Cómo actualizar firmas y plataforma de Windows Defender de forma manual

Hoy en día pasamos buena parte del tiempo delante del ordenador, ya sea trabajando, estudiando o simplemente disfrutando de contenido online. En cualquiera de esos escenarios, los riesgos de malware, virus y ataques dirigidos están siempre presentes, y dejar el equipo sin una protección actualizada es abrir la puerta a muchos problemas. Windows incluye su propia solución de seguridad, Microsoft Defender Antivirus (antes Windows Defender), que ofrece una protección muy competente siempre que la mantengamos al día.

En muchos casos las firmas y la plataforma de Microsoft Defender se actualizan solas sin que tengamos que tocar nada. Sin embargo, es bastante habitual que, por fallos de Windows Update, servidores sin acceso a Internet, imágenes de instalación antiguas o políticas mal configuradas, tengamos que actualizar Defender de forma manual. Aquí entra en juego conocer bien todos los métodos disponibles: desde Windows Update hasta la línea de comandos, pasando por paquetes offline y herramientas específicas para imágenes WIM y VHD.

Por qué es tan crítico actualizar manualmente las firmas de Microsoft Defender

Cuando instalas Windows desde cero, especialmente en entornos corporativos o servidores, las primeras horas son un momento delicado: las imágenes de instalación (WIM, VHD o VHDX) suelen llevar un motor y unas firmas de Defender muy antiguas. Hasta que el equipo descarga la primera actualización, hay una auténtica brecha de protección en la que un malware reciente puede colarse sin demasiada resistencia.

Microsoft recalca que estas actualizaciones no solo traen nuevas definiciones de virus, sino también correcciones de rendimiento y mejoras en la plataforma antimalware. Es decir, no solo detecta más amenazas, sino que lo hace de forma más eficiente, con menos impacto y mayor estabilidad. Esto aplica tanto si usas el antivirus integrado como si tienes otra solución de seguridad: muchas partes del sistema siguen dependiendo de la plataforma de Defender.

Para reducir al mínimo esa ventana de exposición, Microsoft recomienda actualizar las imágenes de instalación del sistema operativo cada tres meses. De este modo, cuando despliegas un nuevo equipo o servidor, ya sale de fábrica con un motor de Defender y unas firmas relativamente recientes, reduciendo la necesidad de descargar gigas de actualizaciones nada más arrancar.

En este contexto, aprender a actualizar a mano la inteligencia de seguridad, el motor y la plataforma de Defender no es un capricho, sino una tarea básica de administración que te evita riesgos y dolores de cabeza, tanto en PCs domésticos como en infraestructuras de servidor.

Versiones, motor, plataforma y tipos de actualizaciones de Defender

Microsoft Defender Antivirus se compone de varias piezas diferenciadas que se actualizan a ritmos distintos, y entenderlas ayuda mucho a saber qué estás tocando cuando actualizas “a mano”. Las más importantes son: plataforma, motor antimalware e inteligencia de seguridad (firmas).

Por un lado, la plataforma de Defender es el componente que define la arquitectura del antivirus en el sistema: servicios, procesos, integración con el kernel, etc. Microsoft la actualiza mensualmente mediante un paquete acumulativo, conocido como actualización de plataforma (por ejemplo, KB4052623). Estas actualizaciones incluyen nuevas funciones y cambios internos importantes.

En segundo lugar está el motor antimalware, responsable de analizar archivos, procesos y memoria, interpretar reglas y aplicar los patrones de detección. Suele actualizarse junto con las firmas y también tiene una cadencia aproximadamente mensual, aunque se incluye dentro de los paquetes de inteligencia de seguridad.

Por último, las actualizaciones de inteligencia de seguridad, también llamadas definiciones o firmas, son las que se publican con mayor frecuencia (varias veces al día en muchos casos). Son las que permiten identificar las amenazas más recientes. Defender, además, usa la protección en la nube (MAPS), que descarga actualizaciones dinámicas adicionales y analiza de forma online algunos elementos sospechosos para mejorar la detección en tiempo real.

En la documentación oficial puedes ver valores concretos, por ejemplo: plataforma 4.18.26020.6, motor 1.1.26020.1 e inteligencia de seguridad 1.445.323.0. Lo importante para ti, como usuario o administrador, es saber que si alguno de esos componentes se queda muy atrás respecto a las versiones actuales, tu protección será deficiente y puede que no recibas soporte completo por parte de Microsoft.

Mantenimiento de imágenes WIM y VHD con Defender actualizado

Cuando trabajas con despliegues empresariales, laboratorios o virtualización, lo normal es que uses imágenes WIM o discos VHD/VHDX para instalar o arrancar Windows. Si esas imágenes llevan un Defender desfasado, cada nuevo equipo arrancará con un hueco de seguridad considerable hasta que consiga actualizarse por red, algo que no siempre ocurre de inmediato.

Para evitar esto, Microsoft publica periódicamente un paquete de actualización antimalware para Microsoft Defender pensado específicamente para aplicar en estas imágenes de instalación. Este paquete puede actualizar el cliente de Defender, el motor y las firmas que van “incluidos” en la imagen del sistema operativo, de modo que cuando se despliegue, el equipo ya venga con una base bastante reciente.

Este paquete offline está disponible para varias arquitecturas: x86, x64 y ARM64. Cada una tiene su propio archivo con un tamaño aproximado de 121 MB (ARM64), 217 MB (x86) y 225 MB (x64). Se aplica sobre imágenes de Windows 10, Windows 11, Windows Server 2012 R2 y posteriores, e incluso Azure Stack HCI.

La idea es que, cada tres meses como máximo, descargues el paquete más reciente que corresponda con la arquitectura de la imagen y lo apliques con la herramienta de actualización que proporciona Microsoft. Así, acortas de forma drástica el tiempo que pasa un dispositivo recién instalado con una protección insuficiente, y facilitas que las siguientes actualizaciones de la nube sean más ligeras.

Herramienta DefenderUpdateWinImage.ps1 para actualizar imágenes offline

Para integrar estas actualizaciones en las imágenes de instalación se usa un script de PowerShell llamado DefenderUpdateWinImage.ps1. Este guion se apoya en DISM y en los módulos de seguridad de PowerShell para montar y modificar la imagen WIM o el VHD/VHDX y añadir los binarios de Defender actualizados.

Antes de ejecutarlo es imprescindible cumplir ciertos requisitos previos. Por un lado, debes estar en un sistema con Windows 10 de 64 bits o posterior, con PowerShell 5.1 o una versión más moderna. Es obligatorio tener instalados los módulos Microsoft.PowerShell.Security y DISM, ya que son los que permiten manipular la imagen del sistema y aplicar el paquete.

Además, tienes que abrir PowerShell con permisos de administrador. No vale con una ventana normal, porque el script necesita privilegios elevados para montar imágenes, inyectar paquetes y guardar los cambios. Si no lo haces, te encontrarás con errores de acceso denegado o fallos al montar el WIM.

La sintaxis básica para aplicar la actualización a una imagen es algo como:

PS C:\> DefenderUpdateWinImage.ps1 -WorkingDirectory <ruta> -ImageIndex <ImageIndexNumber> -Action AddUpdate -ImagePath <ruta_a_imagen_OS> -Package <ruta_paquete>

Si por cualquier motivo necesitas quitar o revertir esa actualización en la imagen, puedes usar:

PS C:\> DefenderUpdateWinImage.ps1 -WorkingDirectory <ruta> -Action RemoveUpdate -ImagePath <ruta_a_imagen_OS>

Y para comprobar qué versión de Defender está integrada ahora mismo en la imagen, el propio script permite listar los detalles:

PS C:\> DefenderUpdateWinImage.ps1 -WorkingDirectory <ruta> -Action ShowUpdate -ImagePath <ruta_a_imagen_OS>

Habilitar o reinstalar Microsoft Defender Antivirus en Windows Server

En el entorno servidor es bastante común encontrarse con Microsoft Defender deshabilitado por directiva de grupo, por registro o incluso desinstalado como característica de Windows, especialmente si en su día se usó otro antivirus de terceros. En estos casos, para poder actualizar firmas y plataforma de forma correcta, primero hay que devolver Defender a la vida.

El orden recomendado para Windows Server es el siguiente: instalar las últimas actualizaciones de la pila de mantenimiento, aplicar la actualización acumulativa más reciente, volver a habilitar o reinstalar Defender, reiniciar el sistema y, por último, instalar la última versión de la plataforma. Saltarse alguno de esos pasos puede dejar el antivirus a medias, sin capacidad de recibir actualizaciones.

Si Defender solo está deshabilitado (pero sus archivos siguen presentes), hay que asegurarse de que ninguna GPO o valor del registro lo mantenga apagado. Microsoft tiene una guía específica de solución de problemas para cuando se migra desde un antivirus de terceros y se quiere volver a usar Defender como motor principal.

En Windows Server 2016, en ciertas situaciones es necesario utilizar la opción -WdEnable de la herramienta de línea de comandos MpCmdRun para volver a activar el antivirus. Para ello, se abre un símbolo de sistema con permisos elevados (Ejecutar como administrador), se posiciona en la carpeta correcta de la plataforma instalada de Defender (en %ProgramData%\Microsoft\Windows Defender\Platform o en %ProgramFiles%\Windows Defender) y luego se ejecuta:

MpCmdRun.exe -WdEnable

Después de ejecutar este comando, es recomendable reiniciar el servidor para que los servicios de Defender arranquen en condiciones y puedan comenzar a recibir actualizaciones de motor y firmas.

Reinstalar la característica de Defender en servidores donde se eliminó

En otros entornos, especialmente con Windows Server 2016 y versiones posteriores, puede que no esté únicamente deshabilitado, sino que la característica de Windows Defender se haya desinstalado o eliminado de la imagen. En ese caso, no basta con habilitarlo por línea de comandos: hay que volver a agregar la característica desde DISM o desde el Administrador del servidor.

Si se han quitado también los archivos de instalación de la característica, primero es necesario configurar un origen de reparación (repair source) para Windows, de modo que DISM tenga un lugar desde el que extraer esos componentes. Microsoft tiene documentación específica para ello en “Configurar un origen de reparación de Windows”.

Una vez que el origen está listo, en un símbolo de sistema elevado en Windows Server 2016 se pueden usar estos comandos para volver a instalar todas las partes de Defender:

Dism /Online /Enable-Feature /FeatureName:Windows-Defender-Features
Dism /Online /Enable-Feature /FeatureName:Windows-Defender
Dism /Online /Enable-Feature /FeatureName:Windows-Defender-Gui

En versiones más modernas como Windows Server 1803, Windows Server 2019 o posteriores, suele bastar con:

Dism /Online /Enable-Feature /FeatureName:Windows-Defender

Tras realizar estos pasos, se reinicia el servidor y ya se puede seguir con el proceso habitual de actualizar la plataforma, el motor y las firmas, ya sea mediante Windows Update, WSUS o paquetes manuales.

Métodos para actualizar manualmente las firmas de Windows Defender en clientes

En equipos con Windows 10 y Windows 11, la forma “natural” de mantener al día las firmas de virus es a través de Windows Update, ya que Defender utiliza el mismo mecanismo de actualizaciones que el sistema operativo. Aun así, cuando algo falla o queremos forzar el proceso, tenemos varios métodos para lanzar la actualización manualmente.

La vía más directa es abrir la aplicación de Configuración (atajo Windows + I) y entrar en Actualización y seguridad (o en Privacidad y seguridad en Windows 11). Dentro, accedemos a Windows Update y pulsamos en “Buscar actualizaciones”. Si hay nuevas definiciones disponibles, se descargarán e instalarán junto con cualquier otra actualización pendiente.

Otra opción es hacerlo desde la propia interfaz de Seguridad de Windows. Tras ir a Configuración > Actualización y seguridad > Seguridad de Windows, hacemos clic en Protección contra virus y amenazas, bajamos hasta el apartado de actualizaciones de protección y usamos el botón de “Buscar actualizaciones” o “Comprobar actualizaciones”. Esto consulta directamente si hay nuevas firmas o motor para Defender e intenta aplicarlas al momento.

Muchos usuarios prefieren utilizar un método todavía más manual: la descarga del paquete offline de firmas de Microsoft Defender desde la web oficial de Microsoft. En la página de actualizaciones de inteligencia de seguridad, se ofrecen enlaces separados para distintas versiones y arquitecturas de Windows. Se trata de ejecutables que contienen las definiciones más recientes disponibles en el momento de la descarga.

El proceso es sencillo: se descarga el archivo que corresponde con tu edición de Windows, se ejecuta y el propio instalador actualiza la base de datos de virus y, si corresponde, el motor. Esto es muy útil en equipos sin acceso a Internet o con políticas de red muy restrictivas, porque puedes llevar la actualización en un USB desde un equipo conectado.

Uso de MpCmdRun para actualizar firmas y revertir versiones

Para entornos más avanzados o scripts de administración, Microsoft incluye en Defender una herramienta de línea de comandos llamada MpCmdRun.exe. Con ella, además de lanzar análisis, se pueden gestionar las actualizaciones de firmas y del motor, así como revertir versiones en caso de problemas.

Para utilizarla, hay que abrir un símbolo de sistema con permisos de administrador. El propio comando suele ejecutarse desde la carpeta de la plataforma más reciente instalada, por lo que muchas instrucciones empiezan con un bloque que posiciona el directorio de trabajo en esa ruta de forma automática.

Una vez situados en el directorio correcto, para forzar una actualización de firmas desde Internet se usa:

MpCmdRun.exe -SignatureUpdate

También puedes indicar una ruta UNC a un servidor de archivos donde hayas colocado un paquete de definiciones descargado previamente, por ejemplo:

MpCmdRun.exe -SignatureUpdate -UNC \\FileServer\ShareName

Si quieres que Defender obtenga firmas directamente desde los servidores de Microsoft Malware Protection Center, puedes emplear:

MpCmdRun.exe -SignatureUpdate -MMPC

Cuando una actualización de definiciones o motor causa fallos, existe la posibilidad de revertir a la versión anterior. Para volver a la versión previa o a la de bandeja de entrada de las firmas, se utiliza:

MpCmdRun.exe -RemoveDefinitions -All

Si el problema está en el motor y quieres regresar a la versión de motor anterior, el comando adecuado es:

MpCmdRun.exe -RemoveDefinitions -Engine

Y si únicamente quieres limpiar las actualizaciones de firmas dinámicas que se descargan desde la nube, se puede usar:

MpCmdRun.exe -RemoveDefinitions -DynamicSignatures

Cómo ver qué versión de firmas, motor y plataforma tienes instalada

Tener claro qué versión de Defender tienes instalada ayuda a saber si estás realmente al día o sigues con componentes en fase de soporte restringido. Windows guarda un historial de actualizaciones accesible desde la configuración del sistema.

En Windows 10 y Windows 11, puedes ir a Configuración > Actualización y seguridad (o Windows Update directamente) y pulsar en “Ver historial de actualizaciones”. Dentro encontrarás un apartado de “Actualizaciones de definiciones” donde se listan todas las firmas de Microsoft Defender que se han ido instalando, ordenadas por fecha.

Desde la propia Seguridad de Windows también puedes ver la información detallada. Abre la aplicación de Seguridad de Windows, entra en Protección contra virus y amenazas, y dentro del área de información o “Acerca de” verás la versión de inteligencia de seguridad, la versión del motor y la versión de la plataforma que están actualmente en uso.

Además, Microsoft publica tablas donde se detalla qué versión de plataforma y motor viene de serie con cada versión de Windows 10 (por ejemplo, 4.18.1909.6 para 20H1/20H2, 4.18.1902.5 para 1909, etc.). Estas versiones incluidas de fábrica suelen entrar en una fase de “soporte de actualización únicamente” cuando salen versiones más nuevas de la plataforma, por lo que conviene actualizar para recibir correcciones de seguridad y mejoras críticas.

En la página de “Actualizaciones de inteligencia de seguridad para Microsoft Defender Antivirus y otros antimalware de Microsoft” se listan, además, las versiones más recientes de las definiciones, del motor y de la plataforma, lo que te permite comparar fácilmente y saber si tus equipos están desfasados.

Compatibilidad, ciclo de soporte y actualizaciones de productos

La compatibilidad de Microsoft Defender con el ciclo de lanzamientos es bastante dinámica. Cada vez que se publica una nueva versión de la plataforma o del motor, las dos versiones anteriores (N-1 y N-2) pasan a una fase de “soporte de actualización solamente”. Eso significa que, si te quedas en esas versiones antiguas, únicamente recibirás ayuda para actualizar a una versión más reciente, pero no obtendrás nuevas correcciones de seguridad o parches no críticos para esa plataforma desfasada.

En la práctica, esto implica que es fundamental mantener los equipos siempre lo más cerca posible de la última versión de plataforma y motor. Si no lo haces y abres un caso de soporte con Microsoft por un problema de Defender, lo primero que te pedirán será actualizar a la versión actual o, como mínimo, a una versión intermedia compatible, antes de seguir investigando el incidente.

Este modelo de soporte también se aplica a los paquetes para DISM que Microsoft publica para imágenes de instalación con Defender integrado. Cuando sale un nuevo paquete, las dos versiones anteriores solo mantienen un soporte limitado, pensado principalmente para ayudarte a dar el salto a la nueva versión.

Por otro lado, aunque tengas una versión concreta de Windows 10 con una plataforma de Defender ya incluida de serie, la empresa continúa liberando actualizaciones de plataforma independientes que debes instalar para mantener la protección en buen estado. No basta con confiar en lo que viene “de fábrica” con la ISO original.

En resumen, el mensaje es claro: para estar totalmente cubierto y seguir dentro del ciclo de soporte, actualiza la plataforma, el motor y las firmas con regularidad, usando Windows Update, WSUS o los paquetes offline según tus necesidades.

Forzar la actualización de la plataforma Defender cuando Windows Update no responde

En algunos servidores y equipos, la plataforma de Defender puede quedarse clavada en una versión vieja que no se actualiza ni a tiros mediante Windows Update, ni siquiera cuando las definiciones sí se descargan con normalidad. Esto suele manifestarse, por ejemplo, cuando la herramienta MDEClientAnalyzer (usada para Microsoft Defender for Endpoint) avisa de que la plataforma no cumple los requisitos mínimos y la política antivirus no se aplica correctamente.

En esos escenarios hay varias cosas que revisar. Lo primero es asegurarte de que Microsoft Defender Antivirus está habilitado y correctamente instalado, tal y como hemos visto para Windows Server. Si la característica está ausente o deshabilitada, la actualización de plataforma no se aplicará porque el componente destino ni siquiera existe.

También conviene comprobar que Windows Update o WSUS no estén bloqueando específicamente las actualizaciones de plataforma. En algunas organizaciones se filtran los KB relacionados con Defender y solo se permiten definiciones, lo que provoca que el motor y la plataforma se queden congelados. Revisar las políticas y los grupos de actualización ayuda a detectar este tipo de bloqueos.

Si todo eso está correcto y aún así la plataforma sigue sin subir de versión, puedes optar por descargar manualmente el paquete de actualización de plataforma correspondiente (por ejemplo, el KB4052623 para tu versión de Windows) e instalarlo como cualquier otra actualización independiente. Este método suele desbloquear situaciones en las que Windows Update, por alguna razón, no lo hace solo.

En última instancia, si se trata de una imagen de servidor o de un entorno VHD, siempre tienes la posibilidad de actualizar la imagen de base con los paquetes DISM más recientes de Defender y desplegar a partir de ahí, de forma que los nuevos servidores ya nazcan con la plataforma actualizada y no dependan tanto de Windows Update en el primer arranque.

Actualizaciones automáticas, CMD y solución de problemas frecuentes

En un uso doméstico normal, lo habitual es que Windows Defender se actualice de forma automática y tú ni te enteres. Aun así, merece la pena comprobar que las opciones clave están activadas para evitar sorpresas. Dentro de Seguridad de Windows > Protección contra virus y amenazas > Administrar la configuración, conviene tener encendidas la protección en tiempo real, la protección en la nube y el envío automático de muestras.

Si sospechas que las actualizaciones no se están aplicando correctamente, uno de los primeros pasos típicos es simplemente reiniciar el PC. Aunque suene a tópico, muchos bloqueos temporales de servicios de actualización se resuelven al arrancar de nuevo. Tras el reinicio, intenta forzar otra vez la búsqueda de actualizaciones desde Windows Update o desde la propia interfaz de Defender.

Otra comprobación básica es revisar la conexión a Internet. Sin una red estable, Defender no puede descargar la inteligencia de seguridad ni comunicarse con los servidores de protección en la nube. Si hay cortes o si el equipo está tras un proxy mal configurado, las actualizaciones pueden fallar continuamente.

Cuando Windows Update da errores repetidos, tanto en las actualizaciones generales como en las de Defender, resulta útil ejecutar el solucionador de problemas de Windows Update. En Windows 10 se encuentra en Configuración > Actualización y seguridad > Solucionar problemas > Solucionadores de problemas adicionales > Windows Update. En Windows 11, el camino es Configuración > Sistema > Solucionar problemas > Otros solucionadores de problemas > Windows Update > Ejecutar.

Si incluso así sigue sin funcionar, puedes actualizar Windows completo de forma manual, buscando actualizaciones desde la sección Windows Update e instalando todo lo pendiente. En muchos casos, una actualización acumulativa o una nueva pila de mantenimiento corrige de paso los problemas de Defender.

En situaciones más complicadas se suele recurrir a reiniciar manualmente los componentes de Windows Update mediante comandos en el símbolo de sistema (detener servicios, renombrar las carpetas SoftwareDistribution y catroot2, volver a iniciar los servicios, etc.). Esto limpia cachés corruptas que pueden estar impidiendo la descarga de nuevas definiciones o de la plataforma.

Buenas prácticas adicionales de seguridad junto a Microsoft Defender

Aunque Microsoft Defender haya mejorado muchísimo y, bien actualizado, ofrezca un nivel de protección muy alto, complementar su uso con otras medidas de seguridad es una idea muy sensata, sobre todo si manejas información sensible o sueles instalar software con frecuencia.

Un primer truco sencillo es utilizar en el día a día una cuenta de usuario estándar en lugar de una cuenta de administrador. De esta forma, aunque un malware intente hacer cambios profundos en el sistema, se encontrará con una barrera adicional que requiere credenciales elevadas. Es una forma muy simple de reducir daños en caso de infección.

También puedes plantearte usar en el día a día un antivirus de terceros de confianza (como Bitdefender, Avast o Norton) si tienes necesidades muy específicas, aunque en muchos equipos domésticos con Defender bien configurado y al día suele ser suficiente. En cualquier caso, si instalas un antivirus adicional, vigila que no interfiera con las actualizaciones de Defender ni con su modo pasivo.

El cortafuegos de Windows es otro pilar importante: crea una barrera entre tu equipo y la red, filtrando conexiones entrantes y salientes. Mantenerlo activo y con reglas sensatas evita que ciertos tipos de malware puedan comunicarse libremente con servidores externos o con otros equipos de la red.

Por último, no está de más pensar en la recuperación de datos. Aunque tengas Defender y un buen antivirus, siempre existe el riesgo de que una infección acabe cifrando o borrando archivos. Utilizar copias de seguridad regulares y, si lo consideras necesario, herramientas de recuperación como las que ofrece el mercado (por ejemplo, Recoverit de Wondershare) puede marcar la diferencia entre perder información crítica o poder restaurarla.

Con todo lo anterior, se ve claro que mantener Defender actualizado manualmente cuando hace falta, conocer los distintos métodos para renovar firmas, motor y plataforma, y apoyarlo con buenas prácticas de seguridad y copias de seguridad periódicas, es la combinación que realmente te permite trabajar o navegar más tranquilo sin depender solo de que todo funcione en piloto automático.