Bloquear dispositivos USB mediante políticas de grupo en Windows

Última actualización: 28/08/2025
Autor: Isaac
  • Control granular: bloqueo total, solo almacenamiento o excepciones por clases/ID.
  • Aplicación centralizada con GPO local o Intune (ADMX) y verificación con logs.
  • Listas de GUID comunes para permitir periféricos esenciales sin perder seguridad.

Bloquear dispositivos USB en Windows con políticas

En entornos domésticos y, sobre todo, corporativos, controlar qué se conecta por USB es crítico para mantener a raya el malware y evitar fugas de datos; por ello, conviene conocer cómo bloquear dispositivos USB en Windows con políticas y otras técnicas que permiten ajustar el nivel de restricción según la necesidad.

Además de las directivas de grupo locales, también es posible gestionar estas restricciones desde soluciones de administración como Intune con plantillas administrativas ADMX, y acompañarlas de ajustes en el Registro, el Administrador de dispositivos o incluso la UEFI/BIOS para activar o desactivar los puertos USB. En esta guía reunirás, paso a paso y con ejemplos claros, todo lo necesario para bloquear USB por completo, permitir excepciones o limitar solo el almacenamiento o la escritura cuando haga falta.

Por qué bloquear (o restringir) los USB y qué alcance puede tener

La primera motivación es la seguridad: un pendrive puede transportar malware, y existen dispositivos como USB Rubber Ducky capaces de ejecutar scripts maliciosos en segundos; por eso, muchas organizaciones prefieren impedir clases concretas (por ejemplo, almacenamiento) o permitir solo periféricos esenciales como teclado y ratón.

Otra razón de peso es la protección de datos: bloquear el almacenamiento extraíble impide copiar información sensible sin permiso; incluso si no prohíbes el uso de USB totalmente, puedes reforzar la política bloqueando la escritura y dejando únicamente lectura en casos específicos para minimizar el riesgo.

Bloquear almacenamiento extraíble con directiva de grupo local (GPO)

Si cuentas con Windows Pro o Enterprise, puedes usar el Editor de directivas de grupo local para negar el acceso a todas las clases de almacenamiento extraíble de forma centralizada, una opción muy eficaz y sencilla de revertir si más adelante cambia la política.

Pasos recomendados:

  • Pulsa Windows + R, escribe gpedit.msc y confirma con Enter.
  • Navega a: Configuración del equipo > Plantillas administrativas > Sistema > Acceso de almacenamiento extraíble.
  • Abre la directiva Todas las clases de almacenamiento extraíble: denegar acceso a todo.
  • Marca Habilitado, aplica y acepta. Reinicia si fuese necesario.

Una vez activada, Windows negará el acceso a pendrives, discos externos USB, CD/DVD y cualquier tipo de almacenamiento extraíble; cuando quieras revertir el cambio, vuelve a la misma ruta y deja la directiva en No configurada o Deshabilitada.

Restringir la instalación de dispositivos por ID o por política (GPO)

Si tu objetivo es impedir que ciertos USB se instalen (pero no quieres bloquear toda clase de almacenamiento), puedes trabajar con las restricciones de instalación de dispositivos en GPO, bien sea por ID de dispositivo o negando todo lo que no esté explícitamente permitido, lo cual da un control fino y escalable.

Procedimiento básico en el Editor de directivas de grupo:

  • Abre gpedit.msc (Windows + R) y ve a Configuración del equipo > Plantillas administrativas > Sistema > Instalación de dispositivos > Restricciones de instalación del dispositivo.
  • Para bloquear por ID: habilita Impedir la instalación de dispositivos que coincidan con cualquiera de estos ID de dispositivo y añade los ID de los dispositivos a bloquear.
  • Para un enfoque más estricto: habilita No permitir la instalación de dispositivos no descritos en otra configuración de directiva y, en paralelo, Permitir la instalación de dispositivos descritos por ID de dispositivo, agregando los ID que sí apruebas.
  How you can Give up or Depart Microsoft Groups Group

Cómo localizar los ID de dispositivo: abre el Administrador de dispositivos, localiza el hardware USB, entra en Propiedades > pestaña Detalles > «Id. de hardware». En determinados equipos, los dispositivos de anclaje de red por USB presentan IDs que empiezan por USB\class_e0, dato útil si pretendes bloquear esa funcionalidad.

Gestión con Intune: plantilla administrativa ADMX para USB

En entornos gestionados con Microsoft Intune, crear una directiva ADMX te permite configurar bloqueos/permitidos para USB y desplegarlos de forma masiva; esta aproximación sirve como punto de partida para tu organización, añadiendo o quitando parámetros según lo que necesites estandarizar.

Pasos de creación del perfil en Intune:

  • Inicia sesión en el Centro de administración de Microsoft Intune.
  • Ve a Dispositivos > Administrar dispositivos > Configuración > Crear > Nueva directiva.
  • Propiedades iniciales: Plataforma = Windows 10 y posteriores; Tipo de perfil = Plantillas > Plantillas administrativas.
  • Pulsa Crear y, en la sección Básico, añade Nombre (por ejemplo, «Restringir dispositivos USB») y Descripción.
  • En Opciones de configuración, establece los parámetros USB deseados (bloqueo por clases/IDs permitidos, restricciones de instalación, etc.).
  • En Etiquetas de ámbito (opcional), asigna etiquetas para filtrar por grupos de TI, como US-NC IT Team o JohnGlenn_ITDepartment, facilitando un RBAC granular.
  • En Asignaciones, selecciona los grupos de dispositivos que recibirán el perfil.
  • Revisa todo en Revisar y crear y confirma con Crear.

Cuando una instalación resulte bloqueada por política, el sistema mostrará un aviso como: The installation of this device is forbidden by system policy. Contact your system administrator.; este mensaje confirma que la directiva se está aplicando correctamente.

Intune y GPO para bloquear USB

Solución de problemas: un dispositivo permitido aparece bloqueado

Algunos dispositivos USB poseen múltiples GUID de clase, y es habitual olvidar alguno en la directiva; si falta, el dispositivo puede bloquearse pese a estar «permitido» en la configuración, de modo que conviene verificar el registro de instalación de dispositivos.

Pasos para diagnosticar con el archivo de log:

  • Abre el archivo %windir%\inf\setupapi.dev.log en el equipo afectado.
  • Busca la sección Instalación restringida de dispositivos no descritos por la directiva.
  • Localiza la línea con el texto Class GUID of device changed to: {GUID} y añade ese {GUID} a la directiva de permitidos.

Ejemplo de entrada relevante en el log donde se aprecia el cambio de GUID de clase a {36fc9e60-c465-11cf-8056-444553540000} y el bloqueo por política; obsérvese cómo el sistema reporta explícitamente la restricción, lo que indica que debes agregar los GUID faltantes a la política:

>>> 
>>> Section start 2020/01/20 17:26:03.547
...
dvi: Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}.
...
!!! pol: The device is explicitly restricted by the following policy settings:
!!! pol:  Restricted installation of devices not described by policy
!!! pol: {Device installation policy check  exit(0xe0000248)}
!! dvi: Installation of device is blocked by policy
...
<<<

Si tras añadir un GUID el problema persiste, repite la revisión y agrega los GUID de clase restantes hasta que el dispositivo se instale sin bloqueo.

GUID de clase habituales para permitir periféricos necesarios

Cuando optas por negar todo salvo excepciones, ahorrarás tiempo si incluyes de partida los GUID de clase que cubren dispositivos esenciales (teclado, ratón, audio o cámara), reduciendo fricciones a los usuarios y manteniendo la usabilidad mínima.

  • Teclado: {4d36e96b-e325-11ce-bfc1-08002be10318}
  • Ratón: {4d36e96f-e325-11ce-bfc1-08002be10318}
  • USB (hubs/controladoras): {36fc9e60-c465-11cf-8056-444553540000}
  • HID: {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
  • Dispositivos multimedia: {4d36e96c-e325-11ce-bfc1-08002be10318}
  • Cámaras: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
  • Dispositivo de imagen: {6bdd1fc6-810f-11d0-bec7-08002be2092f}
  • Dispositivos del sistema: {4D36E97D-E325-11CE-BFC1-08002BE10318}
  • Biométricos: {53d29ef7-377c-4d14-864b-eb3a85769359}
  • Software genérico: {62f9c741-b25a-46ce-b54c-9bccce08b6f2}
  Find out how to Share iCloud Photographs With Others

Para auriculares de 3,5 mm, cuyos controladores pasan por el stack de audio, te interesará contemplar Dispositivos multimedia y Punto de conexión de audio con los GUID: {4d36e96c-e325-11ce-bfc1-08002be10318} y {c166523c-fe0c-4a94-a586-f1a80cfbbf3e} respectivamente.

Alternativa rápida: desactivar controladoras USB desde el Administrador de dispositivos

Si deseas un bloqueo total, puedes deshabilitar las controladoras USB; es simple, pero recuerda tener un método de control alternativo (por ejemplo, teclado/ratón Bluetooth) para no quedarte sin entrada.

Cómo hacerlo:

  • Abre el Administrador de dispositivos (Windows + S, busca «Administrador de dispositivos»).
  • Despliega Controladoras de bus serie universal (USB).
  • Haz clic derecho en cada elemento y elige Deshabilitar dispositivo. Repite para todas las entradas necesarias.

Para revertir, repite los pasos y elige Habilitar dispositivo en cada elemento; este método bloquea cualquier USB, no solo almacenamiento, por lo que es conveniente cuando necesitas un apagón total de puertos.

Bloquear únicamente el almacenamiento USB con Registro/PowerShell

Si pretendes prohibir solo las unidades de almacenamiento (pendrives o discos externos), puedes desactivar el servicio USBSTOR desde el Registro, ya sea con PowerShell o de forma manual, lo que evita que Windows reconozca estos dispositivos.

Con PowerShell (Administrador):

  • Bloquear almacenamiento: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\USBSTOR" -Name "Start" -Value 4
  • Reactivar almacenamiento: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\USBSTOR" -Name "Start" -Value 3

Tras ejecutar el comando, reinicia el equipo para aplicar cambios; este enfoque es ideal si quieres mantener periféricos como teclado/ratón USB operativos, pero anular solo el almacenamiento.

Edición manual desde el Editor del Registro:

  • Abre regedit y navega a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR.
  • Edita el valor Start: pon 4 para bloquear, 3 para reactivar.

Ten presente que este método actúa a nivel de servicio, así que no depende de GPO; aun así, conviene documentarlo en tu política de seguridad para mantener coherencia con el resto de controles.

Restringir la escritura en USB (permitiendo lectura)

Otra opción popular es bloquear la escritura en USB para evitar exfiltración, permitiendo que el usuario pueda leer archivos existentes; puedes hacerlo por Registro o con una directiva de grupo, según el edición de Windows disponible.

Desde el Registro (WriteProtect):

  • Abre regedit y ve a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies.
  • Si la clave StorageDevicePolicies no existe, créala manualmente.
  • Dentro, crea/edita un valor DWORD llamado WriteProtect y ponlo a 1 (bloquea escritura). Ponlo a 0 para permitirla de nuevo.

Mediante GPO (ediciones Pro/Enterprise):

  • Abre gpedit.msc y navega a Configuración del equipo > Plantillas administrativas > Sistema > Acceso de almacenamiento extraíble.
  • Habilita Discos extraíbles: denegar acceso de escritura para que el contenido sea solo de lectura.

Con esta fórmula, los usuarios podrán abrir archivos desde el USB, pero no podrán modificarlos ni copiarlos al equipo, lo que supone una barrera efectiva para fugas.

Desmontar una unidad USB para evitar su uso puntual

Si únicamente quieres impedir el uso de una unidad concreta conectada ahora mismo, puedes «desmontarla» desde el Explorador; así, aunque siga enchufada, el sistema no la mostrará ni permitirá usarla, una medida rápida y no intrusiva.

Pasos:

  • Abre el Explorador (Windows + E) y entra en Este equipo.
  • En «Dispositivos y unidades», haz clic derecho en la unidad USB deseada y selecciona Expulsar.

El icono desaparecerá de la ventana; podrás desconectar el dispositivo con seguridad cuando el sistema lo indique, manteniendo el control temporal sobre su uso.

Desactivar puertos USB desde BIOS/UEFI

Algunos fabricantes incluyen opciones en BIOS/UEFI para deshabilitar puertos USB; es efectivo, pero más delicado: si no estás familiarizado, consulta el manual de tu placa y valora el impacto antes de tocar nada, ya que un cambio erróneo puede comprometer el equipo, o bien aprende a desactivar desde BIOS/UEFI.

  Reply to WhatsApp Messages With out Showing On-line

Este método tiene la ventaja de actuar por debajo del sistema operativo; sin embargo, su administración puede ser más compleja y no siempre es viable en flotas heterogéneas, por lo que suele reservarse a usuarios avanzados o escenarios de alta seguridad.

Aplicaciones de terceros para bloquear USB

Si prefieres evitar cambios en el Registro o políticas, existen utilidades sencillas que deshabilitan unidades USB de forma directa; no obstante, revisa su fiabilidad, actualizaciones y el encaje con tu política corporativa antes de adoptarlas.

Nomesoft USB Guard: herramienta ligera orientada a bloquear dispositivos USB para prevenir infecciones que se propagan por unidades flash; su interfaz es básica y el consumo de recursos es mínimo, permitiendo realizar tareas en pocos clics y aportando una capa adicional de protección.

USB Drive Disabler: software portable que deshabilita rápidamente el acceso a todos los puertos USB sin tocar el Registro; con una sola ventana puedes desactivar o reactivar las unidades USB, lo que resulta práctico para usuarios menos expertos que buscan un control inmediato.

Comprobar resultados y mensajes del sistema

Tras aplicar GPO o perfiles de Intune, valida el resultado en equipos destino; si la política bloquea la instalación, verás un mensaje como: The installation of this device is forbidden by system policy. Contact your system administrator. que certifica que la restricción está activa, y si el dispositivo sigue sin funcionar, revisa también posibles problemas de alimentación USB.

Si el dispositivo debería estar permitido pero no se instala, revisa setupapi.dev.log para identificar el GUID de clase que falte por permitir; apoyarte en esta evidencia acelera el diagnóstico y evita pruebas a ciegas, especialmente en dispositivos con múltiples clases.

Buenas prácticas al diseñar tu política USB

Empieza por definir el alcance: ¿bloqueo total, solo almacenamiento o bloqueo con excepciones? Un enfoque escalonado (negar por defecto y permitir periféricos críticos por GUID) suele ofrecer mejor equilibrio entre seguridad y operativa.

En escenarios gestionados, usa etiquetas de ámbito y RBAC (como en Intune) para aplicar la política según áreas, sedes o departamentos; mantén un inventario de los GUID e IDs permitidos y documenta los motivos del permiso para auditoría.

Ten a mano un plan de contingencia: teclados/ratones alternativos (Bluetooth), cuentas administrativas locales para recuperación y procedimientos para revertir con rapidez si una política demasiado restrictiva causa un bloqueo involuntario.

Antes de producción, prueba en grupos piloto y recopila los logs de instalación; el archivo setupapi.dev.log es tu aliado para afinar los ajustes y reducir excepciones, además de darte trazabilidad técnica ante incidencias.

Podrás implementar controles sólidos sobre puertos y dispositivos USB en Windows, ya sea con GPO local, Intune/ADMX o ajustes en el Registro; combinando bloqueos por clase o ID, excepciones claras y verificación con logs, se obtiene un equilibrio sensato entre seguridad y comodidad que soporta la operativa diaria sin sobresaltos.

Lista de bloqueo de controladores vulnerables de Microsoft (Microsoft Vulnerable Driver Blocklist): qué es y cómo se usa-3
Artículo relacionado:
Lista de bloqueo de controladores vulnerables de Microsoft: guía completa

Deja un comentario