- Windows 11 permite bloquear el almacenamiento USB mediante directivas de grupo, Registro o PowerShell sin afectar a otros periféricos.
- Se puede restringir por completo el acceso o solo la escritura en memorias y discos externos para evitar fugas de información.
- El bloqueo puede complementarse con medidas como contraseñas fuertes, bloqueo de sesión o utilidades de terceros especializadas.
En muchos ordenadores actuales conectamos a diario memorias USB, discos externos, móviles u otros periféricos sin pararnos a pensar en los riesgos que eso conlleva. Estas pequeñas unidades son comodísimas para mover archivos, pero también son una de las vías más frecuentes de entrada de malware (cómo protegerse de USBs maliciosos), robo de datos o instalación de programas no autorizados, sobre todo en equipos compartidos o de trabajo.
Puede que en tu caso necesites justo lo contrario: activar o desactivar los puertos USB, ya sea para bloquear por completo memorias y discos externos o solo para evitar que se copien datos. La buena noticia es que el propio sistema ofrece varias formas de hacerlo, y además existen utilidades adicionales para quien prefiera una solución más “a golpe de clic”.
Por qué puede interesarte bloquear los puertos USB en Windows 11
Más allá de la comodidad, las memorias USB tienen su cara oscura: son un vector de ataque perfecto para introducir software malicioso en un PC al que se tenga acceso físico, aunque sea durante unos segundos. Un simple pendrive puede contener virus, ransomware o scripts automatizados que ejecuten acciones peligrosas nada más conectarlo.
Un caso especialmente llamativo es el USB Rubber Ducky, un dispositivo que se comporta como un teclado y lanza secuencias de comandos a toda velocidad. En cuestión de segundos puede descargar malware o robar credenciales, sin que el usuario casi tenga tiempo de reaccionar. Por eso en entornos profesionales se toman tan en serio los puertos USB.
Además del malware, hay otro punto crítico: la fuga de información. Un pendrive o un disco duro externo permiten copiar multitud de archivos en poco tiempo. Cualquiera con acceso al equipo, incluso de forma puntual, podría llevarse documentos internos, fotos personales o datos sensibles sin dejar prácticamente rastro. Si quieres evitarlo, bloquear o restringir el acceso a una unidad específica es una opción.
En casa también tiene mucho sentido limitar su uso. Si compartes ordenador con familiares, niños o compañeros de piso, bloquear o restringir el almacenamiento USB evita que se conecten dispositivos desconocidos o que acaben copiando información que no deberían. Todo ello sin tener que renunciar a otros periféricos como ratones, teclados o impresoras.
Por último, si apenas conectas pendrives en tu día a día, mantener el almacenamiento USB deshabilitado de forma permanente es una medida de seguridad muy sencilla pero eficaz. Recuerda que, cuando lo necesites, siempre puedes volver a activarlo en cuestión de pocos pasos.
Desmontar o expulsar una unidad USB para que deje de estar disponible
El método más básico no bloquea el puerto, pero evita que una memoria o disco conectado se siga usando: desmontar o expulsar la unidad. Es lo mismo que “sacarla” lógicamente del sistema, aunque físicamente siga enchufada.
Cuando desmontas una unidad, Windows 11 deja de tenerla accesible, su letra desaparece del Explorador y cualquier programa deja de poder leer o escribir en ella. Es útil cuando quieres que un dispositivo ya no esté disponible sin necesidad de tocar configuraciones profundas.
Para hacerlo desde el Explorador de archivos, abre el atajo con Windows + E y entra en «Este equipo». Dentro del apartado “Dispositivos y unidades” verás tus discos internos, memorias USB, tarjetas SD, etc. Haz clic derecho sobre la unidad externa que quieras inutilizar y elige la opción de “Expulsar”.
En cuanto completes el proceso, el icono de la unidad desaparecerá de la lista y te aparecerá la típica notificación que indica que ya se puede quitar el dispositivo con seguridad. Aunque no lo desconectes físicamente, el sistema lo ignora como si no estuviera conectado.
Windows cuenta además con el icono de “Quitar hardware de forma segura y expulsar el medio” en la bandeja del sistema. Desde ahí puedes expulsar memorias y discos sin necesidad de abrir el Explorador, algo bastante cómodo si sueles tener varios dispositivos conectados.
Bloquear puertos USB desde el Administrador de dispositivos
Si lo que buscas es algo más radical, puedes deshabilitar completamente los puertos USB desde el Administrador de dispositivos. Este método hace que al conectar cualquier dispositivo, el sistema no sea capaz de cargar los controladores y, por tanto, no funcione.
Ten en cuenta un detalle importante: si usas teclado o ratón USB y los desactivas, te quedarás sin control sobre el PC. Antes de meterte en esto, conviene preparar un teclado y/o ratón alternativos (por ejemplo, Bluetooth) o asegurarte de que tienes otros puertos que no vayas a desactivar.
Para acceder al Administrador de dispositivos, puedes pulsar Windows + X y seleccionar “Administrador de dispositivos” en el menú que aparece, o buscarlo desde el cuadro de búsqueda de la barra de tareas. Una vez dentro, despliega el apartado “Controladoras de bus serie universal (USB)”.
En esa lista verás tanto controladoras como puertos y concentradores. Haz clic derecho sobre cada uno de los dispositivos relacionados con USB y elige “Deshabilitar dispositivo”. Confirma cuando Windows te avise de que el hardware dejará de funcionar. Repite el proceso con todos los elementos USB que quieras bloquear. Si lo necesitas, consulta el artículo de diagnóstico y solución de puertos USB.
Cuando termines, cualquier intento de conectar un pendrive, disco externo o periférico USB fracasará, ya que el sistema no tendrá los controladores activos para gestionarlos. Para revertirlo, simplemente vuelve al mismo apartado, haz clic derecho y selecciona “Habilitar dispositivo”.
Restringir el almacenamiento USB con el Editor de directivas de grupo
En las ediciones Pro y Enterprise de Windows 11 (y también de Windows 10) está disponible una herramienta muy potente: el Editor de directivas de grupo local. Con ella puedes controlar el acceso al almacenamiento extraíble de forma mucho más precisa sin instalar nada adicional.
Este método tiene una ventaja clara: puedes bloquear solo el almacenamiento USB sin afectar a otros dispositivos como teclados, ratones o impresoras. Es ideal para oficinas, centros educativos o equipos compartidos donde se quiere impedir que se usen memorias externas pero seguir trabajando con periféricos normales.
Para abrir el editor, pulsa Windows + R, escribe gpedit.msc y presiona Enter. Se abrirá la consola de directivas de grupo local. Navega por el panel izquierdo hasta la ruta:
Configuración del equipo > Plantillas administrativas > Sistema > Acceso de almacenamiento extraíble.
En el lado derecho verás distintas opciones para cada tipo de medio. La más agresiva es “Todas las clases de almacenamiento extraíble: denegar acceso a todo”. Haz doble clic sobre ella y marca “Habilitada”. Con esto, Windows 11 negará cualquier tipo de acceso, tanto de lectura como de escritura, a memorias USB, discos externos, unidades ópticas y otros dispositivos considerados extraíbles.
Si más adelante necesitas volver a usar estos dispositivos, solo tienes que regresar a la misma opción y ponerla en “No configurada” o “Deshabilitada”. Los cambios pueden requerir reiniciar el equipo para aplicarse correctamente a todos los usuarios.
Bloquear solo la escritura en USB (pero permitiendo leer)
En algunos entornos no interesa impedir que se lean datos desde un USB, pero sí evitar que alguien pueda copiar archivos del ordenador a un pendrive. Para eso puedes restringir únicamente la escritura, de forma que los usuarios vean el contenido del dispositivo, pero no puedan modificarlo ni guardar nada nuevo en él.
Una manera de conseguirlo es modificando el Registro de Windows. Pulsa Windows + R, escribe regedit y pulsa Enter para abrir el Editor del Registro. Después, navega hasta la siguiente ruta:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies
Dentro de esa clave debería aparecer una entrada llamada “StorageDevicePolicies”. Si no existe, puedes crearla manualmente como nueva clave con ese nombre. En su interior, crea un nuevo valor DWORD llamado “WriteProtect” y asígnale el valor 1 para activar la protección contra escritura.
A partir de ese momento, cualquier intento de grabar, modificar o borrar archivos en unidades USB será rechazado por el sistema, mientras que la lectura seguirá siendo posible. Si en el futuro quieres desactivar esta restricción, cambia el valor de “WriteProtect” de 1 a 0 y reinicia el equipo.
El propio Editor de directivas de grupo local también ofrece algo similar. Volviendo a la ruta de Acceso de almacenamiento extraíble, encontrarás la política “Discos extraíbles: denegar acceso de escritura”. Activándola, lograrás el mismo efecto sin tocar el Registro: los usuarios podrán abrir y leer archivos desde el USB, pero no escribir ni copiar nada desde el PC hacia la unidad.
Desactivar el almacenamiento USB mediante el Registro (USBSTOR)
Otra forma muy extendida de bloquear el uso de memorias USB en Windows 11 consiste en tocar una clave específica del Registro vinculada al servicio USBSTOR, que es el encargado de gestionar el almacenamiento USB masivo.
Para ello, abre de nuevo el Editor del Registro con Windows + R > regedit y navega a la siguiente ruta:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
En el panel derecho verás un valor llamado “Start”. Haz doble clic sobre él. Si su valor es 3, significa que el servicio USBSTOR está habilitado y el sistema reconoce sin problema las unidades de almacenamiento USB que se conectan.
Cambia ese valor de 3 a 4 para desactivar la carga del servicio USBSTOR. Una vez reiniciado el PC, Windows 11 dejará de reconocer pendrives, discos externos y otros dispositivos de almacenamiento que usen esta clase de controlador, aunque se sigan detectando otros periféricos USB que no dependan de USBSTOR.
Para volver al estado original, basta con repetir el proceso y devolver el valor “Start” a 3. De nuevo, es recomendable reiniciar el equipo para que los cambios tengan efecto completo en el sistema.
Usar PowerShell para activar o desactivar USBSTOR en Windows 11
Si prefieres evitar abrir el Registro manualmente, puedes lograr exactamente lo mismo usando PowerShell con permisos de administrador. Es más rápido y permite aplicar el cambio con un solo comando, algo muy práctico en varios equipos.
Primero, abre el buscador de Windows, escribe “PowerShell”, haz clic derecho sobre Windows PowerShell y elige “Ejecutar como administrador”. Acepta el aviso del Control de cuentas de usuario (UAC) para continuar.
En la consola de PowerShell, introduce este comando para deshabilitar el reconocimiento de dispositivos de almacenamiento USB:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\USBSTOR" -Name "Start" -Value 4
Lo que hace el comando es modificar directamente el valor “Start” de la clave USBSTOR, igual que antes, pero sin tener que navegar por el editor gráfico. Cuando lo ejecutes, reinicia el ordenador para que Windows 11 aplique la nueva configuración y deje de montar memorias USB y discos externos.
Si más adelante necesitas restaurar la funcionalidad, abre de nuevo PowerShell como administrador y lanza este otro comando:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\USBSTOR" -Name "Start" -Value 3
Tras reiniciar, los dispositivos de almacenamiento USB volverán a funcionar con normalidad. Esta vía con PowerShell es especialmente útil para administradores que quieran automatizar el proceso mediante scripts; además, si gestionas varios equipos puedes combinarla con herramientas para mantener controladores USB.
Bloquear puertos USB desde la BIOS o UEFI del equipo
Algunos fabricantes de placas base y portátiles permiten desactivar los puertos USB directamente a nivel de BIOS/UEFI. Este enfoque es más drástico, porque bloquea el hardware incluso antes de que arranque Windows, lo que añade una capa de seguridad adicional.
Para saber si tu equipo ofrece esta opción, lo mejor es consultar el manual de la placa base o del portátil. Normalmente hay que pulsar una tecla concreta nada más encender (Supr, F2, F10, etc.) para entrar en la BIOS/UEFI y, una vez dentro, buscar alguna sección de configuración de puertos o seguridad donde se permita desactivar el USB o limitar su uso.
Sin embargo, este método no es para todo el mundo. Tocar la BIOS/UEFI sin saber bien qué se hace puede acarrear problemas serios, desde dejar puertos inservibles hasta impedir que el equipo arranque correctamente. Por eso suele recomendarse solo a usuarios avanzados o administradores con experiencia.
Si no tienes claro qué opción cambiar o temes equivocarte, es preferible optar por las soluciones dentro de Windows 11 como las directivas de grupo, el Registro o las herramientas de terceros, que siempre son más fáciles de revertir.
Aplicaciones de terceros para bloquear unidades USB
Más allá de las herramientas integradas en Windows, hay programas específicos diseñados para gestionar el acceso a dispositivos USB de forma sencilla. Suelen ofrecer una interfaz muy visual con botones claros de activar o desactivar, algo ideal si no te apetece lidiar con el Registro o las directivas.
Una de estas utilidades es Nomesoft USB Guard. Se trata de una aplicación ligera para Windows pensada para bloquear memorias USB y evitar infecciones por malware que se propagan a través de estas unidades. La idea es que en unos pocos clics puedas proteger el equipo frente a cualquier pendrive sospechoso.
Entre sus puntos positivos está que apenas consume recursos y ocupa muy poco espacio en disco, por lo que se puede dejar instalada sin preocuparse por el rendimiento. Además, está diseñada para que cualquier usuario, incluso sin grandes conocimientos técnicos, pueda manejarla sin problemas.
La parte menos atractiva es que su interfaz se nota algo anticuada. No esperes un diseño moderno ni muchas florituras visuales, pero cumple su función de forma efectiva. Para utilizarla, basta con descargar la última versión gratuita, ejecutarla y seleccionar las opciones de bloqueo que quieras.
Otra herramienta interesante es USB Drive Disabler. Esta aplicación, también muy ligera, permite desactivar todos los puertos USB del equipo con un solo botón. Es portable, así que no necesita instalación y no modifica el Registro ni deja archivos residuales en el sistema cuando la borras.
Su interfaz se reduce prácticamente a una única ventana con las opciones de deshabilitar y volver a habilitar las unidades USB. Ideal para usuarios poco experimentados que solo quieren pulsar un botón. Cuando quieras restaurar el funcionamiento normal, eliges “Habilitar unidades USB” y listo.
Como contrapartida, los usuarios avanzados quizá echen en falta parámetros de personalización o controles más detallados. Además, en este tipo de soluciones siempre hay que recordar que funcionan en segundo plano: si alguien cierra el programa o lo desinstala, el bloqueo desaparece.
Junto a estas opciones más básicas existen soluciones profesionales como USB Block o Endpoint Protector, pensadas para empresas. Permiten registrar accesos, definir políticas por usuario, limitar tipos de dispositivos y generar informes, aunque para un uso doméstico, lo que ofrece de serie Windows 11 suele ser suficiente.
Medidas adicionales de seguridad en equipos compartidos
Bloquear los puertos USB es una buena medida, pero no debería ser la única barrera de seguridad en un equipo que compartes con otras personas. Existen prácticas sencillas que ayudan a que nadie acceda a tus archivos sin permiso, incluso aunque tenga el ordenador delante.
Lo primero es configurar una contraseña de inicio de sesión robusta y bloquear la sesión siempre que te levantes, aunque sea un momento. Es muy habitual dejar el PC desbloqueado al ir a por un café y, en ese rato, alguien podría copiar información o conectar un dispositivo externo sin que te des cuenta.
Si tu ordenador dispone de Bluetooth, puedes aprovechar funciones como el bloqueo dinámico de Windows: asocias tu móvil al PC y, cuando te alejas lo suficiente y el teléfono sale del rango, el sistema interpreta que ya no estás y bloquea automáticamente la sesión. Además, en equipos compartidos puedes bloquear el acceso al Panel de control a usuarios concretos para evitar cambios no deseados.
En oficinas, aulas o laboratorios donde varias personas usan la misma máquina, bloquear o restringir las unidades USB reduce de forma drástica el riesgo de que acaben llevándose datos a otros equipos. Incluso aunque se les olvide cerrar la sesión, un pendrive sin permisos no podrá copiar nada.
Combinando estas medidas con un buen antivirus, actualizaciones al día y cierta prudencia, el uso de memorias y discos USB deja de ser un agujero de seguridad tan grande y se convierte en una herramienta más, pero bajo control.
Al final, Windows 11 ofrece muchas vías para controlar los puertos USB: desde desmontar unidades puntualmente, pasando por desactivar controladoras en el Administrador de dispositivos, hasta jugar con las directivas de grupo, el Registro, la BIOS o programas externos. Escoger una u otra dependerá de si necesitas un bloqueo total, solo impedir la escritura o una solución fácil de activar y desactivar, pero con todas ellas es posible mantener a raya los pendrives y proteger mejor tus datos.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.