Bloquear descargas peligrosas con SmartScreen y políticas de Edge

Si usas Microsoft Edge a diario, habrás visto más de una vez cómo una descarga se queda en el limbo porque el navegador la marca como peligrosa. Detrás de ese bloqueo están SmartScreen y las políticas de control de tipos de archivo y descargas, que actúan como un filtro extra para evitar que el malware entre en tu equipo casi sin que te des cuenta.

El lado menos agradable es que, a veces, esos filtros se pasan de precavidos y paran descargas que en realidad son legítimas. La clave está en entender bien cómo funciona SmartScreen, qué consideran “peligroso” Edge y Chromium, y qué opciones tenemos (como usuarios y como administradores) para ajustar ese comportamiento sin quedarnos vendidos frente a las amenazas.

Cómo decide Edge qué descargas son peligrosas

El motor de descargas de Microsoft Edge hereda casi todas sus reglas de Chromium, que mantiene una lista interna de tipos de archivo con diferentes niveles de peligro. Esa lista se gestiona en el fichero de código download_file_types.asciipb y cada extensión tiene un campo llamado danger_level.

Ese nivel de peligro puede tener tres valores principales: NOT_DANGEROUS, DANGEROUS y ALLOW_ON_USER_GESTURE. Con ellos, Edge decide si deja descargar algo sin preguntar, si lanza una advertencia fuerte o si solo permite la descarga cuando detecta que el usuario la ha iniciado conscientemente.

Los archivos marcados como NOT_DANGEROUS se consideran seguros incluso si la descarga se activa por error (por ejemplo un simple .txt). El navegador los guarda sin mostrar ninguna alerta, salvo que SmartScreen detecte algo raro por otros motivos.

En el extremo contrario, los tipos con DANGEROUS obligan a Edge a avisar siempre al usuario porque pueden dañar el dispositivo. Aquí entran muchos ejecutables y formatos típicamente asociados a malware, donde el navegador prefiere que el usuario confirme explícitamente que quiere seguir adelante.

El grupo más interesante es el de ALLOW_ON_USER_GESTURE, que engloba archivos potencialmente peligrosos pero muy usados en entornos legítimos: scripts, instaladores, ficheros de Office con macros, etc. Estos no se permiten de forma totalmente automática; dependen de ciertas condiciones.

Archivos que solo se permiten con gesto de usuario

Cuando un tipo de archivo está etiquetado como ALLOW_ON_USER_GESTURE, Edge comprueba dos cosas antes de dejar que la descarga pase sin interrupciones. Son controles pensados para diferenciar entre una descarga que el usuario ha buscado y otra que se dispara sola desde una web sospechosa.

• Debe existir un gesto de usuario asociado a la petición de red que inicia la descarga, como hacer clic en un enlace o en un botón de descarga.
• Edge tiene que registrar al menos una visita previa al dominio de referencia (la página que enlaza a la descarga) antes de la última medianoche. Es decir, el usuario ya ha estado allí en el pasado reciente.

Si no se cumple esta combinación, Edge muestra que la descarga “se bloqueó” y el usuario verá en el gestor de descargas las opciones para mantenerla o eliminarla. También se permite la descarga sin trabas si:

• El usuario usa “Guardar vínculo como” explícitamente.
• Escribe la URL de descarga directamente en la barra de direcciones.
• Microsoft Defender SmartScreen da el archivo por seguro tras comprobar su reputación.

La lista de extensiones que entran en esta categoría es muy larga y se va actualizando. Incluye, entre otras, crx, msi, msp, exe, js, vbs, ps1, bat, apk, dmg, pkg, deb, rpm, bash, sh, rdp y un buen número de formatos de bases de datos y plantillas de Office. Muchos de ellos son habituales en empresas y desarrollo de software, pero también son vías de entrada muy jugosas para atacantes.

Además, el nivel de peligro de una extensión cambia según el sistema operativo. Un .exe es un riesgo evidente en Windows pero no en macOS, mientras que un .applescript no tiene sentido en un PC con Windows. Chromium y Edge ajustan esa matriz de riesgo por plataforma.

La experiencia del usuario cuando Edge bloquea una descarga

Cuando una descarga potencialmente peligrosa se inicia sin gesto válido, Microsoft Edge la marca como “bloqueada” y la mueve a la vista de descargas (edge://downloads). Desde ahí aparecen las acciones clave bajo el menú de tres puntos (…).

En esa interfaz, el usuario puede elegir entre “Keep” (mantener) y “Delete” (eliminar). Es la forma de decidir si confía o no en ese archivo en concreto. Si pulsa en mantener, el navegador ignora el bloqueo inicial y deja que la descarga termine normalmente.

No es raro que el usuario se encuentre con este tipo de advertencias en sitios que visita muy de vez en cuando, aunque sean totalmente legítimos. El diseño del sistema pretende que en webs habituales no haya cortes constantes, pero en orígenes poco frecuentes sí se introduzca esta capa extra de fricción.

Cuando hablamos de usuarios domésticos, la opción más rápida muchas veces es cambiar a otro navegador (Google Chrome, Firefox, etc.) para bajar el mismo archivo si Edge insiste en bloquearlo y se sabe que es fiable. Pero si prefieres seguir centrado en Edge, es mejor aprender a gestionarlo bien en lugar de desactivar todo.

SmartScreen de Microsoft Defender: qué hace exactamente

SmartScreen de Microsoft Defender es el servicio en la nube que alimentan las decisiones de seguridad de Edge sobre sitios, descargas y aplicaciones. Funciona con un sistema de reputación que se apoya en muchas fuentes de datos: telemetría anónima, informes de usuarios, proveedores de inteligencia de amenazas y modelos propios de Microsoft.

Su principal valor es que combina protección frente a phishing, malware, aplicaciones potencialmente no deseadas (PUA) y URLs de baja reputación. No se limita solo a bloquear virus clásicos, sino también instaladores sospechosos, adware, barras de herramientas, crapware y software de dudosa calidad que llena el equipo de basura.

En cuanto a sitios web, SmartScreen analiza automáticamente las páginas que visitas en busca de patrones sospechosos (formularios de robo de credenciales, scripts ofuscados, comportamiento típico de phishing, etc.) y las compara contra una lista dinámica de URLs reportadas como peligrosas.

Si encuentra una coincidencia clara o suficientes señales de riesgo, Edge muestra una página de advertencia a pantalla completa avisando de que el sitio ha sido denunciado como inseguro. Desde esa página el usuario puede:

• Salir inmediatamente y no continuar a la web.
• Indicar que el sitio es seguro o inseguro según su experiencia, enviando feedback a Microsoft.

Con las descargas, SmartScreen hace algo similar. Comprueba el archivo contra listas de malware conocido y analiza su reputación atendiendo al historial de descargas, frecuencia con la que lo bajan otros usuarios, reputación de la URL de origen, resultados de antivirus previos, etc.

En función de ese análisis:

• Archivos con buena reputación pasan sin aviso.
• Archivos marcados como maliciosos muestran una advertencia muy clara y se bloquean por defecto.
• Archivos desconocidos disparan un aviso más suave que informa de que la descarga no tiene aún una “huella” reconocida y recomienda precaución.

Incluso con una advertencia, el usuario puede forzar la descarga y ejecución eligendo las opciones “Seguir”, “Mostrar más” y “Continuar de todos modos”. La idea no es impedirlo todo, sino dar contexto extra, especialmente a usuarios menos técnicos.

Privacidad y datos que maneja SmartScreen

Para poder funcionar, Edge envía información relevante sobre la URL o el archivo que estás intentando abrir o descargar al servicio SmartScreen. Esa consulta se realiza cifrada mediante TLS y se compara contra listas de sitios y ficheros peligrosos mantenidas por Microsoft.

El resultado de la comprobación (seguro, sospechoso o malicioso) se almacena de forma local en el dispositivo para agilizar verificaciones posteriores. Aun así, toda la base de datos de reputación se mantiene en servidores de Microsoft y se usa únicamente para servicios de seguridad, no para personalizar publicidad ni identificar de forma individual a los usuarios.

Si en algún momento te preocupa lo acumulado en tu equipo, borrar la caché de navegación elimina también los datos locales de URL asociados a SmartScreen, y limpiar el historial de descargas borra la información de reputación almacenada sobre los archivos que has bajado.

Riesgos reales de las descargas y por qué Edge las bloquea

Más allá de las molestias de un falso positivo, los riesgos que pretenden evitar Edge y SmartScreen son muy serios. Los principales problemas que tratan de cortar son:

• Malware clásico y avanzado: troyanos, ransomware, gusanos, keyloggers y demás familia pueden esconderse en un ejecutable, un script, un PDF con exploit o un archivo comprimido aparentemente inocente.
• Robo de datos y credenciales: instaladores maliciosos que capturan y envían contraseñas, códigos 2FA o información privada a servidores externos.
• Programas falsos o manipulados: software descargado desde sitios no oficiales, versiones “modificadas” de código abierto o cracks que incluyen payloads ocultos.
• Seguimiento y exposición de IP: algunos componentes descargados pueden ayudar a localizar al usuario o perfilar su actividad en la red, sobre todo si no usa VPN.

Por eso, Edge, los filtros de correo y otros servicios suelen mostrar especial desconfianza ante formatos como .exe, .msi, .bat, .js, o los típicos .zip y .rar. Estos últimos se usan constantemente para empaquetar malware junto a archivos legítimos, y SmartScreen también revisa su contenido en busca de patrones sospechosos.

El problema llega cuando contienen software legítimo sin firma reconocida, scripts internos de automatización o instaladores poco distribuidos; ahí los filtros pueden ver peligro donde solo hay un desarrollo casero o una herramienta corporativa específica.

Bloqueo de crapware y aplicaciones potencialmente no deseadas

Además del malware “puro y duro”, Microsoft ha reforzado Edge con mecanismos para bloquear descargas de crapware y aplicaciones potencialmente no deseadas (PUA). Hablamos de barras de herramientas, adware, instaladores que añaden complementos sin permiso o software preinstalado molesto.

Esta función, que antes residía exclusivamente en Windows Defender, se integra ahora en la configuración de privacidad y servicios de Edge. Desde ahí se puede activar un filtro extra destinado a parar “aplicaciones de baja reputación que pueden causar comportamientos inesperados”.

La diferencia respecto a SmartScreen clásico es que aquí no solo se bloquea malware confirmado, sino también bundles y programas que, aun no siendo estrictamente maliciosos, degradan la experiencia del usuario: muestran publicidad agresiva, cambian la página de inicio, inyectan extensiones, etc.

Control empresarial: políticas de grupo y listas de excepción

En entornos corporativos, es muy habitual que SmartScreen y las restricciones de descarga choquen con flujos de trabajo legítimos: instaladores internos, scripts de administración, herramientas poco comunes o ficheros de configuración que los empleados solo bajan de vez en cuando.

Para pulir esa experiencia sin desactivar la protección, Microsoft ofrece varias políticas de grupo y opciones MDM. Una de las más relevantes es ExemptFileTypeDownloadWarnings, que permite definir excepciones por extensión y dominio.

Por ejemplo, se puede configurar algo así:

}, {"file_extension":"msg", "domains": }] Ejemplo de excepciones.

Con esta política, los archivos .xml de esos dos dominios se descargan sin interrupciones, y cualquier .msg (independientemente del sitio) evita las advertencias asociadas a tipos potencialmente peligrosos. Es una forma de whitelisting granular sin abrir la puerta a todo.

Otro punto crítico es la política DownloadRestrictions. A partir de la versión 132 de Edge, cualquier configuración que bloquee tipos peligrosos (opciones 1, 2 o 3) bloquea también los archivos .crx (extensiones de Chrome/Edge).

Para devolver a la normalidad las instalaciones de extensiones gestionadas, las empresas deben ampliar ExemptFileTypeDownloadWarnings para incluir .crx, por ejemplo:

}, {"file_extension":"xml","domains":}, {"file_extension":"msg", "domains": }] Ejemplo para incluir .crx.

Además, los administradores pueden ajustar el comportamiento de SmartScreen tanto a nivel de Explorador (Windows) como del propio Edge mediante la directiva de grupo. Algunas rutas clave son:

• Configuración del equipo / Plantillas administrativas / Componentes de Windows / SmartScreen de Windows Defender / Explorador / Configurar SmartScreen de Windows Defender
• Configuración del equipo / Plantillas administrativas / Componentes de Windows / SmartScreen de Windows Defender / Explorador / Configurar App Install Control
• Configuración del equipo / Plantillas administrativas / Componentes de Windows / SmartScreen de Windows Defender / Microsoft Edge / Configurar SmartScreen de Windows Defender
• ... / Impedir la omisión de los avisos de SmartScreen de Windows Defender para sitios

Desde estas políticas se puede obligar al bloqueo total, permitir continuar bajo responsabilidad del usuario o evitar que los empleados ignoren las advertencias críticas cuando se navega por dominios marcados como peligrosos.

Cómo permitir una descarga bloqueada por SmartScreen en Edge

Cuando una descarga se bloquea, Edge suele mostrar en la parte inferior o en la barra de descargas un aviso indicando que el archivo es potencialmente peligroso. Si sabemos con certeza que ese archivo es legítimo, el proceso para desbloquearlo es sencillo.

Primero, haz clic en “Ver descargas” para abrir el gestor de descargas de Edge. Verás el archivo marcado en rojo o con un mensaje claro de que ha sido bloqueado por seguridad.

A continuación, haz clic derecho sobre la descarga en cuestión y se desplegará un pequeño menú con dos opciones clave:

• “Notificar que esta descarga es segura”: envía información a Microsoft indicando que consideras que es un falso positivo. Ayuda a entrenar mejor la IA de SmartScreen, pero no siempre desbloquea la descarga de forma inmediata.
• “Descargar archivo no seguro”: fuerza la descarga pese al aviso. El navegador ignora el bloqueo de SmartScreen y guarda el archivo en la carpeta de descargas.

Si eliges la segunda opción, asumes la responsabilidad sobre el riesgo. Es buena idea pasar el archivo por el antivirus (Windows Defender, o soluciones como Kaspersky, Bitdefender, Avast, etc.) y, si quieres hilar fino, subirlo a servicios como VirusTotal para ver el veredicto de múltiples motores.

Activar o desactivar SmartScreen en Edge y en Windows

A nivel de usuario, SmartScreen viene activado por defecto en Edge. Puedes comprobarlo o cambiarlo en:

edge://settings/privacy > Servicios > Microsoft Defender SmartScreen Ruta rápida en Edge

Desde ahí puedes activar o desactivar la comprobación de URLs y descargas para todo Edge en ese dispositivo. La configuración afecta también a la navegación InPrivate e invitados, pero no se sincroniza entre PCs. También puedes restablecer la configuración de Edge si prefieres volver a los valores por defecto.

En Windows 10 y Windows 11, SmartScreen también se gestiona desde el Centro de seguridad de Windows (Seguridad de Windows), dentro de “Control de aplicaciones y navegador” y “Protección basada en reputación”. Ahí verás varios interruptores:

• Comprobar aplicaciones y archivos: analiza ejecutables y documentos que se abren en el sistema.
• SmartScreen para Microsoft Edge: capa específica para navegación y descargas.
• SmartScreen para aplicaciones de Microsoft Store.
• Bloqueo de aplicaciones potencialmente no deseadas.

Todos estos módulos se pueden desactivar individualmente si estás seguro de lo que haces. En entornos domésticos tiene sentido ser conservador y mantener al menos la protección frente a apps y archivos activos.

Si quieres un control todavía más fino, puedes tocar las mismas funciones desde el Editor de registro o desde PowerShell. Por ejemplo, modificando:

• HKEY_LOCAL_MACHINE / SOFTWARE / Policies / Microsoft / Windows / System con los valores EnableSmartScreen y ShellSmartScreenLevel.
• Usando Set-MpPreference -EnableSmartScreen $false o $true para desactivar o reactivar el filtro vía PowerShell con privilegios de administrador.

Estos métodos son más delicados y se recomiendan para usuarios avanzados o administradores que quieran automatizar despliegues. Un error en el registro puede romper parte del sistema, así que conviene exportar una copia de seguridad antes de tocar nada.