- Hotpatch aplica parches de seguridad en memoria, reduce reinicios y acelera el cumplimiento.
- El ciclo combina líneas base trimestrales (con reinicio) y meses intermedios de hotpatch.
- Se orquesta con Azure Update Manager y Azure Arc; VBS debe estar habilitado.
- Desde julio, servicio de suscripción por núcleo; las LCU gratuitas siguen disponibles.
En los entornos donde el servicio no puede caer ni un segundo, el hotpatching en Windows Server se ha convertido en una baza clave: permite aplicar parches de seguridad del sistema sin parar procesos ni reiniciar el equipo. Esta técnica actualiza el código cargado en memoria de los procesos que ya están ejecutándose, con lo que se aceleran las ventanas de mantenimiento y se reduce el impacto en la producción.
Más allá de la comodidad, esta capacidad aporta beneficios de seguridad y cumplimiento: paquetes más ligeros que se instalan antes, menor consumo de CPU y disco durante el ciclo de parcheo, y menos tiempo de exposición a vulnerabilidades. Con el soporte de Azure Update Manager y Azure Arc, la orquestación se integra en las operaciones existentes, reforzando la resiliencia del ecosistema Windows tanto en la nube como on‑premises.
Qué es el hotpatching y por qué importa
Hotpatch es una forma de mantenimiento que aplica correcciones al sistema operativo directamente en memoria. No necesita reiniciar servicios ni el servidor para que el parche entre en vigor en la mayoría de los casos, lo que se traduce en menos interrupciones y mayor continuidad de negocio. Esta idea no es nueva en Microsoft (ya llegó a Windows Server Azure Edition y otras plataformas), pero ahora se extiende a Windows Server 2025 y a escenarios conectados a Azure Arc.
Al no detener procesos, las aplicaciones siguen funcionando sin cortes mientras se corrigen fallos de seguridad. Los paquetes de hotpatch son más pequeños que las actualizaciones acumulativas tradicionales, por lo que ocupan menos ancho de banda y se despliegan con rapidez. En combinación con mecanismos de orquestación como Azure Update Manager, el equipo de IT puede aplicar los parches siguiendo principios de alta disponibilidad.
Este enfoque reduce el número de reinicios necesarios al año. En un ciclo normal, solo cuatro meses exigen reinicio (líneas base trimestrales) y el resto se resuelven con hotpatch. Cuando aparece un cero‑day u otro caso excepcional, puede liberarse una línea base no planificada que requiera reiniciar, sustituyendo a ese mes el lanzamiento de hotpatch.
Conviene tener claro el alcance: hotpatch cubre las actualizaciones de seguridad de Windows. No entran en el programa las actualizaciones no relacionadas con seguridad, los controladores, firmware o las actualizaciones de .NET. Para esas y para cada nueva línea base, tocará reiniciar con la periodicidad estipulada.
Plataformas compatibles y escenarios de despliegue
El soporte de hotpatch varía según el entorno. En Azure y Azure Local, existen imágenes concretas de Windows Server 2022/2025 Azure Edition que lo traen preparado. Usar la imagen adecuada es clave para disfrutar de la experiencia con el mínimo esfuerzo, especialmente si se busca automatizar a escala.
Para máquinas en Azure, estas combinaciones de editor, oferta y SKU dan soporte a hotpatch en Windows Server 2022 y 2025 (en Azure y en Azure Local si se crean con estas imágenes). Elegir el SKU correcto evita sorpresas en la orquestación:
| Publisher | Oferta | SKU |
|---|---|---|
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Core |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Core-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Hotpatch |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Hotpatch-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2025-Datacenter-Azure-Edition |
| MicrosoftWindowsServer | WindowsServer | 2025-Datacenter-Azure-Edition-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2025-Datacenter-Azure-Edition-Core |
| MicrosoftWindowsServer | WindowsServer | 2025-Datacenter-Azure-Edition-Core-smalldisk |
En sistemas conectados a Azure Arc (on‑premises o en otros clouds), Windows Server 2025 puede recibir hotpatch si se habilita la característica desde el portal de Arc y se gestiona con Azure Update Manager. En estos casos, es imprescindible cumplir los requisitos técnicos (especialmente VBS activo) para que el servicio ofrezca las actualizaciones sin reinicio.
Ciclo de lanzamiento: líneas base y meses de hotpatch
Hotpatch trabaja sobre una “línea base” que se refresca cada tres meses con la actualización acumulativa más reciente. Tras cada línea base llegan dos meses de parches en caliente. Por ejemplo: línea base en enero, hotpatch en febrero y marzo. Este patrón se repite en cuatro trimestres.
| Trimestre | Línea base (reinicio) | Hotpatch (sin reinicio) |
|---|---|---|
| 1 | Enero | Febrero y marzo |
| 2 | Abril | Mayo y junio |
| 3 | Julio | Agosto y septiembre |
| 4 | Octubre | Noviembre y diciembre |
Hay dos tipos de líneas base. Las planificadas siguen esta cadencia trimestral y traen todas las correcciones comparables a la actualización acumulativa del mes. Requieren reiniciar. Las no planificadas aparecen ante incidentes relevantes (como un cero‑day) que no se pueden abordar con hotpatch; en ese mes, sustituyen al lanzamiento en caliente y también implican reinicio.
Durante los meses de hotpatch, las actualizaciones de seguridad equivalen a las del canal normal de Windows Update, pero se aplican en memoria. La ausencia de reinicio no sacrifica ni rendimiento ni funcionalidad del propio parche. Eso sí, para mantenerse al día de cambios no de seguridad, es imprescindible instalar periódicamente las nuevas líneas base y reiniciar.
Quedan fuera del programa de hotpatch y, por tanto, obligan a reiniciar en los meses de parches en caliente: actualizaciones no de seguridad de Windows, parches de .NET y elementos ajenos a Windows (controladores, firmware, etc.).
Orquestación y herramientas de administración
Hotpatch se integra con Windows Update y con las herramientas habituales de gestión, aunque el flujo exacto depende de la plataforma. En Azure, las VMs creadas con una imagen compatible activan por defecto la aplicación de revisiones a los invitados y descargan e instalan automáticamente lo crítico y de seguridad, preferentemente en horas de menor actividad según la zona horaria del equipo.
Azure aplica un enfoque de alta disponibilidad, monitoriza el estado de la VM y detecta fallos en el proceso de parcheo mediante señales de la plataforma. En Azure Local y en Arc, la orquestación puede apoyarse en Azure Update Manager, así como en Directiva de Grupo, SCONFIG para Server Core o soluciones de terceros.
Para ver el estado de parcheo en una VM de Azure, basta con ir a Información general y entrar en Operaciones > Actualizaciones. Ahí aparecen las actualizaciones recomendadas, el estado hotpatch y, si procede, una lista de parches fuera de las categorías críticas o de seguridad que no se instalan automáticamente. Desde esa vista se puede Evaluar ahora y también iniciar una instalación bajo demanda, con la advertencia de que una aplicación manual puede no respetar los principios de disponibilidad y requerir reinicio.
En el propio servidor, puedes comprobar lo aplicado con PowerShell mediante el cmdlet Get-HotFix, y en equipos con Experiencia de escritorio dentro del menú Configuración. Es importante destacar que hotpatch no soporta reversión automática: si surge un problema, habrá que desinstalar el último hotpatch e instalar la última línea base funcional, lo que implica reiniciar.
Requisitos técnicos clave: VBS y consideraciones especiales
Para que hotpatch funcione, la seguridad basada en virtualización (VBS) debe estar activa. VBS crea un entorno aislado (“kernel seguro”) que permite aplicar actualizaciones en memoria de forma fiable. Puedes verificar su estado abriendo msinfo32.exe y consultando el campo “Seguridad basada en virtualización”.
Si necesitas habilitar VBS por directiva, una vía típica es establecer en el Registro la clave adecuada y reiniciar el servidor: Reg add "HKLM\SYSTEM\ControlSet001\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f. Tras el arranque, msinfo32 debería indicar “En ejecución” y el servidor estaría listo para la inscripción.
En dispositivos Arm64 que vayan a recibir hotpatch, hay que deshabilitar CHPE (Compiled Hybrid PE), ya que el mantenimiento de binarios CHPE no es compatible. Para ello, crea o ajusta esta clave de Registro DWORD y reinicia una sola vez: ruta HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management, valor HotPatchRestrictions=1. Si más tarde dejas de usar hotpatch, pon HotPatchRestrictions=0 y reinicia para volver a permitir CHPE.
Nota sobre diagnóstico: el Visor de eventos puede ayudarte a validar la política de hotpatch. Filtra por “AllowRebootlessUpdates” y revisa que figure como 1 en los datos de orquestación: {"Orchestrator":{"UpdatePolicy":{"Update/AllowRebootlessUpdates":true}}}. Asimismo, filtrar por “hotpatch” en los registros de aplicación te mostrará eventos del servicio de supervisión; si se detecta un error crítico, el sistema puede optar por instalar la LCU estándar para mantener la seguridad.
Hotpatch con Azure Arc y Update Manager (on‑prem y multicloud)
Los servidores Windows Server 2025 conectados a Azure Arc pueden inscribirse en hotpatch desde el portal. Azure Update Manager permite evaluar, programar e instalar los parches, respetando las clasificaciones y ventanas de mantenimiento definidas. Es esencial tener VBS habilitado y una conectividad estable hacia los servicios de Windows Update y Azure.
En el portal de Azure, dentro del recurso del servidor (Arc), verás la capacidad Hotpatching (preview). Confirma que VBS aparece como “On”, marca la casilla para licenciar el servidor para hotpatch mensuales y confirma. Desde ese momento, el equipo seguirá el ritmo: línea base trimestral con reinicio y meses intermedios con hotpatch sin reinicio.
Si gestionas servidores on‑premises, asegúrate de que la política de Windows Update local no entra en conflicto con la orquestación de Update Manager. La coexistencia de reinicios automáticos del cliente con una ventana de mantenimiento orquestada puede provocar resultados inesperados, como reinicios fuera de lo previsto.
En cuanto a los scripts pre/post, comprueba la configuración de tu plan de mantenimiento en Azure Update Manager y las capacidades disponibles para equipos Arc en tu suscripción/región. Si los parches se instalan por un evento fuera de la ventana del plan (por ejemplo, una línea base no planificada o una instalación manual), esas rutinas pueden no ejecutarse.
Windows 11, Autopatch y relación con Windows Server
En el lado cliente, Windows 11 Enterprise (24H2 o posterior) también incorpora hotpatch dentro de la política de actualización de calidad gestionada con Microsoft Intune. Para aprovecharlo, los dispositivos deben tener licencias compatibles (Windows 11 Enterprise E3/E5, Microsoft 365 F3, Educación A3/A5, Empresa Premium o Windows 365 Enterprise), VBS activo y estar en la línea base más reciente.
La activación se realiza desde el Centro de administración de Intune creando o editando una Directiva de actualización de calidad de Windows y ajustando la opción “Cuando esté disponible, aplicar sin reiniciar el dispositivo (Hotpatch)” a “Permitir”. Luego se asigna a los grupos de dispositivos deseados y se publica. El informe de calidad de hotpatch proporciona visibilidad por nivel de directiva del estado de actualización.
Para diagnosticar en Windows 11 y conocer el soporte de Windows 11: verifica VBS en Información del sistema, confirma en Configuración > Windows Update > Opciones avanzadas que aparece “Enable hotpatching when available” y consulta el Visor de eventos para “AllowRebootlessUpdates”. Si el servicio de supervisión detecta errores, el equipo puede instalar una LCU para garantizar que permanece protegido.
Recuerda que hotpatch no aplica actualizaciones de .NET ni controladores, y que las líneas base trimestrales siguen requiriendo reinicio. A cambio, el resto de meses se instalan hotpatches más rápidos y ligeros, con menos consumo de recursos y sin interrupción del usuario.
Seguridad y resiliencia en Windows Server 2025
Windows Server 2025 refuerza la base de Windows Server 2022 con mejoras en Zero Trust, cumplimiento y operaciones híbridas. La integración con Microsoft Entra ID posibilita MFA y acceso condicional, y en hardware compatible Credential Guard viene activo para proteger credenciales NTLM/Kerberos mediante virtualización.
Con Virtualization‑Based Security y servidores Secured‑core, las cargas sensibles se aíslan y HVCI bloquea controladores maliciosos a nivel de hipervisor. La telemetría se expone a Defender for Cloud para una visión de seguridad consolidada. En comunicaciones, se fortalecen LDAP sobre TLS 1.3 y los algoritmos de Kerberos, y el cliente DNS admite DoH (el rol de servidor DNS no ofrece DoH/DoT nativo).
En protección del endpoint, Microsoft Defender for Servers/Endpoint aporta detección, recomendaciones y análisis de vulnerabilidades. Puede adquirirse como servicio independiente de Azure (Defender for Cloud) para cargas Windows Server. Active Directory sigue siendo el núcleo de la identidad on‑premises, y OSConfig facilita la gestión masiva de configuraciones seguras con más de 300 ajustes predefinidos (CIS, DISA STIG y otros).
Acciones recomendadas: activar Credential Guard y VBS; gestionar actualizaciones con hotpatch vía Azure Arc en híbrido; implementar Defender for Servers; deshabilitar protocolos heredados y rotar contraseñas de cuentas de máquina en AD. En 2025, Windows Server refuerza la firma SMB, impulsa el bloqueo de NTLM y actualiza valores predeterminados de Kerberos.
Casos reales y situaciones a tener en cuenta
Puede ocurrir que, aun teniendo hotpatch habilitado, un servidor se reinicie tras una LCU. Si ves que equipos Windows Server 2025 (físicos o virtuales) conectados a Arc y gestionados con Azure Update Manager se reinician al instalar, por ejemplo, un “CU 2025‑3”, revisa si ese mes ha habido una línea base no planificada. En tal caso, el hotpatch de ese ciclo se sustituye y el reinicio es obligatorio.
Si además detectas que no se ejecutan scripts pre/post, valida que el despliegue se realizó dentro de una ventana de mantenimiento con dichas acciones configuradas y soportadas para Arc en tu región. Cuando la LCU se instala fuera del plan (instalación manual, corrección urgente o evaluación bajo demanda), las rutinas pueden no dispararse o no estar disponibles según el tipo de recurso.
Buenas prácticas para evitar sorpresas: unifica la orquestación en Azure Update Manager, deshabilita reinicios automáticos de Windows Update local que entren en conflicto, usa clasificaciones y exclusiones coherentes con tu SLA, y documenta qué meses son de línea base frente a meses de hotpatch. Controlar el calendario y las dependencias es la forma más efectiva de alinear expectativas con negocio.
Para comprobar estado en caliente, en el portal de Azure ve a Operaciones > Actualizaciones del servidor, ejecuta “Evaluar ahora” y revisa que la sección “Hotpatch” marque “Enabled”. En el propio equipo, “Historial de actualizaciones” identifica los parches que son hotpatch. Y, ante cualquier duda, Get-HotFix en PowerShell y los registros de eventos son tus aliados.
Coste, licenciamiento y cambios de modelo
Durante el periodo de vista previa, hotpatch ha estado disponible sin coste adicional en muchos escenarios. No obstante, Microsoft ha comunicado que pasará a modelo de suscripción: desde el 1 de julio de 2025, el precio será de 1,50 USD por núcleo de CPU al mes. Si gestionas un servidor de 16 núcleos, hablaríamos de 24 USD mensuales.
Si has probado hotpatch a través de Azure Arc, conviene decidir antes del 30 de junio de 2025: si no deseas el servicio de pago, anula la inscripción para evitar cargos automáticos. Ten presente que las actualizaciones estándar (LCU) seguirán existiendo sin coste, aunque con reinicio. Hotpatch no es obligatorio; es una inversión para entornos que no pueden detenerse.
Para prepararte: verifica el número de núcleos de cada servidor para estimar presupuesto, confirma que tu organización quiere asumir el gasto y revisa los procedimientos para desinscribir recursos en Arc llegado el caso. En sectores 24/7 (sanidad, pagos, comercio, industria) el retorno de inversión suele ser claro; en cargas menos críticas, quizá baste con el ciclo tradicional de LCU.
En paralelo a todo lo anterior, Microsoft ha reforzado su iniciativa de resiliencia tras incidentes masivos como los ocasionados por errores de terceros. Han anunciado capacidades como Quick Machine Recovery (QMR) para ayudar a restaurar equipos tras fallos críticos de arranque, aunque su disponibilidad general aún no es plena. El objetivo es claro: reducir la exposición, acelerar la recuperación y evitar el temido pantallazo negro o azul siempre que sea posible, sabiendo que hotpatch no resuelve por sí mismo errores de sistema de gravedad crítica.
Adoptar hotpatching en Windows Server 2025 implica conocer bien los requisitos (con VBS habilitado), comprender el calendario de líneas base y meses en caliente, y orquestar con herramientas como Azure Update Manager y Azure Arc para mantener el control. Con paquetes más pequeños, menos reinicios, mayor agilidad y un modelo de licenciamiento claro, es una pieza que encaja especialmente bien en infraestructuras críticas que necesitan disponibilidad continua, sin perder de vista que ciertos parches y las líneas base seguirán necesitando el reinicio planificado para mantener el sistema plenamente alineado con las actualizaciones acumulativas.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.