Visión general

¿Qué es el Windows Protected Print Mode (WPP)?

El nuevo modelo de impresión sin controladores de Microsoft para Windows. Qué hace, a qué afecta, cuándo se activará por defecto y qué deben saber los equipos de TI antes de planificar en torno a él.

Definición del Windows Protected Print Mode

El Windows Protected Print Mode (WPP) es una característica de seguridad de Microsoft, introducida en Windows 11 versión 24H2 (octubre de 2024) y Windows Server 2025, que restringe la impresión a un modelo sin controladores basado en IPP. Cuando el WPP está activado, los controladores de impresión de terceros se eliminan del sistema y se bloquea la instalación de nuevos controladores. Solo las impresoras que utilizan el controlador de clase IPP de Microsoft, que se comunica con Mopria-impresoras certificadas funcionan de forma nativa. La característica forma parte del esfuerzo más amplio de Microsoft para reforzar la pila de impresión de Windows frente a vulnerabilidades como PrintNightmare.

A partir de mediados de 2026, el WPP estará desactivado por defecto en todas las versiones de Windows que lo soporten. Los usuarios con derechos de administrador local pueden activarlo a través de la Configuración de Windows. Los administradores de TI pueden habilitar o bloquear el WPP a través de la Directiva de grupo o el Registro de Windows. Microsoft ha declarado que el WPP se convertirá en la opción por defecto en 2027, aunque no se ha publicado una fecha concreta. La transición es gradual: el WPP se puede probar hoy, habilitar en ordenadores o grupos de usuarios específicos ahora, e implementar de forma generalizada antes de que llegue la fecha de activación por defecto.

Por qué Microsoft creó el WPP

Las vulnerabilidades del print spooler han sido un problema recurrente en Windows durante años. PrintNightmare (CVE-2021-34527) fue el ejemplo más conocido, pero fue una de una larga serie de explotaciones basadas en el print spooler. La causa raíz era la misma. Los controladores de impresión de terceros se ejecutan con privilegios elevados, y el print spooler de Windows tenía que confiar en el código del controlador de cada proveedor para poder funcionar.

El WPP cierra esa brecha eliminando por completo los controladores de terceros de la pila de impresión. La decisión también encaja con la dirección más amplia del sistema operativo Windows. Menos código de terceros con derechos elevados, más aislamiento, más componentes verificados. Características modernas como Smart App Control y la obsolescencia de ciertos controladores heredados apuntan en la misma dirección. El WPP es la versión de ese cambio aplicada a la impresión.

 

Cómo funciona

Cómo funciona el Windows Protected Print Mode (WPP)

La arquitectura es fundamentalmente diferente de la pila de impresión que Windows ha utilizado durante los últimos veinte años. Bajo el modelo tradicional, cada impresora necesitaba un controlador del proveedor instalado localmente en cada ordenador con Windows. El controlador traducía las impresiones en comandos específicos del dispositivo y se ejecutaba con privilegios elevados para hacerlo. Con WPP, cambian cuatro cosas.

Solo el controlador de clase IPP de Microsoft

El controlador de clase IPP se convierte en el único controlador de impresión que el sistema operativo cargará. Es un controlador genérico integrado en Windows que soporta el Protocolo de Impresión de Internet (IPP), un estándar abierto que la mayoría de las impresoras de red modernas ya implementan.

Solo el controlador de clase IPP de Microsoft

Los controladores V3 y V4 de terceros están bloqueados

V3 es el modelo de controlador más antiguo que fue el objetivo de PrintNightmare y muchas explotaciones similares. V4 es el modelo más nuevo que Microsoft introdujo con Windows 8. Ninguno de los dos se carga cuando el WPP está activado.
Los controladores V3 y V4 de terceros están bloqueados

Las funciones del fabricante se ejecutan mediante Print Support Apps

Las PSA (Print Support Apps) son aplicaciones UWP que se ejecutan en un entorno aislado y se distribuyen a través de la Microsoft Store. Se encargan de las opciones de acabado (grapado, perforado, plegado de folletos), los ajustes avanzados y otras capacidades específicas del proveedor sin tocar el print spooler. El controlador en sí no cambia. Las características opcionales se añaden en capas a través de la aplicación.
Las funciones del fabricante se ejecutan mediante Print Support Apps

La comunicación se realiza mediante IPP

El tráfico de impresiones se mueve mediante IPP, normalmente por el puerto TCP y UDP 631. La impresora debe ser accesible en ese puerto y los protocolos IPP o IPPS deben estar habilitados en el dispositivo (el nombre exacto del ajuste varía según el fabricante).
La comunicación se realiza mediante IPP

Lo que no hace WPP

Hay algunas cosas que aparecen repetidamente en las conversaciones sobre WPP y conviene aclararlas porque se malinterpretan con frecuencia.

WPP no es un sustituto de la gestión de impresiones empresarial. No ofrece Pull Printing, impresión follow‑me, autenticación de usuarios en el dispositivo, contabilidad, cuotas ni seguimiento de documentos. Esas son categorías de funcionalidad distintas.

WPP no cifra las impresiones de extremo a extremo. IPP admite IPPS (IPP sobre HTTPS) para el cifrado de transporte entre el equipo Windows y la impresora, pero eso es protección a nivel de transporte, no cifrado completo a nivel de documento.

WPP no proporciona una implementación centralizada de impresoras. Restringe cómo se pueden instalar las impresoras localmente en cada equipo Windows, pero no ofrece un plano de gestión central. Group Policy puede gestionar el propio WPP, aunque las opciones antiguas de implementación de impresoras de Group Policy (que dependían de la arquitectura tradicional de servidores de impresión) se ven afectadas por los cambios relacionados con WPP.

WPP no soluciona las vulnerabilidades del firmware de la impresora. La protección está en la capa de la pila de impresión de Windows. Si el firmware de una impresora tiene una vulnerabilidad, WPP no lo modifica.

Qué cambia

Qué cambia cuando activas WPP

El cambio es mayor de lo que su nombre sugiere. Una vez que WPP está activado, cambian seis cosas.

Todas las impresoras no IPP dejan de funcionar

Todo lo instalado mediante controladores V3 o V4 de terceros se descarga y deja de funcionar. Las colas de impresión existentes que dependían de esos controladores quedan inoperativas.

Todas las impresoras no IPP dejan de funcionar

Se bloquean las nuevas instalaciones de controladores

Point‑and‑print se deshabilita. Las instalaciones manuales mediante archivos INF o los instaladores del fabricante fallan. Group Policy no puede volver a habilitar la instalación de controladores.

Se bloquean las nuevas instalaciones de controladores

Se elimina la función Cliente de impresión por Internet

Es una función de Windows independiente de la que dependen algunas soluciones de impresión. Desactivar WPP más tarde no la reinstala automáticamente.

Se eliminan el XPS y el fax integrado

Ambas quedan en desuso con WPP y se desinstalan cuando la función se activa.

Se eliminan el XPS y el fax integrado

OneNote (Desktop) se reemplaza

La impresión estándar de OneNote se desinstala. En su lugar aparece una nueva impresora virtual "OneNote (Desktop) Protected virtual printer" en Windows 11 26100 o superior con la versión de la aplicación OneNote 2410 o posteriores.

Solo las impresoras certificadas por Mopria funcionan de forma nativa

Las impresoras antiguas y las de fabricantes que no se han certificado a través de Mopria no aparecen como destinos de impresión disponibles.

Requisitos y configuración de WPP

Requisitos para WPP

Para utilizar WPP, un entorno necesita:

  • Un sistema operativo compatible: Windows 11 versión 24H2 o posterior, o Windows Server 2025 o posterior.
  • Impresoras con certificación Mopria. La Mopria Alliance mantiene una lista pública de dispositivos certificados. La mayoría de las impresoras modernas de los principales fabricantes (Canon, HP, Epson, Brother, Lexmark, Ricoh, Toshiba, Xerox) incluyen la certificación Mopria, aunque la compatibilidad con las funciones varía. Las impresoras más antiguas y muchos dispositivos especiales (impresoras de etiquetas, plóteres, impresoras industriales) a menudo no tienen la certificación Mopria.
  • IPP e IPPS habilitados en la impresora. El nombre de la configuración varía según el fabricante.
  • Conectividad en la red en el puerto TCP 631. Las reglas del cortafuegos deben permitir el tráfico IPP entre el equipo Windows y la impresora. Si el entorno requiere impresión cifrada (IPPS), también debe estar abierto el puerto 443.
  • El controlador de clase IPP de Microsoft. Se instala por defecto con Windows. No se necesita descargar ningún controlador adicional.

Para las funciones específicas del fabricante más allá del conjunto estándar de IPP, el fabricante debe publicar una Print Support App en la Microsoft Store, y tú o tu organización deben instalarla.

Habilitar WPP

WPP se puede habilitar de tres maneras.

A través de la configuración de Windows: Configuración → Bluetooth y dispositivos → Impresoras y escáneres → desplázate hasta Preferencias de la impresora → Modo de impresión protegido de Windows → Configurar. Debes tener derechos de administrador local.

A través de la política de grupo: Configuración del equipo → Plantillas administrativas → Impresoras → Configurar la impresión protegida de Windows → Editar. La plantilla ADMX de la política de grupo para WPP está incluida en las versiones actuales de Windows 11 y Server 2025.

A través del registro: Las claves se encuentran en HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows NT\\Printers\\WPP. Establece el valor DWORD WindowsProtectedPrintModea 1 1 para habilitarlo.

Puede que sea necesario reiniciar el sistema para que el cambio surta pleno efecto, especialmente al eliminar colas de impresión TCP/IP existentes que no se limpian al cambiar la opción por primera vez.

Deshabilitar WPP

WPP se puede desactivar a través de las mismas tres vías, a la inversa. Deshabilitar WPP no deshace los cambios que se produjeron cuando se habilitó por primera vez.

⚠️ Los controladores eliminados no se reinstalan automáticamente. Las características de Windows eliminadas (cliente de impresión de Internet, XPS, fax integrado) no se restauran por sí solas. Las colas de impresión existentes que dependían de los controladores eliminados deben reconstruirse. Activar WPP es sencillo. Revertirlo de forma limpia es todo un proyecto.

ezeep y WPP

Cómo ezeep aborda WPP

El modelo de impresión sin controladores de ezeep, basado en el cloud rendering, se alinea con la dirección que Microsoft está tomando con Windows. La última ezeep App para Windows es una aplicación dedicada para Windows que permite asignar impresoras gestionadas por ezeep en los dispositivos de los usuarios incluso cuando WPP está activado. Usa el cloud rendering de ezeep, por lo que no se necesitan controladores locales. Los usuarios siguen imprimiendo en impresoras ezeep sin desactivar WPP, y el nivel de seguridad que el equipo de TI eligió se mantiene intacto.

Más información sobre la Print App de ezeep
print-from-windows
Artículos relacionados

Sumérgete en el mundo de ezeep

what-is-cloud-printing

¿Qué es la impresión en la nube?

Los fundamentos: qué es la impresión en la nube y qué reemplaza.

¿Qué es la impresión en la nube?
cloud-print-security

Seguridad de la impresión en la nube

Cómo eliminar los controladores mejora tu postura de seguridad.

Seguridad de la impresión en la nube
how-cloud-printing-works

Cómo funciona la impresión en la nube

La arquitectura completa: del dispositivo a la nube y a la impresora.

Cómo funciona la impresión en la nube

Preguntas frecuentes

¿Tienes curiosidad por saber cómo funciona todo? Aquí tienes todo lo que querías saber sobre la solución de impresión en la nube de ezeep.

¿Windows Protected Print Mode está activado por defecto?

No. A partir de mediados de 2026, WPP está desactivado por defecto en todas las versiones de Windows que lo soportan. Microsoft ha indicado que WPP se convertirá en la opción por defecto en 2027.

¿Puedo usar cualquier impresora con WPP?

No. Solo las impresoras Mopria-certificadas y accesibles a través del Microsoft IPP class driver funcionan de forma nativa. Las impresoras más antiguas y muchos dispositivos especializados (algunos plóteres, impresoras de etiquetas, dispositivos industriales) no están certificados por Mopria y no aparecerán como impresoras disponibles cuando WPP esté activado. La impresión básica suele funcionar en los modelos certificados; las funciones avanzadas a menudo requieren una Print Support App del fabricante.

¿Puedo revertir los cambios que hace WPP?

WPP se puede desactivar. Los cambios que provocó al activarse por primera vez (controladores eliminados, funciones de Windows deshabilitadas, colas de impresión borradas) no se revierten automáticamente. Cada componente eliminado debe reinstalarse o reconstruirse manualmente.

¿Reemplaza WPP a mi servidor de impresión?

No. WPP es una función de seguridad en equipos Windows que cambia cómo funciona la impresión en ordenadores Windows individuales. No es una plataforma de gestión de impresiones y no proporciona despliegue centralizado de impresoras, controles de usuario ni informes.

¿Se requiere WPP para el cumplimiento normativo?

WPP no es obligatorio en ningún marco de cumplimiento específico hoy en día. Es un enfoque para reducir el riesgo asociado a la pila de impresión. Otras arquitecturas (por ejemplo, la impresión con cloud rendering) abordan el mismo riesgo de forma diferente.

¿Sigue funcionando PostScript con WPP?

El Microsoft IPP class driver no genera una salida en PostScript. Genera PWG Raster, PCLm u otros formatos compatibles con IPP, dependiendo de lo que la impresora acepte. Los flujos de trabajo que dependían de una salida en PostScript deben ser reevaluados.

¿En qué se diferencia WPP de Universal Print?

WPP es una función de seguridad a nivel del sistema operativo Windows que restringe cómo funciona la impresión local en cada equipo con Windows. Universal Print es un servicio en la nube independiente de Microsoft que ofrece gestión de impresiones centralizada y una impresión en la nube basada en IPP. Ambos pueden usarse juntos, pero resuelven problemas distintos.

¿Afecta WPP a los clientes de Mac o Linux?

WPP es una función específica de Windows. Los clientes de Mac y Linux no se ven afectados directamente. Sin embargo, si los clientes de Mac o Linux imprimen a través de un servidor de impresión de Windows, los cambios en la pila de impresión de ese servidor (eliminación de controladores, reconstrucción de la cola de impresión) les afectarán indirectamente.

¿Funciona WPP con los servidores de impresión tradicionales?

WPP cambia la forma en que los equipos locales con Windows gestionan los controladores de impresora. Los servidores de impresión tradicionales que dependen de controladores V3 o V4 compartidos se ven afectados porque el cliente ya no puede cargar esos controladores. Algunos flujos de trabajo de despliegue de colas de impresión que dependen del modelo de controlador antiguo deberán ser rediseñados.

Back to top

¿Quieres impresiones que funcionen con WPP?

ezeep es gratis para hasta 10 usuarios. Configúralo en cuestión de minutos y comprueba cómo funciona el cloud rendering con cualquier configuración de Windows, incluida WPP.

ezeep-chart (1)