Windows 11: solución definitiva al “Acceso denegado” en carpetas compartidas tras la actualización de febrero 2025

Tras la última gran actualización de Windows 11 (12 de febrero de 2025) muchos usuarios domésticos descubrieron que las carpetas que antes podían compartirse sin fricción ahora mostraban “Acceso denegado” o un cuadro de credenciales que nunca aceptaba la contraseña correcta. A continuación encontrarás una guía completa para restaurar la conectividad, entender por qué ocurrió el cambio y adoptar prácticas de uso compartido más seguras a futuro.

Panorama del problema tras la actualización

Antes del cambio, dos equipos con Windows 11 –denominados aquí Servidor (el que aloja la carpeta) y Cliente (el que accede a ella)– funcionaban empleando el acceso invitado (guest) de SMB. Dicho acceso permite que cualquier usuario de la red local lea y escriba sin suministrar credenciales, siempre que:

• La carpeta esté compartida con permisos Control total para Everyone.
• El descubrimiento de red, el uso compartido de archivos/impresoras y el uso compartido de carpetas públicas estén habilitados.
• El uso compartido protegido por contraseña (Password Protected Sharing) esté desactivado.
• La directiva Enable insecure guest logons se encuentre activada en el equipo que comparte la carpeta.

Sin embargo, tras la última build, Microsoft endureció la seguridad de SMB e inhabilitó el rol de invitado de forma predeterminada en ambos extremos de la comunicación. Como solo el Servidor tenía la directiva habilitada, el Cliente rechazaba automáticamente la conexión anónima, generando la situación descrita.

Cómo diagnosticar la causa exacta

Revisar permisos en la carpeta

Aun cuando el cuadro de diálogo muestre “Control total” para Everyone, vale la pena confirmar que dicha entrada no haya sido removida o heredada incorrectamente durante la actualización.

Confirmar la configuración de descubrimiento y uso compartido

En Configuración → Red e Internet → Opciones de uso compartido avanzadas, verifica que las tres secciones aparezcan como “Activado”. Un cambio de perfil de red (p. ej., de Privado a Público) también provoca bloqueos.

Probar credenciales desde el cliente

Abre Ejecutar (Win + R), escribe \\SERVIDOR\Carpeta y observa si el sistema reclama usuario/contraseña. Si lo hace –y la contraseña correcta falla– es síntoma de que está abortando la autenticación guest.

Analizar el registro de eventos

Visita Visor de eventos → Registros de Windows → Seguridad y busca el Id. de evento 4625 (Account failed to log on). La subcategoría “NTLM” y el Status 0xC0000192 confirman que el invitado fue bloqueado.

La nueva directiva de “insecure guest logons”

El protocolo SMB 2/3 admite tres modalidades de autenticación:

1. NTLM o Kerberos con usuario y contraseña.
2. Firmas digitales obligatorias (SMB signing).
3. Invitado (guest/anonymous), donde no se envían credenciales.

A partir de los parches de febrero 2025, Windows 11 deshabilita la tercera opción a menos que el administrador lo permita explícitamente vía directiva de grupo (Gpedit.msc) o con el valor de registro AllowInsecureGuestAuth=1. Para que la conexión funcione, ambos equipos deben coincidir: habilitado–habilitado o deshabilitado–deshabilitado. Una configuración mixta provoca la denegación.

Procedimiento paso a paso para restablecer el acceso invitado

Importante: Aplica estos pasos solo en redes domésticas confiables. El acceso invitado expone todos los datos compartidos sin protección de contraseña.

1. En el Cliente abre gpedit.msc.
2. Navega hasta Equipo local → Computer Configuration → Administrative Templates → Network → Lanman Workstation.
3. Haz doble clic en Enable insecure guest logons y marca Enabled.
4. Opcional: confirma en el Editor del Registro que HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\AllowInsecureGuestAuth exista con valor 1.
5. Ejecuta gpupdate /force o reinicia el dispositivo.
6. Repite el proceso en el Servidor si no lo habías hecho antes.
7. En el Cliente, prueba nuevamente \\SERVIDOR\Carpeta. Si todo está correcto, la unidad abrirá de inmediato sin pedir credenciales.

Validaciones posteriores

Comprueba los siguientes puntos para garantizar que no queden cabos sueltos:

Elemento	Estado deseado	Comando / ubicación
Perfil de red	Privado	Configuración → Red e Internet
Directiva guest	Habilitada	Gpedit: Lanman Workstation
Registro AllowInsecureGuestAuth	1	Regedit
SMB1	Deshabilitado	Características de Windows
Cortafuegos	Reglas SMB habilitadas	Firewall de Windows

Recomendaciones de seguridad para un entorno doméstico

• Mantén esta solución solo el tiempo indispensable. El tráfico SMB sin autenticación puede ser interceptado fácilmente en redes Wi‑Fi comprometidas.
• Crea la misma cuenta de usuario local (con idéntica contraseña) en ambos equipos y comparte la carpeta con ese usuario. Activa el uso compartido protegido por contraseña para volver a NTLM/Kerberos.
• Conserva SMB1 totalmente desactivado. La directiva tratada afecta exclusivamente a SMB 2/3 y no implica reactivar el obsoleto SMB1.
• Documenta cada ajuste: tras futuras actualizaciones de Windows, revisa las directivas de SMB para evitar que un cambio silencioso interrumpa tu red.
• Si usas un NAS o un router con función de almacenamiento, revisa también sus políticas de invitado para alinearlas con Windows.

Alternativas sin invitados: cuentas y contraseñas

Para la mayoría de los hogares resulta igual de práctico –y mucho más seguro– utilizar cuentas autenticadas:

1. En el Servidor crea un usuario local, por ejemplo Compartido, con contraseña fuerte.
2. En Propiedades de la carpeta, pestaña Compartir, otorga Lectura/Escritura a ese usuario y quita Everyone.
3. Activa Password Protected Sharing en ambas máquinas (Panel de control → Centro de redes → Opciones de uso compartido avanzadas).
4. Al acceder desde el Cliente, introduce SERVIDOR\Compartido y la contraseña. Marca “Recordar credenciales” si lo deseas.

Este método cifra la autenticación, evita accesos accidentales y mantiene un registro claro de quién modificó qué archivo.

Preguntas frecuentes

¿Es necesario reiniciar ambos equipos?

No estrictamente: con gpupdate /force suele bastar. Sin embargo, reiniciar asegura que todas las sesiones SMB previas se cierren y los cambios surtan efecto.

¿Puedo limitar el invitado a solo lectura?

Sí. En la pestaña Seguridad de la carpeta quita los permisos de escritura para Everyone y deja solo “Lectura”. Ten en cuenta que aún así el acceso carece de autenticación.

¿Qué ocurre si también tengo dispositivos antiguos que solo hablan SMB1?

Lo más recomendable es migrar o reemplazar esos dispositivos. SMB1 contiene vulnerabilidades críticas que ya no se corrigen. Habilitarlo abre la puerta a exploits conocidos como EternalBlue.

Glosario rápido de términos

SMBServer Message Block, protocolo de compartición de archivos e impresoras en redes Windows. Invitado / GuestModo de acceso sin autenticación donde el nombre de usuario es Anonymous. Directiva de grupoConjunto de configuraciones avanzadas que los administradores pueden aplicar a Windows. NTLM / KerberosProtocolos de autenticación que emplean credenciales cifradas. BuildCompilación específica del sistema operativo distribuida por Microsoft.

Conclusión

El cambio de política de Microsoft refuerza la seguridad predeterminada de Windows 11, pero puede sorprender a quienes dependen del acceso invitado. Si necesitas restablecer urgentemente tus carpetas compartidas, habilita Enable insecure guest logons en clientes y servidores tal como se describe. No obstante, considera esta solución temporal y migra cuanto antes a un modelo autenticado con usuarios y contraseñas. Con ello obtendrás un entorno doméstico más robusto, predecible y preparado para futuras actualizaciones.