La actualización acumulativa KB5055523, publicada en abril de 2025 para Windows 11 y Windows Server 24H2, está provocando bloqueos de instalación, pantallas negras y códigos de error 0x80070306 y 0x800f0831. En esta guía encontrarás un diagnóstico completo y todas las soluciones comprobadas para volver a actualizar con éxito.
Resumen del problema
- Síntoma principal : el instalador informa “Reinicio pendiente” o se queda atascado al 100 % durante el primer arranque tras aplicar KB5055523.
- Códigos de error frecuentes: 0x80070306 (archivo bloqueado) y 0x800f0831 (paquete faltante).
- Efectos colaterales:
- Reinicios repetidos fuera del horario activo sin completar la fase 2.
- La entrada de la actualización no permite “Desinstalar” desde Historial de actualizaciones.
- En placas base con diodos LED de estado el código se queda en ámbar fijo, indicando fallo POST tras aplicar el parche.
- En servidores, Windows Update marca Safeguard Hold cuando detecta el controlador
sprotect.sysinstalado por SenseShield, Citrix Session Recording u otros productos de auditoría.
Causas conocidas
- Componentes de Windows Update dañados (carpeta
SoftwareDistributioncorrupta). - Interferencia de características de virtualización (Windows Sandbox, Hyper‑V, VirtualBox).
- Versiones preliminares (“Get the latest updates as soon as they’re available”) entregan bits firmados para anillos internos que todavía no son compatibles con todo el hardware.
- Compatibilidad negativa con antivirus de monitorización de sesiones que cargan
sprotect.sys. - Servicios BITS o Cryptographic Services detenidos durante la fase de aprovisionamiento.
Soluciones y pasos de mitigación
Aplica los métodos en orden descendente; en la mayoría de los entornos domésticos el problema queda resuelto antes de llegar al paso 5. Para administradores de TI se incluyen acciones seguras de WSUS e Intune.
| Nº | Método | Cuándo aplicarlo | Resultado esperado |
|---|---|---|---|
| 1 | Comprobar Historial de actualizaciones y desinstalar si aparece parcialmente instalada | Primer diagnóstico | Confirma si la instalación quedó a medias y libera el sistema |
| 2 | Solucionador de problemas de Windows Update (Configuración → Sistema → Solucionar problemas) | Fallos genéricos sin código | Repara configuraciones menores automáticamente |
| 3 | Reiniciar componentes de Windows Updatenet stop wuauserv net stop bits net stop cryptSvc net stop msiserver ren %systemroot%\SoftwareDistribution SoftwareDistribution.old ren %systemroot%\System32\catroot2 catroot2.old net start msiserver net start cryptSvc net start bits net start wuauserv | Errores de descarga o instalación interrumpida | Limpia la caché corrupta y restaura dependencias |
| 4 | Usar la opción Reinstalar ahora (Sistema → Recuperación) | Cuando los pasos 1‑3 no resuelven | Reparación in‑place sin perder apps ni archivos |
| 5 | Desactivar Windows Sandbox y reiniciar | La barra avanza al 100 % y revierte | Elimina conflictos con la pila de virtualización |
| 6 | Desactivar “Obtener las últimas actualizaciones en cuanto estén disponibles” | Descarga que se reinicia en bucle | Fuerza el canal estándar, evita bits preliminares |
| 7 | Identificar Safeguard Hold (registro HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\...) | Equipos con sprotect.sys | No forzar instalación; esperar parche de compatibilidad o probar en laboratorio |
| 8 | Actualizar mediante ISO o Asistente de Instalación | Error persistente 0x800f0831 | Instala componentes faltantes desde la imagen completa |
| 9 | Esperar el siguiente parche mensual | Sin impacto crítico y producción estable | El próximo CU suele incluir correcciones y levantar el hold |
Detalle práctico de cada método
Verificar estado parcial. En Configuración → Windows Update → Historial, si KB5055523 aparece con “Instalación en curso” y Requiere reinicio, pulsa Desinstalar. Al reiniciar, Windows revierte los cambios y libera la cola.
Ejecutar el solucionador. Este asistente comprueba servicios, registros CAB y descriptores de manifiesto. El 90 % de los errores tipo “servicio no inició” quedan resueltos en menos de cinco minutos.
Reiniciar la pila de Windows Update. El script anterior detiene los servicios dependientes, hace copia de seguridad de las carpetas que almacenan catálogos y reinicia todo. Es seguro y no elimina tu catálogo WSUS local.
Reparación in‑place. Usa la función Reinstalar ahora; descarga automáticamente la ISO correcta, monta la imagen y verifica la integridad de 45000 archivos del sistema. Suele tardar 25‑40 min en SSD.
Deshabilitar Windows Sandbox. Ve a Características de Windows, desmarca Sandbox y reinicia. El host Hyper‑V liberará la partición y el instalador completará la fase de “Safe OS” sin conflicto de controladores VMBus.
Desactivar actualizaciones preliminares. En entornos Insider o CB (Current Branch) se habilita el bit Get the latest updates…. Desactivarlo renumera los paquetes de prerelease y fuerza al cliente a descargar solo el canal “LDR” estable.
Detectar y respetar el Safeguard Hold. Ejecuta:
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\TargetVersionUpgradeExperienceIndicators" /v ActionReasonSi el DWORD contiene 0x0000000C (Safeguard Hold), Windows ha bloqueado la instalación porque encontró sprotect.sys. No uses forzado via DisableWUfBSafeguards en producción.
Instalación in‑place con ISO. Descarga Media Creation Tool, monta la ISO y ejecuta setup.exe /auto upgrade /quiet /noreboot. El instalador incluye componentes faltantes que la actualización delta no traía.
Esperar el próximo parche. Microsoft suele reagrupar correcciones en el acumulativo siguiente. Mientras, habilita Pausar actualizaciones durante 35 días para evitar reinicios fuera de horario.
Buenas prácticas para administradores de TI
- WSUS/ConfigMgr: Declinar KB5055523 en el anillo de producción y aprobarla solo en un grupo piloto de máquinas de laboratorio.
- Intune: Crea un Update Ring con “Reinicios activos = 0” y plazo de gracia de 7 días, así evitas bucles de arranque en portátiles fuera de sede.
- GPO: Habilita No auto‑restart with logged on users para reducir interrupciones mientras investigas.
- Supervisión: Configura alertas en Event ID 20 (Windows Update Failure) y 3006 (Windows Quality Update) para detectar temprano fallos masivos.
- Rollback: Mantén imágenes de referencia actualizadas. Si KB5055523 causa BSOD en un servidor crítico, restauras la instantánea de Hyper‑V en minutos.
Preguntas frecuentes (FAQ)
¿Por qué “Reinicio pendiente” persiste varias horas?
El instalador espera que el servicio TrustedInstaller termine de procesar Pending.xml. Si la cola se corrompe, se queda bloqueada. Reiniciar la cola de componentes (paso 3) reescribe este archivo.
¿Qué ocurre si borro SoftwareDistribution?
Windows la recrea automáticamente al reiniciar BITS y Windows Update. Solo perderás el historial local de actualizaciones, no las que siguen instaladas.
¿Puedo ocultar KB5055523?
Sí. Descarga la herramienta wushowhide.diagcab, marca la actualización y selecciona Hide. El cliente dejará de ofrecerla hasta la siguiente versión.
Tras el fallo la pantalla queda en negro, ¿qué hago?
Efectúa un ciclo de energía: desconecta alimentación, pulsa el botón de encendido 15 s para descargar los condensadores y aguarda 5 min. Luego revisa el orden de arranque en BIOS; algunas placas lo cambian automáticamente al detectar errores de UEFI.
¿El error 0x800f0831 puede indicar falta de .NET 3.5?
No en este caso. Se trata de un paquete de componente asociado a Microsoft‑Windows‑Foundation‑Packages que no se encuentra en el almacén local. La ISO in‑place (paso 8) aporta los archivos que faltan.
Conclusión
KB5055523 corrige vulnerabilidades críticas y por ello conviene aplicarla, pero los fallos descritos han afectado a un número significativo de usuarios y servidores. Siguiendo el orden de acciones de esta guía —diagnóstico, limpieza de la pila, reparación in‑place y respeto de los salvaguardas de Microsoft— podrás volver a un estado operativo sin comprometer la estabilidad ni la seguridad.