En el mundo de la ciberseguridad, proteger el núcleo del sistema operativo Windows es una de las prioridades más importantes tanto para usuarios domésticos como para empresas. A lo largo de los años, Microsoft ha ido implementando mecanismos cada vez más sofisticados para blindar el kernel frente a amenazas, pero los atacantes no dejan de buscar vías de entrada para ejecutar código privilegiado. Uno de los métodos más peligrosos —y cada vez más frecuente— es aprovechar vulnerabilidades en los controladores o drivers que se cargan en el sistema, muchos de los cuales son legítimos y están firmados digitalmente, pero presentan fallos de seguridad que pueden ser explotados.
Para hacer frente a esta realidad, Microsoft ha desarrollado la llamada Lista de bloqueo de controladores vulnerables (Microsoft Vulnerable Driver Blocklist), cuyo objetivo es poner coto a la ejecución de drivers peligrosos en el kernel de Windows. Esta función, cada vez más presente y activa por defecto en las versiones más recientes del sistema operativo, es una pieza clave dentro del ecosistema de protección que conforman tanto Windows Defender como otras políticas de seguridad avanzadas.
¿Qué es la Lista de bloqueo de controladores vulnerables de Microsoft?
La Lista de bloqueo de controladores vulnerables de Microsoft es un mecanismo de defensa que busca impedir que determinados drivers, identificados como potencialmente inseguros o directamente peligrosos para la integridad del sistema, puedan ejecutarse en el kernel de Windows. Estos controladores, aunque suelen estar debidamente firmados y ser distribuidos por fabricantes legítimos, han presentado en algún momento vulnerabilidades que pueden ser aprovechadas por software malicioso para obtener privilegios elevados, evadir sistemas de protección o comprometer el funcionamiento normal de la máquina.
Microsoft mantiene y actualiza esta lista en colaboración con fabricantes de hardware (IHV y OEM) y con la comunidad de seguridad, de modo que siempre incluya los drivers cuya explotación represente una amenaza real. Su función principal es bloquear automáticamente la ejecución de esos controladores para evitar la escalada de privilegios, la introducción de rootkits o la manipulación de herramientas antimalware.
¿Por qué es necesaria una lista de bloqueo de controladores?
Desde hace tiempo, los atacantes han descubierto que no siempre es necesario desarrollar malware desde cero para obtener control del sistema a bajo nivel. La técnica conocida como Bring Your Own Vulnerable Driver (BYOVD) aprovecha la existencia de drivers legítimos con fallos de seguridad para desplegar amenazas avanzadas. Así, los ciberdelincuentes pueden instalar y cargar un controlador vulnerable (muchas veces antiguo pero todavía firmado) para después explotarlo y conseguir acceder a recursos internos del sistema operativo, desactivar el antivirus, extraer credenciales o instalar rootkits.
Estas maniobras se han visto incluso en operaciones de ransomware y ataques dirigidos contra grandes corporaciones. Microsoft ha detectado el uso sistemático de esta técnica tanto por parte de actores de amenazas avanzadas como de desarrolladores de malware básico, lo que pone de manifiesto la necesidad de un mecanismo que controle y limite qué drivers pueden ejecutarse en el entorno más crítico del sistema.
Colaboración entre Microsoft y fabricantes para identificar drivers peligrosos
Uno de los puntos más fuertes de la defensa que propone Microsoft se encuentra en la colaboración directa con los principales fabricantes de hardware y proveedores independientes de software. Cada vez que se descubre una vulnerabilidad en un controlador, Microsoft trabaja junto al fabricante para ser informado cuanto antes, incluir el driver en la lista de bloqueo si procede y coordinar el lanzamiento de una actualización o parche que resuelva la incidencia. Esto permite, por un lado, proteger a los usuarios para que el controlador vulnerable no sea ejecutado, y por otro lado, garantizar que las nuevas versiones corregidas se distribuyan de manera segura por todo el ecosistema Windows.
Los desarrolladores y fabricantes pueden remitir directamente a Microsoft los drivers sospechosos para su análisis de seguridad, o bien solicitar revisiones y cambios si algún controlador ha sido subsanado tras una actualización. La compañía ofrece recursos y canales específicos para enviar incidencias, lo que agiliza la detección y rápida incorporación de nuevos drivers a la lista.
¿Qué tipos de controladores se bloquean?
La política de Microsoft para definir qué drivers deben incluirse en esta lista se basa en detectar aquellos que cumplen al menos uno de los siguientes criterios:
- Presentan vulnerabilidades de seguridad conocidas que pueden ser explotadas para elevar privilegios o comprometer la integridad del kernel de Windows.
- Exhiben comportamientos maliciosos, como haber sido empleados para distribuir malware, rootkits o software dañino.
- Incluyen certificados de firma digital utilizados para firmar malware o herramientas de hacking.
- Tienen prácticas que evaden el modelo de seguridad de Windows, aunque no sean estrictamente maliciosos, pero pueden ser aprovechados por atacantes para obtener control excesivo sobre el sistema.
Gracias a este enfoque, la lista no sólo protege frente a vulnerabilidades activas, sino también frente a toda la cadena de ataques basados en controladores desfasados o inadecuadamente protegidos. La presencia de un driver en la lista implica que el sistema operativo bloqueará su carga y ejecución, evitando así que un malware se aproveche de él.
Evolución de la lista de bloqueo: integración y actualizaciones
La lista de bloqueo de controladores vulnerables de Microsoft se ha ido integrando progresivamente en todas las versiones de Windows modernas. Desde la versión 1809 de Windows 10, comenzó siendo una característica opcional para aquellos usuarios y entornos que habilitaban tecnologías avanzadas como la integridad de código protegida por hipervisor (HVCI) o el denominado modo S. Sin embargo, con la llegada de Windows 11 y especialmente con la actualización 22H2, se ha activado por defecto en todos los dispositivos compatibles.
Esto significa que todos los usuarios de Windows 11 22H2 (y versiones superiores) disponen de la protección de la blocklist automáticamente, sin necesidad de configuraciones adicionales. Para versiones anteriores o en Windows 10, la activación de la lista depende de que esté habilitada la función de seguridad correspondiente, como Smart App Control, modo S o HVCI, aunque también puede añadirse manualmente a través de actualizaciones opcionales de Windows Update.
¿Cada cuánto se actualiza la blocklist y cómo se distribuyen las novedades?
Microsoft actualiza la lista de bloqueo de controladores con cada nueva versión principal de Windows, normalmente entre una y dos veces al año, pero también puede desplegar actualizaciones adicionales a través de mantenimiento estándar del sistema operativo. Las últimas versiones de la blocklist se distribuyen simultáneamente como actualizaciones opcionales de Windows Update para usuarios de Windows 10 (a partir de la versión 20H2) y Windows 11 (21H2 en adelante).
No obstante, si un administrador quiere asegurarse siempre de estar protegido con la versión más reciente de la blocklist, dispone de herramientas como App Control for Business, que permite aplicar la lista actualizada de drivers bloqueados incluso antes de que llegue vía actualización estándar. Microsoft publica también descargas manuales del archivo actualizado, junto con instrucciones detalladas para su implementación.
Cómo funciona la protección al usuario: integración con Windows Defender y App Control
La blocklist integra su funcionamiento con otras medidas de defensa de Windows, en particular con Windows Defender y App Control. En el caso de Defender, el sistema realiza un control exhaustivo sobre los drivers que se intentan instalar, valora su presencia en la lista negra y, si corresponde, bloquea su ejecución y muestra alertas en el Centro de Seguridad de Windows.
App Control for Business permite a los administradores aplicar la lista de bloqueo de Microsoft mediante directivas de política de seguridad. Si bien es una opción avanzada orientada a empresas y entornos profesionales, resulta muy útil para mantener una defensa homogénea en toda la infraestructura TI. De hecho, si no es posible activar ciertas funciones como el modo S o HVCI, Microsoft recomienda específicamente bloquear la lista de drivers peligrosos recurriendo a App Control, aunque aconseja probar primero la política en modo auditoría para evitar incompatibilidades o bloqueos accidentales de dispositivos críticos.
Paso a paso: cómo descargar y aplicar manualmente la lista de bloqueo
Para los usuarios o administradores que deseen asegurarse de tener la versión más actual del fichero de bloqueo, Microsoft ofrece un procedimiento manual. El proceso suele consistir en descargar la herramienta de actualización de políticas de App Control, obtener los archivos binarios de la blocklist, cambiar el nombre del archivo de política a SiPolicy.p7b, copiarlo en el directorio %windir%\system32\CodeIntegrity y ejecutar la actualización para activar la nueva política. De este modo, cualquier intento de cargar un controlador listado como vulnerable será detenido automáticamente por el sistema.
Para verificar que la política está operativa, basta con abrir el Visor de eventos, ir al registro de Microsoft – Windows – CodeIntegrity – Operational y filtrar por el identificador de evento 3099. Allí podrán comprobarse los detalles de la política aplicada y corroborar que se corresponde con la versión más reciente.
¿Puede causar problemas de compatibilidad bloquear drivers?
Una de las preguntas más frecuentes sobre esta función de seguridad es si podría bloquear controladores necesarios y causar fallos en el sistema. La respuesta es que, aunque la lista ha sido cuidadosamente elaborada para minimizar conflictos, existe la posibilidad de que, en casos muy específicos, el bloqueo de un driver provoque que cierto hardware o software no funcione correctamente, o incluso ocasione una pantalla azul (BSOD).
Por ello, Microsoft recomienda a los responsables de sistemas aplicar y probar la política, especialmente en modo auditoría, antes de habilitarla definitivamente, revisando los eventos de bloqueo para descartar interferencias con componentes esenciales de trabajo.
Cómo activar o desactivar la lista de bloqueados desde la Seguridad de Windows
En las versiones más modernas del sistema operativo, gestionar la función es más sencillo que nunca. Basta con abrir la aplicación Seguridad de Windows, navegar hasta «Seguridad del dispositivo» y acceder al apartado «Aislamiento del núcleo».
Allí, el usuario verá la opción de activar o desactivar la lista de bloqueo de controladores vulnerables de Microsoft. Sólo hay que cambiar el estado según la preferencia y reiniciar el dispositivo para que los cambios surtan efecto. Este proceso es idéntico en Windows 11 22H2 y superiores; en versiones anteriores, puede ser necesario activar adicionalmente la función de Integridad de memoria o HVCI para habilitar la protección.
Vínculo con la reducción de superficie expuesta a ataques (ASR)
La defensa del kernel no sólo se basa en la blocklist de controladores, sino que forma parte de un marco más amplio llamado reducción de superficie expuesta a ataques (Attack Surface Reduction, ASR), que engloba un conjunto de reglas diseñadas para minimizar las oportunidades de explotación por parte de malware y hackers. Una de las reglas ASR más recomendadas y habilitadas por defecto en muchos entornos es precisamente la que bloquea el abuso de controladores firmados vulnerables.
El sistema de reglas ASR está integrado en Microsoft Defender for Endpoint y permite establecer políticas tanto para bloquear como para auditar o advertir al usuario final. Cada regla cuenta con su propio identificador (GUID) y puede configurarse de manera individual desde el centro de administración o recurriendo a herramientas como PowerShell.
Listado de reglas ASR relacionadas con controladores y otros riesgos comunes
Además de la regla de bloqueo a drivers vulnerables, el paquete de reglas ASR incluye otras muchas medidas relevantes para la seguridad corporativa y personal:
- Impedir que Adobe Reader cree procesos secundarios.
- Impedir que las aplicaciones de Office creen procesos secundarios o inserten código en otros procesos.
- Bloquear la ejecución de scripts potencialmente ofuscados.
- Impedir que JavaScript o VBScript inicien contenido descargado ejecutable.
- Bloquear procesos no firmados desde unidades USB o herramientas del sistema copiadas/suplantadas.
- Bloquear la creación de WebShells o llamadas API peligrosas desde macros de Office.
- Uso de protecciones avanzadas contra ransomware y otros ataques sofisticados.
Para cada regla, se puede establecer si debe estar en modo bloqueante, de auditoría o de advertencia, permitiendo así adaptarse a las necesidades de cada organización. Esta flexibilidad es clave para mantener la seguridad sin sacrificar la compatibilidad o el flujo de trabajo diario.
¿Cómo se aplican y gestionan las reglas ASR?
Las reglas ASR pueden aplicarse a través de diferentes mecanismos:
- Desde la consola de Microsoft Defender for Endpoint, estableciendo políticas a nivel de empresa, grupo o dispositivo.
- Utilizando Microsoft Intune, que permite una administración centralizada de todas las reglas y su distribución por perfiles.
- De forma local, usando PowerShell para activar o auditar una regla concreta en un equipo.
Cada regla se identifica con un GUID único, y se pueden establecer combinaciones de estado:
sin configurar, bloqueado, auditoría o de advertencia. El modo advertencia resulta especialmente útil para entornos donde se desea informar al usuario del riesgo sin bloquear automáticamente la acción, permitiéndole decidir bajo aviso.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.