¿Defender te muestra “Trojan:Script/Wacatac.B!ml” una y otra vez aunque pulsas Quitar o Cuarentena y los análisis no encuentran nada? Esta guía explica por qué ocurre, cómo limpiarlo de raíz y cómo diferenciar un falso positivo de una infección real, con pasos probados y seguros para Windows 10 y Windows 11.

Qué está pasando con Trojan:Script/Wacatac.B!ml en Microsoft Defender

Muchos usuarios observan detecciones repetidas de Trojan:Script/Wacatac.B!ml en rutas como C:\Windows\Temp\*.pdf o ejecutables sueltos (por ejemplo, ...\Starlight.exe). Tras pulsar Quitar o Cuarentena, la alerta reaparece: los análisis completo y sin conexión parecen corregirlo… hasta que vuelve a saltar. Otros antivirus no detectan nada y, al buscar los supuestos archivos, ya no existen.

La explicación más común es prosaica: no tienes malware activo en memoria. Lo que queda “atascado” son registros y marcas del historial de Defender (y, a veces, restos de cuarentena). Esos registros vuelven a disparar la notificación al reconstruir la base de amenazas, aunque el archivo original ya no esté. Limpiar ese historial de forma correcta y forzar un examen sin conexión resoluciona el bucle en la mayoría de los casos.

Solución inmediata recomendada (pasos probados)

Aplica esta secuencia exactamente en este orden. Está contrastada por múltiples usuarios y administradores cuando el problema es el historial pegajoso.

Arranque en Modo seguro

1. Guarda tu trabajo.
2. Abre Inicio → icono de Encendido, haz clic en Reiniciar mientras mantienes pulsada la tecla Shift.
3. En el entorno de recuperación: Solucionar problemas → Opciones avanzadas → Configuración de inicio → Reiniciar → pulsa 4 para Habilitar Modo seguro.

Por qué aquí: Modo seguro reduce bloqueos de archivos y el efecto de la Protección contra manipulaciones, permitiendo limpiar las carpetas de Defender.

Mostrar elementos ocultos

1. Abre el Explorador de archivos.
2. En la cinta o barra de menús, entra a Vista y activa Elementos ocultos.

Vaciar las carpetas correctas de Defender

Navega manualmente a estas rutas (cópialas en la barra de direcciones del Explorador):

• C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service
• C:\ProgramData\Microsoft\Windows Defender\Quarantine (si existe)

Dentro de cada carpeta, elimina solo su contenido (archivos y subcarpetas), no la carpeta raíz. Si Quarantine no existe en tu equipo, es normal: sáltala.

Consejo: también puedes usar variables de entorno en la barra del Explorador:
%ProgramData%\Microsoft\Windows Defender\Scans\History\Service
%ProgramData%\Microsoft\Windows Defender\Quarantine

Reinicio a modo normal

Reinicia el equipo con normalidad.

Ejecutar un Examen sin conexión de Microsoft Defender

1. Abre Seguridad de Windows → Protección contra virus y amenazas.
2. En Opciones de examen, elige Examen sin conexión de Microsoft Defender y ejecútalo. El PC se reiniciará y escaneará antes de que Windows se cargue.

Comprobar que la lista de amenazas queda limpia

Vuelve a Protección contra virus y amenazas → Historial de protección. Si no reaparecen detecciones, el problema era el historial. Si se repiten con la misma ruta y archivo existentes, trata esa ruta como una infección real (ver más abajo cómo proceder).

Por qué esta solución funciona

Defender lleva un registro de amenazas vistas, acciones y ubicaciones bajo Scans\History\Service. Cuando esos registros quedan en estado inconsistente, al rescatar definiciones o reconstruir el estado, se re-notifica la amenaza aunque el archivo original ya no esté. Limpiar el contenido de History/Service (y Quarantine, si hay restos) obliga a Defender a reconstruir desde cero su historial local y deja de disparar alertas fantasma. El examen sin conexión termina de verificar que no haya nada activo antes de rearmar el servicio en el arranque normal.

Respuestas rápidas a dudas concretas

No puedo eliminar Trojan:Script/Wacatac.B!ml y las alertas vuelven

Si las “detecciones” apuntan a archivos de Temp, PDFs efímeros, cache de un descompresor o ejecutables que ya no existen, y otros antivirus no ven nada, no es habitual que haya un malware vivo. Sigue los pasos de Modo seguro → limpia History/Service (y Quarantine) → examen sin conexión → verificar historial. En la mayoría de los casos eso corta el bucle.

No existe la carpeta Quarantine

No pasa nada. Si Defender nunca almacenó un archivo físicamente, la carpeta puede no crearse. Basta con vaciar ...\Scans\History\Service y luego realizar el examen sin conexión.

No tengo permisos para abrir ProgramData o Scans

Prueba primero desde Modo seguro. Si sigues con restricciones y puedes abrir Seguridad de Windows, desactiva temporalmente Protección contra manipulaciones (en Protección contra virus y amenazas → Configuración de antivirus y protección contra amenazas → Administrar configuración). Limpia solo las carpetas indicadas, reactiva la protección, reinicia y ejecuta el escaneo sin conexión.

El equipo parece secuestrado

Señales: imposibilidad de abrir Defender ni herramientas de administrador, cuentas desconocidas, advertencias de certificados, redirecciones raras. Procede así:

1. Desconecta de Internet inmediatamente (cable y Wi‑Fi).
2. Desde un equipo confiable, cambia contraseñas críticas y activa MFA.
3. En el equipo afectado, entra en el Entorno de Recuperación (Shift+Reiniciar) y:
   • restaura el sistema a un punto anterior; o
   • usa Restablecer este PC → Quitar todo (con borrado completo).
4. Tras reinstalar, aplica Windows Update, instala solo software confiable y restaura archivos (no programas) de copias previas al incidente.

¿Falso positivo o infección real?

Wacatac.B!ml es una detección genérica por aprendizaje automático. Por diseño puede marcar patrones “sospechosos” en archivos benignos. Señales que apuntan a falso positivo:

• La alerta no vuelve tras limpiar historial y hacer el examen sin conexión.
• Otros AV no detectan nada.
• La detección aparece en rutas temporales cambiantes (p.ej., distintos PDFs en Temp creados por una app legítima).

Señales de infección real:

• La alerta reaparece sobre la misma ruta y el archivo existe tras reiniciar.
• Ves procesos o tareas programadas desconocidas que lo vuelven a crear.
• Notas bloqueos de Defender, cambios de configuración o redirecciones en el navegador.

Guía rápida de decisiones

Síntoma	Interpretación probable	Acción recomendada
Detecciones cíclicas en Temp; archivos ya no están	Historial/cuarentena de Defender atascados	Limpiar History/Service (y Quarantine si existe) + examen sin conexión
Mismo archivo malicioso reaparece tras reiniciar	Proceso crea o restaura el fichero	Eliminar/aislar el archivo, identificar app origen, análisis completo y fuera de línea
Otros AV no ven nada, sin síntomas	Falso positivo de ML	Tras limpieza y WDO, monitorizar; considerar subir muestra desde equipo limpio
Bloqueo de Defender y cuentas extrañas	Compromiso grave	Desconectar, cambiar contraseñas, recuperación o reinstalación limpia

Procedimiento alternativo con PowerShell (opcional)

Si prefieres automatizar la limpieza (ideal en varios equipos), ejecuta en Modo seguro una consola de PowerShell como administrador. Si la Protección contra manipulaciones lo impide, desactívala temporalmente en la app de Seguridad de Windows y vuelve a activarla al terminar.

# Rutas usadas por Defender
$svc = "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service"
$qua = "C:\ProgramData\Microsoft\Windows Defender\Quarantine"

Tomar control por si hay permisos bloqueando

takeown /F "\$svc" /A /R /D Y | Out-Null
icacls "\$svc" /grant Administrators\:F /T | Out-Null

Eliminar contenido de History/Service

Remove-Item "\$svc\*" -Recurse -Force -ErrorAction SilentlyContinue

Eliminar contenido de Quarantine si existe

if (Test-Path \$qua) {
takeown /F "\$qua" /A /R /D Y | Out-Null
icacls "\$qua" /grant Administrators\:F /T | Out-Null
Remove-Item "\$qua\*" -Recurse -Force -ErrorAction SilentlyContinue
}

Write-Host "Listo. Reinicia y ejecuta un Examen sin conexión." 

Cómo proceder si la detección sigue y el archivo existe

1. Desconecta temporalmente de Internet.
2. En Seguridad de Windows, usa Quitar o Cuarentena y anota la ruta exacta.
3. Revisa qué aplicación genera ese archivo (fecha de creación, carpeta de origen, editor firmado).
4. Calcula su hash desde PowerShell para identificarlo con precisión: Get-FileHash -Algorithm SHA256 "C:\Ruta\al\archivo.ext"
5. Si sospechas de una app legítima que lo crea (impresora PDF, descompresor, plugin), actualízala o desinstálala temporalmente y vuelve a probar.
6. Como verificación adicional, desde un equipo limpio, analiza una copia en un servicio de análisis multi‑motor reputado (nunca ejecutes el archivo en el equipo afectado).

Diagnóstico extra para usuarios avanzados

• Visor de Eventos:  Registro de aplicaciones y servicios → Microsoft → Windows → Windows Defender → Operational. Filtra por eventos de detección/acción para ver el contexto (qué proceso accedió al archivo, acción tomada, etc.).
• Tareas programadas: abre Programador de tareas y revisa Biblioteca del Programador de tareas → Microsoft → Windows → Windows Defender. Comprueba también tareas extrañas fuera de esa rama.
• Inicio: en Administrador de tareas → pestaña Inicio, deshabilita elementos desconocidos y reinicia para ver si la detección cesa.

Mantenimiento y prevención

• Actualiza Windows y las definiciones de Defender con regularidad.
• Ejecuta un Examen completo después del sin conexión para profundizar.
• Evita instaladores de fuentes no oficiales y adjuntos sospechosos.
• Habilita Autenticación en dos pasos en tus cuentas sensibles para mitigar impactos si tu equipo se viera comprometido.

Si te mueves cómodo en línea de comandos, estas utilidades son útiles:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -SignatureUpdate
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Scan -ScanType 2   &rem Escaneo completo

En algunas versiones, también existe el cmdlet de PowerShell para planificar un examen sin conexión:

Start-MpWDOScan   # Programará el examen sin conexión y reiniciará el equipo

Errores comunes que debes evitar

• Borrar carpetas equivocadas bajo ProgramData. Limita la limpieza a Scans\History\Service y, si existe, Quarantine.
• Desactivar Defender “por si acaso”. Mantén la protección activa y solo desactiva temporalmente la Protección contra manipulaciones si un permiso lo exige, reactivándola al terminar.
• Omitir el examen sin conexión. Es el paso que garantiza que nada esté activo a bajo nivel.
• Reinstalar aplicaciones dudosas sin comprobar primero si son el origen de los archivos temporales detectados.

Preguntas frecuentes ampliadas

¿Es seguro vaciar History/Service y Quarantine?

Sí. Son ubicaciones de historial y contenido aislado. Al borrarlas, Defender las reconstruirá automáticamente. No se eliminan archivos de usuario ni configuración crítica del sistema.

¿Cómo sé si una app está creando PDFs o ejecutables que detonaron la alerta?

Ordena la carpeta Temp por fecha, abre el Administrador de tareas y observa qué procesos activos corresponden a impresoras PDF, gestores de descargas o descompresores. Detén temporalmente esas apps y verifica si cesan las detecciones.

¿Por qué Wacatac.B!ml aparece de repente en un archivo que llevaba días?

Las firmas y modelos de ML de Defender se actualizan continuamente. Un cambio en el modelo puede hacer que un binario antes ignorado pase a considerarse sospechoso. Si tras limpiar historial y escanear sin conexión no reaparece, lo más probable es que haya sido un falso positivo transitorio.

Checklist rápido

• Modo seguro
• Mostrar elementos ocultos
• Vaciar ...\Scans\History\Service (y ...\Quarantine si existe)
• Reiniciar en modo normal
• Examen sin conexión de Defender
• Verificar que ya no hay amenazas listadas

Resumen final

Las alertas persistentes de Trojan:Script/Wacatac.B!ml suelen deberse a registros obsoletos en el historial o la cuarentena de Microsoft Defender. La solución eficaz es: Modo seguro → mostrar ocultos → vaciar History/Service (y Quarantine si existe) → reiniciar → ejecuta Examen sin conexión → comprueba el Historial de protección. Si las detecciones no regresan, se trataba de un falso positivo o un estado inconsistente de Defender. Si regresan sobre el mismo archivo existente, trátalo como amenaza real: identifica su origen, aísla/elimina, analiza a fondo y, si todo falla, evalúa restauración o reinstalación limpia con credenciales rotadas.