Si usas Windows a diario, seguro que más de una vez te has llevado una sorpresa con una actualización que aparece de la nada y te obliga a reiniciar justo cuando menos te conviene. Detrás de todo esto no solo está Windows Update tal y como lo conocíamos, sino también un sistema llamado actualizaciones habilitadas por paquete, que es una de las claves de cómo Microsoft distribuye y fuerza muchos de estos cambios sin que apenas nos demos cuenta.
En este artículo vamos a desgranar con calma qué está pasando con las actualizaciones de Windows, por qué a veces parece que se activan solas incluso cuando las has deshabilitado, cómo diferencia Microsoft entre distintos tipos de updates, y qué margen real tienes para configurarlas o frenarlas, tanto desde opciones básicas como desde Políticas de Grupo (GPO) o incluso el Registro. La idea es que entiendas el “juego” de Windows Update y que tengas más control sobre lo que entra y cuándo entra en tus equipos.
¿Qué son las actualizaciones habilitadas por paquete y por qué importan?
Cuando se habla de actualizaciones habilitadas por paquete se hace referencia al modelo de distribución modular que usa Microsoft para Windows: en lugar de lanzar un único archivo gigantesco para todo, el sistema se compone de múltiples paquetes (componentes, drivers, funciones, parches de seguridad, etc.) que Windows Update puede activar o desactivar individualmente, según la versión que tengas, tu hardware y las políticas que aplique Microsoft en cada momento.
Este enfoque por paquetes permite a Microsoft controlar de forma muy granular qué dispositivos reciben qué actualización, aplicar bloqueos temporales (safeguards) cuando detectan incompatibilidades, y también introducir cambios “silenciosos” en la configuración del sistema, como el estado de ciertos servicios relacionados con Windows Update, sin necesidad de una intervención explícita del usuario.
El resultado es que, aunque creas tener el sistema “cerrado” a cal y canto, hay mecanismos internos de Windows que pueden revertir configuraciones como el tipo de inicio de un servicio o el origen de las actualizaciones (Windows Update vs Microsoft Update), todo ello gestionado a través de esos paquetes y de su lógica de activación.
El caso de las máquinas con Anniversary Update y el cambio forzado de servicios
Un ejemplo muy ilustrativo de hasta dónde llega este control de Microsoft lo encontramos en usuarios que decidieron quedarse en la Anniversary Update de Windows 10, evitando Creators Update (CU) o Fall Creators Update (FCU) porque les rompían características clave como el G-Sync y el funcionamiento de juegos antiguos basados en DirectX 8. Para ellos, actualizar significaba literalmente empeorar la experiencia.
Ante esa situación, más de uno optó por una medida drástica: deshabilitar el servicio de Windows Update por completo en varias máquinas, configurándolo como “Deshabilitado” y detenido, y pasar meses funcionando así sin problemas. Nada de parches, nada de reinicios forzados. Todo en manos del usuario.
El problema llegó cuando, de un día para otro, estas máquinas empezaron a mostrar avisos de que había actualizaciones pendientes de instalación y que hacía falta reiniciar, algo totalmente inesperado cuando llevaban tiempo con el servicio de Windows Update apagado. Al revisar los servicios, se encontraron con que el servicio de actualización ya no estaba en “Deshabilitado”, sino en “Manual (activado)”, y en ejecución.
Lo más preocupante es que, incluso en equipos que se sabía con certeza que tenían Windows Update en estado deshabilitado, tras unos 20 minutos desde el arranque el sistema cambiaba silenciosamente el tipo de inicio a “Manual (activado)” y comenzaba a descargar controladores no deseados y paquetes previos para preparar la instalación de versiones como Creators Update.
Esta situación hizo que algunos usuarios calificaran el comportamiento de Microsoft como absolutamente inaceptable, llegando a compararlo con una pérdida total de control sobre sus máquinas: el sistema operativo modificando configuraciones explícitamente puestas por el usuario para forzar actualizaciones que empeoraban su rendimiento en juegos o rompían su hardware. Muchos de estos casos terminaron con un movimiento claro: volver a Windows 7 en los equipos principales para evitar esta dinámica.
Diferencias entre Windows Update y Microsoft Update
Dentro del universo de actualizaciones de Microsoft conviene distinguir entre Windows Update y Microsoft Update, porque no son exactamente lo mismo y afectan a qué tipo de software se mantiene al día.
Windows Update es el servicio clásico que se encarga de proporcionar parches y actualizaciones de seguridad para el sistema operativo Windows: correcciones de vulnerabilidades, mejoras de estabilidad, service packs en versiones antiguas, etc. De forma predeterminada, en sistemas como Windows 2000, Windows XP o Windows Server 2003, el equipo está configurado para conectarse al sitio web de Windows Update y recibir solo estas actualizaciones de sistema.
Microsoft Update, en cambio, amplía el alcance de ese servicio para incluir también otros productos de Microsoft instalados en el equipo, como Office, algunos componentes de Visual Studio, y aplicaciones adicionales de la compañía. Es decir, activa un canal de actualizaciones más amplio para que no solo se parche Windows, sino también el resto del ecosistema Microsoft en tu PC.
Si actualmente usas Windows Update y quieres pasar a Microsoft Update, el proceso clásico consiste en visitar la web de Microsoft Update, hacer clic en “Iniciar ahora”, aceptar el contrato de licencia, e instalar el componente necesario (si no está ya presente). A partir de ese momento, se añade un acceso directo a Microsoft Update en el menú Inicio, dentro de “Todos los programas”, y tus actualizaciones automáticas pueden comenzar a incluir parches para Office y otros productos.
En sentido contrario, si ya estás en Microsoft Update y prefieres volver a usar solo Windows Update, desde la propia web de Microsoft Update puedes entrar en “Cambiar configuración”, marcar la casilla “deshabilitar el software de Microsoft Update y permitirme usar solo Windows Update” y aplicar los cambios. El sistema te avisa de que las actualizaciones automáticas de Windows dejarán de entregar parches desde Microsoft Update, y debes confirmar que quieres continuar.
Este matiz es importante, porque las actualizaciones habilitadas por paquete no solo afectan al núcleo de Windows, sino también a cómo se distribuyen y priorizan actualizaciones de otros programas integrados en el ecosistema Microsoft cuando está activado Microsoft Update.
Tipos de actualizaciones en Windows: características y calidad
Windows 10 y Windows 11 se apoyan en dos grandes categorías de actualización: las actualizaciones de características y las actualizaciones de calidad. Entender la diferencia te ayuda a saber qué está entrando en tu sistema cada vez que aparece un update importante.
Las actualizaciones de características (feature updates) son las que introducen nuevas funciones, cambios de interfaz, mejoras generales de productividad y, a menudo, paquetes grandes de cambios internos. En Windows 10, estas actualizaciones suelen liberarse una vez al año y se identifican con nombres como “versión 22H2”.
Estas actualizaciones de características no solo traen novedades visibles, sino también correcciones acumuladas y mejoras de seguridad, por lo que son clave para mantener el sistema en una versión soportada. Microsoft usa Windows Update para iniciar automáticamente la instalación de estas versiones cuando un dispositivo se acerca al final del soporte de la versión que está usando.
De esta forma, Windows intenta que los dispositivos sigan recibiendo las actualizaciones mensuales críticas, y para ello necesita que estén en una versión de Windows 10 o Windows 11 que siga en ciclo de vida. Aquí es donde se ve claramente la filosofía de “servicio” que Microsoft aplica a Windows: si te quedas atrás, el propio sistema, mediante Windows Update y estas actualizaciones habilitadas por paquete, intentará arrastrarte a una versión más reciente.
Por otro lado, están las actualizaciones de calidad (quality updates), que son mucho más frecuentes: suelen llegar cada mes, normalmente en el Patch Tuesday, e incluyen pequeñas correcciones de errores, parches de seguridad, y en ocasiones alguna mejora menor o funcionalidad adicional. Muchas veces Windows publica también actualizaciones fuera de banda que corrigen problemas urgentes y que explican por qué algunos parches llegan fuera del ciclo mensual; puedes ver una guía sobre actualizaciones out-of-band para entender mejor este comportamiento.
Estas actualizaciones de calidad son acumulativas: cada nuevo paquete incluye las correcciones de los anteriores, lo que facilita que un equipo relativamente desactualizado pueda ponerse al día instalando el último update disponible. Windows está diseñado para ofrecer ambos tipos de actualizaciones a través de Windows Update, siempre que el dispositivo esté en una versión todavía soportada. Por ejemplo, en Windows 10 la última actualización de características disponible es la 22H2; a partir de ahí, las actualizaciones de calidad se van aplicando sobre esa base.
En equipos de consumo y empresariales no administrados, estas actualizaciones de características se ofrecen de forma automática. La instalación puede intentar respetar las llamadas “horas activas”, en las que el sistema procura no reiniciar solo, pero en la práctica es habitual encontrar reinicios programados cuando hay una actualización de gran tamaño que debe completarse.
Más control con GPO: configurar Windows Update en entornos profesionales
En entornos corporativos o de administración centralizada, Windows ofrece una forma mucho más potente de controlar este comportamiento a través de las Políticas de Grupo (GPO). Mediante estas directivas es posible decidir cómo y cuándo se descargan e instalan las actualizaciones, qué productos se incluyen y qué margen de maniobra tiene el usuario final.
Para configurar las actualizaciones de Windows Update mediante GPO, lo habitual es trabajar desde un controlador de dominio con AD DS (Active Directory Domain Services) sobre Windows Server. Necesitarás una cuenta con permisos de administrador y acceso al Administrador de directivas de grupo (Group Policy Management).
El primer paso suele ser abrir el Administrador del servidor, desplegar el menú “Tools” (Herramientas) y seleccionar “Group Policy Management”. También es posible abrir esta consola desde el comando GPMC.MSC, que lanza directamente la herramienta de gestión de GPO.
Dentro de Group Policy Management, se despliega la estructura del dominio hasta localizar la Unidad Organizativa (OU) donde queremos aplicar la política de Windows Update. Sobre esa OU, se crea una nueva GPO con un nombre descriptivo (“Windows Update – Equipos Oficina”, por ejemplo) y se vincula en ese punto del dominio para que afecte a los equipos incluidos en esa unidad.
Una vez creada la GPO, el siguiente paso es editarla. Desde el propio árbol de directivas, se hace clic derecho sobre la nueva GPO y se elige “Edit…” (Editar), lo que abre la consola de Group Policy Management Editor, donde se definen las configuraciones concretas.
Para controlar las actualizaciones automáticas de Windows hay que navegar por la ruta “Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update”. Dentro de este apartado aparece un listado de opciones, entre ellas una de las más importantes: “Configure Automatic Updates”.
Al abrir “Configure Automatic Updates”, se marca la política como “Enabled” y se elige el modo de actualización automática que se desea. Una opción recomendable para tener cierto control, sin renunciar a las descargas, es la configuración “Auto download, notify to install, notify to restart”, que hace que las actualizaciones se descarguen en segundo plano pero requieran intervención del usuario (o del administrador) para instalarlas y reiniciar el equipo.
Dentro de esta misma ventana se pueden ajustar parámetros de tiempo como el “Scheduled install day” (cada cuánto se ejecuta la instalación programada) y el “Scheduled install time” (a qué hora se lleva a cabo), lo cual resulta muy útil para despliegues en masa en horario nocturno o en momentos de baja carga.
Otra casilla interesante es la opción de instalar actualizaciones para otros productos de Microsoft, que hace que Windows Update también aplique parches a Office, Visual Studio u otros componentes relacionados. Activando este checkbox, se transforma en la práctica el comportamiento del sistema hacia un modelo similar al de Microsoft Update, pero controlado por política.
Cuando terminas de ajustar todos estos valores, basta con pulsar “Apply” y “OK” para que la política quede guardada. Si todo está correcto, en el listado de políticas de Windows Update verás que “Configure Automatic Updates” aparece en estado “Enabled”, indicando que la configuración de actualizaciones automáticas se está aplicando a los equipos de esa OU.
Este tipo de configuración por GPO permite automatizar buena parte del mantenimiento de actualizaciones en redes con muchos equipos, reduciendo el tiempo dedicado manualmente a comprobar qué máquinas están al día y cuáles no. Aun así, incluso con estas políticas, Windows sigue basándose en su sistema de paquetes y en las reglas internas de compatibilidad para decidir exactamente qué actualizaciones concretas instalar.
La nueva GPO “Deshabilitar la protección de actualizaciones de características”
Con el lanzamiento de versiones como Windows 10 October 2020 Update, Microsoft introdujo un mecanismo de seguridad adicional en Windows Update: las llamadas retenciones de compatibilidad (safeguard holds). Si el sistema detecta que un modelo de hardware, un driver o una configuración concreta puede causar problemas con una nueva versión de Windows, bloquea temporalmente la distribución de esa actualización a los equipos afectados.
Este sistema es razonable desde el punto de vista de estabilidad: evita que un fallo se propague masivamente a miles de dispositivos. Sin embargo, para usuarios avanzados y administradores, puede ser frustrante no poder instalar una actualización de características que necesitan, aunque asuman los riesgos asociados.
Para ellos, Microsoft introdujo una nueva Política de Grupo llamada “Deshabilitar la protección de actualizaciones de características” (Disable safeguards for feature updates). Al habilitar esta GPO, el sistema omite las retenciones de protección y permite que el dispositivo reciba e instale actualizaciones de funciones que, de otro modo, estarían bloqueadas por motivos de compatibilidad.
Esta opción está pensada para Windows 10 Pro y Windows 10 Enterprise, y se configura desde el Editor de directivas de grupo (gpedit.msc). Una vez abierta la herramienta, hay que navegar a “Configuración del equipo > Plantillas administrativas > Componentes de Windows > Windows Update > Actualización de Windows para empresas”, donde se encuentra la política “Deshabilitar la protección de actualizaciones de características”. Marcándola como “Habilitada” y guardando los cambios, el sistema deja de aplicar esos bloqueos de seguridad en las actualizaciones de características.
Microsoft advierte de que usar esta opción tiene riesgos claros: esas salvaguardas se aplican porque existen problemas conocidos con ciertos drivers, aplicaciones o hardware. Si decides saltártelas, debes tener claro que lo haces bajo tu responsabilidad, algo aceptable en entornos de prueba o en laboratorios, pero delicado en equipos de producción o de usuarios finales.
Modificar el Registro para forzar o saltar protecciones
En equipos donde no se tiene acceso al Editor de directivas de grupo (por ejemplo, ediciones Home de Windows) o donde se prefiere un control más directo, algunos ajustes de estas políticas pueden replicate mediante el Editor del Registro.
Para emular la política de “Deshabilitar la protección de actualizaciones de características”, se puede abrir el Registro (regedit) y navegar hasta la clave HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows. Dentro de esta ruta, si no existe, se crea la subclave “WindowsUpdate”.
En “WindowsUpdate” se añade un valor DWORD (32 bits) con el nombre “DisableWUfBSafeguards” y se le asigna el valor “1”. Esta combinación indica al sistema que debe ignorar las salvaguardas de actualización para Windows Update for Business y permitir el avance hacia nuevas versiones de características aunque existan bloqueos activos.
Tras aplicar este cambio, Windows interpreta que el equipo está autorizado a instalar dichas actualizaciones, saltándose las mismas retenciones que, de forma gráfica, se desactivan con la GPO mencionada antes. Eso sí, con cada gran actualización de Windows es posible que haya que volver a revisar estos ajustes, ya que algunos cambios se revierten o se sobrescriben durante el proceso de actualización. Si necesitas herramientas avanzadas para gestionar actualizaciones desatendidas o entornos sin acceso a GPO, hay guías sobre cómo y aplicarlas manualmente.
Equilibrar seguridad, estabilidad y control del usuario
Todo este entramado de servicios, políticas, claves de registro y paquetes hace que la gestión de actualizaciones de Windows sea cada vez más compleja. Por un lado, Microsoft tiene un objetivo claro: mantener la base instalada en versiones soportadas y parcheadas, reduciendo al máximo las brechas de seguridad y los problemas que se derivan de sistemas desactualizados.
Por otro lado, los usuarios avanzados y administradores reclaman conservar el control sobre cuándo y cómo se aplican los cambios, especialmente cuando una actualización concreta rompe compatibilidades con juegos antiguos, tecnologías como G-Sync o aplicaciones críticas en producción. El conflicto surge cuando el sistema decide revertir configuraciones deliberadas del usuario, como deshabilitar servicios, para empujar actualizaciones no deseadas.
Las actualizaciones habilitadas por paquete son, en buena parte, el vehículo que usa Microsoft para orquestar todas estas decisiones: pueden activar nuevos componentes, modificar el comportamiento de servicios, aplicar salvaguardas de compatibilidad y, en algunos casos, cambiar preferencias de actualización sin un aviso claro.
Frente a esto, herramientas como las GPO, las opciones de Windows Update for Business, las horas activas, o incluso ajustes en el Registro, ofrecen cierto contrapeso para quienes necesitan una gestión más fina. La clave está en entender bien qué tipo de actualización se está aplicando (características o calidad), qué políticas hay vigentes en el entorno y hasta qué punto conviene forzar o frenar los updates en función del equilibrio que cada uno quiera entre seguridad, estabilidad y control.
Conocer este funcionamiento interno, desde la diferencia entre Windows Update y Microsoft Update hasta el papel de las salvaguardas y las directivas de grupo, ayuda a tomar decisiones más informadas: ya sea para mantener tus equipos siempre a la última, para afinar al máximo el momento de cada cambio en una red corporativa, o para evitar que una actualización mal planteada te deje sin tu juego favorito o sin el rendimiento gráfico que tenías antes. Comparte esta información sobre las actualizaciones Windows y más usuarios sabrán del tema.