Microsoft Defender Offline se detiene al 91 %: causas y soluciones definitivas

¿El análisis sin conexión de Microsoft Defender parece quedarse congelado al 91 % y tu PC se reinicia sin eliminar las amenazas? Esta guía exhaustiva explica por qué ocurre, cómo comprobar si el examen concluyó realmente y qué pasos aplicar para garantizar una desinfección completa y fiable.

Qué es Microsoft Defender Offline y por qué es tan eficaz

Microsoft Defender Offline (MDO) es el modo de análisis profundo que arranca fuera de Windows. Se carga antes de que se inicien servicios, controladores y malware residentes, lo que le permite detectar amenazas que un análisis “en línea” no puede desbloquear. Al ejecutarse con un motor mínimo basado en Windows PE, MDO tiene acceso sin restricciones a:

• Archivos del núcleo del sistema y claves protegidas del Registro.
• El sector de arranque y la partición del sistema EFI/MBR.
• Controladores que podrían estar ocultando rootkits o bootkits.

Cuando el motor finaliza su trabajo, fuerza una salida controlada y reinicia el equipo para volver al sistema operativo principal.

Por qué el progreso se detiene aparentemente al 91 – 93 %

La causa habitual es un desfase visual entre la barra de progreso y las tareas reales. A partir de ~59 000 objetos analizados, Defender pasa a fases internas de:

1. Reparación o cuarentena de elementos.
2. Borrado de copias sombra infectadas.
3. Reescritura de metadatos de arranque (MBR / GPT).

Estas operaciones no actualizan el contador de archivos, por lo que el porcentaje queda estancado. Cuando terminan, el motor necesita reiniciar para completar la limpieza y desbloquear archivos en uso. De ahí que el usuario vea el reinicio justo al 91 – 93 % y lo interprete como un fallo.

Cómo comprobar si el análisis realmente concluyó

1. Inicia sesión tras el reinicio y abre Seguridad de Windows → Historial de protección → Filtrar → Acciones realizadas.
2. Busca entradas con la hora del análisis offline. Si aparece «Amenazas resueltas» o código 0×0 (operation completed successfully), el examen finalizó con éxito.
3. Navega a %ProgramData%\Microsoft\Windows Defender\Support y abre el archivo más reciente MPLog-*.txt. Localiza la línea:
   Scan finished. Return code = 0x0
4. Opcional: revisa el Visor de eventos → Registros de aplicaciones y servicios → Microsoft → Windows → Windows Defender → Operational para determinar la fase exacta en la que se reinició.

Tabla de problemas y soluciones rápidas

Qué sucede	Por qué ocurre	Cómo comprobarlo o resolverlo
El indicador se queda en 91 % y el PC se reinicia.	Trabajo de limpieza posterior al análisis. El contador no refleja las últimas fases.	Ver Historial de protección o MPLog-*.txt y confirmar código 0x0.
Tras reiniciar siguen apareciendo amenazas.	Firmas obsoletas, archivos bloqueados o corrupción en sistema/arranque.	Actualizar firmas, ejecutar sfc /scannow y DISM /RestoreHealth, suspender BitLocker o desactivar Arranque rápido.
Botón “Iniciar acciones” no elimina detecciones.	Los objetos estaban bloqueados durante el arranque.	Iniciar desde USB de MDO, repetir examen en Modo seguro, pasar Microsoft Safety Scanner.
La app Seguridad de Windows no abre o muestra errores.	App SecHealthUI dañada.	Restablecer con PowerShell: Get-AppxPackage SecHealthUI | Reset-AppxPackage y reiniciar.

Causas comunes de interrupción prematura

Firmas antimalware desactualizadas

Si llevas semanas sin conectar el PC, MDO utilizará definiciones obsoletas incluidas en la imagen de recuperación. En tal caso:

• Arranca Windows normalmente, abre Actualización y seguridad y descarga las firmas más recientes.
• Vuelve a lanzar Defender Offline para que incorpore las nuevas definiciones.

Arranque rápido (Fast Startup)

El modo de hibernación híbrido de Windows escribe el kernel en disco; al volver a arrancar, ciertos controladores permanecen bloqueados y entorpecen la limpieza. Desactívalo temporalmente:

1. Panel de control → Opciones de energía → Elegir comportamiento de los botones de inicio/apagado.
2. Desmarca «Activar inicio rápido» y guarda.

BitLocker o cifrado de dispositivo

Si la unidad del sistema está protegida y la clave no se desbloquea automáticamente, Defender no puede acceder a las particiones. Suspende BitLocker antes de analizar:

manage-bde -protectors C: -disable -rebootcount 1

Sector de arranque dañado

Una caída de energía o un malware de bajo nivel puede corromper el MBR/GPT. Los síntomas incluyen repetidos reinicios sin conclusiones de análisis. Repara el arranque:

bootrec /fixmbr
bootrec /fixboot
bootrec /rebuildbcd

Guía paso a paso para solucionar el problema

1. Actualiza Windows y las firmas de Defender.
2. Repite el análisis offline. Si vuelve a pararse al 91 %, procede al paso 3.
3. Ejecuta comprobaciones de integridad del sistema:
   sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth
4. Desactiva Fast Startup y suspende BitLocker.
5. Crea un USB de MDO:
   1. Descarga la herramienta Defender Offline Media Creator desde la página de Microsoft.
   2. Inserta un pendrive ≥ 4 GB y sigue el asistente para descargar la imagen.
   3. Arranca desde el USB y deja que se complete el proceso (no debería atascarse).
6. Si persisten detecciones no resueltas, instala Microsoft Safety Scanner o un antimalware contrastado (ESET Online Scanner, Malwarebytes, etc.).
7. Alternativamente, restaura el sistema a un punto anterior o recupera una copia de seguridad limpia.

Procedimiento detallado para crear un medio USB de Microsoft Defender Offline

El USB independiente contiene las firmas más recientes e ignora completamente la instalación de Windows, garantizando la eliminación de amenazas enclavadas:

1. Descarga la versión actual de microsoftdefenderoffline.exe.
2. Ejecútalo y selecciona «Crear medio de inicio en unidad USB».
3. Tras la descarga (~600 MB), el asistente aplicará un formato FAT32 y copiará la imagen de arranque.
4. En BIOS/UEFI, configura el USB como primer dispositivo de inicio.
5. Deja que el escáner trabaje; la UI mostrará la misma barra de progreso, pero terminará y solicitará extraer el pendrive.
6. Al reiniciar Windows, revisa Historial de protección.

Otras herramientas complementarias

Si las firmas de Defender no abarcan una variante concreta o el daño en el sistema es profundo, considera:

• Malwarebytes Free / Kaspersky Virus Removal Tool: motores con heurística diferente.
• Rkill: detiene procesos maliciosos que reactivan infecciones.
• Autoruns: identifica autoarranques sospechosos en registro, servicios y tareas programadas.
• Revisión manual de políticas de grupo para detectar restricciones de Defender impuestas por malware (gpedit.msc → Plantillas administrativas → Componentes de Windows → Microsoft Defender Antivirus).

Preguntas frecuentes

¿Es normal el reinicio sin aviso?

Sí. MDO opera en entorno de pre‑arranque y programa un reinicio automático para descargar los componentes y volver al SO anfitrión.

¿Puedo interrumpir el scan si tarda horas?

No se recomienda: los archivos críticos podrían quedar en estado inconsistente. Si llevas más de 8 h y el disco no muestra actividad, revisa el log y fuerza el apagado solo como último recurso.

¿Funciona igual en Windows 10 y Windows 11?

La tecnología es la misma; sin embargo, las versiones de firmware y arranque seguro de Windows 11 pueden requerir suspender BitLocker o Secure Boot para arrancar desde USB.

¿Debo desinstalar otros antivirus antes de usar MDO?

Sí. Los paquetes que incluyen controladores de filtrado (Norton, McAfee, Avast) pueden interferir con la capa de FS de Defender en modo offline y provocar falsos bloqueos.

Conclusión y buenas prácticas

Un supuesto “bloqueo” al 91 % no suele indicar fallo, sino una fase final no visualizada del análisis. Comprueba siempre el historial y los registros antes de asumir un error. Mantén Windows y las firmas al día, desactiva características que limiten el acceso al disco (Fast Startup, BitLocker) y recurre a un USB de Defender Offline para la limpieza definitiva. Con estas precauciones, el examen completará su recorrido y cualquier amenaza real se eliminará de forma permanente.

Pasos rápidos de solución

1. Actualiza Windows y firmas, repite el análisis.
2. Confirma códigos 0x0 en Historial o MPLog.
3. Repara el sistema con SFC y DISM.
4. Arranca desde USB de Defender Offline.
5. Si persiste la infección, usa otro antimalware o restaura una copia limpia.