Guía avanzada: control total de Windows Update con wuauclt y usoclient

Si necesitas controlar con precisión cómo y cuándo se descargan e instalan las actualizaciones de Windows, existen varias rutas: la interfaz gráfica de Windows Update, los comandos clásicos (wuauclt y usoclient) y la potencia de PowerShell. Cada vía aporta ventajas, límites y matices de seguridad que conviene conocer antes de automatizar nada en equipos personales o flotas corporativas.

En esta guía vas a encontrar una explicación detallada, con ejemplos y advertencias, para usar usoclient en Windows 10/11, wuauclt en Windows 7/8.1, el módulo PSWindowsUpdate en PowerShell, así como tácticas para programar tareas, manejar WSUS mediante directivas y resolver errores comunes. Todo ello con foco en el control granular, sin perder de vista la recomendación oficial de Microsoft: priorizar siempre que sea posible el uso de Windows Update.

Qué son wuauclt y usoclient, y cuándo usar cada uno

Durante años, el cliente de línea de comandos para gestionar Windows Update fue WUAUCLT (Windows Update Automatic Update Client). Este binario funcionó plenamente hasta Windows 7 y Windows Server 2012 R2, pero en Windows 10 y Server 2016 quedó deprecado en favor del nuevo USO Client (usoclient.exe), que forma parte del sistema de orquestación de actualizaciones de las versiones modernas.

La regla práctica es sencilla: en Windows 10 y Windows 11 utiliza usoclient, y en Windows 7/8.1 utiliza wuauclt. Aun así, en entornos actuales la opción más flexible y escalable es PowerShell con el módulo PSWindowsUpdate, que permite escribir scripts, filtrar por KB, registrar reportes y gestionar equipos remotos.

Ten en cuenta que varios comandos requieren privilegios elevados. Ejecuta siempre CMD o PowerShell “como Administrador” o verás errores de permisos, operaciones que no arrancan o acciones bloqueadas por políticas.

Comandos usoclient en Windows 10 y 11

El binario usoclient.exe vive en %windir%\System32 y es el responsable de tareas como el escaneo, la descarga y la instalación bajo el paraguas del servicio de orquestación de actualizaciones. Desde una consola CMD o PowerShell elevada, puedes invocar:

• UsoClient startscan — inicia la detección de actualizaciones.
• UsoClient startdownload — comienza la descarga de parches.
• UsoClient startinstall — lanza la instalación de lo descargado.
• UsoClient RefreshSettings — recarga la configuración si ha habido cambios.
• UsoClient RestartDevice — reinicia el equipo para completar instalaciones.
• UsoClient ScanInstallWait — escanea, descarga e instala en un único paso.

Estos comandos se suelen ejecutar en orden lógico, esperando a que acabe cada fase antes de pasar a la siguiente. ScanInstallWait resulta muy útil para procesos manuales rápidos porque encadena todo. Si notas que “no pasa nada” salvo que se refresca la interfaz de Windows Update, no te asustes: USO Client delega tareas en el servicio de orquestación y puede que algunas fases se gestionen de manera asíncrona o condicionadas por políticas.

Si obtienes un error, revisa la ortografía exacta del subcomando y que la consola esté elevada. A menudo el problema es una mayúscula o un espacio fuera de lugar, o que la sesión no tiene permisos de administrador.

Forzar actualizaciones en Windows 7 y 8.1 con wuauclt

En sistemas anteriores, los equivalentes prácticos son:

• wuauclt /detectnow — busca actualizaciones.
• wuauclt /updatenow — descarga e instala lo pendiente.
• wuauclt /detectnow /updatenow — encadena detección y actualización.
• wuauclt /resetauthorization — restablece la autorización del cliente.
• wuauclt /reportnow — reporta el estado al servidor WSUS (si aplica).

Conviene lanzarlos secuencialmente (detección → descarga/instalación) y, cuando termine, reinicia si te lo pide el sistema para completar cambios. Dicho esto, es crítico subrayar que Windows 7 agotó soporte en enero de 2020 y Windows 8.1 en enero de 2023; por tanto, aunque ejecutes estos comandos, no recibirás nuevas actualizaciones de seguridad. Úsalos solo en laboratorios o entornos aislados y bajo tu responsabilidad.

PowerShell: PSWindowsUpdate para control fino

Para administradores y power users, PowerShell ofrece el mejor equilibrio entre automatización, filtros granulares y posibilidades de ejecución remota. El módulo recomendado es PSWindowsUpdate, disponible en el PowerShell Gallery e integrado con Windows 10/11 y Windows Server modernos.

Instalación básica del módulo (requiere consola elevada):

Install-Module PSWindowsUpdate

En ocasiones se solicitarán dependencias; acepta las preguntas para completar la instalación. Después, importa el módulo:

Import-Module PSWindowsUpdate

Para usar Microsoft Update (incluye Office y otros productos), añade el servicio:

Add-WUServiceManager -ServiceID 7971f918-a847-4430-9279-4a52d1efe18d

Lista de cmdlets disponibles en el módulo:

Get-Command -Module PSWindowsUpdate

Existen dos familias de nombres según la versión del módulo; verás comandos como Get-WindowsUpdate / Install-WindowsUpdate y también Get-WUInstall / Invoke-WUInstall. Ambas conviven mediante alias. Ejemplos clave:

• Ver actualizaciones disponibles: Get-WindowsUpdate o Get-WUInstall -ListOnly.
• Instalar todo lo disponible: Get-WindowsUpdate -Install o Get-WUInstall -AcceptAll.
• Instalar y reiniciar si es necesario: Get-WindowsUpdate -Install -AcceptAll -AutoReboot.
• Comprobar si se requiere reinicio: Get-WURebootStatus.

Si quieres actuar por KB concreto, filtra por ID de artículo:

Get-WindowsUpdate -KBArticleID KB2267602,KB4533002 -Install

Para ocultar una actualización específica y que el sistema la ignore:

Hide-WindowsUpdate -KBArticleID KB5002324

Si lo que buscas es evitar que se instalen ciertos KB al aplicar un lote general:

Install-WindowsUpdate -NotKBArticle "KB5002324, KB5002325" -AcceptAll

Para ver lo instalado y su historial, tira de:

Get-Hotfix

Más allá de lo básico, el módulo brilla en escenarios de flota: gestión remota de equipos, generación de informes, notificaciones por email, programación y cumplimiento. Estas capacidades facilitan la vida a MSPs y departamentos de TI:

• Gestión remota: orquesta instalaciones en múltiples equipos con sesiones remotas de PowerShell.
• Automatización: combina con el Programador de tareas para ventanas de mantenimiento.
• Informes y avisos: registra resultados y envía notificaciones de estado.
• Cumplimiento: crea reportes de compliance para auditorías y dirección.

Política de ejecución: seguridad antes y después

PowerShell incorpora políticas para controlar qué scripts pueden ejecutarse. De fábrica, Get-ExecutionPolicy suele devolver Restricted, lo que bloquea scripts y algunos módulos recién instalados. Si recibes errores al importar o ejecutar PSWindowsUpdate, puede que necesites relajar temporalmente la política:

Set-ExecutionPolicy Unrestricted

Tras completar las tareas, es esencial restaurar una configuración segura. RemoteSigned es la recomendación habitual, permitiendo scripts locales y exigiendo firma a los descargados de Internet:

Set-ExecutionPolicy RemoteSigned

Verifica el cambio con Get-ExecutionPolicy. Recuerda que dejar Unrestricted de forma permanente no es buena idea, especialmente en equipos con usuarios sin privilegios o con hábitos de descarga poco cuidadosos.

Automatizar con el Programador de tareas

Si quieres que las máquinas se actualicen solas en ventanas concretas, crea una tarea programada que llame a PowerShell. En taskschd.msc, elige “Crear tarea”, marca “Ejecutar con los privilegios más altos” y define el desencadenador (diario, semanal, al iniciar, etc.). En “Acciones” apunta a:

Programa o script: powershell.exe
Argumentos: -Command "Install-WindowsUpdate -AcceptAll -AutoReboot"

En “Condiciones” puedes forzar que solo corra si hay conectividad a Internet. Esta receta descarga e instala todo lo pendiente y reinicia de forma automática si es necesario, lo que encaja muy bien en mantenimientos periódicos.

WSUS: Directiva de grupo, plantillas y registro del cliente

En redes empresariales, WSUS reduce consumo de ancho de banda y centraliza el control. La forma recomendada de configurarlo es con GPO en Active Directory para apuntar los equipos al servidor WSUS y definir el comportamiento de Actualizaciones automáticas.

Pasos habituales en el GPMC (editor de objetos de Directiva de grupo): carga de plantillas, configuración de Windows Update y orientación al WSUS de intranet. Aunque hoy se usan ADMX, la documentación clásica menciona wuau.adm como plantilla administrativa.

Configurar “Configurar actualizaciones automáticas” permite elegir entre notificar, descargar automáticamente y programar instalaciones. También es clave “Especificar la ubicación del servicio Windows Update de la intranet”, donde introduces la URL del WSUS, por ejemplo http://NombreDeServidor en ambos cuadros (servicio de detección y servidor de estadísticas).

Tras aplicar la GPO, espera el ciclo de actualización (aprox. 90 minutos con desplazamiento aleatorio) o aceléralo con gpupdate /force. Para iniciar la detección manual en el cliente, lanza:

wuauclt.exe /detectnow

Si un equipo no aparece en WSUS o no se registra correctamente, prueba esta secuencia en el cliente con privilegios elevados: gpupdate /force → wuauclt /detectnow → y si persiste, wuauclt /resetauthorization /detectnow. Esto fuerza al cliente a reautenticarse y comunicarse con WSUS.

Además, WSUS ofrece filtrado por productos y clasificaciones. Desde PowerShell (en el servidor WSUS) puedes listar productos (Get-WSUSProduct), clasificaciones (Get-WSUSClassification), sincronizar con Microsoft Update (Set-WSUSServerSynchronization -SyncFromMU -Confirm) y consultar actualizaciones (Get-WSUSUpdate). Con ese enfoque puedes, por ejemplo, distribuir solo actualizaciones de seguridad.

No olvides los prerrequisitos del rol: .NET Framework, IIS y (opcionalmente) SQL Server. WSUS permite trabajar sin salida directa a Internet en topologías específicas y administrar grupos para distintos anillos de aprobación.

Solución de problemas: reparar, desinstalar y diagnosticar

Si Windows Update falla descargando o aplicando parches, puede haber corrupción en componentes. Repara la imagen del sistema con DISM y vuelve a intentar:

dism.exe /Online /Cleanup-image /Restorehealth

Para desinstalar una actualización problemática cuando conoces el KB, usa el instalador independiente de Windows Update (wusa):

wusa /uninstall /KB:1234567

Si desconoces el identificador, lista lo instalado con:

Get-Hotfix

Recuerda que muchas operaciones requieren reiniciar. Y si trabajas con WSUS y ves equipos duplicados o estados incoherentes, los comandos wuauclt /reportnow y wuauclt /resetauthorization ayudan a forzar una re-registración limpia con el servidor.

Control estricto: inhabilitar búsquedas automáticas de UsoClient.exe

En Windows 10/11, el orquestador programa tareas como “UpdateOrchestrator\Schedule Scan” que llaman a UsoClient.exe. Si necesitas “pisar el freno” y que el sistema no pueda escanear automáticamente, existe un procedimiento avanzado que modifica la propiedad y permisos de ese binario. Ojo: es delicado y puede romperse con futuras actualizaciones.

Desde un CMD elevado, toma propiedad y recorta permisos heredados (nombres localizados para sistemas en español):

takeown /f "%windir%\System32\UsoClient.exe" /a
icacls "%windir%\System32\UsoClient.exe" /inheritance:r /remove "Administradores" "Usuarios autentificados" "Usuarios" "System"

Con ello, el sistema no podrá lanzar las búsquedas planificadas. Windows Defender seguirá actualizando firmas por su canal propio, así que esa parte no se detiene con este truco. Para volver al estado original, restablece permisos y propietario:

icacls "%windir%\System32\UsoClient.exe" /reset
icacls "%windir%\System32\UsoClient.exe" /grant Administradores:f
icacls "%windir%\System32\UsoClient.exe" /setowner "NT SERVICE\TrustedInstaller"
icacls "%windir%\System32\UsoClient.exe" /grant "NT SERVICE\TrustedInstaller":f

Úsalo como último recurso y documenta bien el cambio. Modificar archivos del sistema entraña riesgos, así que valora alternativas como posponer reinicios y pausar actualizaciones desde la interfaz.

¿Cuándo es mejor usar Windows Update “a secas”?

Microsoft recomienda usar Windows Update por defecto. El motivo es que la plataforma detecta la arquitectura y edición de tu equipo y descarga solo lo que aplica, evitando que te bajes paquetes innecesarios. Además, ofrece extras prácticos: historial, desinstalación de actualizaciones recientes y controles de pausa.

Los comandos y scripts cobran sentido si Windows Update falla, si quieres automatizar flotas o si necesitas scripts repetibles con manejo de errores y registros. Aun así, evita forzar parches no aplicables; en teoría el sistema los rechaza, pero no es plan jugar con fuego en máquinas de producción.

Catálogo de Microsoft Update y otras alternativas

Otra vía es el Catálogo de Microsoft Update, donde descargas manualmente paquetes MSU o CAB para tu versión y arquitectura. Ofrece control total y viene bien para equipos sin conexión o con requisitos de validación previa. La contrapartida es que pierdes automatización y debes vigilar dependencias y reinicios.

Por último, si tus dudas son muy específicas o te topas con errores raros, no es mala idea acudir a la comunidad técnica de Microsoft o a su foro de Q&A. Muchas veces encontrarás casos documentados con resoluciones ya probadas para escenarios de WSUS, políticas y clientes que no reportan.

Dominar estas piezas —usoclient, wuauclt, PSWindowsUpdate, WSUS y el Programador de tareas— te permite ajustar la experiencia de actualización a tu realidad: desde el usuario avanzado que quiere disparar un ScanInstallWait puntual hasta el administrador que genera informes de cumplimiento, oculta KBs problemáticas y planifica ventanas con reinicio automático. Mantén la seguridad en mente (política de ejecución y permisos), apoya el despliegue en Windows Update siempre que sea posible, y reserva los “hacks” del sistema para situaciones realmente justificadas.