Carpeta inetpub Windows y su función de seguridad
Una carpeta vacía en la raíz de Windows suele despertar sospechas. Más aún si aparece después de una actualización y tiene un nombre que muchos usuarios asocian con servidores web. Eso ocurrió con inetpub: algunos la vieron en la unidad del sistema, no encontraron archivos dentro y la borraron pensando que era un resto innecesario.
En este caso, la apariencia engaña. La carpeta puede estar vacía y, aun así, formar parte de una mitigación de seguridad. No está ahí para que el usuario la use. Está ahí porque Windows espera que exista con permisos concretos.
No deberías haber borrado esta carpeta de Windows, aquí te mostramos cómo recuperarla.
Lo que conviene decidir antes de tocarla
- Microsoft crea intencionalmente la carpeta inetpub en la unidad de instalación de Windows.
- No debes eliminar la carpeta inetpub para proteger la seguridad de tu equipo.
- Si la eliminaste por error, puedes restaurarla con un script de PowerShell oficial.
La parte incómoda es que Windows no la explica cuando aparece. Simplemente queda ahí, visible, con un nombre técnico y sin contexto para el usuario. Esa falta de explicación es lo que convierte una mitigación legítima en una carpeta que muchos terminan tratando como basura del sistema.
Por qué inetpub apareció aunque nunca activaste IIS
La palabra inetpub no es nueva en Windows. Está vinculada a Internet Information Services, o IIS, el componente que permite hospedar sitios web y aplicaciones desde el sistema. Si IIS está activo, la carpeta puede contener subcarpetas como history, logs y temp.
Pero aquí está el matiz: después de las actualizaciones KB5055523 para Windows 11 y KB5055518 para Windows 10, inetpub empezó a aparecer también en equipos donde IIS no estaba habilitado. Por eso parecía un error.
La diferencia entre “carpeta de IIS” y “carpeta creada por una actualización de seguridad” es importante. En el primer caso, forma parte de un servicio web. En el segundo, actúa como pieza de una corrección relacionada con permisos, rutas y operaciones internas de Windows. Para el usuario se ve igual; para el sistema no cumple el mismo papel.
Microsoft aclaró el caso en el documento oficial de soporte KB5055523: al instalar la actualización, Windows crea una carpeta %systemdrive%\inetpub, incluso si IIS no está habilitado.
El motivo está relacionado con CVE-2025-21204. La vulnerabilidad afectaba al servicio de elevación de procesos de Windows y podía aprovechar enlaces simbólicos para manipular operaciones de administración de archivos dentro del Windows Servicing Stack. Dicho sin adornos: era un problema de confianza sobre qué rutas y permisos usa Windows al operar con archivos sensibles.
Por eso el detalle no es si la carpeta parece vacía. El detalle es quién la creó, dónde está y con qué permisos quedó.
La trampa de crear una inetpub nueva a mano
Si ya borraste la carpeta, crear otra con el mismo nombre parece una solución razonable. No lo es del todo.
Una carpeta llamada inetpub creada por el usuario no queda necesariamente con los mismos permisos que la carpeta generada por la actualización. Y en este caso los permisos no son un detalle secundario: son parte del motivo por el que existe.
Puedes comprobarlo desde el Explorador si añades la columna «Propietario». La carpeta creada por Microsoft aparece con propietario Sistema. Una carpeta hecha manualmente suele quedar asociada al usuario que la creó.
Si la carpeta sigue en la Papelera de Reciclaje, recuperarla desde ahí puede ser suficiente. Si no, hay dos rutas habituales: activar IIS o usar el script oficial. Activar IIS puede recrear la estructura, pero también añade componentes y subcarpetas propias de un servidor web. Para alguien que no usa IIS, es más ruido del necesario.
La opción más limpia es el script oficial de Microsoft, porque restaura la carpeta con los permisos adecuados sin obligarte a activar IIS completo.
Abre PowerShell como administrador y ejecuta:
Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass
Después instala el script:
Install-Script -Name Set-InetpubFolderAcl -ForceSi PowerShell pide instalar el proveedor NuGet, responde con Y y presiona Enter. Luego repite el comando de instalación.
Si aparece “Command Not Found” o el script no se llama correctamente desde la consola, ejecútalo con la ruta completa:
& "C:\Program Files\WindowsPowerShell\Scripts\Set-InetpubFolderAcl.ps1"Cuando termine, revisa la unidad donde está instalado Windows. La carpeta inetpub debería volver a estar ahí, ya no como una carpeta improvisada, sino con la configuración que la mitigación espera.
No hay mucho más que hacer con inetpub. No ocupa un espacio relevante, no exige mantenimiento y no significa que tengas un servidor web funcionando en segundo plano. Su función, en este contexto, es más silenciosa: estar presente donde Windows la necesita.
La lección es menos vistosa que el problema: en la raíz del sistema, una carpeta vacía no siempre es un residuo. A veces es una pieza de seguridad que no se entiende hasta que falta.
