Windows 7 dejó de recibir firmas de virus a través de Windows Update el 21‑feb‑2025, pero Microsoft Security Essentials (MSE) todavía puede actualizarse con algunos ajustes. Esta guía exhaustiva explica por qué se cortó la vía automática, cómo restaurarla (cuando es posible) y, sobre todo, qué métodos prácticos garantizan que tu antivirus siga protegiendo tu PC.
Estado de las actualizaciones de MSE después de febrero 2025
Desde el 21‑feb‑2025, numerosos usuarios reportaron que el paquete KB2310138 – Definition Update for Microsoft Security Essentials dejó de llegar por Windows Update en Windows 7 SP1. El sistema simplemente muestra “Sin actualizaciones disponibles”, aunque las firmas sigan publicándose cada pocas horas para Windows 10/11 y Windows Server. En esencia, Microsoft cerró el canal de distribución vía Windows Update únicamente para Windows 7, no la generación de firmas en los servidores de protección contra malware.
Por qué desapareció la ruta Windows Update
- El backend de Windows Update para Windows 7 mantuvo compatibilidad con TLS 1.0/1.1. Microsoft finalizó el soporte para estos protocolos inseguros, migrando a TLS 1.2+.
- Windows 7 no trae TLS 1.2 habilitado por defecto; sin parches, las conexiones de Windows Update fallan al negociar un protocolo compatible.
- Aunque Microsoft no ha publicado un comunicado oficial, los reportes coinciden con el cambio de seguridad que bloquea peticiones obsoletas.
Métodos comprobados para seguir recibiendo firmas
| Método | Resultado reportado | Comentarios clave |
|---|---|---|
| Windows Update (automático) | Detenido a partir del 21‑feb‑2025 | Requiere habilitar TLS 1.2 para reactivarlo; no siempre funciona. |
| Pestaña Update directa en MSE | Funciona de forma intermitente; muchos usuarios obtienen firmas recientes (ej. 1.425.89.0+) | Usa los mismos servidores de Microsoft Defender, no depende de Windows Update. |
Descarga manual de mpam-fe.exe/mpas-fe.exe | 100 % fiable | Se descarga el ejecutable diario de definiciones y se instala con doble clic. |
| Instalar KB3140245 y activar TLS 1.2 | Restauró la descarga automática a algunos usuarios | Obligatorio reiniciar y ejecutar el Easy Fix que modifica el registro. |
Guía paso a paso para cada método
Actualizar desde la interfaz de MSE
- Inicia MSE y cambia a la pestaña Actualización.
- Haz clic en Actualizar definiciones.
- Observa la barra de progreso y confirma que la Versión de definición antivirus suba.
- Si falla con error 0x80240022 o similar, pasa al siguiente método.
Restaurar Windows Update habilitando TLS 1.2
Conviene intentarlo: restaura la actualización automática nocturna sin intervención.
- Descarga e instala KB3140245 (Actualización de soporte para TLS 1.2). Si Windows indica que ya está instalada, continúa.
- Ejecuta el script oficial Easy Fix (SHA‑256 verificado) que inyecta las claves de registro necesarias:
Windows Registry Editor Version 5.00
[HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
"DisabledByDefault"=dword:00000000
[HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"Enabled"=dword:00000001
"DisabledByDefault"=dword:00000000
- Reinicia el equipo.
- Abre Panel de control ► Windows Update ► Buscar actualizaciones. Con suerte, volverás a ver paquetes Definition Update for MSE varias veces al día.
Aviso: en equipos que usen proxies, filtros de contenido o antivirus corporativo, asegúrate de que los dominios .download.windowsupdate.com y .microsoft.com no estén interceptados.
Descarga manual de definiciones
Cuando todo lo demás falla, la descarga manual es infalible:
- Visita el portal Microsoft Defender Updates (en otro equipo si tu navegador es obsoleto) y descarga mpam-fe.exe (32 bits) o mpam-fe.exe (64 bits) según tu arquitectura.
- Copia el archivo al PC con Windows 7.
- Haz doble clic; el instalador extrae las firmas, actualiza el motor y muestra “Definiciones instaladas correctamente”.
Automatizar la descarga con PowerShell
Para evitar hacerlo a mano cada día, usa el siguiente script que:
- Detecta si el sistema es 32 o 64 bits.
- Obtiene la URL más reciente de mpam-fe.
- Descarga el archivo a
C:\Temp\MSE. - Lo ejecuta en silencio.
Param(
[string]$DownloadPath = "C:\Temp\MSE"
)
function Get-MSEUrl {
$arch = if ([Environment]::Is64BitOperatingSystem) { "amd64" } else { "x86" }
# La URL raíz rara vez cambia; sólo varían los últimos segmentos
$json = Invoke-RestMethod -Uri "https://definitionupdates.microsoft.com/downloadfiles.aspx"
$item = $json.Files | Where-Object { $_.FileName -match "$arch.*mpam-fe.exe" } | Select-Object -First 1
return $item.Url
}
if (-not (Test-Path $DownloadPath)) { New-Item -ItemType Directory -Path $DownloadPath | Out-Null }
$url = Get-MSEUrl
$file = Join-Path $DownloadPath "mpam-fe.exe"
Invoke-WebRequest -Uri $url -OutFile $file
Start-Process -FilePath $file -ArgumentList "/quiet" -Wait
Remove-Item $file
Guárdalo como Update-MSE.ps1 y programa una tarea diaria en el Programador de tareas de Windows para que se ejecute a las 02:00 a.m. También puedes añadir un disparador de evento (ID 2001 en Microsoft Antimalware) para actualizar sólo cuando MSE lo solicite.
Buenas prácticas de seguridad con MSE en 2025
- Mantén actualizadas las definiciones al menos una vez al día; Microsoft libera de tres a seis lotes cada 24 h.
- Programa un análisis rápido diario y un análisis completo semanal en MSE ► Configuración ► Programado.
- Activa la creación de punto de restauración antes de instalar parches o definiciones grandes.
- Verifica la versión del motor (Antimalware Client Version) trimestralmente; si se estanca, reinstala MSE 4.10.209.0, la última versión oficial para Windows 7.
- No desactives Firewall de Windows; MSE confía en él para bloquear comportamientos sospechosos.
Limitaciones y alternativas
Aunque MSE siga recibiendo firmas, Windows 7 quedó sin parches de seguridad del sistema en enero 2020 y terminó su Extended Security Updates corporativo en enero 2023. Por ello:
- Plantea migrar a Windows 10 LTSC 2021 o Windows 11 si tu hardware lo permite.
- En entornos donde no es viable actualizar el sistema, considera un antivirus de terceros con soporte explícito para Windows 7 (ej. Kaspersky Small Office, ESET Endpoint 9) y parches de su driver de red.
- Aíslate detrás de un cortafuegos perimetral y deshabilita SMB 1.0 para minimizar vectores de ataque.
Preguntas frecuentes
¿Puedo instalar una versión reciente de Windows Defender en Windows 7?
No. Windows Defender moderno (basado en la plataforma SENSE) exige Windows 10+. En Windows 7, Defender sólo provee antispyware básico y queda deshabilitado al instalar MSE.
¿Existe riesgo legal o de soporte al usar MSE fuera de ciclo?
Microsoft no prohíbe su uso particular; simplemente no garantiza soporte. Para empresas sujetas a auditorías, la ausencia de parches de OS puede incumplir normativas como ISO 27001.
¿La versión de definiciones de Windows 7 es idéntica a la de Windows 11?
Sí. El motor mpam-fe.exe contiene las mismas firmas SHA‑256 y heurísticas, sólo cambia el instalador.
¿Por qué mi fecha de última actualización retrocede al reiniciar?
Si la base de datos se corrompe, MSE restaura la copia “firmware”. Elimina la carpeta %ProgramData%\Microsoft\Microsoft Antimalware\Definition Updates y vuelve a descargar las firmas.
Conclusiones
Aunque Windows Update ya no distribuya KB2310138 para Windows 7, Microsoft sigue publicando definiciones de malware. La ruta de actualización directa en MSE funciona la mayoría de las veces; cuando falla, habilitar TLS 1.2 restaura el canal clásico. En escenarios más restrictivos, la descarga manual —o mejor aún, la automatización con PowerShell— asegura protección continua. No olvides, sin embargo, que Windows 7 carece de parches críticos: la seguridad perfecta pasa por actualizar el sistema operativo o aislarlo estrictamente.
Si tu PC depende de Windows 7 por software legado, combina estas prácticas con copias de seguridad frecuentes, privilegios mínimos y segmentación de red. La seguridad es una estrategia por capas; mantener las firmas de MSE al día es sólo el primer paso.