Si Windows 11 no instala KB5034204 y en el Administrador de dispositivos aparecen iconos de “llaves” en AMD PSP 11.0 y TPM 2.0, no entres en pánico. En muchos casos basta con limpiar la carpeta oculta C:\$WinREAgent, reiniciar y volver a ejecutar Windows Update.
Resumen del caso y síntomas
Tras intentar instalar la actualización acumulativa KB5034204 en Windows 11, el proceso revierte cambios y muestra el mensaje “Something didn’t go as planned… undoing changes”. Al revisar el Administrador de dispositivos → Dispositivos de seguridad, AMD PSP 11.0 y Trusted Platform Module 2.0 presentan un icono de llave amarilla. Se intentó “actualizar” controladores del procesador Ryzen desde el Administrador de dispositivos, lo que terminó en un bucle de reinicios y obligó a usar Restaurar sistema.
La solución que funcionó en este escenario fue renombrar o eliminar la carpeta oculta C:\$WinREAgent, reiniciar y volver a lanzar la actualización. Abajo tienes el paso a paso y, además, aclaramos qué significan esas “llaves amarillas”.
Qué significan las “llaves amarillas” en AMD PSP 11.0 y TPM 2.0
En Dispositivos de seguridad, Windows usa un icono con forma de llave dorada para representar componentes de seguridad. Es un icono de categoría, no un aviso de error. Sólo existe un problema si, además de la llave, ves un triángulo amarillo con un signo de exclamación superpuesto o si en las propiedades aparece un código de error (por ejemplo, Código 10 o 28).
| Indicador | Qué significa | Acción recomendada |
|---|---|---|
| Icono de llave dorada sin superposiciones | Estado normal de un dispositivo de seguridad | Ninguna, es el comportamiento esperado |
| Triángulo amarillo con exclamación | Error de controlador o de inicialización | Abrir propiedades → pestaña General → revisar código de error |
| Dispositivo con flecha hacia abajo | Dispositivo deshabilitado | Habilitar desde el menú contextual |
En otras palabras, las “llaves amarillas” por sí solas no indican fallo. Representan objetos de seguridad como AMD Platform Security Processor (PSP) y Trusted Platform Module (TPM 2.0). Si no hay triángulo de advertencia ni códigos de error, puedes centrarte en resolver la actualización.
Solución probada: limpiar C:\$WinREAgent y reinstalar KB5034204
La carpeta C:\$WinREAgent es un área temporal que usa Windows Update para preparar cambios del sistema, a menudo relacionados con el Entorno de recuperación de Windows (WinRE). Cuando su estado queda atascado o corrupto, algunas actualizaciones se bloquean y se revierten. Al renombrarla o eliminarla, Windows la recrea desde cero con metadatos limpios, permitiendo que la actualización continúe.
Pasos desde el Explorador
- Abre el Explorador de archivos y ve a Ver → Mostrar → Elementos ocultos.
- En la raíz de
C:, localiza$WinREAgent. Si no existe, continúa con el apartado de “Comprobaciones adicionales”. - Haz clic derecho y selecciona Renombrar: escribe
$WinREAgent.old. Si el sistema lo permite, también puedes eliminarla directamente. - Confirma con permisos de administrador si te los solicita.
- Reinicia el equipo.
- Abre Configuración → Windows Update y vuelve a instalar KB5034204.
Alternativa por consola con permisos elevados
Si el Explorador deniega acceso, ejecuta Símbolo del sistema (Administrador) y usa:
ren C:\$WinREAgent $WinREAgent.old
Si necesitas forzar permisos (sólo en caso de bloqueo), puedes tomar posesión temporal y restaurarla después:
takeown /F C:\$WinREAgent /R /D Y
icacls C:\$WinREAgent /grant Administrators:F /T
ren C:\$WinREAgent $WinREAgent.old
Tras completar la actualización, elimina $WinREAgent.old si ya no se usa.
Qué esperar tras el reinicio
- Windows Update descargará de nuevo los paquetes necesarios.
- La carpeta
C:\$WinREAgentse recreará automáticamente si el proceso la necesita. - La instalación de KB5034204 debería concluir sin revertir cambios.
Por qué este procedimiento ayuda
Windows Update orquesta fases de análisis, descarga, preparación, staging, commit y postprocesado. Parte de esa preparación usa archivos temporales que reflejan el estado de WinRE y otros componentes de bajo nivel. Si una fase previa escribió metadatos inconsistentes (por cortes de energía, bloqueos de antivirus, instalaciones interrumpidas o conflictos de espacio), el instalador puede interpretar que hay un estado pendiente y “seguro” decide revertir. Al “romper” ese estado con un renombrado, fuerzas una reconstrucción limpia que evita el bucle de deshacer cambios.
Si la actualización aún falla: comprobaciones no destructivas
Si después de limpiar $WinREAgent persiste el problema, aplica estos pasos en este orden. Son seguros y no borran tus datos.
Verificar integridad de la imagen y archivos del sistema
- Abre Símbolo del sistema (Administrador).
- Ejecuta:
DISM /Online /Cleanup-Image /RestoreHealth
sfc /scannow
Reinicia y vuelve a intentar Windows Update.
Restablecer componentes de Windows Update
Detén servicios, renombra las carpetas de caché y vuelve a iniciarlos:
net stop wuauserv
net stop cryptSvc
net stop bits
net stop msiserver
ren C:\Windows\SoftwareDistribution SoftwareDistribution.old
ren C:\Windows\System32\catroot2 catroot2.old
net start wuauserv
net start cryptSvc
net start bits
net start msiserver Comprobar el estado de WinRE
Algunas actualizaciones fallan si el Entorno de recuperación está deshabilitado o con referencias inconsistentes. Consulta su estado:
reagentc /info
Si aparece deshabilitado o con rutas inválidas, prueba:
reagentc /disable
reagentc /enable
Reinicia y vuelve a actualizar.
Espacio libre y drivers de almacenamiento
- Asegúrate de tener al menos 15–20 GB libres en
C:durante la actualización. - Si usas controladores de almacenamiento de terceros (RAID/NVMe específicos), verifica que no estén obsoletos.
Arranque limpio para descartar interferencias
Una utilidad de seguridad agresiva o un servicio residente puede bloquear la escritura en ciertas rutas. Realiza un arranque limpio deshabilitando temporalmente elementos de inicio no esenciales y servicios de terceros. Tras la actualización, restaura la configuración.
Buenas prácticas con AMD PSP 11.0 y TPM 2.0
No desinstales AMD PSP ni TPM 2.0 desde el Administrador de dispositivos. Son pilares de la cadena de confianza y del cifrado. Si necesitas controladores, utiliza:
- El paquete de chipset de AMD adecuado a tu plataforma.
- La página oficial de tu placa base (por ejemplo, B550/X570) para versiones validadas.
Actualizar BIOS/UEFI puede aportar estabilidad o parches de seguridad, pero sólo hazlo si el fabricante lo recomienda expresamente para tu incidencia. Evita “forzar” actualizaciones genéricas del dispositivo “Procesador” en el Administrador de dispositivos; Windows gestiona esos controladores de forma automática y rara vez requieren intervención manual.
Cómo comprobar TPM 2.0 sin tocar controladores
- Presiona Win + R, escribe
tpm.mscy confirma. - Verifica que el estado general muestre “El TPM está listo para usarse” o equivalente.
- Si BitLocker está habilitado, confirma que no existan alertas en el Centro de seguridad.
Preguntas frecuentes
¿Qué pasa si C:\$WinREAgent no existe?
No todos los equipos la tienen visible en todo momento. Si no está, pasa directamente a DISM/SFC y al restablecimiento de Windows Update. El problema puede residir en la caché de SoftwareDistribution o en catroot2.
¿Puedo eliminar la carpeta en lugar de renombrarla?
Sí. Renombrar es más conservador porque te permite revertir fácilmente. Si la eliminas, Windows la recreará cuando la necesite.
¿Debo desactivar el antivirus?
No es lo ideal. Prueba primero un arranque limpio o excluye temporalmente las rutas de caché (SoftwareDistribution, catroot2). Reactiva la protección en cuanto termines.
Tras actualizar drivers del procesador entré en bucle de reinicios, ¿qué hago?
Usa Restaurar sistema para volver a un punto anterior, o el Modo seguro para desinstalar el controlador problemático. En el futuro, evita actualizar manualmente el dispositivo “Procesador” salvo indicación del fabricante.
¿Las “llaves amarillas” significan que el TPM o el PSP están rotos?
No. Es el icono base de esa clase de dispositivos. Sólo hay problema si ves un triángulo con exclamación o errores en las propiedades.
Diagnóstico rápido con registros
Si quieres ir más a fondo, estos registros pueden ayudarte. No es obligatorio para resolver el caso típico, pero es útil para diagnosticar incidentes repetitivos.
| Ubicación | Contenido | Qué buscar |
|---|---|---|
C:\Windows\Logs\CBS\CBS.log | Registro de mantenimiento de componentes y SFC | Errores irreparables o archivos en cuarentena |
C:\Windows\WindowsUpdate.log | Eventos de Windows Update | Códigos de error 0x8… y fases fallidas |
| Visor de eventos → Aplicación y servicios → Microsoft → Windows → WindowsUpdateClient | Eventos detallados de actualización | Mensajes de revert, conflictos de archivos |
C:\Windows\Panther | Registros de instalación y upgrade | Fases de staging y commit |
Prevención para futuras actualizaciones
- Mantén espacio libre holgado en
C:y evita apagar el equipo durante el “working on updates”. - Actualiza chipset y controladores de almacenamiento sólo desde fuentes oficiales de tu placa o del fabricante del equipo.
- Comprueba periódicamente el estado de WinRE con
reagentc /info, sobre todo si has cambiado particiones. - No fuerces controladores del dispositivo “Procesador”. Windows gestiona esa clase de drivers de forma transparente.
- Antes de grandes acumulativas, crea un punto de restauración manual.
Checklist de resolución rápida
- Renombra o elimina
C:\$WinREAgent. - Reinicia y vuelve a instalar KB5034204.
- Si falla: ejecuta
DISMySFC, reinicia e intenta de nuevo. - Restablece componentes de Windows Update (
SoftwareDistribution,catroot2). - Verifica
reagentc /infoy reconfigura WinRE si es necesario. - Evita manipular PSP/TPM; sólo actúa si hay triángulo amarillo o códigos de error.
Apéndice: comandos útiles
:: Ejecutar como Administrador
DISM /Online /Cleanup-Image /RestoreHealth
sfc /scannow
\:: Restablecer la caché de Windows Update
net stop wuauserv
net stop cryptSvc
net stop bits
net stop msiserver
ren C:\Windows\SoftwareDistribution SoftwareDistribution.old
ren C:\Windows\System32\catroot2 catroot2.old
net start wuauserv
net start cryptSvc
net start bits
net start msiserver
\:: Revisar el estado del Entorno de recuperación
reagentc /info
reagentc /disable
reagentc /enable
\:: Renombrar la carpeta problemática
ren C:\$WinREAgent \$WinREAgent.old Conclusión
Cuando KB5034204 se niega a instalarse en Windows 11 y aparecen las “llaves” en AMD PSP 11.0 y TPM 2.0, lo más probable es que no exista ningún fallo en dichos dispositivos. El icono es normal y el bloqueo suele deberse a un estado temporal corrupto de Windows Update. Limpiar C:\$WinREAgent, reiniciar y reintentar resuelve el caso con frecuencia. Si el error persiste, las comprobaciones de integridad, el restablecimiento de la caché de actualización y la verificación de WinRE ofrecen un camino seguro para devolver el sistema a un estado actualizable, sin tocar la cadena de confianza del equipo.