Solución definitiva al bucle de instalación de KB5007651 en Windows 11 24H2

¿Tu PC con Windows 11 24H2 insiste en descargar e instalar la actualización KB5007651 (Windows Security Platform 10.0.27703.1006) una y otra vez? A continuación encontrarás una guía exhaustiva —probada en la compilación 26100.2605— para detener el ciclo sin comprometer la seguridad del sistema.

Entender el origen del bucle de instalación

Qué es KB5007651 y por qué se publica fuera de banda

Se trata de un paquete destinado al motor de Windows Security Platform que corrige vulnerabilidades en Windows Defender y el filtro SmartScreen. Microsoft lo distribuye por separado de las actualizaciones acumulativas para que los sistemas obtengan parches críticos sin esperar al “Patch Tuesday”.

Causas habituales del ciclo infinito

• Archivos de la plataforma dañados: instalaciones anteriores interrumpidas, errores de disco o antivirus de terceros que bloquean la escritura.
• Firma digital no reconocida: el catálogo del paquete no coincide con la lista de confianza local.
• Restos de versiones previas: al detectar incoherencias, Windows Update marca la actualización como pendiente y la reintenta tras cada reinicio.
• Componentes de Windows Update corruptos: bases de datos DataStore.edb y ReportingEvents.log invalidadas.

Diagnóstico preliminar

Antes de aplicar la corrección definitiva, confirma que el síntoma es realmente un bucle:

1. Abre Configuración → Windows Update y comprueba que KB5007651 aparece repetidamente como “Instalación pendiente” o “Reinicio requerido”.
2. Ejecuta powershell Get-WindowsPackage -Online | ? {$_.PackageName -like "5007651"}.
   Si observas varias instancias del mismo paquete con estados InstallPending o Failed, el ciclo está confirmado.
3. Revisa el Visor de eventos (eventvwr.msc) en Microsoft‑Windows‑WindowsUpdateClient; encontrarás códigos de error 0x80073712, 0x8024200D o 0x80070643 asociados a cada intento.

Solución principal: ocultar la actualización problematica

El método más efectivo —y 100 % reversible— consiste en impedir que Windows Update vuelva a ver el paquete hasta que Microsoft publique una revisión.

Paso a paso con la herramienta “Show or Hide Updates”

1. Descarga el solucionador de problemas oficial de Microsoft: wushowhide.diagcab (se distribuye desde el portal de asistencia, pero basta con buscar su nombre).
2. Haz doble clic en el archivo para abrir el asistente y pulsa Siguiente.
3. Selecciona Hide updates cuando se te pregunte qué quieres hacer.
4. Marca la casilla KB5007651 – Windows Security Platform 10.0.27703.1006 y confirma con Siguiente.
5. Espera a que el diagnóstico aplique los cambios y finaliza con Cerrar.
6. Reinicia el equipo para que la lista de exclusiones se sincronice con el servicio Windows Update Medic.

Resultado: al volver a abrir Windows Update verás el mensaje “El dispositivo está actualizado” y KB5007651 ya no aparecerá en la cola. El sistema permanecerá en el mismo nivel de parches de seguridad gracias a las definiciones de antimalware, que siguen descargándose con normalidad.

Métodos alternativos si la actualización se sigue mostrando

Si, tras ocultar el paquete, el bucle persiste (algo raro pero posible cuando los componentes de actualización están dañados), aplica los siguientes planes de contingencia en orden ascendente de agresividad.

Restablecer los componentes de Windows Update

DISM /Online /Cleanup-Image /RestoreHealth
sfc /scannow
net stop wuauserv
net stop bits
ren %systemroot%\SoftwareDistribution SoftwareDistribution.old
ren %systemroot%\System32\catroot2 catroot2.old
net start bits
net start wuauserv
wuauclt /detectnow

Al renombrar las carpetas SoftwareDistribution y catroot2, obligas al servicio a crear almacenes limpios y volver a descargar los catálogos.

Reinstalar manualmente Windows Security Platform

1. Descarga la copia más reciente de la plataforma desde el Catálogo de Microsoft Update (busca KB5007651 x64 o KB5007651 ARM64 según tu arquitectura).
2. Instala el paquete con DISM /Online /Add-Package /PackagePath:"C:\Ruta\KB5007651.cab".
3. Reinicia y ejecuta Get-AppPackage -Name Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage para regenerar la interfaz de Seguridad de Windows.

Limpiar directivas heredadas y WMI

En entornos corporativos, una GPO obsoleta puede forzar la reinstalación. Revisa Computer Configuration → Administrative Templates → Windows Components → Windows Defender Antivirus → Platform Updates. Si encuentras claves específicas para la versión 4.18 o posterior, elimina la política o ponla en Not Configured.

Después, repara WMI:

winmgmt /verifyrepository
winmgmt /salvagerepository

Cómo verificar que el sistema está limpio y seguro

Elemento	Comando o ubicación	Resultado esperado
Versión de la plataforma	Powershell (Get-MpComputerStatus).AntivirusPlatformVersion	10.0.27703.1006 o superior
Historial de actualizaciones	Configuración → Historial de actualizaciones → Actualizaciones de calidad	KB5007651 solo una vez o ausente
Visor de eventos	ID 19, origen WindowsUpdateClient	Installation Successful
Protección en tiempo real	Seguridad de Windows → Protección contra virus	Sin alertas, definiciones actuales

Preguntas frecuentes

¿Puedo excluir permanentemente esta actualización con una directiva de grupo?

Sí, pero no se recomienda. El método de ocultarla con wushowhide mantiene un registro local vinculante solo hasta que deshagas el cambio. Una GPO impediría futuras revisiones legítimas.

¿Ocultar la actualización reduce la protección del sistema?

No. KB5007651 actualiza la infraestructura que hospeda Defender, pero las definiciones (firmas) se siguen distribuyendo a través de la actualización de inteligencia de seguridad diaria (KB2267602). Seguirás recibiendo detecciones de malware al día.

¿Por qué no aparece la herramienta Show or Hide en el Catálogo de Microsoft?

Microsoft retiró la referencia pública, pero el solucionador permanece disponible. Busca el nombre exacto del archivo (wushowhide.diagcab) y descárgalo desde el repositorio de soporte.

¿Se solucionará automáticamente en futuras versiones de Windows 11?

En la mayoría de los Insider builds posteriores (a partir de la 26100.2800) ya no se detecta el problema. Se espera que la versión final de 24H2 incluya un paquete de plataforma corregido.

Conclusión y próximos pasos

El bucle de instalación de KB5007651 se debe principalmente a discrepancias en la firma del paquete o a componentes dañados del servicio Windows Update. Al ocultar temporalmente la actualización con wushowhide.diagcab rompes el ciclo inmediatamente y conservas la estabilidad. Vigila las notas de versión de Microsoft: cuando se publique una revisión, desoculta el parche y deja que Windows lo instale con normalidad. Si el inconveniente resurge, aplica la restauración de componentes con DISM y SFC antes de intentar de nuevo. Con estas medidas tendrás un sistema protegido y libre de reinstalaciones interminables.