Tras las recientes actualizaciones de Windows, muchos administradores y usuarios detectaron la carpeta inetpub en la raíz de la unidad C. Este suceso generó un auténtico revuelo, obligando a Microsoft a publicar una solución oficial para restaurarla si fue eliminada: un script oficial para restaurar la carpeta inetpub.
El tema es el siguiente: aunque para muchos la carpeta inetpub no tiene sentido fuera de un servidor web, su desaparición puede exponer al sistema a vulnerabilidades de seguridad severas. Sin embargo, la falta de comunicación de Microsoft al implementarla en equipos donde ni siquiera está instalado IIS (Internet Information Services) ha sido uno de los grandes detonantes de la confusión y el posterior caos: usuarios que la borraron de inmediato, dudas sobre su autenticidad y preguntas sobre sus implicaciones reales para la seguridad de Windows.
¿Por qué aparece la carpeta inetpub tras las actualizaciones de Windows?
La carpeta inetpub lleva décadas siendo el directorio predilecto de los archivos y recursos de IIS, el famoso servidor web integrado en Windows. Sin embargo, la sorpresa vino cuando, a raíz de los parches de seguridad lanzados en abril de 2025, esta carpeta empezó a aparecer incluso en sistemas donde IIS nunca se había activado.
Lo más desconcertante: la carpeta suele estar vacía y, para la gran mayoría, no muestra utilidad alguna. El parche correspondiente (por ejemplo KB5055523) provocó su creación automática, haciendo pensar a muchos que era el resultado de una actualización errónea, un residuo innecesario o —en el peor de los casos— un indicio de un problema de seguridad no documentado.
¿Por qué ocurre esto? Microsoft introdujo la carpeta inetpub como parte de su estrategia para mitigar la mencionada vulnerabilidad, relacionada con la gestión inadecuada de enlaces simbólicos en la pila de Windows Update. La presencia de inetpub (con los permisos correctos) es clave para que el sistema esté protegido frente a posibles escaladas de privilegios.
La ausencia total de información oficial en las notas de la actualización alimentó la bola de nieve: muchos optaron por eliminar la carpeta por considerar que era inocua, lo que, de hecho, podría dejar su sistema desprotegido ante intentos de explotación de la vulnerabilidad subsanada.
¿Es seguro borrar inetpub? ¿Para qué sirve realmente?
La respuesta más directa es que no se debe borrar la carpeta inetpub, aunque tu sistema no tenga IIS activado ni lo uses para alojar sitios web. Microsoft ha sido tajante al respecto en sus últimas comunicaciones: la carpeta y su configuración son parte de los cambios introducidos para reforzar la seguridad del sistema operativo.
La clave del asunto es la vulnerabilidad CVE-2025-21204, que afecta a la forma en que Windows Update gestiona enlaces simbólicos. Un atacante local, con permisos limitados, podría manipular el sistema mediante estos enlaces y llegar a ejecutar acciones críticas como SYSTEM —algo que la creación de la carpeta inetpub (y las listas de control de acceso asociadas, o ACLs) ayuda a mitigar.
Eliminar inetpub puede revertir el efecto del parche de seguridad, dejando el equipo expuesto.
Qué ocurre si se borra por accidente y por qué NO basta con volver a crearla manualmente
Eliminar la carpeta inetpub no suele ocasionar fallos inmediatos. De hecho, puede que el sistema siga funcionando con normalidad en apariencia. Sin embargo, a la hora de instalar futuras actualizaciones o ante intentos de explotación de la vulnerabilidad tapada por el parche, el sistema podría quedar desprotegido.
Algunos expertos y la documentación oficial han advertido que, si simplemente se crea una nueva carpeta inetpub, el sistema no reconocerá los permisos y propietarios correctos. El sistema necesita una configuración específica de ACLs para que la carpeta cumpla su función. De lo contrario, se podría incluso bloquear la instalación de futuros parches o provocar errores de acceso.
Además, existen pruebas de que un usuario sin privilegios de administrador podría abusar de la ausencia (o de una configuración incorrecta) de inetpub para sabotear las actualizaciones o modificar archivos sensibles, elevando así el riesgo operativo del servidor o equipo afectado.
La solución de Microsoft: cómo restaurar inetpub con el script oficial
Consciente del desconcierto y los problemas generados, Microsoft finalmente ha publicado un script de PowerShell oficial para restaurar la carpeta inetpub y asegurar que vuelve a tener las ACL y la configuración de permisos adecuada, sin necesidad de activar IIS (lo que reduce la instalación de componentes innecesarios en sistemas donde no se necesita un servidor web).
Para los administradores y usuarios avanzados, esto representa una solución sencilla, rápida y alineada con las mejores prácticas de seguridad:
- El script crea la carpeta inetpub en C: si falta, y aplica los permisos específicos requeridos para blindar el sistema frente a la vulnerabilidad CVE-2025-21204.
- Actualiza, si es necesario, las listas de control de acceso (ACL) de otras carpetas asociadas como DeviceHealthAttestation en servidores Windows.
- No es necesario reinstalar IIS ni realizar configuraciones adicionales: la acción es inmediata y reversible en caso de error.
El procedimiento recomendado sería el siguiente:
- Abrir PowerShell como administrador.
- Permitir la ejecución de scripts temporales mediante:
Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass - Instalar el script oficial con:
Install-Script -Name Set-InetpubFolderAcl -Force - Si PowerShell solicita instalar el proveedor NuGet, acepta y repite el comando.
- Ejecutar el script descargado con:
Set-InetpubFolderAcl
Si no reconoce el comando, se puede ejecutar indicando la ruta completa al archivo .ps1 generado (normalmente en C:\Program Files\WindowsPowerShell\Scripts\Set-InetpubFolderAcl.ps1).
¿Qué hacer si no quiero instalar IIS y sólo necesito inetpub?
Mucha gente, tras leer las primeras indicaciones de Microsoft, pensó que reinstalar IIS era la única solución. El problema es que, para quienes no trabajan con servidores web, esto significa instalar componentes innecesarios y dejar archivos extra en el sistema.
La ventaja del script oficial es precisamente que permite restaurar inetpub sin tener que proceder a instalar IIS y sus dependencias. Esto resulta más seguro, más rápido y más limpio, sobre todo en ordenadores de usuarios o servidores que no necesitan servicios web activos.
Si, por el contrario, prefieres hacerlo manualmente con la activación de IIS (Panel de control > Características de Windows > Activar o desactivar funciones de Windows), el sistema también crea la carpeta y aplica sus permisos, pero añade otros servicios que luego deberás retirar si no los necesitas.
¿Qué otras implicaciones tiene inetpub para la ciberseguridad?
Una mala gestión de esta carpeta puede tener efectos inesperados. Por ejemplo, expertos han demostrado que usuarios sin privilegios elevados pueden crear conexiones simbólicas (junctions) entre inetpub y otros archivos del sistema, aprovechando la configuración defectuosa para bloquear instalaciones de actualizaciones o incluso provocar daños en los archivos sensibles.
Esto significa que, a pesar de que parezca sólo ‘una carpeta vacía’, en realidad actúa como un punto de control de seguridad y su inexistencia o mala configuración puede suponer un riesgo elevado para todo el equipo.
De ahí la importancia de no eliminarla ‘por si acaso’ y de seguir pasos oficiales para su restauración en caso de que haya desaparecido.
La experiencia con inetpub demuestra cómo un simple directorio puede marcar la diferencia entre un sistema protegido y uno vulnerable, y cómo la reacción de la comunidad y las soluciones automatizadas cobran importancia cuando la comunicación institucional falla. Aplicar el script oficial ayuda a restaurar el estado del sistema, pero también resalta la importancia de entender la función de cada componente en la seguridad de Windows.