Área de cliente
Usted quiere acceder a los archivos de su VPS Windows desde su PC como si fuera un disco externo: hacer una copia de seguridad, leer registros, compartir archivos entre colegas. La solución estándar en Windows se llama SMB (Server Message Block). Pero entre un VPS expuesto en Internet y su PC en casa, conectar SMB tal cual es un desastre de seguridad.
Esta guía explica cómo compartir una carpeta desde un VPS Windows y montarla en Windows, macOS y Linux - con 4 métodos clasificados por seguridad: SMB a través de VPN (recomendado), SMB a través de túnel SSH, SFTP, WebDAV. Saldrá con una configuración funcional, segura y adaptada a su sistema operativo cliente.
Por qué compartir una carpeta desde un VPS Windows
Algunos casos de uso comunes:
- Almacenar / recuperar copias de seguridad en el VPS como si fuera un NAS remoto.
- Acceder a los registros de una aplicación alojada sin tener que abrir una sesión RDP.
- Compartir archivos entre colegas a través de un VPS común.
- Centralizar medios (fotos, videos, documentos) accesibles desde múltiples estaciones de trabajo.
- Unidad de red para aplicaciones empresariales que apuntan a
\\servidor\carpeta.
La ventaja de un VPS sobre un NAS dedicado: accesible desde cualquier lugar (no solo la red local), por unos pocos euros al mes, y capaz de alojar otros servicios en paralelo.
⚠️ La trampa SMB en Internet - leer antes que nada
SMB nunca fue diseñado para Internet. El protocolo y su puerto 445/TCP son el objetivo número 1 de ataques masivos - desde 2017, es el vector principal de ransomware (WannaCry, NotPetya y sus herederos actuales).
Si abre el puerto 445 de su VPS directamente en Internet:
- miles de escaneos por día probarán contraseñas de Windows y CVE SMB conocidas (EternalBlue y variantes).
- Una sola vulnerabilidad no parcheada puede dar acceso completo de administrador.
- Los ransomware actuales cifran todos los archivos expuestos en cuestión de minutos.
Regla absoluta: nunca exponer el puerto 445 directamente en Internet. Siempre encapsular SMB en una VPN, un túnel SSH, o usar una alternativa cifrada (SFTP, WebDAV/HTTPS).
Los métodos a continuación son todos conformes a esta regla.
Tabla de decisiones - Qué método elegir
| Método | Seguridad | Rendimiento | Complejidad de configuración | Compatible | Recomendación |
|---|---|---|---|---|---|
| A. SMB + VPN WireGuard | ★★★★★ | ★★★★★ | Media (30 min) | Win/Mac/Linux | ⭐ Referencia |
| B. SMB + túnel SSH | ★★★★★ | ★★★ | Alta | Win/Mac/Linux | Si ya tiene SSH |
| C. SFTP | ★★★★★ | ★★★★ | Baja (10 min) | Win/Mac/Linux | ⭐ El más rápido |
| D. WebDAV HTTPS | ★★★★ | ★★★ | Media | Win/Mac/Linux | Integración HTTP |
| SMB directo puerto 445 | ☠️ | ★★★★★ | Baja | Win/Mac/Linux | NUNCA hacer |
Elección rápida:
- Usted quiere una unidad de red integrada como un NAS local → Método A (SMB + VPN)
- Usted solo quiere transferir archivos ocasionalmente → Método C (SFTP)
- Usted ya tiene acceso SSH al VPS → Método B (túnel SSH)
- Usted quiere acceso web desde cualquier navegador → Método D (WebDAV)
Método A - SMB a través de VPN WireGuard (referencia)
Principio: instalar WireGuard en el VPS, el PC se conecta a la VPN, el VPS se vuelve accesible a través de una IP privada (ej. 10.0.0.1). Luego se accede al recurso compartido SMB como en una LAN - pero invisible desde Internet.
A.1 - Instalar WireGuard en el VPS
Descargue WireGuard desde wireguard.com/install e instálelo en el VPS.
Generación de claves del servidor:
cd "C:\Program Files\WireGuard"
.\wg.exe genkey | Out-File -Encoding ascii server_private.key
Get-Content server_private.key | .\wg.exe pubkey | Out-File -Encoding ascii server_public.key
Crear C:\Program Files\WireGuard\Data\Configurations\wg0.conf:
[Interface]
PrivateKey = <contenido de server_private.key>
ListenPort = 51820
Address = 10.0.0.1/24
[Peer]
PublicKey = <clave pública del PC cliente>
AllowedIPs = 10.0.0.2/32
Inicie el túnel a través del cliente gráfico de WireGuard.
A.2 - Abrir el puerto WireGuard en el firewall
New-NetFirewallRule -DisplayName "WireGuard UDP 51820" `
-Direction Inbound -Protocol UDP -LocalPort 51820 -Action Allow
A.3 - Restringir SMB solo a la red VPN
Bloquee el puerto 445 en todas las interfaces excepto la VPN:
# Desactivar SMB en las interfaces de Internet
Set-NetFirewallProfile -Profile Public,Private -Enabled True
# Permitir SMB solo desde la subred VPN
New-NetFirewallRule -DisplayName "SMB via VPN only" `
-Direction Inbound -Protocol TCP -LocalPort 445 `
-RemoteAddress 10.0.0.0/24 -Action Allow
# Bloquear SMB desde cualquier otra fuente
New-NetFirewallRule -DisplayName "Block SMB from Internet" `
-Direction Inbound -Protocol TCP -LocalPort 445 `
-RemoteAddress Any -Action Block -Priority 1
A.4 - Instalar WireGuard en el PC cliente
Descargue el cliente WireGuard para Windows/macOS/Linux. Cree un túnel:
[Interface]
PrivateKey = <clave privada del cliente>
Address = 10.0.0.2/24
[Peer]
PublicKey = <clave pública del servidor>
Endpoint = <ip-publica-vps>:51820
AllowedIPs = 10.0.0.0/24 # solo enruta la VPN, no todo su tráfico
PersistentKeepalive = 25
Active el túnel. Verifique:
ping 10.0.0.1
A.5 - Acceder al recurso compartido
Abra el Explorador de Windows → escriba en la barra de direcciones:
\\10.0.0.1\Compartir
Ve el contenido de la carpeta compartida. Ingrese sus credenciales de Windows del VPS.
Ventaja principal: el puerto 445 del VPS permanece cerrado en Internet - invisible a los escaneos, inmunizado contra los ransomware SMB.
Método B - SMB a través de túnel SSH
Si ya tiene OpenSSH instalado en el VPS (desde Windows Server 2019, instalable como característica opcional), puede tunelizar SMB sobre SSH sin VPN.
B.1 - Instalar OpenSSH Server (si no lo ha hecho ya)
Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0
Start-Service sshd
Set-Service -Name sshd -StartupType Automatic
New-NetFirewallRule -Name sshd -DisplayName "OpenSSH Server" `
-Enabled True -Direction Inbound -Protocol TCP -Action Allow -LocalPort 22
B.2 - Establecer el túnel desde el PC cliente
En su PC (Windows 10/11, macOS, Linux):
ssh -L 4450:127.0.0.1:445 admin@<ip-vps>
Este comando redirige el puerto local 4450 al puerto 445 del VPS a través de SSH cifrado.
B.3 - Montar el recurso compartido localmente
En Windows:
net use Z: \\127.0.0.1\Compartir\port=4450
⚠️ Limitación de Windows: el cliente SMB de Windows no acepta fácilmente un puerto no estándar con
net use. Solución: usar direcciones de loopback o una herramienta como Tableau Network Drive (comercial). Más simple: use el método A (VPN).
B.4 - En Linux/macOS
sudo mount -t cifs //127.0.0.1/Compartir /mnt/vps -o port=4450,username=admin
Este método es elegante pero más complejo en Windows. Para un uso regular, prefiera el método A.
Método C - SFTP (el más simple y seguro)
SFTP es el protocolo de transferencia de archivos nativo de OpenSSH. Ninguna instalación pesada, cifrado completo, funciona con cualquier cliente (WinSCP, FileZilla, Cyberduck, Finder, Files Nautilus).
C.1 - Activar OpenSSH con SFTP en el VPS
Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0
Start-Service sshd
Set-Service -Name sshd -StartupType Automatic
New-NetFirewallRule -Name sshd -DisplayName "OpenSSH Server" `
-Enabled True -Direction Inbound -Protocol TCP -Action Allow -LocalPort 22
SFTP está habilitado por defecto una vez que OpenSSH está instalado. Ninguna configuración adicional.
C.2 - Restringir el acceso SSH por IP (recomendado)
Set-NetFirewallRule -DisplayName "OpenSSH Server" -RemoteAddress "<sus-ip-autorizadas>"
O cambie el puerto SSH por defecto para reducir el ruido de los escaneos.
C.3 - Lado cliente: configurar un cliente SFTP
- Windows: instale WinSCP (
winscp.net) - gratuito, interfaz de arrastrar y soltar. - macOS: Finder →
Cmd+K→sftp://<ip-vps>- integra el VPS como un volumen montado. - Linux: Files / Nautilus → Otros lugares → Conectar a un servidor →
sftp://<ip-vps>. - Cualquier SO: FileZilla (
filezilla-project.org) - gratuito, multiplataforma.
C.4 - Mapear SFTP como unidad de red en Windows
Para tener SFTP como un disco Z: en el Explorador de Windows:
- Instale SFTP Net Drive (gratuito) o
rclone mount(código abierto). - Configure la conexión hacia
sftp://<ip-vps>. - Elija la letra de unidad (
Z:).
La carpeta del VPS aparece como un disco local, accesible desde todas sus aplicaciones.
Ventajas de SFTP
- ✓ Cifrado de extremo a extremo (SSH).
- ✓ Autenticación por clave SSH (imposible de forzar).
- ✓ Multiplataforma nativa.
- ✓ Ningún puerto SMB expuesto.
- ✓ Mismos puertos que SSH = un solo puerto a abrir.
Método D - WebDAV a través de HTTPS
WebDAV extiende HTTP para permitir la lectura/escritura de archivos. Ventaja: utiliza el puerto 443 HTTPS, por lo que pasa en todas partes (empresas, hoteles, hotspots que bloquean SSH/VPN).
D.1 - Instalar el rol WebDAV en IIS
Install-WindowsFeature -Name Web-Server, Web-WebDAV-Publishing, Web-Basic-Auth `
-IncludeManagementTools
D.2 - Configurar el sitio IIS
A través del Administrador de IIS:
- Seleccione el sitio → Autenticación → active Autenticación básica.
- Vaya a Reglas de autorización de WebDAV → active WebDAV.
- Agregue una regla: usuarios autorizados, permisos de Lectura/Escritura.
D.3 - Forzar HTTPS
Instale un certificado (Let's Encrypt a través de win-acme por ejemplo) y configure el sitio solo en el puerto 443.
D.4 - Lado cliente
- Windows: Explorador → clic derecho Este PC → Conectar unidad de red →
https://su-dominio.com. - macOS: Finder →
Cmd+K→https://su-dominio.com. - Linux: paquete
davfs2, luegomount -t davfs https://su-dominio.com /mnt/dav.
Limitaciones de WebDAV
- Rendimiento inferior a SMB/SFTP.
- Bloqueo menos confiable (no usar para bases de datos o archivos concurrentes).
- Configuración de IIS más larga.
Lado VPS - Crear el recurso compartido SMB en detalle
Cualquiera que sea el método A o B elegido, debe crear un recurso compartido SMB en el VPS. Aquí están las dos formas: GUI y PowerShell.
Método GUI (gráfico)
- Crear la carpeta a compartir en el Explorador:
C:\Compartir. - Clic derecho en la carpeta → Propiedades → pestaña Compartir → Compartir avanzado.
- Marque Compartir esta carpeta.
- Haga clic en Permisos → agregue su usuario de Windows → marque Lectura/Escritura (Modificar + Control total según sea necesario).
- Haga clic en Cacheo → desmarque el cacheo fuera de línea si desea una reactividad en tiempo real.
Método PowerShell (rápido)
# Crear la carpeta
New-Item -Path "C:\Compartir" -ItemType Directory -Force
# Crear el recurso compartido SMB
New-SmbShare -Name "Compartir" `
-Path "C:\Compartir" `
-FullAccess "DOMINIO\SuCuenta" `
-Description "Recurso compartido de usuario OuiHeberg"
# Verificar
Get-SmbShare -Name "Compartir" | Format-List
Variantes útiles
# Recurso compartido oculto (el nombre no aparece en el vecindario de red)
New-SmbShare -Name "Compartir$" -Path "C:\Compartir" -FullAccess "SuCuenta"
# Recurso compartido de solo lectura
New-SmbShare -Name "CompartirRO" -Path "C:\Compartir" -ReadAccess "Todos"
# Activar el cifrado SMB en el recurso compartido (Windows Server 2019+)
Set-SmbShare -Name "Compartir" -EncryptData $true -Force
Activar el cifrado SMB global (recomendado)
Set-SmbServerConfiguration -EncryptData $true -Force
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force
Set-SmbServerConfiguration -EnableSMB2Protocol $true -Force
- SMB1 desactivado = protección contra EternalBlue.
- EncryptData = incluso a través de VPN, el contenido permanece cifrado de extremo a extremo.
Lado cliente - Montar el recurso compartido
En Windows 10 / 11
Método 1 - Explorador:
- Abrir el Explorador de archivos.
- Clic derecho en Este PC → Conectar unidad de red.
- Letra de unidad:
Z:. - Carpeta:
\\10.0.0.1\Compartir(IP del VPS a través de VPN). - Marque Volver a conectar al iniciar sesión y Conectar usando otras credenciales.
- Ingrese la cuenta de Windows del VPS.
Método 2 - PowerShell:
# Mapeo temporal
New-PSDrive -Name "Z" -PSProvider FileSystem -Root "\\10.0.0.1\Compartir" -Credential (Get-Credential)
# Mapeo persistente después del reinicio
New-PSDrive -Name "Z" -PSProvider FileSystem -Root "\\10.0.0.1\Compartir" `
-Credential (Get-Credential) -Persist
Método 3 - net use:
net use Z: \\10.0.0.1\Compartir /user:SuCuenta SuContraseña /persistent:yes
En macOS
- Finder → Ir → Conectar al servidor (o
Cmd + K). - Ingrese:
smb://10.0.0.1/Compartir. - Haga clic en Conectar, ingrese las credenciales.
- El recurso compartido aparece en la barra lateral del Finder.
Para montaje automático al inicio:
- Preferencias del Sistema → Usuarios y grupos → pestaña Elementos de inicio de sesión.
- Agregar el volumen montado.
En Linux (Ubuntu / Debian)
Instalar cifs-utils:
sudo apt update
sudo apt install cifs-utils
Crear el punto de montaje:
sudo mkdir /mnt/vps-compartido
Montar manualmente:
sudo mount -t cifs //10.0.0.1/Compartir /mnt/vps-compartido \
-o username=SuCuenta,password=SuContraseña,uid=$(id -u),gid=$(id -g)
Para un montaje automático al inicio, crear un archivo de credenciales:
sudo bash -c 'cat > /root/.smbcredentials << EOF
username=SuCuenta
password=SuContraseña
EOF'
sudo chmod 600 /root/.smbcredentials
Luego agregar a /etc/fstab:
//10.0.0.1/Compartir /mnt/vps-compartido cifs credentials=/root/.smbcredentials,uid=1000,gid=1000,iocharset=utf8,_netdev 0 0
Probar sin reiniciar: sudo mount -a.
Permisos NTFS + permisos de compartición: la regla que causa confusión
Dos capas de permisos se aplican a un recurso compartido SMB:
- Permisos de compartición (SMB Share) - se aplican únicamente a los accesos de red.
- Permisos NTFS - se aplican siempre (local + red).
Regla de cálculo: el permiso efectivo es el más restrictivo de los dos.
| Permisos de compartición | Permisos NTFS | Resultado efectivo |
|---|---|---|
| Lectura | Lectura/Escritura | Lectura |
| Lectura/Escritura | Lectura | Lectura |
| Control total | Modificación | Modificación |
| Control total | Control total | Control total |
Buena práctica recomendada:
- Permisos de compartición: Control total para Usuarios autenticados.
- Permisos NTFS: granulares (por cuenta o por grupo), es ahí donde realmente gestiona la seguridad.
# Permisos NTFS a través de PowerShell
$acl = Get-Acl "C:\Compartir"
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule(
"SuCuenta", "Modify", "ContainerInherit,ObjectInherit", "None", "Allow"
)
$acl.SetAccessRule($rule)
Set-Acl "C:\Compartir" $acl
Solución de problemas
« Acceso denegado » a pesar de los permisos correctos
Causa: conflicto entre permisos de compartición y NTFS, o caché de credenciales de Windows.
Solución:
net use * /delete /y # purgar todos los mapeos en caché
cmdkey /list # ver las credenciales almacenadas
cmdkey /delete:<nombre> # eliminar una credencial obsoleta
« La ruta de red no se encontró »
Causa: sin conectividad al VPS, o nombre no resuelto.
Solución: haga ping a la IP del VPS a través de VPN. Si el ping funciona pero no SMB, verifique:
- Puerto 445 abierto en el firewall del VPS para el rango VPN.
- Servicio LanmanServer iniciado:
Get-Service LanmanServer.
Extrema lentitud en lectura/escritura
Causas posibles:
- Desajuste de MTU en la VPN - agregue
MTU = 1280en la configuración de WireGuard. - Antivirus en el cliente que escanea todo el tráfico SMB.
- SMB1 habilitado (siempre deshabilitar):
Set-SmbServerConfiguration -EnableSMB1Protocol $false. - Cifrado habilitado sin aceleración de hardware en un VPS antiguo: use el túnel VPN que ya cifra, y desactive
EncryptData.
El recurso compartido desaparece después de reiniciar el VPS
Get-SmbShare -Name "Compartir"
# Si no está presente, el recurso compartido no se creó en modo persistente
Recrear con New-SmbShare (los recursos compartidos creados por PowerShell son persistentes por defecto, a menos que haya utilizado un script que los recrea en cada arranque - verifique el Programador de tareas).
Error « STATUS_USER_SESSION_DELETED » (0xC0000203)
Causa: la sesión SMB se ha perdido (desconexión VPN, timeout de red).
Solución:
# Lado del cliente, aumentar el tiempo de espera SMB
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" `
-Name "SessTimeout" -Value 600
« El usuario está bloqueado »
Causa : política de bloqueo activada por demasiados intentos fallidos (ver nuestra guía de fuerza bruta RDP).
Solución : desbloquear a través de net user SuCuenta /active:yes o esperar el final del bloqueo (30 min por defecto).
FAQ - Compartir y montar una carpeta VPS Windows
¿Puedo compartir una carpeta de mi VPS Windows directamente en Internet? Técnicamente sí, pero es extremadamente peligroso. El puerto SMB 445 es el principal objetivo de los ransomware desde 2017 (WannaCry, NotPetya). Nunca lo haga: siempre encapsule SMB en un VPN (método A) o use SFTP (método C).
¿Cuál es el comando para crear un recurso compartido SMB en PowerShell? New-SmbShare -Name "Compartir" -Path "C:\Compartir" -FullAccess "SuCuenta". El recurso compartido está disponible de inmediato y es persistente entre reinicios.
¿Cómo montar una carpeta VPS en Mac? En el Finder, haga Cmd + K y luego escriba smb://<ip-vps>/Compartir (a través de VPN) o sftp://<ip-vps> para SFTP. Ingrese sus credenciales. La carpeta aparecerá en la barra lateral como un volumen montado.
¿SMB o SFTP: cuál elegir para un VPS? SFTP si solo desea transferir o consultar archivos ocasionalmente - más simple, más seguro por defecto. SMB a través de VPN si desea una unidad de red permanente montada como un disco local para aplicaciones que apuntan a una ruta UNC.
¿Por qué mi VPS es lento en SMB a través de VPN? Las principales causas: (1) MTU mal configurada en el VPN - establezca MTU = 1280 en WireGuard; (2) cifrado SMB combinado con cifrado VPN - desactive EncryptData del recurso compartido si el VPN ya cifra; (3) antivirus cliente que escanea todo el tráfico. En una buena conexión, debería obtener entre 80 y 100 Mbits/s en SMB a través de WireGuard.
¿Es necesario desactivar SMB1 en un VPS? Sí, absolutamente. SMB1 es explotado por EternalBlue (la vulnerabilidad que originó WannaCry). Comando: Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force. Ningún cliente moderno necesita SMB1.
¿Mi recurso compartido de Windows es accesible desde Linux? Sí, a través de cifs-utils (paquete cifs-utils en Debian/Ubuntu, samba-client en Fedora). Comando: sudo mount -t cifs //ip/compartir /mnt/punto -o username=X,password=Y. Para un montaje automático al inicio, configure /etc/fstab con la opción _netdev.
¿Cuál es la diferencia entre permisos NTFS y permisos de compartición? Permisos de compartición = acceso solo a través de la red. Permisos NTFS = acceso en todas las circunstancias (local + red). El permiso efectivo es el más restrictivo de los dos. Buena práctica: poner permisos de compartición en «Control total» y gestionar la seguridad real a través de los permisos NTFS.
¿Se puede usar WebDAV en lugar de SMB? Sí, y es útil si está en una red que bloquea los puertos SSH/VPN (hoteles, empresas). WebDAV pasa por HTTPS (puerto 443) por lo que pasa en todas partes. Sin embargo, el rendimiento es inferior al de SMB/SFTP y el bloqueo es menos confiable - a evitar para bases de datos o archivos concurrentes.
¿Cómo compartir una carpeta VPS con varios usuarios en solo lectura? New-SmbShare -Name "CompartirRO" -Path "C:\Compartir" -ReadAccess "Usuarios". Luego configure los permisos NTFS de la carpeta para limitar quién ve qué dentro. Es la capa NTFS la que proporciona la seguridad fina, no el recurso compartido SMB.
Conclusión
Compartir una carpeta desde un VPS Windows a una PC se resume en elegir entre SMB encapsulado (a través de VPN o SSH) para una unidad de red permanente, o SFTP para transferencias puntuales cifradas. La regla absoluta a seguir: nunca exponer el puerto 445 directamente en Internet - es la principal causa de ransomware en los VPS Windows desde 2017.
Con una configuración WireGuard + SMB cifrado, obtiene un NAS remoto accesible desde Windows, macOS y Linux, con un rendimiento nativo (80-100 Mbits/s típicos) y una seguridad equivalente a un recurso compartido LAN.
¿Está buscando un VPS Windows adecuado para alojar un recurso compartido de archivos remoto? Los VPS Windows de OuiHeberg incluyen SSD NVMe para un rendimiento óptimo en SMB, acceso RDP inmediato, y VPN WireGuard preinstalable opcional, soporte 7 días a la semana basado en Francia.