¿Windows Update insiste en fallar al instalar KB4052623 (plataforma de Microsoft Defender) con el código 0x8024200B? En muchos casos la protección está actualizada aunque WU lo marque como error. Esta guía te muestra cómo comprobar el estado real, instalar la plataforma manualmente si hace falta y mantener la seguridad al día.

Resumen del problema y puntos clave

• Síntoma: Windows Update intenta instalar KB4052623 – Actualización de la plataforma de Microsoft Defender Antivirus y devuelve el error 0x8024200B.
• Conducta observada: El Solucionador de problemas de Windows Update no llega a ejecutarse, reiniciar o “resetear” WU no cambia el resultado, y en Modo seguro Windows Update no funciona.
• Comportamiento intermitente: El error desaparece durante un tiempo y vuelve con una versión más nueva del mismo KB (p. ej., pasa de 4.18.24060.7 a 4.18.24070.5).
• Pregunta base: ¿Cómo saber si realmente la plataforma está instalada y cómo corregir de forma fiable el problema?

Diagnóstico rápido: verifica el estado real con PowerShell

La comprobación más fiable es interrogar a Defender directamente. Abre PowerShell (Administrador) y ejecuta:

Get-MpComputerStatus | Select AMProductVersion, AMServiceVersion, AMEngineVersion, AntivirusSignatureVersion, AntispywareSignatureVersion, NISEngineVersion

Qué significa cada campo (resumen práctico):

Campo	Qué representa	Cómo interpretarlo
AMProductVersion	Versión de la plataforma de Microsoft Defender (el “marco” que aloja el motor).	Debe coincidir con la versión objetivo que intenta instalar WU (p. ej., 4.18.24060.7). Si coincide, la plataforma está instalada correctamente.
AMServiceVersion	Versión del servicio Microsoft Defender Antivirus Service (WinDefend).	Normalmente avanza junto con la plataforma; si está acorde con AMProductVersion, todo OK.
AMEngineVersion / NISEngineVersion	Versión del motor antimalware / motor de NIS.	Puede actualizarse con más frecuencia que la plataforma. Si sube, la protección sigue evolucionando.
AntivirusSignatureVersion / AntispywareSignatureVersion	Inteligencia de seguridad (firmas) para antivirus/antispyware.	Debe cambiar a diario o varias veces al día si hay conectividad; mantener esto al día es prioritario.

Conclusión rápida: Si AMProductVersion y AMServiceVersion ya muestran la versión exacta que Windows Update pretende instalar, el sistema ya está actualizado aunque WU liste una instalación fallida. En ese caso, no hay nada que corregir.

Comprobación adicional (opcional): carpetas de plataforma

La plataforma instalada reside en C:\ProgramData\Microsoft\Windows Defender\Platform. Puedes listar las versiones presentes:

Get-ChildItem "C:\ProgramData\Microsoft\Windows Defender\Platform" `
| Sort-Object Name -Descending `
| Select-Object -First 5 Name

Normalmente verás una carpeta por cada versión de plataforma. No elimines estas carpetas manualmente.

Si la plataforma está desactualizada: instalación manual y verificación

Cuando AMProductVersion esté claramente por detrás de la versión objetivo, lo más efectivo es instalar la plataforma con el instalador independiente de KB4052623 desde el Catálogo de Microsoft Update (elige la arquitectura correcta: x64, ARM64, x86).

1. Descarga: Busca “Actualización de la plataforma de Microsoft Defender Antivirus (KB4052623)” y selecciona la versión y arquitectura correspondientes a tu equipo.
2. Ejecuta el instalador: Es silencioso (no muestra confirmación). Deja que finalice.
3. Reinicia Windows.
4. Vuelve a comprobar con PowerShell: Get-MpComputerStatus | Select AMProductVersion, AMServiceVersion Si la versión coincide con la esperada, la plataforma quedó instalada.

Importante: Las actualizaciones de plataforma/firmas instaladas con el instalador independiente, con MpCmdRun.exe o desde la app Seguridad de Windows no siempre aparecen reflejadas en el Historial de Windows Update. Es normal.

¿Vuelve a fallar con una versión nueva? Cómo diagnosticar con el log

Cuando el error regresa con la siguiente iteración del KB, revisa el registro del stub de instalación:

C:\Windows\Temp\MpSigStub.log

Este archivo lo genera el instalador de Defender. Suele contener eventos del flujo de descarga, validación e instalación. Abre el archivo con el Bloc de notas tras un fallo y localiza mensajes cercanos al final. Pautas para interpretarlo:

• Mensajes de éxito parcial: Indicaciones de que se aplicó parte del paquete pero quedó pendiente otra. A veces WU repetirá el intento en la siguiente pasada y completará.
• Mensajes de conflicto/bloqueo: Si ves referencias a archivos en uso, reinicios pendientes o denegaciones de acceso, reiniciar y reintentar suele bastar.
• Códigos de salida del instalador: Busca líneas con “Exit code” o “Result”. Úsalas para soporte avanzado.

Nota práctica: En escenarios reales, el error puede “curarse solo” en pasadas posteriores de WU aunque en el Visor de eventos permanezcan entradas de intento fallido. Mientras tanto, lo prioritario es mantener firmas y motor al día.

Mitigación: mantén la protección actualizada aunque la plataforma falle

Mientras resuelves la plataforma, asegura que las firmas/motor se actualizan con regularidad. Programa una tarea que ejecute la actualización de firmas desde Microsoft:

"C:\Program Files\Windows Defender\MpCmdRun.exe" -signatureupdate -mmpc

Recomendaciones para la tarea programada:

• Configúrala para ejecutarse con “Run with highest privileges”.
• Programación: al inicio del equipo o al iniciar sesión, con repetición cada 2–3 horas.
• Condiciones: permite ejecución con el equipo con batería (según tu política) y activa la opción “Ejecutar lo antes posible si se omite un inicio programado”.

Crear la tarea desde PowerShell (opcional)

$action  = New-ScheduledTaskAction -Execute "C:\Program Files\Windows Defender\MpCmdRun.exe" -Argument "-signatureupdate -mmpc"
$trigger = New-ScheduledTaskTrigger -Once -At (Get-Date).AddMinutes(5) -RepetitionInterval (New-TimeSpan -Hours 3) -RepetitionDuration ([TimeSpan]::MaxValue)
$principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -RunLevel Highest
Register-ScheduledTask -TaskName "ActualizarFirmasDefender" -Action $action -Trigger $trigger -Principal $principal

Lo que no ayuda en este escenario

• Solucionador de Windows Update que ni siquiera llega a ejecutarse.
• Restablecer componentes de WU (“WU Reset”) sin cambios en el diagnóstico.
• Modo seguro: impide que Windows Update y varios servicios auxiliares funcionen; no es un entorno válido para instalar KB4052623.

Notas y casos relacionados

• Si ves 0x80070643 al actualizar KB5034441 (WinRE), es un problema distinto, normalmente ligado al tamaño de la partición de recuperación. Se resuelve ampliándola a ≥ 750 MB o “ocultando” ese update. Este incidente no causa el fallo de KB4052623.
• Mantener firmas actualizadas garantiza la protección diaria. La plataforma puede tardar más o requerir instalador independiente.
• Para soporte avanzado, comparte MpSigStub.log tras un intento fallido: ahí están los detalles finos del instalador.

Procedimiento paso a paso recomendado

1. Comprueba versión actual: Get-MpComputerStatus | Select AMProductVersion, AMServiceVersion Si coincide con la versión objetivo que intenta instalar WU, detente: el sistema ya está actualizado.
2. Si está desactualizado: instala KB4052623 con el instalador independiente adecuado (x64/ARM64/x86). Reinicia.
3. Vuelve a comprobar con PowerShell. Si las versiones ya coinciden, da por resuelto.
4. Si WU sigue listando error pero las versiones son correctas, considera el aviso como residual. Puedes ignorar esa entrada del historial.
5. Si el error regresa con una versión nueva:
   • Revisa C:\Windows\Temp\MpSigStub.log para ver en qué punto falla.
   • Configura la tarea de actualización de firmas con MpCmdRun.exe como mitigación.

Tabla de decisiones

Situación	Acción recomendada	Resultado esperado
WU marca fallo, pero AMProductVersion = versión objetivo	Ninguna. Opcionalmente limpia notificaciones. Continúa usando el equipo.	Plataforma ya instalada; falso positivo en WU.
Plataforma desactualizada respecto a lo que intenta WU	Instalar KB4052623 manualmente (instalador independiente) → Reiniciar → Verificar	Plataforma al día; WU puede seguir mostrando una entrada “fallida” legada.
Falla nuevamente con la siguiente versión	Analizar MpSigStub.log y mantener firmas con tarea programada -signatureupdate -mmpc	Protección vigente mientras se investiga la causa del instalador.
Modo seguro / WU Reset	Evitar. No aporta en este caso y puede confundir el diagnóstico.	Tiempo ahorrado y menos ruido en el historial.

Comprobaciones complementarias útiles

• Servicios: asegúrate de que WinDefend (Microsoft Defender Antivirus Service), wuauserv (Windows Update) y BITS (Servicio de transferencia inteligente en segundo plano) estén en ejecución. Get-Service WinDefend, wuauserv, BITS | Select Name, Status, StartType
• Event Viewer:
  • Microsoft-Windows-Windows Defender/Operational: eventos de ejecución de Defender.
  • Setup y WindowsUpdateClient: eventos de instalación y error de actualizaciones.
• Espacio en disco: verifica que la unidad del sistema tenga espacio libre suficiente para extraer e instalar la plataforma (mantén varios GB libres para evitar cuellos de botella).
• Conectividad: para firmas desde Microsoft, la tarea con -mmpc requiere acceso a Internet.

Preguntas frecuentes (FAQ)

¿Por qué Windows Update dice que falló si Get-MpComputerStatus muestra la versión correcta?

Porque el proceso de instalación/control de WU no siempre sincroniza el estado con lo que Defender ya aplicó por otra ruta (instalador independiente, experiencia en la app de Seguridad o reintentos internos). El indicador de WU puede quedar atrasado, pero el estado efectivo del producto es el que devuelve Defender.

¿Es grave mantener una plataforma anterior si las firmas y el motor están al día?

Lo prioritario es que firmas y motor se actualicen con frecuencia, lo que cubre la mayor parte de la protección diaria. Aun así, conviene llevar la plataforma al día para correcciones de compatibilidad y mejoras del servicio.

¿Puedo “arreglar” el historial de Windows Update para que deje de mostrar el error?

No es necesario. Es un tema cosmético. Si prefieres un historial “limpio”, céntrate en verificar que AMProductVersion y AMServiceVersion coinciden con la versión que WU pretendía instalar.

¿Cómo elijo la descarga correcta del Catálogo de Microsoft Update?

Verifica tu arquitectura (x64, ARM64, x86) y elige la entrada “Actualización de la plataforma de Microsoft Defender Antivirus (KB4052623)” coincidente. Evita instalar paquetes de arquitectura distinta.

¿Debo desinstalar versiones antiguas de la plataforma en …\Platform?

No. El mecanismo de Defender gestiona esas carpetas. Eliminarlas puede dejar al servicio sin archivos críticos.

¿Puedo intentar múltiples veces el instalador independiente?

Sí. Si el log indica bloqueo temporal, reinicia el equipo e intenta de nuevo. En varios casos, una pasada posterior completa la instalación sin más acciones.

Buenas prácticas para prevenir incidencias

• Mantén Windows con las actualizaciones de calidad y de seguridad al día.
• Reinicia el equipo de forma regular para completar instalaciones pendientes.
• Evita ejecutar Windows Update en Modo seguro; no es un entorno soportado para este tipo de paquetes.
• Si usas políticas corporativas o WSUS, confirma que KB4052623 está aprobado para tu versión de Windows y arquitectura.
• Programa la tarea de actualización de firmas si el equipo no está siempre encendido o no se conecta con frecuencia.

Plantillas y comandos listos para copiar

Ver todo el estado de Defender

Get-MpComputerStatus | Format-List *

Ver solo versiones clave

Get-MpComputerStatus | Select `
  AMProductVersion, AMServiceVersion, AMEngineVersion, `
  AntivirusSignatureVersion, AntispywareSignatureVersion, NISEngineVersion

Forzar actualización inmediata de firmas

Update-MpSignature

Actualizar firmas desde Microsoft (ruta directa)

"C:\Program Files\Windows Defender\MpCmdRun.exe" -signatureupdate -mmpc

Listar las últimas plataformas presentes

Get-ChildItem "C:\ProgramData\Microsoft\Windows Defender\Platform" `
| Sort-Object Name -Descending `
| Select-Object -First 3 Name

Checklist rápido (recomendado)

1. PowerShell (Admin): Get-MpComputerStatus | Select AMProductVersion, AMServiceVersion
2. ¿Desactualizado? Instala manualmente KB4052623 desde el Catálogo de Microsoft Update → Reinicia → Vuelve a comprobar.
3. ¿WU sigue marcando error / sin historial? Es normal tras instalación manual; el estado efectivo es el de Get-MpComputerStatus.
4. ¿Reincide con versión nueva? Revisa C:\Windows\Temp\MpSigStub.log y programa: "C:\Program Files\Windows Defender\MpCmdRun.exe" -signatureupdate -mmpc
5. Evita Modo seguro para WU; no aporta en este caso.

Solución resumida (en una página)

Si Windows Update falla con 0x8024200B al instalar KB4052623:

1. Comprueba AMProductVersion/AMServiceVersion con Get-MpComputerStatus. Si ya tienes la versión que WU intenta instalar, considera el problema resuelto.
2. Si no, instala KB4052623 manualmente (paquete correcto según arquitectura), reinicia y verifica.
3. Si la siguiente versión vuelve a fallar, usa MpSigStub.log para diagnóstico y programa la actualización de firmas con MpCmdRun.exe para mantener la protección.
4. No gastes tiempo en el Solucionador de WU, “WU Reset” o Modo seguro: no son efectivos aquí.

---

Con esta metodología distinguirás entre fallos cosméticos de Windows Update y verdaderas pendientes de plataforma, aplicarás el paquete correcto cuando haga falta y mantendrás la protección de Microsoft Defender en su mejor nivel día a día.