajo de tus proyectos o incluso una unidad de red asignada) y confirma. Desde ese momento, cualquier intento de modificación desde una app no confiable será bloqueado o auditado en esa carpeta.
Si más adelante decides que ya no quieres que una carpeta concreta esté protegida, puedes seleccionarla en la lista y pulsar “Quitar”. Solo podrás eliminar las carpetas adicionales que hayas agregado tú; las que Windows marca de serie como protegidas no admiten eliminación para evitar dejar zonas críticas desprotegidas sin darte cuenta.
Además de unidades locales, se pueden especificar recursos compartidos de red y unidades mapeadas, y es posible utilizar variables de entorno en las rutas, aunque no se admiten comodines. Esto da bastante flexibilidad para proteger ubicaciones en entornos más complejos o con scripts de configuración automatizados.
Permitir aplicaciones confiables que han sido bloqueadas
Es bastante habitual que, después de activar la función, alguna aplicación legítima se vea afectada, sobre todo si guarda datos en Documentos, Imágenes o en alguna carpeta protegida. Juegos de PC, herramientas de ofimática menos conocidas o programas antiguos pueden encontrarse con un bloqueo al intentar escribir.
Para estos casos, la propia Seguridad de Windows ofrece la opción “Permitir una aplicación a través del acceso controlado a carpetas”. Desde el panel de protección contra ransomware, entra en este apartado y haz clic en “Agregar una aplicación permitida”.
Podrás elegir entre añadir aplicaciones desde la lista de “Aplicaciones bloqueadas recientemente” (muy cómodo si ya se te ha bloqueado algo y solo quieres permitirlo) o navegar por todas las aplicaciones para anticiparte y marcar como confiables determinados programas que sabes que necesitarán escribir en carpetas protegidas.
Al agregar una aplicación, es importante que especifiques la ruta exacta del ejecutable. Solo esa ubicación concreta quedará permitida; si el programa existe en otra ruta con el mismo nombre, no se añadirá automáticamente a la lista de permitidos y puede seguir siendo bloqueado por el acceso controlado a carpetas.
Hay que tener en cuenta que, incluso después de permitir una app o servicio, los procesos en marcha pueden seguir generando eventos hasta que se detengan y se inicien de nuevo. Es decir, puede que tengas que reiniciar la aplicación (o el propio servicio) para que la nueva excepción se aplique completamente.
Gestión avanzada en empresas: Intune, Configuration Manager y directiva de grupo
En entornos corporativos, lo habitual es no ir equipo por equipo cambiando ajustes a mano, sino definir políticas centralizadas que se despliegan de forma controlada. El acceso controlado a carpetas se integra con varias herramientas de administración de dispositivos de Microsoft.
Con Microsoft Intune, por ejemplo, se puede crear una directiva de reducción de superficie de ataque (Attack Surface Reduction) para Windows 10, Windows 11 y Windows Server. Dentro del perfil, existe una opción específica para habilitar el acceso controlado a carpetas, pudiendo elegir entre modos como “Habilitado”, “Deshabilitado”, “Modo auditoría”, “Bloquear solo modificación de disco” o “Solo modificación de disco de auditoría”.
Desde esa misma directiva en Intune es posible añadir carpetas protegidas adicionales (que se sincronizan con la aplicación Seguridad de Windows en los dispositivos) y también especificar aplicaciones de confianza que siempre tendrán permiso para escribir en dichas carpetas. Esto complementa la detección automática que hace Defender basándose en reputación.
Si tu organización usa Microsoft Configuration Manager, también puedes desplegar políticas de Windows Defender Exploit Guard. Desde “Assets and Compliance > Endpoint Protection > Windows Defender Exploit Guard” se crea una directiva de protección contra vulnerabilidades, se selecciona la opción de acceso controlado a carpetas y se escoge si se van a bloquear cambios, solo auditar, permitir otras apps o agregar otras carpetas.
Por otra parte, con directiva de grupo (GPO) se puede gestionar esta función de forma muy granular. En el Editor de administración de directiva de grupo, dentro de Configuración del equipo > Plantillas administrativas, se accede a los componentes de Windows correspondientes a Microsoft Defender Antivirus y su apartado de Exploit Guard, donde hay varias políticas relacionadas con el acceso controlado a carpetas.
Entre estas políticas figura la de “Configurar acceso controlado a carpetas”, que permite establecer el modo (Habilitado, Deshabilitado, Modo auditoría, Bloquear solo modificación de disco, Solo modificación de disco de auditoría), así como entradas para “Carpetas protegidas configuradas” o “Configurar aplicaciones permitidas”, donde se introducen rutas de carpetas y de ejecutables junto al valor indicado para señalarlos como permitidos.
Uso de PowerShell y CSP de MDM para automatizar la configuración
Para administradores y usuarios avanzados, PowerShell ofrece una forma muy directa de activar, desactivar o ajustar el acceso controlado a carpetas mediante cmdlets de Microsoft Defender. Esto resulta especialmente útil para scripts de despliegue, automatización o para aplicar cambios en lotes.
Para empezar, abre un PowerShell con privilegios elevados: busca “PowerShell” en el menú Inicio, haz clic derecho y elige “Ejecutar como administrador”. Una vez dentro, puedes activar la función con el cmdlet:
Ejemplo: Set-MpPreference -EnableControlledFolderAccess Enabled
Si quieres evaluar el comportamiento sin bloquear realmente nada, puedes usar el modo de auditoría sustituyendo Enabled por AuditMode, y si en algún momento quieres desactivarlo por completo, basta con indicar Disabled en ese mismo parámetro. Esto te permite cambiar rápidamente de un modo a otro según tus necesidades.
Para proteger carpetas adicionales desde PowerShell, existe el cmdlet Add-MpPreference -ControlledFolderAccessProtectedFolders, al que le pasas la ruta de la carpeta que quieres blindar, por ejemplo:
Ejemplo: Add-MpPreference -ControlledFolderAccessProtectedFolders "c:\apps/"
Del mismo modo, puedes permitir aplicaciones concretas con el cmdlet Add-MpPreference -ControlledFolderAccessAllowedApplications, indicando la ruta completa al ejecutable. Por ejemplo, si quieres autorizar un programa llamado test.exe en c:\apps, usarías:
Ejemplo: Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"
En escenarios de administración de dispositivos móviles (MDM), la configuración se expone mediante distintos proveedores de servicios de configuración (CSP), como Defender/GuardedFoldersList para carpetas protegidas o Defender/ControlledFolderAccessAllowedApplications para las aplicaciones permitidas, lo que permite integrar estas políticas en soluciones MDM compatibles de manera centralizada.
Registro de eventos y monitorización de incidentes
Para entender bien qué está ocurriendo en tus equipos, es clave revisar los eventos que genera el acceso controlado a carpetas cuando bloquea o audita acciones. Esto se puede hacer tanto desde el portal de Microsoft Defender como directamente en el Visor de eventos de Windows.
En empresas que utilizan Microsoft Defender para endpoint, el portal de Microsoft Defender ofrece informes detallados de eventos y bloqueos relacionados con Controlled Folder Access, integrados dentro de los escenarios habituales de investigación de alertas. Allí incluso se puede lanzar búsquedas avanzadas (Advanced Hunting) para analizar patrones en todos los dispositivos.
Por ejemplo, una consulta de DeviceEvents típica podría ser:
Ejemplo: DeviceEvents | where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')
En equipos individuales, puedes apoyarte en el Visor de eventos de Windows. Microsoft proporciona una vista personalizada (archivo cfa-events.xml) que se puede importar para ver de forma concentrada solo los eventos de acceso controlado a carpetas. Esa vista recoge entradas como el evento 5007 (cambio de configuración), 1123 y 1124 (bloqueo o auditoría de acceso a carpetas controladas) y 1127/1128 (bloqueos o auditorías de escritura en sectores de disco protegidos).
Cuando se produce un bloqueo, el usuario suele ver también una notificación en el sistema indicando que se han bloqueado cambios no autorizados, por ejemplo con mensajes del estilo “Controlled folder access blocked C:\…\NombreAplicación… from making changes to memory”, y en el historial de protección se reflejan eventos como “Protected memory access blocked” con fecha y hora.
El acceso controlado a carpetas se convierte en una herramienta muy potente para ponerle trabas serias al ransomware y a otras amenazas que intentan destrozar tus archivos, sin dejar de ser flexible gracias a los modos de auditoría, las listas de carpetas y aplicaciones permitidas y la integración con herramientas de administración. Ajustado con cabeza y combinado con copias de seguridad periódicas y un antivirus actualizado, es una de las mejores bazas que ofrece Windows 11 para mantener a salvo tus documentos más importantes.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.