Cómo proteger Windows 11 de ransomware paso a paso

Si usas Windows 11 para trabajar, estudiar o simplemente para tu día a día, el ransomware es ahora mismo una de las amenazas más peligrosas a las que te enfrentas. Este tipo de malware puede dejar tus documentos, fotos o proyectos totalmente inaccesibles y, en muchos casos, los atacantes piden un rescate económico para recuperarlos.

La buena noticia es que el propio sistema de Microsoft incluye varias capas de defensa que, bien configuradas, pueden frenar la mayoría de ataques de ransomware sin que tengas que pagar un euro más. Eso sí, hay que conocerlas, activarlas correctamente y combinarlas con algunas buenas prácticas básicas de seguridad.

Qué es el ransomware y por qué es tan peligroso

El ransomware es un tipo de software malicioso que, una vez se cuela en tu equipo, cifra tus archivos o incluso bloquea todo el sistema para que no puedas usarlo con normalidad. Después, los ciberdelincuentes te exigen un pago (normalmente en criptomonedas) a cambio de la supuesta clave para recuperar el acceso.

Este tipo de ataque se ha disparado en los últimos años porque es muy rentable para los atacantes y extremadamente dañino para las víctimas. Afecta tanto a usuarios domésticos como a empresas, autónomos, centros educativos o administraciones públicas. La pérdida o secuestro de datos puede parar por completo la actividad de una organización.

La vía de contagio más habitual son los correos de phishing y las descargas maliciosas. Un simple adjunto camuflado como factura, currículum o documento de empresa, o un enlace que lleva a una descarga en servicios como Mega, Google Drive o Dropbox, pueden ser suficientes para que el malware se ejecute.

También es muy frecuente que el ransomware aproveche vulnerabilidades en programas desactualizados o en el propio sistema operativo. Un navegador viejo, un plugin sin soporte, una suite ofimática sin parches o un Windows sin actualizar pueden abrir la puerta al ataque sin que el usuario haga nada aparentemente extraño.

Una vez dentro, el código malicioso analiza las unidades y va cifrando archivos de documentos, imágenes, bases de datos o incluso sectores críticos del sistema. En muchos incidentes modernos, antes de cifrar nada los atacantes copian la información sensible para poder chantajearte después con filtrarla públicamente aunque tengas copias de seguridad.

El gran problema es que, aunque pagues el rescate, nadie te garantiza que vayas a recuperar los datos. Hay casos en los que ni siquiera proporcionan una clave válida, desaparecen tras el pago o vuelven a extorsionar más adelante. Por eso, la estrategia sensata no es “pagar si pasa algo”, sino trabajar en la prevención y en la capacidad de recuperación.

Seguridad integrada en Windows 11 contra el ransomware

Windows 11 llega con un conjunto bastante completo de funciones de seguridad integradas, como el aislamiento de núcleo, que, bien usadas, pueden plantar una buena barrera frente al ransomware sin tener que instalar nada extra. El núcleo de todo es la aplicación Seguridad de Windows.

Por un lado está Microsoft Defender Antivirus, que ofrece protección en tiempo real frente a virus, troyanos, ransomware y otro tipo de malware. Analiza archivos, descargas y procesos en segundo plano, y se actualiza de forma automática con nuevas firmas y técnicas de detección.

Además del antivirus, el sistema incorpora un Firewall integrado que controla el tráfico de red y bloquea conexiones no autorizadas desde y hacia tu equipo. Esto reduce el riesgo de que un atacante se conecte remotamente, robe datos o se mueva lateralmente por la red local.

Para entornos familiares, Windows 11 ofrece también opciones de control parental y protección familiar, que limitan qué sitios pueden visitar los menores y cómo utilizan los dispositivos, reduciendo las probabilidades de que acaben descargando contenido malicioso.

Todo este conjunto de herramientas es gratuito y viene preinstalado, así que no tienes excusa para no tener una configuración básica de seguridad activa. Pero si quieres elevar de verdad la protección contra el ransomware, el elemento clave es la función de Protección contra ransomware y, dentro de ella, el acceso controlado a carpetas.

Qué es la protección contra ransomware de Windows

La protección contra ransomware de Windows 10 y Windows 11 es una característica específica pensada para impedir que programas no confiables modifiquen tus documentos y carpetas más importantes. No sustituye al antivirus, sino que actúa como una capa extra.

Esta función se basa en dos ideas: por un lado, mantener una lista de carpetas protegidas (como Documentos, Imágenes, Vídeos o Música, entre otras) y, por otro, permitir que solo las aplicaciones de confianza puedan escribir en ellas. Si un programa desconocido o sospechoso intenta cifrar esos archivos, el sistema lo bloquea. Para reforzar el control sobre aplicaciones no confiables, conviene combinar esta función con medidas como Smart App Control.

Cuando activas esta protección, Windows evita cambios no autorizados sobre los ficheros alojados en esas carpetas. Esto complica muchísimo la vida al ransomware, cuya estrategia típica es cifrar en masa todo lo que encuentra en ubicaciones de usuario y unidades accesibles.

Otra ventaja importante es que, si algo falla o algún ransomware consigue ejecutarse, tendrás muchas más posibilidades de que tus datos clave sigan intactos en esas carpetas protegidas, y sea más fácil restaurar la normalidad usando copias de seguridad o simplemente limpiando el equipo.

Conviene entender que se trata de una función menos conocida que la del propio antivirus, pero su impacto práctico cuando hablamos de minimizar daños de un ataque real es enorme. Por eso, merece la pena dedicar cinco minutos a dejarla bien configurada.

Acceso controlado a carpetas: el corazón de la defensa

El acceso controlado a carpetas (Controlled Folder Access) es el mecanismo concreto que utiliza Windows para proteger tus datos frente a aplicaciones maliciosas o no autorizadas, entre ellas el ransomware. Su filosofía es sencilla: todo lo que no está expresamente permitido, se bloquea.

Cuando esta opción está activa, solo las aplicaciones que Windows considera de confianza pueden modificar archivos en las carpetas protegidas. El resto de software, aunque esté instalado en el sistema, no podrá hacer cambios en esos directorios salvo que tú lo autorices manualmente.

Las carpetas protegidas se pueden configurar, pero Windows incluye de serie una lista de ubicaciones habituales de usuario donde la gente suele guardar datos importantes: Documentos, Imágenes, Vídeos, Música, Favoritos, tanto en el perfil del usuario actual como en carpetas públicas o perfiles de sistema.

En cuanto a las aplicaciones, Windows mantiene una lista de programas confiables basada en su prevalencia y reputación. Software ampliamente utilizado en toda la organización (en entorno empresarial) o muy común entre los usuarios, y que no ha mostrado comportamientos maliciosos, se considera seguro de forma automática.

Si alguna aplicación legítima que tú utilizas no está en esa lista, puedes añadirla manualmente como permitida para que pueda modificar las carpetas controladas. Esto es muy útil para herramientas corporativas internas, software poco conocido o utilidades personalizadas.

Requisitos y sistemas compatibles con el acceso controlado

Para usar el acceso controlado a carpetas, es necesario que el sistema operativo sea una versión compatible de Windows. La función está disponible en:

• Windows 11 (todas las ediciones modernas compatibles con Microsoft Defender).
• Windows 10 en sus versiones actualizadas.
• Windows Server 2016 y posteriores, incluyendo Windows Server 2012 R2.
• Azure Stack HCI, versión 23H2 y sucesivas.

En entornos empresariales o de organización, el acceso controlado a carpetas funciona especialmente bien en combinación con Microsoft Defender para punto de conexión (Endpoint), que permite recopilar informes detallados sobre qué procesos se han bloqueado, qué carpetas se han protegido y qué incidentes se han producido.

La configuración centralizada se puede hacer mediante Microsoft Intune, Configuration Manager o las políticas de seguridad de Microsoft Defender, de forma que el administrador define reglas globales y estas se aplican a todos los equipos de la red.

En un entorno doméstico o de pequeña oficina, basta con usar la propia app de Seguridad de Windows del sistema, sin necesidad de herramientas de gestión adicionales. La lógica detrás es la misma, solo cambia la forma de desplegar las políticas.

Cómo funciona el acceso controlado a carpetas en la práctica

Cuando el acceso controlado a carpetas está activado, el sistema vigila permanentemente los intentos de escritura, modificación o borrado en las carpetas protegidas. Cada vez que una aplicación intenta hacer cambios, se comprueba si está en la lista de confianza.

Si el programa está reconocido como seguro, todo funciona con normalidad y el usuario ni se entera. Abrir, guardar o editar documentos en esas ubicaciones será transparente como siempre.

En cambio, si una aplicación desconocida o con reputación dudosa intenta modificar un archivo, Windows bloquea la operación e incluso muestra una notificación informando de que se han evitado cambios no autorizados en una carpeta protegida.

En ese momento, puedes consultar el Historial de protección de Seguridad de Windows para ver qué programa ha sido detenido, cuándo y qué archivos intentaba tocar. Desde ahí, si reconoces la aplicación como legítima, tienes la opción de permitirla manualmente y, para análisis avanzados, usar Process Hacker.

Además, en entornos empresariales, estas incidencias se registran como eventos detallados en Microsoft Defender para punto de conexión y en el Portal de Microsoft Defender, lo que permite investigar si se trata de un falso positivo o de un intento de ataque real.

Para evaluar el impacto en una red grande antes de activarlo en modo estricto, es muy útil el modo de auditoría, en el que el sistema solo registra lo que habría bloqueado sin llegar a interferir, permitiendo calibrar la configuración ideal.

Carpetas protegidas por defecto y cómo gestionarlas

De fábrica, Windows incluye en la lista de carpetas protegidas una serie de ubicaciones del perfil de usuario y del sistema que acumulan la mayoría de archivos personales y de trabajo. Entre otras, se protegen automáticamente:

• C:\Users\<usuario>\Documents y C:\Users\Public\Documents.
• C:\Users\<usuario>\Pictures y C:\Users\Public\Pictures.
• C:\Users\<usuario>\Videos y C:\Users\Public\Videos.
• C:\Users\<usuario>\Music y C:\Users\Public\Music.
• C:\Users\<usuario>\Favorites.

Esas mismas rutas se extienden también a cuentas de sistema como LocalService, NetworkService o systemprofile, de modo que, por ejemplo, la carpeta Documentos bajo el perfil de sistema también puede quedar protegida si existe.

Desde la app de Seguridad de Windows puedes consultar y ampliar la lista de carpetas protegidas. Solo tienes que ir a Protección antivirus y contra amenazas > Protección contra ransomware > Administrar la protección contra ransomware > Carpetas protegidas.

En esa pantalla verás el listado de carpetas ya incluidas y, si lo necesitas, puedes agregar nuevas rutas con el botón “Agregar una carpeta protegida”. Todas las subcarpetas que cuelguen de esa ruta quedarán también cubiertas automáticamente.

Hay que tener en cuenta que las carpetas de sistema protegidas por defecto no se pueden eliminar de la lista (es una protección deliberada), pero sí tienes flexibilidad para sumar otras ubicaciones donde guardes información sensible, como proyectos en otra unidad, directorios de trabajo o carpetas de clientes.

Cómo activar la protección antiransomware en Windows 11

En Windows 11, el panel para manejar estas opciones está algo escondido, pero se llega en unos pocos clics. Los pasos básicos son los siguientes:

En primer lugar, abre la aplicación Seguridad de Windows desde el menú Inicio. Puedes escribir “Seguridad de Windows” en el buscador y pulsar Intro, o acceder desde Configuración > Privacidad y seguridad > Seguridad de Windows.

Una vez dentro, entra en la sección “Protección antivirus y contra amenazas”. Esta es la zona donde se controlan las funciones de Microsoft Defender Antivirus, análisis, actualizaciones de firmas y, en la parte baja, todo lo referente al ransomware.

Desplázate hacia abajo hasta encontrar el bloque “Protección contra ransomware”. Ahí verás un enlace llamado “Administrar la protección contra ransomware”; haz clic para acceder al panel detallado.

Dentro de ese apartado encontrarás el interruptor para activar el “Acceso controlado a carpetas”. Si está desactivado, al activarlo aparecerá una ventana solicitando confirmación; acepta para que Windows empiece a aplicar las restricciones.

Cuando la función ya está encendida, verás varias opciones: Historial de bloqueos, Carpetas protegidas y Permitir que una aplicación acceda a una de las carpetas controladas. Desde “Carpetas protegidas” puedes comprobar las rutas protegidas por defecto y añadir las tuyas, y desde “Permitir una aplicación” puedes autorizar programas concretos que necesiten escribir en esas carpetas.

Activar la protección anti ransomware en Windows 10

En Windows 10, la lógica es la misma, aunque el camino para llegar a la configuración cambia ligeramente. El asistente de Seguridad de Windows también está presente y centraliza todas las opciones.

Empieza abriendo Configuración desde el menú Inicio (icono del engranaje) y entra en el apartado “Actualización y seguridad”. Ahí, en el panel izquierdo, selecciona “Seguridad de Windows” para abrir el centro de seguridad.

Dentro de Seguridad de Windows, elige “Protección contra virus y amenazas”. Aparecerán las opciones relacionadas con Microsoft Defender, los análisis rápidos y avanzados y el estado de protección.

Busca el enlace “Administrar la protección contra ransomware”, normalmente situado en la parte inferior de la ventana. Al pulsarlo, accederás al menú donde se enciende o apaga el acceso controlado a carpetas.

Por defecto, esta opción suele venir deshabilitada, así que tendrás que mover el interruptor para activarla y aceptar la ventana de permisos. A partir de ese momento, puedes gestionar carpetas protegidas, ver el historial de bloqueos y autorizar aplicaciones de confianza.

Integración con Microsoft Defender para punto de conexión

En organizaciones que utilizan Microsoft Defender para punto de conexión, el acceso controlado a carpetas se convierte en una herramienta muy potente de monitorización e investigación. No se limita a bloquear, sino que genera información útil para los analistas.

Desde el portal de Microsoft Defender, los administradores pueden ver informes detallados sobre cuándo y dónde se han producido intentos de violación de carpetas controladas, qué proceso estuvo implicado y en qué equipo.

Es posible también consultar los datos de eventos mediante búsqueda avanzada, filtrando por tipos de acción específicos como ControlledFolderAccessViolationAudited o ControlledFolderAccessViolationBlocked para identificar comportamientos sospechosos.

Esta visibilidad ayuda a determinar si se trata de un ataque real de ransomware, de un comportamiento anómalo de un software legítimo o de un simple falso positivo. En consecuencia, se pueden ajustar políticas, permitir aplicaciones concretas o reforzar la protección.

Para evaluar el impacto en una red grande antes de activarlo en modo estricto, es muy útil el modo de auditoría, en el que el sistema solo registra lo que habría bloqueado sin llegar a interferir, permitiendo calibrar la configuración ideal.

Registro de eventos y auditoría en el sistema

Además de los paneles gráficos, Windows registra los eventos relacionados con el acceso controlado a carpetas en el Visor de eventos, lo que permite un análisis forense más fino o la integración con otros sistemas de monitorización. Para profundizar en la auditoría puedes consultar guías sobre Visor de eventos y auditoría.

Para revisar estos eventos, se puede importar una vista personalizada basada en un archivo XML de ejemplo (cfa-events.xml), de forma que los eventos relevantes queden agrupados y sea fácil consultarlos desde el propio Visor.

En estos registros aparecen, entre otros, códigos de evento clave como el 5007 (cambio de configuración), 1124 (acceso auditado) o 1123 (acceso bloqueado), además de códigos asociados a bloqueos de escritura en sectores protegidos.

Esta información es especialmente valiosa para equipos de seguridad que necesiten justificar cambios, investigar incidentes o demostrar el correcto funcionamiento de las políticas de protección contra ransomware en auditorías.

Experiencia del usuario cuando se bloquea una amenaza

Desde el punto de vista del usuario final, cuando el acceso controlado a carpetas bloquea una acción, aparece una notificación de Seguridad de Windows indicando que se han impedido cambios no autorizados en una carpeta protegida o en memoria.

El mensaje suele mostrar algo similar a “Virus & threat protection – Unauthorized changes blocked – Controlled folder access blocked…”, indicando qué aplicación concreta intentaba hacer cambios y en qué ruta.

Si el usuario abre el Historial de protección, podrá ver la entrada correspondiente con la hora, la fecha y más detalles técnicos del suceso. A partir de ahí, puede decidir si se trata de una aplicación fiable que necesita permiso o de algo desconocido que mejor dejar bloqueado.

Las empresas pueden incluso personalizar el texto de las notificaciones con datos de contacto del departamento de TI o instrucciones básicas, para que los empleados sepan a quién avisar cuando vean uno de estos mensajes.

Esta combinación de bloqueo automático y feedback claro ayuda a que el usuario desconfíe cuando algo raro intenta tocar sus documentos y fomenta una cultura de seguridad más proactiva.

Qué pasa si uso un antivirus de terceros (Norton, etc.)

En muchos equipos, al abrir “Protección contra virus y amenazas” en Seguridad de Windows, el usuario solo ve el mensaje de que un antivirus de terceros (por ejemplo, Norton 360) está activo y no aparecen todas las opciones de Defender, incluida la protección contra ransomware.

Esto ocurre porque, cuando instalas un antivirus externo que se registra correctamente en el sistema, Windows desactiva gran parte de las funciones de Defender para evitar conflictos. En la práctica, la protección contra ransomware integrada queda en segundo plano o inaccesible desde la interfaz.

En estos casos, es fundamental comprobar si el propio antivirus de terceros ofrece un módulo específico de protección contra ransomware o de control de carpetas. Muchas suites comerciales incluyen algo similar, aunque con nombres distintos.

Si tu producto de seguridad no dispone de un mecanismo equivalente, puede que te interese revaluar si realmente te compensa usarlo o si es preferible volver a Microsoft Defender, que integra de forma nativa el acceso controlado a carpetas y una protección muy sólida, especialmente en Windows 11.

Otra opción es habilitar la función de análisis periódico de Microsoft Defender junto al antivirus de terceros, aunque no todos los productos compatibles permiten aprovechar al completo el control de carpetas de Windows en esa configuración mixta.

Beneficios de activar la protección antiransomware en Windows

Encender y configurar la protección contra ransomware de Windows supone añadir una muralla adicional justo donde más duele: tus archivos personales y de trabajo. Incluso si algo se cuela, tendrá mucho más difícil cifrar lo que realmente te importa.

A nivel psicológico también aporta mucho: saber que hay una vigilancia específica sobre tus carpetas clave reduce bastante la ansiedad frente a este tipo de amenazas, especialmente si gestionas datos sensibles o información crítica para tu negocio.

En entornos corporativos, esta función impulsa un enfoque más proactivo de la ciberseguridad: obliga a revisar qué aplicaciones realmente necesitan escribir en determinadas ubicaciones y a mantener un inventario más controlado del software que se ejecuta en la organización.

Además, al disminuir la probabilidad de infecciones graves que exijan formatear máquinas o reconstruir sistemas enteros, se alarga la vida útil de los equipos y se reducen costes asociados a incidentes, inactividad y soporte técnico de emergencia.

En combinación con copias de seguridad adecuadas, esta capa de defensa puede marcar la diferencia entre un susto controlado y un desastre total con pérdidas económicas, legales y de reputación.

Consejos extra para mantener tus datos a salvo del ransomware

Por muy bien que tengas configurado Windows, ninguna protección técnica es infalible si luego se descuida el sentido común. Para blindarte de verdad contra el ransomware, conviene seguir unas cuantas buenas prácticas adicionales.

La primera y más importante es contar con un sistema de copias de seguridad fiable, actualizado y desconectado de tu red principal. No sirve de mucho tener el backup en el mismo equipo o en un disco siempre enchufado: si el ransomware cifra las unidades, también se llevará por delante la copia.

Procura mantener al día Windows y todas tus aplicaciones. Cada actualización suele incluir parches de seguridad que tapan agujeros que los atacantes podrían aprovechar para entrar sin necesidad de engañar al usuario.

Evita abrir adjuntos o hacer clic en enlaces de correos sospechosos, mensajes de mensajería o webs de procedencia dudosa. Si algo te huele raro o no esperabas ese documento, mejor verificar con el remitente por otro canal antes de abrir nada.

Instala y mantén al día un buen software de seguridad. Microsoft Defender es una opción perfectamente válida para la mayoría de usuarios, pero si prefieres un antivirus de terceros, asegúrate de que tenga una buena reputación específica frente a ransomware y que no desactive protecciones útiles sin ofrecer alternativas.

Por último, si compartes el equipo con otras personas o gestionas un entorno de trabajo, forma mínimamente a todos los usuarios en prácticas básicas de ciberseguridad: cómo reconocer un correo de phishing, por qué no deben instalar software pirata, o qué hacer si ven una alerta de Seguridad de Windows.

Con todo lo anterior, y apoyándote en el acceso controlado a carpetas y el resto de medidas integradas en Windows 11, tu equipo estará muchísimo mejor preparado para plantar cara al ransomware y, en caso de que algo se cuele, minimizar al máximo los daños sobre tus datos y tu actividad diaria.