Cuando la actualización acumulativa KB5050009 de Windows 11 se interpone con el temido código 0x80070005, basta un instante para que la productividad se detenga. Este artículo profundiza en cada causa conocida del error “Access is denied”, desde permisos insuficientes hasta directivas de integridad de código, y describe soluciones contrastadas en entornos domésticos y corporativos.
Diagnóstico del error de acceso denegado
El código 0x80070005 es el genérico de “Acceso denegado” en Windows Update. Normalmente aparece en uno de estos tres momentos:
- Descarga bloqueada: El agente de Windows Update no obtiene todos los archivos del paquete.
- Fallo en la instalación en línea: El servicio TrustedInstaller o Wusa carece de permisos para escribir en %SystemRoot%.
- Fallo en la fase offline: Tras reiniciarse el sistema para concluir la actualización, la operación se revierte por política WDAC o por una identidad de proceso sin privilegios suficientes.
Determinar en qué fase se produce el bloqueo es crucial. Las pistas más útiles se encuentran en:
%windir%\WindowsUpdate.log(para la descarga).%windir%\Logs\CBS\CBS.log(para la instalación en línea y offline).- El Visor de eventos → Application and Service Logs > Microsoft > Windows > WindowsUpdateClient > Operational.
Si el error figura en CBS justo después de una referencia a CiPolicies\Active, la causa suele ser una política WDAC.
Actualización fallida en entornos corporativos
En redes administradas, la actualización KB5050009 puede fallar en bloque. Los síntomas característicos son:
STATUSACCESSDENIED … '\??\C:\WINDOWS\System32\CodeIntegrity\CiPolicies\Active\{GUID}.cip'Los archivos .cip son políticas de Windows Defender Application Control. Cuando están en modo Enforced, impiden que incluso cuentas de administrador modifiquen el kernel o el almacén de componentes. La actualización no puede sobrescribir controladores de sistema firmados y revierte.
Localizar la política conflictiva
- Abra una Consola de comandos con derechos elevados.
- Navegue a
C:\Windows\System32\CodeIntegrity\CiPolicies\Active. - Identifique el archivo
{GUID}.cipmencionado en CBS.
Neutralizar la política sin comprometer la seguridad
Si la directiva procede de Intune, Configuration Manager o una GPO, lo adecuado es cambiarla a Audit Only y forzar la sincronización:
# PowerShell para Intune
Get-CimInstance -Namespace root\Microsoft\WDAC -ClassName MSFT_WdacPolicy |
Where-Object PolicyID -eq "{GUID}" |
Invoke-CimMethod -MethodName DisablePolicyTras un reinicio, Windows Update podrá aplicar KB5050009 sin renunciar a las auditorías de aplicación.
Plan B para equipos aislados
Si la estación no está inscrita en MDM y no hay tiempo de esperar una nueva directiva:
cd /d C:\Windows\System32\CodeIntegrity\CiPolicies\Active
takeown /f {GUID}.cip
icacls {GUID}.cip /grant Administrators:F
ren {GUID}.cip {GUID}.cip.oldEl sistema eliminará la referencia a la política y, tras reiniciar, la instalación debería completarse. Documente siempre el GUID renombrado para restaurarlo si fuera necesario.
Pautas de recuperación paso a paso
Pausar y reanudar Windows Update
En muchas ocasiones, el propio servicio WUA se queda con metadatos inconsistentes. Siga estos pasos:
- Abra Configuración > Windows Update.
- Pulse Pausar actualizaciones durante una semana.
- Reinicie el equipo.
- Deshaga la pausa y pulse Buscar actualizaciones.
El OP original resolvió así el problema en un caso doméstico, pues forzó al servicio a reconstruir el manifiesto.
Comprobaciones de integridad de sistema
Aunque sfc /scannow y DISM /Online /Cleanup-Image /RestoreHealth no siempre corrigen el incidente, sí aseguran que ningún binario esencial esté dañado.
Reiniciar la pila de Windows Update
net stop wuauserv
net stop bits
rd /s /q %windir%\SoftwareDistribution
net start bits
net start wuauservEsto borra la caché local y obliga a descargar el paquete desde cero.
Instalar el paquete autónomo
Cuando la conectividad es inestable, descargue el archivo .msu desde el Catálogo de Microsoft Update. Ejecute el instalador sin conexión y supervise %windir%\Logs\CBS\CBS.log para rastrear posibles denegaciones.
Arranque limpio
Si la actualización se revierte al 98 % o tras el primer reinicio, un controlador de VPN, un antivirus de terceros o software de cifrado puede estar interrumpiendo la escritura. Use msconfig y deshabilite todos los servicios que no sean de Microsoft, reinicie e intente de nuevo.
Prácticas recomendadas para administradores
| Paso | Descripción | Situación ideal |
|---|---|---|
| Restablecer componentes de actualización | Detiene BITS y WUA, vacía SoftwareDistribution y reinicia servicios. | Errores persistentes tras reinicios normales. |
| Actualizar controladores y firmware | El instalador verifica firmas; controladores antiguos pueden fallar el proceso. | Antes de los martes de parches o actualizaciones acumulativas críticas. |
| Arranque limpio | Impide que software de terceros intercepte llamadas de cambio de versión. | Fallo en el segundo reinicio o al aplicar controladores de sistema. |
| Verificación de políticas WDAC | Revisar carpetas CiPolicies y confirmar modo Audit. | Entornos con requisitos de seguridad estrictos. |
| Respaldo de imagen | Una instantánea facilita revertir si la actualización corrompe el arranque. | Antes de cambios masivos. |
Preguntas frecuentes
¿Es seguro deshabilitar WDAC temporalmente?
Sí, siempre que exista una defensa en profundidad (antivirus, restricción de macros y un control estricto de privilegios de usuario). Desactive la política solo el tiempo necesario para aplicar la actualización y vuelva a habilitarla en Audit Only hasta verificar la estabilidad.
¿Qué hacer si la directiva se restaura automáticamente?
Compruebe la fuente de la directiva. En Intune, evalúe los perfiles de Endpoint security > Application control. En computadora unida a dominio, inspeccione la GPO aplicada con gpresult /h result.html.
¿El error 0x80070005 puede indicar malware?
En casos raros, sí. Algunos rootkits reemplazan drivers críticos y el instalador no logra sobrescribirlos. Ejecute un análisis sin conexión con Microsoft Defender o una solución equivalente antes de concluir que se trata únicamente de permisos.
Conclusión
El código 0x80070005 no tiene por qué desembocar en formatear el equipo. Con un diagnóstico metódico —empezando por permisos y continuando con políticas de integridad de código— es posible instalar la actualización acumulativa KB5050009 sin sacrificar la seguridad ni la estabilidad. Documente cada cambio, conserve un plan de reversión y consolide las lecciones aprendidas para futuras actualizaciones.