¿El servicio “Windows Defender Firewall” se queda atascado en “Deteniendo” tras actualizar a Windows 11 y la Microsoft Store tampoco descarga apps? Aquí tienes una guía práctica y comprobada para corregir el error 0x800706D9/There are no endpoints available from the endpoint mapper restaurando BFE/MpsSvc/SharedAccess y saneando la red.

Qué verás exactamente cuando ocurre el problema

• En services.msc, el servicio Windows Defender Firewall (MpsSvc) aparece como Deteniendo (Stopping) y las opciones están en gris (no puedes Iniciar/Detener).
• El servicio Base Filtering Engine (BFE) y, a veces, Uso compartido de conexión a Internet (SharedAccess/ICS) muestran errores de inicio o dependencias incumplidas.
• Al abrir Seguridad de Windows → Firewall y protección de red puede mostrarse un estado desconocido o error al cargar el complemento (MMC).
• PowerShell o ciertas herramientas devuelven: There are no endpoints available from the endpoint mapper.
• Microsoft Store no descarga ni actualiza aplicaciones. Al intentar descargar, la cola queda “pendiente” o falla sin código claro.
• En ocasiones, aparece el código 0x800706D9 en el Visor de eventos o en el complemento de Firewall avanzado.

Síntoma	Indicio técnico	Componente implicado
MpsSvc atascado en “Deteniendo”	SDDL/ACL del servicio dañados o dependencias rotas	MpsSvc (depende de BFE)
Error 0x800706D9	No hay más endpoints disponibles del endpoint mapper	Pila WFP (BFE) / Servicio RPC
Store no descarga	La plataforma depende de Firewall/WFP para aislamiento de red	Microsoft Store + Política de Firewall

Qué está pasando realmente (diagnóstico técnico)

Windows 11 basa su filtrado de red en WFP (Windows Filtering Platform). El servicio Base Filtering Engine (BFE) es el corazón de WFP y, a su vez, el servicio Windows Defender Firewall (MpsSvc) depende de BFE para funcionar. Si las claves de registro o los descriptores de seguridad (SDDL) de BFE/MpsSvc y, en algunos casos, de SharedAccess (ICS) se dañan o pierden permisos, el Firewall no puede iniciar correctamente y se queda “colgado” en Deteniendo.

Cuando eso ocurre, el sistema y varias aplicaciones (como Microsoft Store) dejan de comunicarse con normalidad porque las interfaces WFP y las reglas del Firewall no se aplican, lo que genera errores como 0x800706D9 y el mensaje de endpoint mapper.

Solución recomendada: restaurar claves y permisos del Firewall automáticamente

La vía más efectiva es restaurar las claves de registro y permisos correctos de BFE, MpsSvc y SharedAccess mediante un paquete de reparación que reescribe los SDDL y valores predeterminados. Esta solución es la que más casos ha resuelto y suele reparar, de paso, los fallos de la Microsoft Store derivados del mismo problema.

Pasos seguros previos

1. Crea un punto de restauración: busca “Crear un punto de restauración” → Crear.
2. Inicia sesión con una cuenta de administrador.

Aplicar la reparación automática

1. Crea la carpeta C:\Registry.
2. Obtén el paquete de reparación para tu versión de Windows (Windows 10/11) y extrae su contenido. Deberías ver 4 archivos (incluye un Run.bat y archivos .reg/auxiliares).
3. Copia esos 4 archivos dentro de C:\Registry.
4. Haz clic derecho sobre Run.bat → Ejecutar como administrador.
5. Espera a que la ventana de consola termine y reinicia Windows.

Qué hace el procedimiento:

• Restaura las claves de registro de HKLM\SYSTEM\CurrentControlSet\Services\BFE, HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc y HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess a sus valores válidos.
• Vuelve a aplicar los permisos/SDDL correctos sobre los servicios para que el sistema y las cuentas de servicio puedan iniciarlos/administrarlos.
• Repara dependencias entre BFE → MpsSvc y limpia incoherencias típicas que dejan algunos antivirus/firewalls de terceros.

Resultados esperados tras reiniciar: los servicios BFE y MpsSvc arrancan normalmente, Firewall y protección de red muestra verde, y la Microsoft Store vuelve a descargar/actualizar.

Si el script da “Access denied” o no se deja ejecutar

1. Arranca en Modo seguro: Configuración → Sistema → Recuperación → Inicio avanzado → Reiniciar ahora → Solución de problemas → Opciones avanzadas → Configuración de inicio → Reiniciar → elige “Habilitar modo seguro con funciones de red”.
2. En Modo seguro, vuelve a C:\Registry, clic derecho en Run.bat → Ejecutar como administrador.
3. Reinicia de nuevo en modo normal.

Antivirus/firewalls de terceros

Residuos de soluciones como suites de seguridad pueden bloquear BFE/MpsSvc. Desinstálalas por completo usando su herramienta oficial de limpieza y reinicia. Evita tener dos firewalls activos a la vez. Tras la limpieza, aplica de nuevo el paquete de reparación si fuera necesario.

Medidas complementarias de red (no sustituyen a la reparación)

Después de restaurar claves/SDDL, conviene limpiar el estado de la red y las reglas para evitar arrastres.

netsh advfirewall reset
netsh winsock reset

• netsh advfirewall reset devuelve la directiva del Firewall a valores predeterminados.
• netsh winsock reset reinicializa el catálogo Winsock (puede eliminar ganchos de software antiguo).

Tras ejecutarlos, reinicia.

Comprobaciones rápidas después del arreglo

1. Verifica el estado de los servicios:

sc query bfe
sc query mpssvc

Ambos deben mostrar STATE: 4 RUNNING.

2. Abre Seguridad de Windows → Firewall y protección de red; las tres redes deberían aparecer como “activadas” sin alertas.
3. Prueba la Microsoft Store. Si aún falla, ejecuta:

wsreset

La ventana de la Store se abrirá con la caché limpia.

Pasos avanzados si sigues atascado

Si por políticas de seguridad, daños mayores o permisos extremadamente rotos el paquete no se puede aplicar, usa estas alternativas con precaución.

Restaurar descriptores de seguridad del sistema (secedit)

Esta opción restablece una amplia gama de permisos/SDDL del sistema a sus valores predeterminados. Puede tardar y revertir personalizaciones de seguridad locales.

secedit /configure /cfg %windir%\inf\defltbase.inf /db %windir%\security\database\defltbase.sdb /verbose

Al terminar, reinicia y comprueba sc query bfe y sc query mpssvc. Si el error provenía de SDDL de servicios, esta acción suele normalizarlos.

Restablecer la red desde la interfaz de Windows

En Configuración → Red e Internet → Configuración de red avanzada → Restablecimiento de red. Esto reinstala adaptadores y restablece componentes de red (desinstalará controladores de VPN: toma nota para reinstalarlos). Reinicia al finalizar y ejecuta de nuevo la reparación del Firewall si es necesario.

Revisar directivas locales o de dominio

Si tu PC está en un dominio/tenant, valida que ninguna GPO deshabilite o interfiera con Windows Defender Firewall:

• Directiva de equipo → Configuración de Windows → Configuración de seguridad → Servicios del sistema → “Windows Defender Firewall” no debe estar en Deshabilitado.
• Plantillas administrativas → Red → Conexiones de red → Firewall de Windows Defender → comprueba que los perfiles (Dominio, Privado, Público) no estén forzados a desactivado.

Comprobar integridad del sistema

Aunque DISM /RestoreHealth no te ayudara inicialmente, conviene revisar con SFC tras corregir permisos:

sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth

Si SFC repara archivos y luego DISM confirma imagen sana, vuelve a validar sc query y el estado del Firewall.

Reparación in situ de Windows 11 (manteniendo apps y datos)

Como último recurso, monta una ISO de Windows 11 igual o superior a tu versión y ejecuta setup.exe seleccionando “Conservar archivos y aplicaciones”. Este repair install repara componentes del sistema, servicios y registros sin formatear. Tras el proceso, repite las comprobaciones del Firewall y la Store.

Cómo validar que el Firewall opera bien

• En PowerShell (administrador):

Get-NetFirewallProfile | Format-Table Name, Enabled

Todos los perfiles deberían aparecer con Enabled en True.

• Comprueba reglas básicas activas:

Get-NetFirewallRule -Enabled True | Select-Object -First 5 | Format-Table DisplayName, Direction, Action

• Valida la consola avanzada: wf.msc debe abrir sin errores y mostrar el panel de resumen. Si aparece el complemento dañado, vuelve al paquete de reparación o a secedit.

Relación entre 0x800706D9, “endpoint mapper” y Microsoft Store

El código 0x800706D9 y el mensaje “There are no endpoints available from the endpoint mapper” indican que una llamada RPC no pudo resolverse a un servicio de destino, lo que en este escenario suele deberse a que BFE/MpsSvc no exponen sus interfaces al sistema por permisos/registro dañados. Dado que la Store, los servicios UWP y varias APIs modernas usan el aislamiento de red controlado por el Firewall, cualquier caída en WFP/Firewall repercute en descargas y actualizaciones. Por eso, cuando arreglas BFE/MpsSvc, también se suele arreglar la Store.

Buenas prácticas para evitar que vuelva a ocurrir

• Evita tener dos firewalls simultáneamente. Si instalas un firewall de terceros, permite que desactive correctamente el de Microsoft; al desinstalarlo, usa su tool de limpieza.
• Mantén Windows 11 actualizado e instala controladores de red firmados por el fabricante.
• No “tunes” servicios críticos como BFE/MpsSvc con tweakers. Un SDDL mal modificado deja el equipo sin protección ni conectividad fiable.
• Crea puntos de restauración antes de grandes cambios de seguridad o suites antivirus.

Checklist de resolución (resumen ejecutivo)

1. Restaurar BFE/MpsSvc/SharedAccess con el paquete de reparación automático y reiniciar.
2. Si da Access denied, repetir en Modo seguro con funciones de red.
3. Eliminar residuos de antivirus/firewalls de terceros con su herramienta oficial de limpieza y reiniciar.
4. Limpiar red: netsh advfirewall reset netsh winsock reset
5. Comprobar servicios: sc query bfe sc query mpssvc
6. Probar Microsoft Store; si falla, ejecutar wsreset.
7. Si persiste: secedit para restaurar SDDL del sistema o reparación in situ de Windows 11.

Tabla de decisión rápida

Situación	Acción recomendada	Objetivo
MpsSvc atascado en “Deteniendo”	Paquete de reparación BFE/MpsSvc/SharedAccess	Restaurar claves y SDDL
Run.bat devuelve “Access denied”	Ejecutar en Modo seguro (admin)	Bypass de bloqueos a permisos
Store sigue sin descargar	wsreset; comprobar perfiles de Firewall habilitados	Regenerar caché UWP
Entorno corporativo	Revisar GPO de Firewall y Servicios del sistema	Evitar que la directiva lo desactive
Error persiste tras reparar	secedit o reparación in situ	Restaurar seguridad base o componentes

Preguntas frecuentes

¿Basta con “Restaurar predeterminados” desde la app de Seguridad de Windows?

No. Esa opción restablece reglas del Firewall, no la integridad del servicio. Si BFE/MpsSvc tienen permisos/registro dañados, la consola ni siquiera carga correctamente. Por eso el paquete de reparación (o secedit) es clave.

¿Por qué el servicio muestra “Deteniendo” y no vuelve a “Iniciado” o “Detenido”?

Porque el controlador/servicio queda en un estado inconsistente al fallar la inicialización con permisos incorrectos. El administrador de servicios intenta parar/iniciar pero no puede cerrar el identificador o completar la operación. Restaurar SDDL/registro corrige el estado.

Uso VPN/antivirus de terceros. ¿Debo desinstalar?

Si. Algunas suites insertan filtros o cambian ACL/SDDL. Desinstálalas con su desinstalador y su herramienta de limpieza. Tras reiniciar, rehacer la reparación del Firewall y luego reinstalar la suite si es imprescindible.

¿Qué relación hay entre BFE, MpsSvc y SharedAccess?

BFE implementa la plataforma de filtrado; MpsSvc administra reglas/perfiles del Firewall y usa BFE; SharedAccess habilita ICS y algunas dependencias de red. Si cualquiera queda roto, el conjunto puede fallar.

¿Puedo editar el registro a mano para arreglarlo?

Es posible, pero no recomendable sin la SDDL exacta y los valores correctos. Un error puede dejar el sistema sin red. Usa el paquete de reparación probado o, si no es viable, secedit o una reparación in situ.

¿Debo desactivar “Protección contra manipulaciones” (Tamper Protection)?

No suele ser necesario para el Firewall, ya que afecta sobre todo a Defender Antivirus. Solo desactívala de forma temporal si una política corporativa impide cambios y vuelve a activarla después.

Conclusión

Cuando Windows Defender Firewall queda atascado en “Deteniendo” en Windows 11, la causa más frecuente es la corrupción de permisos y claves de BFE, MpsSvc y/o SharedAccess. La solución que mejores resultados ofrece es restaurar automáticamente esas claves y SDDL con un paquete de reparación específico, reiniciar y completar con un reset de políticas de Firewall y Winsock. Si sigues viendo el error 0x800706D9 o la Store no descarga, aplica las medidas avanzadas (Modo seguro, limpieza de terceros, secedit o reparación in situ). Con ello, volverás a tener el cortafuegos operativo y la Store funcionando con normalidad.