Bloquear programas en Windows: guía total con políticas, firewall y apps

Última actualización: septiembre 17, 2025
Autor: PcHardwarePro
  • Combina políticas locales, AppLocker y Store para bloquear ejecución e instalación.
  • Refuerza la seguridad con bloqueo PUA y reglas del Firewall de Windows.
  • Completa con control parental, desinstalación limpia y apps de terceros fiables.

bloquear programas en windows

Cuando compartes equipo o simplemente quieres ordenar y proteger tu sistema, bloquear programas en Windows puede ahorrarte sustos: instalaciones no deseadas, niños jugando fuera de horario o apps que se conectan a Internet sin permiso. En esta guía práctica reunimos, en un único sitio, los métodos que mejores resultados dan hoy en Windows 10 y Windows 11.

Vas a encontrar desde reglas del Firewall de Windows, políticas locales y AppLocker, hasta el bloqueo de PUA (aplicaciones potencialmente no deseadas), control parental con Microsoft Family Safety, y utilidades de terceros. Además, te mostramos cómo limitar la instalación a Microsoft Store, impedir el uso de Windows Installer y resolver problemas con programas ya instalados.

Bloquear la ejecución de .exe con Directiva de grupo (Windows 11 y entornos Pro)

Este método te permite impedir que se inicien ejecutables concretos sin instalar nada extra, ideal para bloquear herramientas sensibles como el Editor del Registro o aplicaciones específicas en todos los usuarios del equipo.

Pasos rápidos para activar la regla «No ejecutar aplicaciones de Windows especificadas» en el Editor de directivas de grupo local: abre el menú Inicio, escribe gpedit.exe y entra.

  1. En la columna izquierda, ve a Configuración de usuario > Plantillas administrativas > Sistema.
  2. En el panel derecho, localiza No ejecutar aplicaciones de Windows especificadas (casi al final).
  3. Haz clic derecho en la política y pulsa Editar.
  4. Marca la opción Habilitada y, a continuación, pulsa el botón Mostrar de la lista de aplicaciones no permitidas.
  5. En la lista, añade los nombres de archivo que quieras bloquear, por ejemplo regedit.exe, setup.exe o el ejecutable de cualquier programa. Aplica y reinicia para que se apliquen los cambios en todas las cuentas.

Ten presente que aquí introduces únicamente el nombre del archivo .exe (sin ruta). Si no lo conoces, búscalo antes desde las propiedades del acceso directo o en la carpeta de instalación.

bloquear aplicaciones en windows

Bloquear aplicaciones potencialmente no deseadas (PUA) con Seguridad de Windows

Las PUA son software que ralentizan el equipo, meten publicidad o pueden colar instaladores más molestos; para reducir anuncios también puedes ver cómo bloquear ventanas emergentes de publicidad. Windows 10 (desde la actualización de mayo de 2020) y Windows 11 incluyen bloqueo de PUA mediante protección basada en reputación.

Para activarlo, entra en Inicio > Configuración > Actualización y seguridad > Seguridad de Windows > Aplicación y control del explorador > Configuración de protección basada en reputación.

Encontrarás un conmutador para activar el bloqueo y decidir si quieres frenar aplicaciones, descargas o ambas. La recomendación es mantenerlo activo y marcar las dos opciones.

  • Bloquear aplicaciones detecta PUA ya descargadas o instaladas (funciona aunque uses otro navegador).
  • Bloquear descargas actúa durante la descarga, pero solo con el nuevo Microsoft Edge.

Cuando Windows detecta una PUA, recibirás una notificación con acciones. Pulsa la alerta, ve a Protección contra virus y amenazas y selecciona la PUA para decidir si la eliminas, la pones en cuarentena o la permites. Termina con Acciones de inicio.

AppLocker y administración centralizada (Google Admin + Windows Management)

Si gestionas equipos Windows en una organización, puedes definir qué aplicaciones se pueden ejecutar añadiendo ajustes personalizados desde la consola de administración de Google. La política se escribe en XML y se sube como valor de un ajuste que apunta al proveedor CSP de AppLocker.

  ¿Qué formatos acepta pepakura?

Opción 1: Generar el XML con PowerShell

Este camino es perfecto si quieres controlar por editor, producto, binario y versión para EXE, MSI, scripts, DLL o apps de Store.

  1. Genera un GUID aleatorio con un generador de GUID online.
  2. Si vas a bloquear una aplicación concreta, obtén sus metadatos: descarga su .exe en un equipo Windows, abre PowerShell y ejecuta:
    Get-AppLockerFileInformation -path RutaDelExe | format-list
    Localiza la línea Publisher y anota el patrón NombreDeEditor\NombreDeProducto\NombreDeBinario,VersiónDeBinario. El editor tendrá forma O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US y debes copiarlo completo.
  3. Crea el esqueleto XML (usa comodines cuando proceda):
<RuleCollection Type="Tipo" EnforcementMode="Enabled">
  <FilePublisherRule Id="GUID" Name="NombreDeDirectiva" Description="Descripcion" UserOrGroupSid="SID" Action="Allow|Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="NombreDeEditor" BinaryName="NombreDeBinario" ProductName="NombreDeProducto">
        <BinaryVersionRange HighSection="VersionMasReciente" LowSection="VersionMasAntigua" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
</RuleCollection>

Guarda el archivo y prepara los valores clave: Type (Exe, Msi, Script, Dll o Appx), GUID, Name/Description, UserOrGroupSid (S-1-1-0 para todos, SID de usuario o grupo), Action (Allow o Deny) y los campos de editor/producto/binario. Se admiten comodines * en PublisherName, ProductName y BinaryName, pero no expresiones regulares.

Para obtener SIDs desde consola, puedes usar comandos como wmic useraccount get name,sid, wmic nombredeusuario get name,sid o wmic group get name,sid según necesites.

Opción 2: GUI (Editor de directivas de grupo)

También puedes crear una directiva en el editor de directivas de Windows y luego exportar el XML. Si la app no está instalada, usa la opción «Usar un instalador de aplicaciones empaquetadas como referencia». Tras exportar, elimina la directiva local para que no se aplique en el propio dispositivo y utilízala solo desde la gestión centralizada.

Paso 2: Subir el XML como configuración personalizada

En la consola de administración de Google, añade un ajuste personalizado que apunte al CSP de AppLocker y carga el XML como Cadena (XML).

  1. En el campo OMA-URI, empieza por ApplicationLaunchRestriction y elige el que corresponda: ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Agrupacion>/EXE/Policy, …/MSI/Policy, …/Script/Policy, …/DLL/Policy o …/AppStore/Policy.
  2. Sustituye <Agrupacion> por una cadena única para cada tipo (usa distintos valores para EXE y MSI, por ejemplo).
  3. Asigna un Nombre identificable, elige Cadena (XML), pulsa Subir XML y selecciona el archivo.
  4. Aplica a la unidad organizativa adecuada y guarda. Si un usuario intenta abrir una app bloqueada, verá un mensaje indicando que el administrador ha bloqueado la aplicación.

Ejemplos útiles de XML

Permitir solo aplicaciones firmadas (bloquear todas las sin firmar). Úsalo por tipo de archivo añadiendo un ajuste por cada RuleCollection (Exe, Msi, Script, Dll, Appx).

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id="GUID" Name="Permitir todas las aplicaciones firmadas" Description="Permite la ejecucion de apps firmadas" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
</RuleCollection>

Bloquear aplicaciones concretas añadiendo reglas Deny adicionales junto a la regla Allow general de firmadas. Cambia GUID y nombres por los reales de tus apps.

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id="GUID1" Name="Permitir firmadas" Description="Permitir apps firmadas" UserOrGroupSid="S-1-1-0" Action="Allow"> ... </FilePublisherRule>
  <FilePublisherRule Id="GUID2" Name="Bloquear aplicacion A" Description="Bloqueo A para todos" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id="GUID3" Name="Bloquear aplicacion B" Description="Bloqueo B para todos" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
</RuleCollection>

Bloquear aplicaciones incluidas en Windows desde la categoría Appx (Microsoft Store). Ejemplo: Windows Mail, aplicando el OMA-URI …/AppStore/Policy.

<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id="GUID1" Name="Permitir firmadas" Description="Permitir apps firmadas" UserOrGroupSid="S-1-1-0" Action="Allow"> ... </FilePublisherRule>
  <FilePublisherRule Id="GUID2" Name="Bloquear Windows Mail" Description="Bloquea Mail para todos" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
</RuleCollection>

Bloquear el acceso a Internet de un programa con el Firewall de Windows

El cortafuegos actúa como aduana de tu red: decide qué entra y qué sale. Si bloqueas la conexión de una app evitas actualizaciones inesperadas, juegos online sin supervisión o anuncios intrusivos; si necesitas una guía paso a paso, consulta cómo bloquear Internet en Windows 10.

  ¿Qué es la imagen ISO de Windows 10?

Guía para crear una regla de salida que corte Internet a un .exe concreto en Windows 10/11:

  1. Abre el Panel de control y entra en «Firewall de Windows».
  2. Haz clic en Configuración avanzada y luego en Reglas de salida.
  3. En el panel derecho, pulsa Nueva regla y elige Programa.
  4. Selecciona Esta ruta de acceso del programa y pulsa Examinar para elegir el ejecutable (o escribe la ruta, por ejemplo: C:\Archivos de programa\App\app.exe o C:\Archivos de programa (x86)\App\app.exe).
  5. Marca Bloquear la conexión, deja los perfiles predeterminados (Dominio/Privado/Público) y finaliza con un nombre descriptivo.

El bloqueo entra en vigor al instante. Puedes activar o desactivar la regla cuando necesites bloqueos temporales con clic derecho sobre ella en Reglas de salida.

Para permitir una app concreta a través del cortafuegos (lista blanca), ve a Firewall de Windows > Permitir una aplicación o característica, pulsa Cambiar la configuración y marca/desmarca Privada y/o Pública según convenga. Recuerda: las redes públicas no son recomendables para apps con información sensible.

Otras alternativas rápidas: activar Modo avión desde el Centro de actividades (corta todas las conexiones) o usar un cortafuegos de terceros si prefieres interfaces más simples o funciones extra; también puedes ver cómo bloquear anuncios emergentes en Windows 10. Ojo: bloquear Internet puede afectar al comportamiento de algunas apps.

Límites y control parental con Microsoft Family Safety

Microsoft Family Safety te ayuda a equilibrar el tiempo de pantalla poniendo límites a apps y juegos en Windows, Xbox y Android, sincronizados entre dispositivos.

Para limitar acceso web vinculado a apps/juegos desde el navegador: entra en family.microsoft.com, inicia sesión, elige al menor y plataforma (Windows/Xbox/Mobile), ve a Apps y juegos, selecciona el título y marca Bloquear sitios web relacionados. Si ves la app duplicada en varios dispositivos, ajusta cada instancia hasta que se procesen los datos.

Permitir solo apps de Microsoft Store y frenar instalaciones de desconocidos

Si compartes PC y temes instalaciones con malware, puedes limitar el origen de nuevas apps a Microsoft Store, donde pasan una revisión previa.

  1. Abre Inicio > Configuración y entra en Aplicaciones.
  2. En Aplicaciones y características, busca el menú Elige de dónde quieres obtener aplicaciones.
  3. Selecciona una opción: Solo Microsoft Store (recomendado), o variantes como «En cualquier lugar, pero avísame…» que permiten instalar avisando de riesgos o alternativas en la Store.

En algunas ediciones de Windows 10 solo verás dos opciones: Permitir solo las aplicaciones de la Tienda o Permitir apps de cualquier origen. Activa la que mejor encaje con tu caso. Con Store-only, cualquier instalación fuera de la tienda requerirá credenciales de administrador.

Impedir instalaciones con Directiva de grupo y Registro

Además de la Store, puedes bloquear la instalación a usuarios no administradores desde políticas o el Registro, útil en equipos compartidos.

  1. Abre Win+R, escribe gpedit.msc y pulsa Intro.
  2. Ve a Configuración del equipo > Plantillas administrativas > Componentes de Windows > Windows Installer.
  3. Abre Prohibir instalaciones de usuario y marca Habilitada. Desde ese momento, los no administradores no podrán instalar aplicaciones.

Si tu edición de Windows no tiene el editor de directivas, puedes desactivar Windows Installer tocando el Registro (haz copia de seguridad antes): abre regedit y navega a HKEY_LOCAL_MACHINE/Software/Classes/Msi.Package/DefaultIcon. Edita el valor predeterminado y cambia 0 por 1 para deshabilitar Windows Installer.

  Mejores quemadores ISO gratuitos para Windows 10/8/7

Resolver líos con programas ya instalados y desinstalar bien

Si te han colado programas o hay errores de instalación/actualización, el Solucionador de problemas de instalación y desinstalación de programas de Microsoft repara claves de registro, problemas de «Agregar o quitar programas» y bloqueos al instalar o quitar software.

Para desinstalar con limpieza tienes varias vías: desde Inicio (busca la app y «Desinstalar»), en Configuración > Aplicaciones > Aplicaciones y características (elige y «Desinstalar»), o en el Panel de control > Programas y características (clic derecho, «Desinstalar» o «Desinstalar/Cambiar»).

Aplicaciones de terceros para proteger o bloquear programas

Si necesitas poner contraseñas a apps o elevar la productividad, hay utilidades potentes y maduras; si prefieres métodos sin terceros, consulta cómo poner contraseña a carpeta. Valora siempre la reputación del software y guarda bien tu clave maestra en un gestor de contraseñas.

My Lockbox

Es una opción asequible para bloquear el acceso a programas y carpetas con contraseña. Incluye recuperación si pierdes la clave, interfaz en español, compatibilidad con versiones anteriores a Windows 11 y es muy sencilla para usuarios sin experiencia. Dispone de prueba gratuita; la versión completa ronda los 29,95 dólares.

Folder Guard

Más avanzada: además de proteger apps con contraseña, permite ocultar carpetas, bloquear unidades USB y restringir Panel de control. Tiene prueba gratuita; su licencia cuesta unos 49,95 dólares y permite instalar en hasta 2 equipos.

ExeLock

Especializada en ejecutables .exe: bloquea programas, carpetas y archivos, permite mensaje personalizado al intentar abrir una app, límite de intentos, caducidad y horarios. Interfaz potente (algo densa) y versión de prueba. Precios aproximados: 39,95 dólares (Professional) y 19,95 dólares (Basic).

Cold Turkey

Pensada para productividad: bloquea apps y páginas por horarios, con estadísticas para ver a qué dedicas el tiempo. Ideal para menores o para evitar distracciones en horario laboral.

Password Door

Bloquea el uso de aplicaciones bajo una contraseña maestra, permite perfiles por tipo de app y horarios. Añadir apps es tan fácil como pulsar «+» y seleccionar lo que quieres proteger.

VeraCrypt (enfoque distinto)

No bloquea apps como tal, pero puedes crear una unidad cifrada y instalar dentro los programas que quieres proteger. Al desmontar esa unidad, las apps quedan inaccesibles; al montarla introduciendo la contraseña maestra, vuelven a funcionar con normalidad.

Precauciones importantes al usar bloqueos

Bloquear apps afecta al uso diario, así que conviene revisar cada ajuste antes de aplicarlo. Una mala configuración de políticas o contraseñas puede dejarte fuera de tus propias herramientas.

Guarda la clave maestra en un sitio seguro (mejor un gestor de contraseñas) y descarga utilidades con trayectoria y buena reputación. Evita software dudoso que pueda traer malware oculto.

Apunte para quien también use macOS

Si usas Mac además de Windows, puedes gestionar qué apps aceptan conexiones entrantes desde Ajustes del Sistema > Red e Internet o Seguridad y privacidad > Firewall. Activa el firewall, entra en Opciones, añade apps con «+» y elige Permitir o Bloquear conexiones. Si bloqueas, algunas funciones pueden dejar de trabajar como esperas.

Con todas estas piezas encima de la mesa puedes diseñar una estrategia a tu medida: bloquear ejecución con políticas, restringir instalaciones, filtrar PUA, controlar Internet por firewall y, si hace falta, sumar contraseñas o discos cifrados. El objetivo es tener control sin complicarte la vida ni romper lo que necesitas cada día.

Artículo relacionado:
Cómo bloquear sitios web en PC y smartphones