Eres de los que abren Seguridad de Windows (Defender) y solo aparece una pantalla blanca? En este artículo explico por qué ocurre —con hallazgos reales como Formbook y restos KMS/TunMirror— y la solución que funcionó: FRST + fixlist personalizado, más pasos seguros.

Pantalla en blanco al abrir Seguridad de Windows

Cuando la aplicación Seguridad de Windows (también conocida como Windows Security o “la app de Defender”) se abre pero solo muestra un panel vacío o sin contenido, normalmente hay algo más profundo que un simple fallo visual. Este síntoma suele estar relacionado con:

• Corrupción del paquete UWP Microsoft.SecHealthUI (la interfaz de Seguridad de Windows).
• Servicios de Defender alterados (WinDefend, SecurityHealthService) o tareas programadas dañadas.
• Políticas del sistema que deshabilitan Defender (intencionalmente o impuestas por malware/activadores).
• Restos de software no confiable (por ejemplo, activadores KMS) o presencia de malware que interfiere con la protección.

Diagnóstico del caso real: hallazgos clave

En el caso que originó esta guía se observaron estos elementos en los registros:

• Trojan:Win32/Formbook!ml: detección en el historial de Defender.
• Restos de un activador KMS, incluyendo referencia a un servicio/driver llamado TunMirror.exe.

Esta combinación es particularmente problemática: el troyano y los restos de KMS pueden introducir políticas (GPO/registro), servicios o tareas que alteran Defender y su interfaz, provocando la pantalla blanca al abrir la app.

Hallazgo	Impacto típico	Cómo confirmarlo
Trojan:Win32/Formbook!ml	Modifica políticas/servicios, puede bloquear la UI de Seguridad o inyectar entradas persistentes.	Historial de Protección de Defender, eventos, o detecciones previas en cuarentena.
Restos KMS (TunMirror.exe)	Políticas para desactivar Defender, servicios/driver huérfanos que rompen componentes.	Servicios y tareas: sc query, Get-Service, schtasks, registros de FRST.
Paquete SecHealthUI dañado	La app se abre en blanco o no carga secciones (Virus & amenazas, Firewall, etc.).	Comando PowerShell para listar el paquete; restablecerlo suele normalizar la UI.

Solución probada que resolvió la pantalla blanca

Lo que funcionó en el caso fue una limpieza dirigida con FRST y un fixlist.txt personalizado, seguida de reinicio. Los pasos aplicados fueron:

1. Generar un fixlist.txt específico a partir de los logs de FRST (FRST.txt y Addition.txt).
2. Guardar fixlist.txt en la misma carpeta que EnglishFRST64.exe (por ejemplo, C:\Users\...\Downloads\).
3. Ejecutar FRST y pulsar Fix.
4. Subir Fixlog.txt para verificación.
5. Reiniciar Windows cuando se solicite.

Resultado: la app Seguridad de Windows volvió a abrir correctamente, quedando resuelta la pantalla blanca.

Por qué funciona

FRST, con un fixlist hecho a medida, elimina entradas maliciosas y restos de activadores (servicios, tareas, rutas y claves de registro) que no siempre se corrigen con SFC/DISM. Al retirar los bloqueos y reparar dependencias, la interfaz Microsoft.SecHealthUI vuelve a renderizarse con normalidad.

Guía segura con FRST y fixlist personalizado

Importante: no reutilices un fixlist de otro equipo. Cada sistema tiene rutas, servicios y políticas distintas. Un fixlist ajeno puede romper tu instalación.

1. Genera los registros: ejecuta FRST y crea FRST.txt y Addition.txt.
2. Comparte los logs con el especialista que dará soporte (sin editar).
3. Recibe tu fixlist personalizado y guárdalo en la misma carpeta que EnglishFRST64.exe.
4. Ejecuta “Fix” en FRST. Espera a que termine y revisa Fixlog.txt.
5. Reinicia Windows para aplicar los cambios pendientes.
6. Valida: abre Seguridad de Windows y comprueba que ya no aparece en blanco.

Después de la limpieza, realiza un Análisis sin conexión con Defender para detectar elementos que se escondan en memoria.

No encuentro o no puedo descargar fixlist.txt

Si intentas descargar el fixlist del caso original, no lo vas a encontrar ni te servirá: se generó solo para ese equipo y suele retirarse al cerrar el caso.

Qué hacer:

1. Abre un nuevo caso o solicitud de ayuda.
2. Genera y comparte tus logs de FRST (FRST.txt y Addition.txt).
3. Recibirás un fixlist personalizado para tu equipo.
4. Ejecuta FRST → Fix → comparte Fixlog.txt → reinicia.

Guía alternativa si aún no tienes fixlist

Si todavía no cuentas con un fixlist personalizado, puedes realizar una serie de acciones seguras que resuelven muchos casos de “pantalla blanca” sin tocar entradas sensibles:

Comprobación de archivos del sistema

Abre Símbolo del sistema (Admin) y ejecuta:

sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth

Si SFC/DISM informan de correcciones, reinicia y prueba abrir la aplicación otra vez.

Restablecer la app Seguridad de Windows

Ve a Configuración > Aplicaciones > Aplicaciones instaladas > Seguridad de Windows > Opciones avanzadas > Restablecer.

O bien en PowerShell (Admin):

Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage

Ejecutar un examen sin conexión con Defender

Desde la propia app de Seguridad (cuando vuelva a abrir): Protección contra virus y amenazas > Opciones de examen > Examen sin conexión de Microsoft Defender. Alternativa en PowerShell (Admin):

Start-MpWDOScan

Verificar servicios esenciales

Comprueba el estado de los servicios clave:

sc query WinDefend
sc query SecurityHealthService

En PowerShell:

Get-Service WinDefend, SecurityHealthService | Format-Table -Auto

Revisar tareas programadas de Defender

schtasks /Query /TN "\Microsoft\Windows\Windows Defender\*" /V /FO LIST

Detectar políticas que deshabiliten Defender

Algunos malware/activadores establecen claves en Policies. Compruébalas con:

reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /s

En PowerShell:

Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -ErrorAction SilentlyContinue

Nota: No edites el registro a ciegas. Si ves valores que bloquean Defender, pide ayuda para eliminarlos con un fixlist.

Comandos útiles y propósito

Comando	Propósito
sfc /scannow	Repara archivos del sistema dañados.
DISM /RestoreHealth	Restaura la imagen de Windows cuando SFC no basta.
Reset-AppxPackage	Reinicializa la app UWP de Seguridad de Windows.
Start-MpWDOScan	Programa un examen sin conexión de Defender en el próximo inicio.
sc query / Get-Service	Verifica que los servicios WinDefend y SecurityHealthService estén en ejecución.
schtasks	Audita las tareas de mantenimiento de Defender.
reg query	Inspecciona políticas que podrían desactivar Defender.

Indicadores de amenaza: Formbook y KMS/TunMirror

Formbook es una familia de troyanos con capacidades para robar información y persistir mediante técnicas que pueden impactar servicios de seguridad. Si el historial muestra Trojan:Win32/Formbook!ml, procede con limpieza y análisis fuera de línea.

Por su parte, los activadores KMS y componentes como TunMirror.exe dejan políticas y servicios residuales que deshabilitan o dañan Defender y su UI. Estos restos son una causa frecuente de la pantalla blanca y bloqueos de la app.

Indicador	Qué sugiere	Acción recomendada
Detección de Formbook	Infección activa o restos en sistema/usuario.	FRST + fixlist, luego examen sin conexión y escaneo completo.
Servicio/driver TunMirror	Restos de activador que interfieren con Defender.	Eliminar con fixlist y revisar políticas de Defender.
Claves en HKLM\...\Windows Defender\Policy	Defender desactivado por política.	Quitar políticas con fixlist y restablecer la app.

Validación tras la reparación

Para confirmar que todo quedó en orden:

1. Abre Seguridad de Windows y verifica que todas las secciones cargan (Virus & amenazas, Firewall, Protección de cuenta, Dispositivo, Rendimiento, Control de aplicaciones y navegador, Seguridad familiar).
2. Comprueba que el servicio WinDefend está En ejecución y que las Actualizaciones de protección muestran una fecha reciente.
3. Realiza un Examen rápido y revisa que el historial no arroje errores.
4. Ejecuta Windows Update y aplica parches pendientes.

Buenas prácticas para evitar recaídas

• Elimina activadores KMS y software no confiable; pueden reinstalar servicios/ políticas nocivas.
• Activa Protección contra manipulaciones en Defender para blindar la configuración.
• Habilita Control de aplicaciones y navegador (SmartScreen) y, si es compatible, Aislamiento del núcleo.
• Usa cuentas estándar para el día a día; reserva el administrador para tareas puntuales.
• Mantén copias de seguridad y puntos de restauración antes de cambios mayores.

Preguntas frecuentes

¿Puedo usar un fixlist de Internet?
No. Un fixlist ajeno puede borrar rutas/servicios que tu sistema necesita. Siempre solicita uno personalizado con base en tus logs.

¿FRST es suficiente sin análisis?
FRST limpia y repara, pero complementa con un examen sin conexión y un escaneo completo para confirmar que no quedan amenazas.

¿SFC/DISM arreglan todos los casos?
Ayudan cuando la corrupción es de sistema. Si hay políticas maliciosas o servicios residuales, necesitarás un fixlist.

¿Cómo sé si el paquete de la app estaba dañado?
Si tras Reset-AppxPackage la interfaz vuelve a cargar y los servicios están bien, es indicio de que el problema era el paquete UWP.

Checklist rápido para casos similares

• [ ] Crear y compartir logs FRST (no usar fixlists ajenos).
• [ ] Aplicar fixlist personalizado → Fix → reinicio.
• [ ] Eliminar activadores KMS y software no confiable.
• [ ] Ejecutar sfc /scannow y DISM /RestoreHealth.
• [ ] Restablecer la app Seguridad de Windows si fuese necesario.
• [ ] Realizar Análisis sin conexión con Defender y confirmar que la app abre sin pantalla blanca.

Ruta práctica paso a paso

1. Reunir indicios: detecciones previas, síntomas, fecha aproximada del fallo.
2. Generar FRST.txt y Addition.txt.
3. Solicitar fixlist según tus logs.
4. Ejecutar Fix con FRST, reiniciar cuando lo pida.
5. Restablecer Seguridad de Windows si aún no abre bien.
6. Ejecutar Start-MpWDOScan y escaneo completo tras volver al escritorio.
7. Verificar servicios y políticas; aplicar parches pendientes.

Señales de alerta que justifican soporte especializado

• La app sigue en blanco después de SFC/DISM y reset de SecHealthUI.
• Servicios WinDefend o SecurityHealthService no inician o se detienen solos.
• Entradas sospechosas de inicio (drivers/servicios desconocidos) como TunMirror.
• Reaparición de detecciones Formbook u otras amenazas tras limpieza.

Notas técnicas adicionales

• El paquete de la app se identifica con: Get-AppxPackage -AllUsers Microsoft.SecHealthUI | Select Name, PackageFullName, Status
• Para validar que Defender ejecuta su motor: "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -SignatureUpdate "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Scan -ScanType 1
• Los registros de SFC/DISM se encuentran en C:\Windows\Logs\CBS\CBS.log y C:\Windows\Logs\DISM\dism.log.

---

Conclusión: La “pantalla blanca” en Seguridad de Windows rara vez es un mero fallo visual. En muchos casos, se debe a políticas y servicios residuales que dejan el malware y los activadores. La vía más efectiva es una limpieza dirigida con FRST + fixlist personalizado, seguida de la reparación del paquete de la app y validaciones con Defender. Así se recupera la interfaz y, sobre todo, se restablece la integridad de la protección en tiempo real.