Microsoft actualiza Windows Defender para instalaciones ISO

Portada » General » Microsoft actualiza Windows Defender para instalaciones ISO

Si estás preparando una instalación limpia de Windows a partir de una ISO, ya sea para tu propio PC o para desplegar decenas de equipos en una empresa, hay un detalle que no puedes pasar por alto: el estado de Microsoft Defender dentro de esa imagen. No basta con que el sistema arranque, necesitas que desde el primer minuto haya una base de protección sólida y actualizada para no dejar una ventana abierta al malware.

En los últimos paquetes publicados, Microsoft ha actualizado Windows Defender específicamente para las imágenes de instalación (WIM y VHD), de forma que las nuevas instalaciones arrancan con el motor antimalware y las firmas de seguridad al día. En este artículo vas a ver qué cambia exactamente, cómo te afecta si usas ISOs antiguas, cómo aplicar el paquete fuera de línea a tus imágenes y qué buenas prácticas conviene seguir para mantener tus despliegues de Windows bien armados frente a troyanos, exploits y compañía.

Por qué Microsoft actualiza Defender en las imágenes ISO

Durante las primeras horas después de instalar Windows desde una ISO clásica, el sistema puede quedar en una especie de “tierra de nadie” en cuanto a protección. El núcleo de Defender está presente, pero los binarios del motor y las definiciones de malware que van dentro de la imagen suelen ir varios meses por detrás de la realidad.

Esto significa que, aunque veas el icono de seguridad de Windows en verde, hay amenazas modernas que esa ISO ni siquiera sabe que existen. Hasta que no se descarga la primera actualización de Defender a través de Windows Update, la máquina está expuesta a familias de malware recientes, ransomware y exploits que se han descubierto después de que se generase esa imagen.

Microsoft ha detectado que esta brecha de protección inicial es un punto débil muy jugoso para los atacantes. Los ciberdelincuentes saben que muchas empresas y usuarios instalan Windows desde medios antiguos, a veces guardados durante años, y aprovechan ese hueco de tiempo antes de la primera actualización para colar infecciones dirigidas.

Para cerrar este agujero, Microsoft publica periódicamente un paquete de actualización de Microsoft Defender para imágenes de instalación, que se aplica directamente sobre los archivos WIM y VHD/VHDX. Así, cuando instalas Windows desde esa ISO ya parcheada, el antivirus integrado arranca con motor y firmas de seguridad recientes, sin tener que esperar a que el equipo se conecte a Internet ni a que Windows Update haga su trabajo.

Versiones incluidas y frecuencia de actualización

Microsoft mantiene una cadencia aproximada de tres meses para refrescar estos paquetes de Defender destinados a medios de instalación. No se trata de una actualización puntual aislada, sino de un flujo constante de revisiones que asegura que las imágenes corporativas y los ISOs que se usan masivamente no se queden fosilizados.

En el paquete más reciente descrito por Microsoft, se actualizan tres componentes clave de la plataforma antimalware integrada en Windows: el cliente, el motor y la inteligencia de seguridad. Las versiones incluidas en este ciclo concreto son:

• Versión de la plataforma: 4.18.26010.5
• Versión del motor: 1.1.26010.1
• Versión de inteligencia de seguridad: 1.445.6.0

La parte de plataforma y motor se corresponde con el núcleo de Microsoft Defender Antivirus, responsable de analizar procesos, archivos, scripts y tráfico de red, además de integrar la lógica de detección basada en comportamiento, aprendizaje automático y heurística moderna.

La inteligencia de seguridad (las “firmas”) es la base de datos que contiene patrones concretos de malware, troyanos, adware, herramientas de hackeo y amenazas sin archivo. Esta versión 1.445.6.0 llega preparada para identificar, entre otras cosas, variantes como AutoKMS, troyanos de puerta trasera y exploits recientes que podrían intentar colarse justo después de la instalación antes de que se aplique ningún parche adicional.

Microsoft recomienda a administradores y técnicos que revisen y actualicen sus imágenes de instalación al menos cada tres meses con estos paquetes, de modo que las nuevas instalaciones no arranquen con binarios antimalware obsoletos ni con firmas viejas incapaces de reconocer amenazas actuales.

Sistemas y arquitecturas compatibles con el paquete

El paquete de actualización de Microsoft Defender para imágenes ISO no se limita a una sola edición de Windows. Da cobertura a un abanico amplio de versiones tanto cliente como servidor, incluyendo:

• Sistemas cliente modernos como Windows 11 y Windows 10 (en sus diferentes ediciones).
• Ediciones de ciclo largo y soporte extendido como Windows 10 LTSC y versiones ESU.
• Entornos de servidor, entre ellos Windows Server 2022 y otras variantes compatibles en las que Microsoft Defender Antivirus forme parte de la plataforma.

En cuanto a arquitecturas, el propio paquete viene en tres sabores diferenciados según el tipo de imagen sobre la que vayas a trabajar:

• ARM64: tamaño aproximado de 120 MB.
• x86 (32 bits): tamaño aproximado de 216 MB.
• x64 (64 bits): tamaño aproximado de 225 MB.

Es importante descargar y aplicar el paquete que corresponda exactamente a la arquitectura de la imagen del sistema operativo (no a la del equipo desde el que ejecutas la herramienta). Si intentas mezclar, el proceso fallará o directamente no tendrá efecto en la instalación resultante.

Según la documentación oficial, hasta la fecha no se han detectado problemas conocidos asociados a esta actualización concreta. Eso no quita que, en un entorno crítico, sea buena idea probar el paquete primero sobre una copia de tu imagen maestra en un laboratorio antes de desplegarlo en producción.

Contenido técnico del paquete y beneficios de seguridad

El archivo de actualización que distribuye Microsoft aglutina en un único paquete todas las piezas necesarias para que Defender arranque al día dentro de una instalación recién creada desde ISO o desde una imagen WIM/VHD.

Dentro de este paquete se incluyen:

• Actualizaciones mensuales de la plataforma antimalware (cliente de Defender).
• Mejoras y correcciones del motor de análisis que utiliza Microsoft Defender Antivirus.
• La versión más reciente disponible de la inteligencia de seguridad en la fecha de lanzamiento del paquete.

Todo ello está pensado para aplicarse sin conexión directamente sobre la imagen del sistema operativo (archivos Windows Image y discos virtuales VHD/VHDX). No depende de que el equipo tenga acceso a Internet ni de la última actualización acumulativa (LCU), que se gestiona por un cauce distinto.

En la práctica, esto se traduce en que el medio de instalación pasa a llevar de serie un Defender capaz de detectar malware moderno desde el primer arranque. La inteligencia de seguridad actualizada reconoce familias recientes de troyanos, descargadores, herramientas de activación no autorizadas como AutoKMS y exploits de puerta trasera diseñados precisamente para actuar en ese intervalo antes de que se ejecute el primer Windows Update.

El impacto no solo es de seguridad pura. Microsoft destaca que estas revisiones también arrastran ajustes de rendimiento críticos en la plataforma antimalware, que mejoran el comportamiento general del sistema en momentos delicados como la configuración inicial, los primeros inicios de sesión o la instalación de drivers. Un motor moderno y optimizado consume mejor los recursos y reduce la probabilidad de bloqueos y cuelgues durante el despliegue.

Ventajas para despliegues masivos y administradores

Para quienes gestionan redes con muchos equipos, imágenes maestras y herramientas de despliegue automatizado, este tipo de actualizaciones marca una diferencia importante en el día a día. Hasta ahora, era habitual depender de largos ciclos de parcheo post-instalación, con scripts, WSUS, SCCM o Intune para poner al día cada máquina.

Al inyectar este paquete de Microsoft Defender directamente en la ISO o en la imagen WIM, la carga de trabajo tras la instalación se reduce bastante. Nada más terminar el asistente de configuración de Windows, el equipo ya dispone de:

• Motor antimalware reciente con correcciones de estabilidad.
• Firmas actualizadas que cubren amenazas emergentes.
• Un nivel de protección de base mucho más alto antes de recibir la siguiente tanda de parches.

Para la empresa, esto significa menos tiempo expuesto, menos posibilidad de que un equipo reciba malware en su primera conexión a la red corporativa y un flujo de implantación más limpio, sobre todo cuando se formatean decenas o cientos de ordenadores a la vez.

Además, mantener al día las definiciones dentro de las herramientas de despliegue (por ejemplo, imágenes utilizadas con MDT, WDS o soluciones de terceros) ayuda a preservar la integridad de los datos y de la infraestructura. No estás confiando ciegamente en que todo se arregle a golpe de parches después, sino que ya partes de un medio de instalación endurecido.

Microsoft subraya que esta actualización beneficia también a equipos que combinan el antivirus integrado con otras soluciones de seguridad. Aunque uses una suite de terceros en modo principal, tener un Defender actual dentro del sistema y en los medios de instalación aporta telemetría y capas adicionales de defensa en profundidad.

Cómo obtener y elegir el paquete adecuado

La descarga de estos paquetes se realiza desde los canales oficiales de Microsoft, donde se ofrecen descargas separadas por arquitectura. A la hora de escoger, el criterio es sencillo pero crucial: debes seleccionar el paquete que coincida exactamente con la arquitectura de la imagen de sistema que vayas a actualizar.

En concreto, encontrarás enlaces diferenciados para:

• Imagen de actualización de Microsoft Defender para Windows 32 bits (x86).
• Imagen de actualización de Microsoft Defender para Windows 64 bits (x64).
• Imagen de actualización de Microsoft Defender para Windows ARM64.

Una vez descargado el paquete correcto, lo habitual es integrarlo en tu flujo de mantenimiento de imágenes, junto con otras tareas como aplicar la última LCU, agregar drivers específicos o incluir aplicaciones corporativas estándar.

Un detalle importante es que no hay que aplicar primero la actualización acumulativa de Windows para que este paquete de Defender tenga efecto. Son canales independientes: el paquete antimalware está pensado precisamente para trabajarse fuera de línea sobre las imágenes y reducir el hueco de exposición antes de que Windows Update empiece a actuar.

DefenderUpdateWinImage.ps1: la herramienta clave para actualizar tu imagen

Para automatizar el proceso de inyección del paquete de Defender en una imagen de Windows, Microsoft proporciona el script DefenderUpdateWinImage.ps1, que se ejecuta desde PowerShell con permisos de administrador. Esta utilidad se encarga de montar la imagen, aplicar la actualización y desmontarla correctamente.

Antes de lanzarte a usarla, tienes que cumplir varios requisitos previos técnicos:

• Estar ejecutando un sistema de 64 bits con Windows 10 o posterior.
• Tener disponible PowerShell 5.1 o una versión superior.
• Contar con los módulos Microsoft.PowerShell.Security y DISM instalados.
• Iniciar la consola de PowerShell con privilegios de administrador.

El uso más habitual del script para agregar la actualización a una imagen sería algo similar a:

PS C:\> DefenderUpdateWinImage.ps1 -WorkingDirectory <ruta> -ImageIndex <nºIndiceImagen> -Action AddUpdate -ImagePath <ruta_a_imagen_SO> -Package <ruta_a_paquete>

Si en algún momento necesitas revertir la operación, puedes utilizar el mismo script con la acción inversa:

PS C:\> DefenderUpdateWinImage.ps1 -WorkingDirectory <ruta> -Action RemoveUpdate -ImagePath <ruta_a_imagen_SO>

Y, si lo que quieres es inspeccionar qué versión de actualización de Defender tiene integrada una imagen determinada, dispones de un tercer modo:

PS C:\> DefenderUpdateWinImage.ps1 -WorkingDirectory <ruta> -Action ShowUpdate -ImagePath <ruta_a_imagen_SO>

Con esta combinación de acciones, es relativamente sencillo mantener un control estricto sobre el estado antimalware de tus ISOs y WIM, comprobar si están desactualizadas y decidir cuándo toca volver a pasar el paquete actualizado que publique Microsoft.

Relación con las actualizaciones acumulativas y otras líneas base

Una duda que suele surgir es cómo encaja este paquete especializado de Defender con el resto de actualizaciones acumulativas de Windows 10 y Windows 11 que Microsoft publica cada mes. La respuesta es que juegan papeles complementarios pero independientes.

Por un lado, las LCU (actualizaciones acumulativas) se encargan de todo lo relativo al sistema operativo en sí: kernel, pila de redes, subsistema gráfico, componentes de Windows, etc. En muchas ocasiones también traen mejoras de seguridad que afectan a Defender, pero su foco es más amplio.

Por otro lado, el paquete de actualización para imágenes se centra estrictamente en la plataforma antimalware y la inteligencia de seguridad de Microsoft Defender, pensado para ser aplicado fuera de línea en WIM y VHD(x). No requiere que la LCU más reciente esté ya integrada en esa imagen para poder funcionar.

Microsoft, de hecho, documenta que no es necesario seguir un orden concreto entre la última LCU y la actualización offline de Defender: puedes aplicar cada una conforme mejor encaje en tu flujo de mantenimiento de imágenes. Lo importante es revisar regularmente ambas líneas para que las instalaciones resultantes arranquen al día tanto a nivel de sistema como de protección antivirus.

En la documentación técnica se hace referencia también a la gestión de líneas base de seguridad y al mantenimiento de actualizaciones de Microsoft Defender, donde se explican con más detalle las dependencias entre plataforma, motor y firmas, así como la recomendación de ciclos regulares de actualización para minimizar el espacio de exposición en nuevas implantaciones.

Impacto real en la protección inicial tras instalar desde ISO

Más allá de las versiones y la teoría, el beneficio tangible llega en el momento en que enciendes por primera vez un equipo recién instalado con una ISO que ya incluye la última actualización de Defender. En ese instante, el sistema:

• Arranca con un motor antimalware actualizado y endurecido frente a técnicas de ataque recientes.
• Cuenta con definiciones capaces de detectar troyanos, herramientas de activación, exploits y malware de última hornada.
• Reduce drásticamente la ventana de tiempo en la que una amenaza podría colarse antes del primer Windows Update.

La actualización de inteligencia de seguridad 1.445.6.0 que se cita en la documentación, por ejemplo, viene preparada para identificar AutoKMS, troyanos clásicos y puertas traseras específicas que los atacantes suelen intentar plantar en sistemas que acaban de ser desplegados y que todavía no han recibido el grueso de parches.

Esto es especialmente relevante en entornos empresariales, laboratorios, aulas informáticas u oficinas con equipos compartidos, donde un solo ordenador desprotegido durante unas horas puede servir de trampolín para moverse lateralmente por la red y comprometer otros sistemas.

Incluso en casa, si utilizas una ISO antigua que tenías guardada en un pendrive, instalar Windows sin este tipo de actualización implica que, durante ese primer arranque y antes de que se ejecuten todas las actualizaciones pendientes, el equipo puede ser vulnerable a amenazas recientes. Algo tan sencillo como conectarlo a una red Wi-Fi pública o abrir un adjunto de correo sospechoso en esos minutos iniciales podría acabar mal.

Integrar las últimas definiciones de Defender directamente en el medio de instalación rompe ese patrón y hace que, desde el primer segundo de actividad, el antivirus tenga una visión actual del panorama de amenazas, en lugar de basarse en firmas de hace meses.

Diferencias entre Windows 10 y Windows 11 en la experiencia de Defender

Algunos usuarios que han pasado de Windows 10 a Windows 11 han notado cambios en cómo se muestran las actualizaciones de la base de datos de virus y en la forma en que el sistema refleja esa información en Windows Update. En Windows 10 era habitual ver registros diarios muy visibles de las actualizaciones de inteligencia de seguridad dentro del historial de actualizaciones.

En Windows 11, sin embargo, es perfectamente posible que veas saltos de varios días en el historial de Windows Update referido a las definiciones de Defender, aunque en realidad la base de datos se esté actualizando con normalidad. El sistema ha cambiado la forma de agrupar y mostrar esos eventos, de modo que no siempre se reflejan todas las pequeñas revisiones internas.

Si quieres comprobar el estado real de la base de datos de virus en Windows 11, la ruta fiable sigue siendo entrar en Seguridad de Windows > Protección antivirus y contra amenazas > Actualizaciones de protección contra virus y amenazas > Actualizaciones de protección > Inteligencia de seguridad. Ahí verás la versión y la fecha efectiva de las firmas.

Que el historial de Windows Update muestre solo algunas entradas no significa que Defender no se esté actualizando con frecuencia. Simplemente, el sistema agrupa y registra de otra manera. Mientras la sección de Seguridad de Windows indique que la inteligencia de seguridad está reciente y sin advertencias, el comportamiento se considera normal en Windows 11.

Este cambio de presentación puede descolocar al principio, pero no altera la realidad de fondo: la base antimalware sigue recibiendo múltiples actualizaciones diarias, tanto por canal automático como mediante los paquetes específicos que se integran en las imágenes ISO para evitar instalar sistemas con firmas viejas.

Buenas prácticas adicionales de seguridad en instalaciones desde ISO

Actualizar Microsoft Defender en tus imágenes es una pieza clave, pero no es la única condición para tener un sistema realmente seguro. Los problemas de seguridad más graves suelen llegar por malas prácticas de uso, ISOs de origen dudoso o retrasar indefinidamente las actualizaciones del sistema.

Como primer pilar, conviene usar siempre imágenes ISO oficiales y limpias, descargadas desde los canales de Microsoft o de tu proveedor confiable. Si reutilizas medios viejos o ISOs de procedencia desconocida, no importa cuánto cuides Defender: puedes estar metiendo en casa un sistema ya manipulado.

En segundo lugar, procura que tu ISO actualizada con el paquete de Defender también incluya la última actualización acumulativa de Windows y los parches de seguridad críticos. Así reduces aún más las posibilidades de que un exploit aproveche vulnerabilidades del propio sistema operativo nada más terminar la instalación.

No olvides tampoco la parte de educación del usuario y sentido común, y evitar autorizar archivos sin verificar. Instalar programas crackeados, abrir adjuntos de origen incierto o pinchar cualquier pendrive que te pasan por la mano sigue siendo la receta perfecta para terminar infectado, aunque tengas el mejor motor antimalware del mercado.

Finalmente, en equipos que salen fuera de la red habitual (portátiles que viajan, dispositivos de teletrabajo, etc.), es muy recomendable combinar este nivel de protección de base con una buena VPN, contraseñas robustas y autenticación en dos pasos siempre que sea posible. La seguridad efectiva es una suma de capas, y Defender actualizado en la ISO es una de las más sencillas de conseguir.

Al preparar y mantener tus imágenes ISO con la última actualización de Microsoft Defender integrada, cuidas un aspecto que suele pasarse por alto: la protección real del sistema en los primeros minutos de vida tras una instalación. Si a eso le sumas una ISO oficial bien mantenida, parches de Windows al día y hábitos de uso razonables, reduces de forma notable las oportunidades que tiene el malware para aprovechar despistes o huecos de actualización y consigues desplegar equipos mucho más seguros sin necesidad de montar infraestructuras complejas.