¿Detectaste que “Servicio de protección contra amenazas avanzadas” aparece como Detenido en tu equipo? En esta guía aprenderás por qué sucede, cómo reactivarlo paso a paso y qué medidas adicionales tomar para mantener tu PC protegida, sin importar si usas Windows 10 o Windows 11.

Resumen del problema

El servicio Windows Defender Advanced Protection (oficialmente denominado Servicio de protección contra amenazas avanzadas de Microsoft Defender) es la pieza clave que mantiene el motor antivirus de Microsoft en tiempo real. Cuando se detiene, el Centro de Seguridad lanza advertencias o, peor aún, queda sin protección visible. La causa más frecuente: la presencia —o los restos— de un antivirus de terceros que deshabilita Defender de forma automática para evitar conflictos. La buena noticia es que el servicio rara vez “se rompe”; casi siempre basta con limpiar correctamente la instalación anterior y reiniciar.

Principales causas

• Antivirus de terceros activo (Kaspersky, McAfee, Norton, etc.).
• Licencia caducada de ese antivirus que sigue registrado como proveedor, pero sin firmar definiciones nuevas.
• Restos de desinstalaciones incompletas: servicios, controladores o claves en registro que aún señalan otro motor de protección.
• Políticas de grupo o directivas MDM aplicadas en entornos corporativos para desactivar Defender.
• Servicios dependientes detenidos (por ejemplo, WinDefend o SecurityHealthService) debido a cambios manuales en servicios de Windows.

Guía paso a paso para restaurar Defender

Paso	Qué hacer	Por qué funciona
Verificar antivirus instalados	Abre Configuración → Aplicaciones (o Programas y características) y comprueba si existe un antivirus de terceros instalado, incluso caducado.	Windows deshabilita automáticamente Defender cuando detecta otro antivirus para evitar conflictos.
Elegir una estrategia	• Renovar la licencia del antivirus externo • O desinstalarlo completamente (utiliza su desinstalador oficial y, si existe, su tool de limpieza).	Tras la eliminación completa, Defender se reactiva en el siguiente arranque; si prefieres el otro antivirus, basta con mantenerlo actualizado.
Reiniciar el equipo	Reinicia Windows para que los cambios surtan efecto y los servicios se inicien correctamente.	El registro de los proveedores de seguridad se recarga solo al inicio.
Comprobar el estado de Defender	Ve a Inicio → Seguridad de Windows → Antivirus y protección contra amenazas. Verifica que aparece “Activo” o que tu antivirus de terceros figura como “Proveedor principal de antivirus”.	Asegura que al menos un motor de protección en tiempo real esté activo y registrado.
Actualizar firmas y sistema	Ejecuta Windows Update y, si procede, el actualizador del antivirus externo.	Las firmas nuevas corrigen falsos positivos y añaden detecciones ante amenazas recientes.
(Opcional) Análisis de segunda opinión	Descarga un escáner autónomo (Microsoft Safety Scanner, Malwarebytes Free…) y realiza un análisis completo.	Permite detectar malware que pudo instalarse durante el período sin protección.

Profundizando en cada paso

Verificar antivirus instalados con PowerShell

Si no estás seguro de haber eliminado todas las capas de tu antiguo antivirus, ejecuta:

Get-WmiObject -Namespace "root\SecurityCenter2" -Class AntiVirusProduct | Select displayName,productState

Cada producto listado con productState diferente de 397568 indica que Windows aún lo considera activo.

Eliminar restos obstinados

Muchos fabricantes ofrecen herramientas de limpieza (cleanup utilities) que barren controladores, servicios y claves de registro persistentes. Sin esa limpieza, Defender podría continuar en “modo pasivo”. Descarga la utilidad directamente del sitio oficial del fabricante (ej.: Norton Remove and Reinstall Tool o Kavremover para Kaspersky) y ejecútala en modo administrador.

Reactivar Defender manualmente con servicios

1. Presiona Win + R, escribe services.msc y pulsa Intro.
2. Localiza Servicio Antivirus de Microsoft Defender (WinDefend) y comprueba que su tipo de inicio esté en Automático.
3. Haz clic en Iniciar. Si el botón aparece atenuado, aún hay otro antivirus registrado.

Comprobar Defender vía PowerShell

Ejecuta como administrador:

Get-MpComputerStatus | Select AMServiceEnabled,AntispywareEnabled,RealTimeProtectionEnabled

Todos los valores deberían mostrarse en True. Si alguno aparece en False, repite la verificación de antivirus de terceros.

Restaurar servicios dependientes

El servicio de protección avanzada depende de estos servicios base:

• SecurityHealthService (Centro de Seguridad)
• RpcSs (Llamada a procedimiento remoto)
• WdFilter (Driver del filtro de Defender)

Confirma en services.msc que todos estén configurados como Automático o Manual (Inicio desencadenado).

Solución alternativa: script de reparación automática

En escenarios con decenas de máquinas, un pequeño script puede ahorrar tiempo. Crea un archivo RepairDefender.ps1 con el siguiente contenido y ejecútalo en cada equipo (o a través de Intune/Endpoint Manager):

# Detiene antivirus de terceros registrados
Get-WmiObject -Namespace "root\SecurityCenter2" -Class AntiVirusProduct |
  Where-Object {$_.displayName -match "Kaspersky|McAfee|Norton"} |
  ForEach-Object {Start-Process "sc.exe" -ArgumentList "delete",$_.instanceGuid -Wait}

Fuerza inicio de servicios de Defender

Set-Service -Name WinDefend -StartupType Automatic
Start-Service -Name WinDefend
Start-MpScan -ScanType QuickScan

Preguntas frecuentes

¿Debo preocuparme si el servicio aparece detenido pero mi antivirus de terceros figura como activo?

No de inmediato. Windows Defender entra en modo pasivo de forma intencionada para no duplicar procesos de análisis. Lo importante es comprobar que el otro antivirus realmente siga actualizado y con licencia vigente.
¿Por qué Defender no se reactiva automáticamente cuando caduca el otro antivirus?

Microsoft impone relaciones estrictas con el Centro de Seguridad para evitar bucles de habilitar/deshabilitar servicios. Solo la desinstalación completa o la revocación del registro vuelve a poner a Defender en activo.
¿Puedo tener dos antivirus residentes a la vez por “más protección”?

No es recomendable. Duplicar motores en tiempo real suele generar bloqueos de archivos, falsos positivos cruzados y caída de rendimiento.

Buenas prácticas de seguridad continuas

• Programa escaneos programados fuera de horas de trabajo para minimizar el impacto en el rendimiento.
• Activa Control de aplicaciones y navegador para bloquear descargas sospechosas.
• Configura Protección contra ransomware y respalda regularmente tus archivos críticos.
• Mantén Windows Update en automático: la mayoría de vulnerabilidades se aprovechan dentro de los 14 días siguientes a su divulgación.
• Utiliza cuentas sin privilegios para navegación y correo; reserva la cuenta de administrador para tareas de mantenimiento.

Conclusión

En la mayoría de los casos, el “Servicio de protección contra amenazas avanzadas” se detiene porque Windows detecta un antivirus alternativo. El procedimiento consiste en localizar y eliminar completamente ese software, reiniciar y verificar que los servicios de Defender se inicien sin errores. Con las firmas al día y las capas de mitigación activadas, tu equipo volverá a estar protegido con la solución integrada de Microsoft.