Cómo instalar parches heredados de Office 2013 en Windows Server 2019 sin errores DISM

Instalar actualizaciones antiguas de Office 2013 en Windows Server 2019 puede convertirse en una pesadilla de errores “file not found” y “patch not applicable”. Con esta guía dominarás el procedimiento correcto, comprenderás la causa de cada obstáculo y conocerás las rutas de migración más seguras.

Índice

Panorama del problema

Muchos administradores heredan infraestructuras donde las aplicaciones de productividad permanecen ancladas en versiones desfasadas por requisitos de compatibilidad o limitaciones presupuestarias. Cuando el servidor que aloja dichas aplicaciones se actualiza a Windows Server 2019, comienzan a aparecer auditorías de seguridad que exigen el cierre de vulnerabilidades documentadas hace una década (por ejemplo, los boletines MS13‑074, MS14‑001, MS14‑017). El instinto inicial suele ser descargar los archivos .cab o .msp desde el Catálogo de Microsoft Update y forzar su instalación con DISM o msiexec. El resultado casi siempre es un desfile de códigos de error:

DISM /add‑package devuelve 0x80070002 (“file not found”).
Extraer el .msp e instalarlo con msiexec /p muestra “patch not applicable”.

Comprender las causas y los principios de soporte interno de Microsoft es el primer paso para resolver la situación de forma definitiva y segura.

Por qué fallan los métodos habituales

La herramienta equivocada

DISM (Deployment Image Servicing and Management) solo reconoce paquetes de Windows: .cab y .msu diseñados para el sistema operativo. Los parches de Office siguen otro formato: archivos de base Windows Installer (.msp) destinados a productos MSI. Mezclar ambos mundos provoca incompatibilidad básica de contenedores y metadatos, por lo que el error “file not found” ocurre aun cuando el archivo está físicamente presente.

Línea de base obsoleta

La mayoría de los boletines liberados a partir de 2014 exigen Office 2013 Service Pack 1 (SP1), que eleva la compilación a 15.0.4569.xxxx. Si intentas parchear una RTM (release to manufacturing) 15.0.4420.1017, Windows Installer realiza una comprobación de pre‑requisitos y aborta con “patch not applicable”. El archivo no está dañado; simplemente no encuentra la versión mínima.

Fin de soporte

Office 2013 salió de mainstream support en abril 2018 y de extended support el 11 de abril de 2023. Microsoft ya no distribuye revisiones nuevas ni garantiza la disponibilidad de paquetes antiguos en el Catálogo. Algunas URL de descarga caducan, agravando el problema de “file not found”.

Requisitos previos y consideraciones de seguridad

Antes de tocar la instalación:

Asegura una copia de seguridad completa del servidor y de la partición de sistema (o una instantánea de la máquina virtual).
Conserva un snapshot del repositorio de Office 2013 (directorio %ProgramFiles%\Microsoft Office\Office15 y rama de registro HKLM\Software\Microsoft\Office\15.0).
Ejecútalo todo con una cuenta administrativa sin restricciones, preferiblemente desde un símbolo de PowerShell elevado.
Desconecta (o restringe vía firewall) cualquier aplicación que pueda abrir instancias de Word, Excel o PowerPoint, para evitar bloqueos de archivos durante la actualización.

Ruta técnica – actualizar la línea de base

Instalar Service Pack 1 es imperativo. Sin él no existe forma oficial de aplicar boletines de 2014 en adelante.

Descarga del Service Pack 1

Si tu repositorio interno ya no alberga KB2817430, monta el ISO original de Office 2013 o una imagen de evaluación, y copia los archivos officesuite2013sp1-kb2817430-fullfile-x64-es-es.exe o su equivalente x86. A falta de fuentes oficiales, recupera una copia desde tu servidor WSUS desfasado o un share interno verificado con hash SHA‑256.

Instalación silenciosa

.\officesuite2013sp1-kb2817430-fullfile-x64-es-es.exe /quiet /norestart

La conmutación /quiet suprime los cuadros de diálogo y la interfaz. /norestart evita un reinicio automático, permitiéndote encadenar tareas en un script de mantenimiento durante la ventana programada.

Verificación de la compilación

Get-ItemProperty "HKLM:\Software\Microsoft\Office\15.0\Common\ProductVersion" `
| Select-Object -ExpandProperty LastProduct

El valor debe reflejar 15.0.4569 o superior. También puedes abrir Word → Archivo → Cuenta → Acerca de Word.

Ruta técnica – aplicar actualizaciones individuales

Elimina la dependencia de DISM

Copia cada archivo .msp a un directorio temporal local (C:\Temp\OfficePatches). Nombra los archivos con un prefijo cronológico para facilitar el control de versiones (por ejemplo, 2013‑09‑10_MS13‑074.msp).

Comando universal con msiexec

ForEach ($Patch in Get-ChildItem "C:\Temp\OfficePatches\*.msp") {
    Start-Process msiexec.exe -ArgumentList "/update `"$($Patch.FullName)`" /qn /norestart" -Wait -NoNewWindow
}

Componentes:

/update acepta archivos .msp y los aplica a su producto MSI correspondiente.
/qn ejecuta la operación en modo silencioso (Quiet No UI).
/norestart bloquea reinicios sorpresa.

Registro y auditoría

msiexec genera logs de evento MsiInstaller en el Visor de Eventos → Aplicación. Para mayor granularidad agrega /l*v:

msiexec /update KB2880502.msp /qn /norestart /l*v "C:\Logs\KB2880502.log"

Tabla de soluciones rápidas

Paso	Acción	Objetivo
Actualizar la línea de base	Instalar Service Pack 1 (KB2817430) según la arquitectura	Habilitar la aplicación de parches posteriores
Aplicar los parches correctamente	Ejecutar cada .msp con `msiexec /update nombre.msp /qn /norestart`	Evitar el uso de DISM
Verificar aplicabilidad	Confirmar la versión de cada componente (Word, Excel, etc.)	Prevenir errores de “patch not applicable”
Evaluar la migración	Migrar a Microsoft 365 Apps u Office LTSC 2021	Recuperar soporte y parches de seguridad
Mitigaciones temporales	Desinstalar Office 2013 si solo actúa como host de aplicaciones. Restringir macros y ActiveX mediante GPO. Limitar el acceso a documentos de fuentes no confiables.	Reducir la superficie de ataque mientras se planifica la actualización

Automatización con PowerShell

Para entornos con múltiples servidores o granjas de RDS, guioniza el proceso de extremo a extremo. A continuación un esqueleto que puedes personalizar:

$ServicePack = "C:\Packages\SP1.exe"
$PatchPath   = "C:\Packages\Patches\*.msp"

Write-Host "Instalando SP1..."
Start-Process \$ServicePack -ArgumentList "/quiet /norestart" -Wait

Write-Host "Aplicando parches heredados..."
Get-ChildItem \$PatchPath | ForEach-Object {
Start-Process "msiexec.exe" -ArgumentList "/update `"$($_.FullName)`" /qn /norestart" -Wait
}

Write-Host "Verificando resultados..."
(Get-ItemProperty "HKLM:\Software\Microsoft\Office\15.0\Common\ProductVersion").LastProduct

Integra el script en una tarea programada que se ejecute durante la ventana de mantenimiento nocturna y hazlo depender de un archivo de señal (.flag) para activar la ejecución solo cuando subas paquetes nuevos. Así evitas reinstalaciones innecesarias.

Verificación posterior a la instalación

Una vez completada la secuencia:

Reinicia el servidor a mano para liberar DLL retenidas en memoria.
Abre cualquier aplicación de Office y confirma la versión en Archivo → Cuenta → Acerca de….
Ejecuta Get-HotFix en PowerShell y filtra por Office15* para ver las KB aplicadas.
Usa un escáner de vulnerabilidades (por ejemplo, Qualys, Nessus o Microsoft Defender Vulnerability Management) y verifica que los CVE históricos aparezcan como mitigados.

Estrategia de medio y largo plazo

Aunque la instalación de SP1 y parches heredados elimina vulnerabilidades puntuales, la plataforma sigue fuera de soporte. Mantener software no admitido viola la mayoría de los marcos de cumplimiento (ISO 27001, NIST 800‑53, PCI‑DSS v4.0). Las alternativas recomendadas son:

Microsoft 365 Apps: actualizaciones mensuales, soporte continuo, opciones de canal empresarial.
Office LTSC 2021: soporte hasta 13 de octubre de 2026, ciclo estático, sin funcionalidades basadas en la nube.
Aplicaciones web: mover cargas compartidas — macros y plantillas — a SharePoint Online o Teams para reducir la superficie de ataque en el servidor.

Mitigaciones temporales

Si los obstáculos contractuales o presupuestarios retrasan la migración:

Configura la directiva de grupo Disable all macros except digitally signed macros.
Deshabilita suplementos COM que no sean esenciales.
Implementa Control‑Flow Guard y aislamiento de memoria (si el hardware lo soporta) para contener exploits que salten el sandbox de Office.
Limita el acceso a Internet del proceso WINWORD.EXE, EXCEL.EXE, etc., mediante reglas salientes de Windows Defender Firewall.

Preguntas frecuentes

¿Puedo slipstream‑ear SP1 dentro del instalador original y así evitarlo en el futuro?
Sí. Extrae officesuite2013sp1, combina los archivos .msp con setup.exe /admin usando la Kit de personalización de Office (Open Office Customization Tool) y crea un ISO nuevo.

¿Hay una forma oficial de recibir parches después de 2023?
Solo clientes con contratos de soporte personalizado (ESU) obtienen hotfixes posteriores, y Microsoft usa acuerdos individuales a coste elevado.

¿DISM servirá alguna vez para Office?
No. Office instala en la capa de aplicaciones gestionada por Windows Installer o Click‑to‑Run, fuera del ámbito de DISM.

¿Es seguro desinstalar Office del servidor y usar Office Online en su lugar?
Para servidores cuya única función es distribuir archivos o ejecutar procesos de back‑office, sí. Eliminar Office reduce vectores de macro‑malware y simplifica la superficie de ataque.

Conclusión

Los errores file not found y patch not applicable se deben a dos causas principales: empleo de la herramienta incorrecta (DISM) y ausencia del Service Pack 1. La ruta más efectiva consiste en elevar la línea de base a SP1, aplicar los parches con msiexec y documentar cada paso. Aun así, recuerda que Office 2013 está fuera de soporte; la verdadera solución estratégica es migrar a una versión respaldada por Microsoft o a Microsoft 365 Apps, garantizando parches de seguridad continuos y cumplimiento normativo.