Controlar el uso de ancho de banda con políticas de QoS en Windows 11

Controlar el uso de la red en Windows 11 no va solo de “ir más rápido”, sino de garantizar que lo importante tenga prioridad cuando la conexión se satura. Las directivas de Calidad de Servicio (QoS) permiten marcar y limitar tráfico saliente para que aplicaciones críticas, como VoIP o vídeo, no sufran cortes ni picos de latencia.

Gran parte de la confusión viene de viejos mitos sobre que Windows “reserva” ancho de banda y te deja menos velocidad. En realidad, QoS en Windows 11 combina marcado DSCP y limitación (throttling) por directiva, se aplica vía Directiva de Grupo a usuarios o equipos, y puede filtrar por app, URL, IPs y puertos. Además, ofrece opciones avanzadas como control de ventana de recepción TCP y anulación de marcas DSCP para que solo prevalezcan tus políticas.

Qué es QoS en Windows y por qué te interesa

En Windows, la directiva de QoS une la QoS basada en estándares con la administración por GPO, de modo que puedes aplicar reglas desde Active Directory sin tocar cada equipo a mano. El sistema soporta dos controles clave: marcado mediante DSCP (0–63), útil para que routers y puntos de acceso prioricen colas, y limitación de velocidad para contener flujos salientes concretos.

Los enrutadores interpretan el DSCP para decidir la cola de cada paquete; así, tu organización puede definir colas como “latencia sensible”, “control”, “crítico de negocio”, “best effort” o “transferencias masivas” y enrutar en consecuencia. Con la parte de limitación, una política QoS puede restringir el caudal de salida de una app o servicio a X KB/s o MB/s, algo especialmente útil en WAN con costes o SLAs.

Antes de empezar: conceptos clave (DSCP y limitación)

El DSCP, definido en RFC 2474, utiliza el campo TOS en IPv4 y la clase de tráfico en IPv6 para marcar paquetes con valores del 0 al 63. Los equipos Windows pueden marcar tráfico saliente con un valor DSCP concreto, y tus routers y APs Wi‑Fi usarán ese valor para clasificar y poner en cola los paquetes correctamente.

La limitación (throttling) es independiente del marcado: una directiva QoS puede, por ejemplo, establecer un valor DSCP 46 para VoIP y a la vez limitar un servidor de ficheros a 512 KB/s en el puerto 443. Ambos controles se pueden combinar o usar por separado según tu estrategia.

Dónde viven las directivas y a quién aplican

Las directivas QoS deben tener nombres únicos y pueden crearse tanto a nivel de equipo como de usuario. En el Editor de objetos de directiva de grupo (GPOE), las encontrarás en Configuración del equipo \ Configuración de Windows \ Directiva QoS y en Configuración de usuario \ Configuración de Windows \ Directiva QoS. Las de equipo se aplican sin importar el usuario conectado, y las de usuario se aplican allí donde ese usuario inicie sesión.

Para que surtan efecto, recuerda vincular el GPO con las directivas QoS al contenedor de AD DS correspondiente (dominio, sitio u unidad organizativa). El GPO con mayor prioridad será el prevalente si hay conflictos de nombres de directivas.

Cómo crear una directiva QoS en Windows 11 paso a paso

Para crearla, edita un GPO desde la Consola de administración de directivas de grupo (GPMC). En el árbol, haz clic derecho sobre el nodo de Directiva QoS y elige “Crear una nueva directiva”. El asistente consta de cuatro páginas que definen perfil, ámbito de aplicación, direcciones y protocolos/puertos.

Asistente (página 1): perfil de directiva

En esta pantalla asignas un nombre único y decides si vas a marcar DSCP, limitar caudal, o ambas cosas. Puedes activar Especificar valor DSCP con un valor entre 0 y 63, y/o Especificar velocidad de limitación con unidades en KB/s o MBps (el valor debe ser > 1).

1. En “Nombre de directiva”, indica un identificador claro y único para reconocer la política.
2. Activa “Especificar valor DSCP” si quieres marcado; introduce un número entre 0 y 63 para la prioridad.
3. Activa “Especificar velocidad de limitación” si deseas contener el caudal; selecciona KB/s o MBps y un valor válido.
4. Haz clic en “Siguiente” para continuar con el ámbito de aplicación.

Asistente (página 2): nombre de la aplicación

Decide si la política aplica a todas las aplicaciones, a un ejecutable concreto (terminado en .exe), a una ruta completa (puede incluir variables de entorno como %ProgramFiles%) o a aplicaciones de servidor HTTP que respondan a una URL específica.

• “Todas las aplicaciones”: la política de la página 1 se aplica a todo el tráfico que coincida en siguientes páginas.
• “Solo las aplicaciones con este nombre ejecutable”: escribe, por ejemplo, MyApp.exe para acotar por binario.
• “Solo las aplicaciones de servidor HTTP que responden a esta dirección URL”: restringe a tráfico web de servidores concretos.

La URL debe ajustarse a RFC 1738, con formato http[s]://<hostname>:<port>/<url-path>. Se admiten comodines “*” únicamente sustituyendo por completo hostname y/o port (por ejemplo, https://training.* o https://*.*), pero no como subcadenas (no valen https://my*site/ ni https://*training*/). Además, puedes marcar “Incluir subdirectorios y archivos” para que https://training también cubra https://training/video.

1. Elige si esta política aplica a “Todas las aplicaciones” o a “Solo aplicaciones con este nombre ejecutable”.
2. Si optas por ejecutable, proporciona un .exe válido; si prefieres ruta, incluye el path completo (con variables si procede).
3. Haz clic en “Siguiente” para pasar a direcciones IP de origen/destino.

Asistente (página 3): direcciones IP

Aquí puedes restringir por IP de origen y/o destino, admitiendo direcciones o prefijos. Si eliges “Solo para la siguiente dirección IP”, puedes introducir:

• IPv4: por ejemplo 192.168.1.1 o prefijo 192.168.1.0/24.
• IPv6: por ejemplo 3ffe:ffff::1 o prefijo 3ffe:ffff::/48.

Si estableces ambas, origen y destino deben ser del mismo tipo de dirección (ambas IPv4 o ambas IPv6). Si en la página anterior especificaste una URL de servidor HTTP, verás atenuada la IP de origen (es la del servidor HTTP y no se configura aquí), aunque puedes personalizar la destino para diferenciar clientes.

1. En “Esta directiva de QoS se aplica a (origen)”, selecciona “Cualquier dirección IP” o “Solo la siguiente dirección de origen”.
2. Si restringes origen, escribe una IPv4/IPv6 o prefijo válido para acotar con precisión el ámbito.
3. En “Esta directiva de QoS se aplica a (destino)”, elige “Cualquier dirección” o “Solo la siguiente dirección de destino”.
4. Si restringes destino, usa una IPv4/IPv6 o prefijo del mismo tipo que el definido en el origen para evitar inconsistencias.
5. Haz clic en “Siguiente” para definir protocolos y puertos afectados.

Asistente (página 4): protocolos y puertos

Define si la política aplica a TCP, UDP o ambos, y si acotas por puertos de origen/destino. Puedes dejar “cualquiera”, un único puerto o un intervalo con el formato Bajo:Alto (sin espacios), donde ambos extremos están entre 1 y 65535.

1. En “Seleccionar el protocolo…”, escoge TCP, UDP o TCP y UDP para cubrir el tipo de tráfico correcto.
2. En “Especificar el número de puerto de origen”, deja “Desde cualquier puerto” o define un puerto/intervalo concreto.
3. Si defines intervalo, usa el formato 1000:2000 sin espacios; es la manera correcta de señalar rangos.
4. En “Especificar el número de puerto de destino”, deja “En cualquier puerto” o ajusta a uno o a un rango específico.
5. Termina con “Finalizar”; la nueva directiva aparecerá en el panel del editor de GPO lista para vincularse.

Tras crearla, recuerda vincular el GPO adecuado a dominio, sitio u OU para que los equipos y usuarios reciban la configuración. Sin el vínculo, la política no se aplica.

Ver, editar, eliminar y auditar directivas QoS

Para revisar o cambiar una política, haz clic derecho sobre su nombre en el editor de GPO. Al seleccionar “Propiedades”, verás las pestañas: Perfil de directiva, Nombre de la aplicación, Direcciones IP, y Protocolos y puertos, que reflejan exactamente las páginas del asistente.

Si necesitas cambiarla, usa “Editar directiva existente”; para retirarla, “Eliminar directiva”. Conviene auditar periódicamente con los informes de GPMC (Asistente de resultados de directiva de grupo) para ver qué políticas QoS son efectivas sobre un equipo o usuario, su DSCP, límites, condiciones y el GPO prevalente.

En la vista de resultados, cuando existan varias políticas con el mismo nombre en GPOs distintos, se aplica la del GPO con mayor prioridad. El resto de directivas en conflicto de menor prioridad no se aplican. Este informe facilita detectar qué está realmente en vigor y si hay solapamientos.

Reglas de prioridad de las directivas QoS

En tráfico saliente TCP/UDP solo puede aplicar una directiva de QoS a la vez; no hay efectos acumulativos (por ejemplo, las limitaciones no se suman). Para resolver conflictos, prevalece la política con condiciones más específicas según estas reglas:

• Nivel usuario vs. equipo: una directiva de usuario gana a una de equipo cuando coinciden sobre el mismo tráfico.
• Aplicación vs. quíntuple: una política que identifica la app (sobre todo con ruta completa) es más específica que una basada solo en quíntuple; si varias siguen aplicando, se compara el quíntuple.
• Dentro del quíntuple: importa la especificidad y el orden de prioridad de campos.

Por quíntuple de red entendemos: IP de origen, IP de destino, puerto de origen, puerto de destino y protocolo (TCP/UDP). Si dos políticas coinciden, la que concreta más campos o concreta un valor más específico gana. Dentro del quíntuple, el orden de prioridad es: IP origen > IP destino > puerto origen > puerto destino > protocolo. Por ejemplo, 192.168.4.1 tiene más prioridad que 192.168.4.0/24.

Ejemplos prácticos: si policy_A indica app.exe y policy_B define destino 192.168.1.0/24, cuando app.exe envía a una IP del rango, se aplica policy_A por ser más específica. Si policy_C cubre destino 10.0.0.1 y TCP “any” y policy_D cubre destino 10.0.0.1:80 TCP, al ir contra 10.0.0.1:80 gana policy_D por mayor concreción.

Configuración avanzada de QoS

Además de las directivas, Windows incluye una sección de “Configuración avanzada de QoS” a nivel de equipo. Se accede desde Configuración del equipo \ Configuración de Windows \ Directiva de QoS \ Configuración avanzada de QoS, y ofrece dos pestañas: tráfico TCP entrante y anulación de DSCP.

Tráfico TCP entrante (ventana de recepción)

Esta opción limita el rendimiento de recepción de TCP en el receptor ajustando la ventana anunciada. Windows modernos dimensionan dinámicamente hasta 16 MB (frente a 64 KB en versiones antiguas), y aquí puedes fijar el nivel máximo para el crecimiento: 0 = 64 KB, 1 = 256 KB, 2 = 1 MB, 3 = 16 MB. El tamaño real será ≤ al máximo según las condiciones.

1. En el editor de GPO, entra en la “Configuración avanzada de QoS”.
2. Activa “Configurar rendimiento de recepción de TCP” y selecciona el nivel deseado (0–3) según tu entorno.
3. Vincula el GPO a la OU objetivo para aplicar el control en equipo.

Invalidación de marcado DSCP

Con esta opción restringes que las aplicaciones establezcan sus propios DSCP. Si defines “Ignorar”, las apps que usen APIs de QoS verán sus DSCP forzados a 0, quedando el marcado exclusivamente en manos de tus directivas. Por defecto, Windows permite a las apps establecer DSCP; esta función te da control total cuando necesitas coherencia.

Valores DSCP y WMM en Wi‑Fi

La Wi‑Fi Alliance define WMM con cuatro categorías de acceso: VO (voz), VI (vídeo), BE (best effort) y BK (background). A grandes rasgos, los rangos DSCP se asocian así: 48–63 → VO, 32–47 → VI, 24–31 y 0–7 → BE, 8–23 → BK. Ajustando DSCP conforme a estas clases, los portátiles con adaptadores Wi‑Fi certificados WMM y APs compatibles priorizarán correctamente tu tráfico.

Escenarios móviles, VPN y servidores

El objetivo de estas directivas es gestionar el tráfico en la red de la empresa. En escenarios móviles (portátiles) solo se habilitan en interfaces conectadas a la red corporativa, como la interfaz VPN al conectarte desde una cafetería; la interfaz Wi‑Fi física no aplicará QoS mientras no esté conectada a la red de la empresa.

En cargas de trabajo de servidor la casuística cambia: un servidor con varias NIC podría estar en el perímetro y el departamento de TI querrá limitar tráfico de salida aunque esa NIC no “perciba” el enlace como corporativo. Por ese motivo, en Windows Server las directivas QoS están siempre habilitadas en todas las interfaces.

Sistemas compatibles y ubicaciones en GPMC

La QoS basada en directivas se aplica en una amplia familia: Windows 11/10 y versiones de Windows Server modernas, así como Windows 8.x, 7 y Vista. En servidores, en el Editor de administración de directivas de grupo podrás navegar a: “Directiva de dominio predeterminada \ Configuración del equipo \ Directivas \ Configuración de Windows \ QoS basada en directivas” o el equivalente de usuario.

De serie no hay directivas configuradas; eres tú quien define el valor DSCP y los límites de caudal por aplicación, IPs, puertos y protocolo, y quién plasma la granularidad que necesitas por usuario/equipo a través de la infraestructura de GPO que ya administras.

Ventajas de la QoS basada en directivas

Frente a hacerlo en switches o routers, la QoS por directivas te da un nivel de detalle superior (incluido nivel usuario), flexibilidad independientemente de si te conectas por Wi‑Fi o Ethernet, y una capa de seguridad al poder marcar IP antes de cifrar con IPsec, algo imposible de clasificar después en dispositivos intermedios.

También suma rendimiento al acercar la limitación al origen (donde mejor funciona) y mejora la manejabilidad: puedes administrar políticas desde un único controlador de dominio y, además, usar URL para agrupar servidores de un clúster tras una dirección común sin perseguir IPs individuales.

Limitar el ancho de banda por aplicación o puerto

Un caso típico es fijar que un servidor de ficheros nunca supere X KB/s en el puerto 443 o, a la inversa, que una app de VoIP obtenga un DSCP alto (por ejemplo 46) para que los equipos de red la coloquen en colas de baja latencia. Todo ello sin que la app deba programarse contra APIs de QoS: tus directivas actúan por debajo de la capa de aplicación.

El mito del “ancho de banda reservable” en Windows

Circula desde hace años la idea de que Windows “reserva un 20% del ancho de banda” y que al tocar gpedit ganarás velocidad. La realidad: Windows utiliza el 100% del ancho de banda salvo que una app pida explícitamente reserva mediante QoS. Incluso cuando una app la solicita y luego no la consume, el resto de aplicaciones pueden seguir usando ese ancho de banda.

Dicho esto, existe la directiva “Limitar ancho de banda reservable” en Programador de paquetes QoS (Plantillas administrativas), que algunos tutoriales recomiendan habilitar y poner al 0%. Puedes abrir gpedit.msc, ir a Configuración del equipo > Plantillas administrativas > Programador de paquetes QoS, editar la directiva, activar “Habilitada” y establecer “Límite de ancho de banda (%)” a 0. Ojo: esto no garantiza más velocidad de navegación, porque hay muchos factores (equipo, red, proveedor) y, si no hay reservas activas, no notarás cambio.

Recomendación práctica: no toques esta directiva sin una razón. Si tu problema es priorizar, aplica políticas QoS bien diseñadas; si es rendimiento general, revisa saturación, calidad de Wi‑Fi, oferta del ISP, drivers y actualización de Windows.

QoS en el router: cuándo ayuda en casa

QoS también existe en routers domésticos: permite priorizar tráfico (por ejemplo, streaming o juegos) y, en algunos modelos, limitar la velocidad por dispositivo. Es útil si hay muchos equipos y saturación; si tu red nunca se congestiona, activarlo no aporta gran cosa e incluso podría empeorar la experiencia si se configura mal.

Hay routers que distinguen entre QoS adaptativa (con plantillas y arrastrar/soltar), QoS tradicional (parámetros manuales) y limitador de ancho de banda por cliente. Otros permiten clasificar apps por categorías: tiempo real, con prioridad y segundo plano. En equipos ASUS, por ejemplo, basta con entrar a “QoS Adaptativa” y elegir la prioridad; en FRITZ!Box, ve a Internet > Filtros > Priorizar, crea reglas por dispositivo y aplicación.

Modelos de operador pueden carecer de QoS. En algunos Livebox de Orange, por ejemplo, no se ofrece QoS pero sí controles parentales para bloquear ciertos servicios (torrent, eMule). Ante la duda, revisa la documentación de tu router o contacta con tu operadora.

La ruta exacta varía por fabricante, pero la lógica es la misma: define qué tráfico importa (juegos, streaming, videollamadas), asigna prioridad, y, si procede, establece un tope por dispositivo para que nadie acapare el enlace cuando el resto de la casa necesita ancho de banda.

Las políticas de QoS en Windows 11 te permiten marcar y limitar tráfico con precisión por app, URL, IPs y puertos; auditar qué se aplica en cada equipo o usuario; y controlar aspectos avanzados como la ventana de recepción TCP o la anulación de DSCP. Combinadas con un router que ofrezca QoS sensata, son la mejor manera de priorizar lo importante y evitar cuellos de botella en entornos donde la red se estresa de verdad.