Estamos acostumbrados a pensar que Windows es algo así como una gran casa acogedora con muchas puertas y ninguna cerradura. Hay antivirus, UAC emite quejidos, y el resto depende de la suerte. ¿Pero qué pasaría si se pudiera reforzar la seguridad del sistema de modo que fuera realmente un objetivo difícil para los ataques? Sin magia, sin software de terceros y sin dolor. Eso es precisamente lo que hace el proyecto Harden-Windows-Security.
¿Qué es esto?
El proyecto fue creado por un usuario con el seudónimo HotCakeX, y no es un antivirus, ni un cortafuegos, ni siquiera algo interactivo. Es un conjunto de scripts y políticas de PowerShell que ayudan a endurecer (de forma estricta pero razonable) Windows — es decir, a reforzar su protección en todos los niveles: desde los ajustes básicos de Defender hasta desactivar Windows Script Host y la protección contra ransomware.
En resumen, es como tomar a un administrador del sistema paranoico, meterlo en la consola y pedirle que haga todo para que el sistema viva bajo el lema: «Confía, pero bloquea todo».
¿Qué hace exactamente el script?
El proyecto se divide en dos partes:
- Enable-Harden-Windows-Features.ps1 — activa funciones recomendadas de Windows que normalmente están desactivadas o no funcionan a pleno rendimiento. Por ejemplo:
- Defender Application Guard
- Exploit Protection
- Smart App Control (si está disponible)
- Credential Guard
- Aislamiento del núcleo (Core Isolation)
- Set-Strong-Windows-Defender-Settings.ps1 — cambia los parámetros de protección de Windows Defender a opciones más estrictas, incluyendo:
- Niveles máximos de heurística
- Activación de todos los módulos de protección en tiempo real
- Bloqueo de scripts, macros y archivos ejecutables sospechosos
Y eso no es todo: los scripts configuran la protección contra exploits, bloquean protocolos vulnerables, desactivan SMBv1, prohíben WSH e incluso ocultan herramientas del sistema como regedit y cmd. ¿Suena severo? Lo es. Pero eso es lo que se espera de una máquina «endurecida».
¿Cómo se ve en la práctica?
Aquí hay un ejemplo sencillo: ejecutas PowerShell con privilegios elevados, descargas el script, lo ejecutas — y Windows comienza la «limpieza». No hay aplicaciones de terceros, solo herramientas integradas y políticas de grupo.
Set-ExecutionPolicy Bypass -Scope Process -Force iwr -useb https://raw.githubusercontent.com/HotCakeX/Harden-Windows-Security/main/Enable-Harden-Windows-Features.ps1 | iex
Y de manera análoga — para el segundo script, el relacionado con Defender:
iwr -useb https://raw.githubusercontent.com/HotCakeX/Harden-Windows-Security/main/Set-Strong-Windows-Defender-Settings.ps1 | iex
Después de aplicar los cambios puedes reiniciar el sistema y sorprenderte de cuántas cosas quedan «prohibidas». Las utilidades de terceros dejarán de ejecutarse, cmd quedará deshabilitado, los scripts estarán bloqueados y Defender funcionará al máximo. En resumen, los virus no tendrán tiempo para aburrirse.
¿Y si algo se rompe?
El desarrollador también pensó en eso. Tiene un script de restauración separado (en el mismo repositorio) que revierte todo si sientes que te pasaste. Se puede deshacer configuraciones puntuales o revertir todo el endurecimiento.
Esto es especialmente útil si primero haces una copia del sistema o si usas el proyecto en un entorno corporativo de pruebas. Además, los scripts están totalmente comentados, por lo que es fácil entender qué se modifica.
¿Para qué sirve todo esto?
Las razones son varias:
- Seguridad para usuarios domésticos — si tienes un PC con información importante (documentos, fotos, billeteras de criptomonedas), una protección adicional no viene mal.
- Equipos en oficina — minimiza el riesgo de infección por unidades USB, documentos maliciosos y macros.
- Pruebas — permite ver en la práctica cómo se comporta Windows con configuraciones de seguridad agresivas.
- Aprendizaje acelerado — para administradores principiantes es una forma clara de aprender qué ajustes afectan a la seguridad.
Pros y contras
✅ Ventajas:
- Funciona sin instalar software de terceros
- PowerShell puro y API de Windows
- Es posible revertir todos los cambios
- Código bien estructurado, se puede adaptar a necesidades propias
❌ Inconvenientes:
- Algunas funciones pueden entrar en conflicto con software (especialmente corporativo)
- Un usuario sin preparación puede «encerrarse»
- Después de aplicar los cambios, parte de los scripts y programas dejará de funcionar (que, en realidad, era el objetivo)
Sobre el desarrollador
HotCakeX es un participante activo en las comunidades de Microsoft Edge, GitHub y Windows Insider. Ha creado varios proyectos útiles, incluidas utilidades para personalización, telemetría y privacidad. Harden-Windows-Security es uno de sus proyectos más maduros y mantenidos.
Conclusión: ¿vale la pena usarlo?
Si necesitas hacer que Windows sea lo más seguro posible sin instalar «200 antivirus», si no temes a PowerShell y estás dispuesto a cierto grado de incomodidad — sí, definitivamente. Este proyecto no hace milagros; simplemente activa de forma sensata todo lo que Microsoft ya incorporó, pero que por defecto suele estar apagado. Así debe ser un endurecimiento razonable: nativo, flexible y comprensible.
