Configuración de actualizaciones en Windows 11: guía completa

Guía Hardware » Guías de compra » Configuración de actualizaciones en Windows 11: guía completa

Si usas Windows 11 a diario, tarde o temprano te habrás peleado con las actualizaciones: reinicios cuando menos te lo esperas, descargas que se eternizan o parches de seguridad que aparecen justo cuando necesitas el equipo. La buena noticia es que Windows 11 permite controlar bastante bien cómo y cuándo se actualiza, especialmente si sabes dónde tocar tanto en la interfaz gráfica como en directivas de grupo, MDM o registro.

En este artículo vamos a ver, paso a paso, cómo funciona la configuración de actualizaciones en Windows 11, qué opciones tienes como usuario doméstico y qué palancas adicionales hay para administradores o entornos profesionales. Verás desde ajustes sencillos como las horas activas hasta configuraciones avanzadas con WSUS, claves de registro o políticas para evitar que los usuarios entren en ciertas pantallas de Windows Update.

Panorama general de la configuración de actualizaciones en Windows 11

Windows 11, igual que Windows 10, se apoya principalmente en Windows Update para distribuir actualizaciones de seguridad, calidad, controladores y nuevas versiones del sistema. Desde el punto de vista de administración, hay varias capas para controlar este comportamiento: la aplicación Configuración, las Directivas de grupo (GPO), la administración de dispositivos móviles (MDM) y la modificación directa del registro.

En entornos corporativos es habitual combinar estas herramientas junto con servicios como WSUS o Microsoft Configuration Manager, que permiten centralizar la descarga de parches, decidir qué equipos reciben qué actualizaciones y en qué momento se instalan. Además, es posible restringir completamente el acceso a Windows Update público y forzar a los equipos a usar exclusivamente servidores internos.

En el lado del usuario final, Windows 11 ha ido añadiendo pequeñas mejoras para que las actualizaciones molesten lo menos posible, como el cálculo automático de horas activas, notificaciones más claras y la posibilidad de retrasar ciertos reinicios. Incluso el proceso de primera configuración (OOBE) se ha suavizado con una opción para aplazar actualizaciones iniciales en muchos casos.

Configurar Windows Update desde la aplicación Configuración

Para la mayoría de usuarios domésticos, el punto de partida es la app Configuración. Desde ahí puedes controlar aspectos básicos como buscar actualizaciones, ajustar horarios o decidir si quieres recibir parches de otros productos de Microsoft además del propio sistema operativo.

Para entrar, basta con pulsar Inicio > Configuración > Windows Update. En esta pantalla tienes el botón para buscar nuevas actualizaciones, el estado actual del sistema y accesos a opciones más avanzadas. Aunque pueda parecer una interfaz sencilla, es el frente visible de todo un conjunto de parámetros que también se pueden controlar desde políticas.

Cambiar las horas activas (para evitar reinicios molestos)

Uno de los ajustes más importantes del día a día son las horas activas, el tramo horario en el que sueles usar el equipo y en el que Windows intentará evitar reinicios automáticos tras instalar actualizaciones. De forma predeterminada suelen venir de 8:00 a 17:00, lo que puede no encajar con tu rutina.

Desde Windows Update, entrando en las opciones avanzadas, encontrarás el apartado Horas activas. Puedes dejar que Windows las ajuste automáticamente según tu uso habitual o escoger tú mismo el inicio y el fin. El sistema solo permite definir horas en punto, así que no podrás, por ejemplo, poner 18:30; tendrás que redondear a 18:00 o 19:00.

Si eliges el modo manual, seleccionas una hora de inicio y una de finalización en una lista desplegable que recoge todas las horas del día. Una vez guardados los cambios, Windows intentará no reiniciar dentro de ese intervalo, salvo que tú mismo fuerces el reinicio. Y si en el momento del reinicio automático estás usando activamente el equipo, el sistema suele posponerlo para no interrumpirte.

Otras opciones avanzadas útiles en Windows 11

Dentro del mismo panel de opciones avanzadas de Windows Update hay varios conmutadores que conviene revisar. Uno de ellos es la opción que podríamos traducir como “Ponme al día” o permitir reinicios tan pronto como sea posible. Cuando está activada, el sistema puede aprovechar cualquier periodo de inactividad, incluso dentro de las horas activas, para instalar actualizaciones ya descargadas y reiniciar cuanto antes.

Al habilitar esta función, Windows mostrará un aviso con unos 15 minutos de antelación para que tengas tiempo de guardar tu trabajo y asegurarte de que el dispositivo está conectado a la corriente si se trata de un portátil. Es una opción interesante si priorizas la seguridad y quieres minimizar el tiempo que pasas con parches pendientes.

Otra configuración importante es el ajuste para recibir actualizaciones de otros productos de Microsoft, como Office u otras aplicaciones de la compañía. Si lo activas, Windows Update se encargará no solo del sistema, sino también de mantener al día el resto de software de Microsoft instalado, lo que simplifica bastante el mantenimiento.

Por último, tienes la posibilidad de activar un aviso cuando sea necesario reiniciar para completar una actualización. Aunque parezca algo obvio, esta notificación es clave para no dejar el equipo suspendido eternamente con un reinicio pendiente, sobre todo en portátiles o equipos que no sueles apagar del todo.

Control avanzado con Directivas de grupo y MDM

En organizaciones y entornos gestionados, la configuración a golpe de clic no es suficiente. Aquí entran en juego las Directivas de grupo (GPO) y las soluciones de administración de dispositivos móviles (MDM), que permiten aplicar reglas de forma centralizada a cientos o miles de equipos con Windows 11.

Las plantillas de directiva de grupo relacionadas con Windows Update se encuentran en la ruta Configuración del equipo > Plantillas administrativas > Componentes de Windows > Windows Update. Desde ahí se puede ajustar cómo detectan las actualizaciones los clientes, qué servicio utilizan, cómo se instalan y qué ve (o no ve) el usuario final.

En el mundo MDM, como Intune, existen parámetros equivalentes a estas políticas de grupo, por ejemplo UpdateServiceUrl, DetectionFrequency o AllowNonMicrosoftSignedUpdate, que permiten replicar el mismo comportamiento sin necesidad de un controlador de dominio clásico.

Configurar un servicio de actualización interno (WSUS u otros)

Una de las políticas más importantes es la que permite especificar la ubicación del servicio Microsoft Update en la intranet. Básicamente, con ella indicas que los equipos no deben ir a Internet a buscar actualizaciones, sino a un servidor interno (normalmente WSUS) que actúa como intermediario.

En la directiva de grupo correspondiente se configuran dos nombres de servidor: el servidor del que el cliente descarga las actualizaciones y el servidor al que los equipos actualizados envían sus estadísticas de estado. Ambos pueden apuntar a la misma máquina si así lo deseas.

Opcionalmente es posible definir un servidor de descarga alternativo, de forma que el agente de Windows Update obtenga los archivos desde otro servidor distinto al que proporciona los metadatos de la actualización. Incluso existe una opción para permitir descargas desde ese servidor alternativo cuando en los metadatos no haya URL de descarga, algo pensado para escenarios muy concretos en los que el servicio de actualización interno no expone esas direcciones.

Cuando esta política está habilitada, el cliente de actualizaciones automáticas deja de conectarse al servicio público de Windows Update y usa únicamente el servidor indicado en la intranet. Si la dejas deshabilitada o sin configurar, y siempre que no tengas desactivado el cliente por otros medios, el equipo se conectará directamente a los servidores de Microsoft en Internet.

Frecuencia de detección de actualizaciones automáticas

Otra política clave es la de la frecuencia con la que los dispositivos comprueban si hay nuevas actualizaciones disponibles

La particularidad es que el valor real no es fijo: Windows toma el número de horas que tú defines y calcula un intervalo aleatorio entre el 80% y el 100% de ese valor. Por ejemplo, si estableces una frecuencia de 20 horas, cada equipo revisará si hay actualizaciones en un momento diferente dentro de una ventana de entre 16 y 20 horas. Esto evita picos de carga simultáneos en el servidor de actualizaciones.

Si habilitas la política, se utilizará el intervalo que hayas configurado. Si la dejas deshabilitada o sin configurar, Windows usará el valor por defecto, que es de unas 22 horas aproximadamente. En MDM, esta misma lógica se controla mediante el parámetro DetectionFrequency.

Restringir el acceso a las funciones de Windows Update

En determinados escenarios corporativos puede interesar que los usuarios no puedan interactuar con Windows Update, aunque el equipo siga recibiendo actualizaciones en segundo plano, por ejemplo vía WSUS. Para esto existe la política Quitar el acceso a todas las características de Windows Update.

Al activar esta directiva, se deshabilita la opción de “Buscar actualizaciones” en la interfaz gráfica, y el usuario ya no puede forzar manualmente una búsqueda ni cambiar ciertas opciones. Las comprobaciones, descargas e instalaciones que se ejecutan en segundo plano continúan funcionando de acuerdo con las políticas definidas por el administrador, pero la experiencia de usuario queda muy recortada.

Impedir conexiones al Windows Update público

Aunque hayas configurado un servicio de actualización interno, Windows, de forma predeterminada, puede seguir conectándose periódicamente al servicio público de Windows Update para obtener cierta información que facilita conexiones futuras a Microsoft Update o servicios como Microsoft Store.

Si quieres bloquear por completo esas conexiones, tienes la directiva No conectar con ninguna ubicación de Internet de Windows Update. Cuando la habilitas, se elimina esa comunicación periódica con los servicios públicos, pero esto no es gratis: puede provocar que dejen de funcionar correctamente características como la propia Windows Store, algunas políticas de cliente de Windows Update o la Optimización de distribución.

Agrupar equipos con “Habilitar orientación de cliente”

Otra política habitual en entornos con WSUS o Configuration Manager es la de Habilitar la orientación de cliente. Con ella se define el nombre de uno o varios grupos de destino que el equipo enviará al servicio interno para indicar a qué conjunto lógico pertenece.

Si esta política está activa, el cliente incluye en sus comunicaciones la información del grupo o grupos especificados, de forma que el servidor WSUS puede decidir qué actualizaciones aprobar para ese grupo concreto. Si la política está deshabilitada o no configurada, el equipo no envía ningún dato de grupo de destino y se gestionará según la configuración general del servidor.

En caso de que el servicio interno admita varios grupos, la directiva permite indicar varios nombres separados por punto y coma. Si no es así, solo debe definirse un grupo. Es una forma sencilla de segmentar dispositivos sin necesidad de OU complejas o reglas adicionales.

Permitir actualizaciones firmadas por otros fabricantes

Por defecto, cuando usas un servicio interno de Microsoft Update en la intranet, se asume que las actualizaciones deben estar firmadas por Microsoft. Sin embargo, hay escenarios (por ejemplo, parches de terceros integrados en WSUS) donde puede interesar aceptar también actualizaciones firmadas por otros editores de confianza.

Para ello existe la política Permitir actualizaciones firmadas desde la ubicación del servicio Microsoft Update en la intranet. Si la habilitas, el cliente de actualizaciones automáticas aceptará paquetes procedentes del servicio interno aunque no estén firmados por Microsoft, siempre que la firma digital se base en un certificado presente en el almacén de “Publicadores de confianza” del equipo local.

Si dejas la política deshabilitada o sin configurar, solo se instalarán desde el servicio interno las actualizaciones firmadas por Microsoft. En MDM, la configuración equivalente se controla con el parámetro AllowNonMicrosoftSignedUpdate.

Cómo se instalan las actualizaciones: opciones automáticas y control de controladores

Además de decidir de dónde se descargan los parches y con qué frecuencia se comprueban, es fundamental definir cómo se instalan. En Windows 11 esto se maneja principalmente con la política de Configurar actualizaciones automáticas y con algunos ajustes complementarios.

Excluir controladores de Windows Update

En muchos entornos profesionales se prefiere validar los controladores (drivers) por separado

Si habilitas esta directiva, Windows Update dejará de ofrecer e instalar actualizaciones clasificadas como controladores junto con el resto de parches de calidad. Si en cambio la deshabilitas o la dejas sin configurar, el sistema incluirá los drivers dentro del flujo normal de Windows Update, lo que simplifica el mantenimiento pero puede introducir cambios de controlador no deseados.

Configurar las actualizaciones automáticas por GPO

La pieza central para controlar el comportamiento de las actualizaciones automáticas es la política Configurar actualizaciones automáticas (Configurar Windows Novedades automático en algunas traducciones). Se encuentra igualmente en la ruta de plantillas administrativas de Windows Update y permite elegir entre varios modos de funcionamiento.

Entre las opciones más relevantes están:

• Opción 2 – Notificar descarga e instalación automática: el sistema detecta qué actualizaciones aplican al equipo, pero no las descarga hasta que el usuario lo aprueba. Se muestra un aviso indicando que hay actualizaciones listas, y el usuario debe ir a Configuración > Windows Update para iniciar la descarga e instalación.
• Opción 3 – Descargar automáticamente y notificar para instalar: Windows busca las actualizaciones pertinentes y las descarga en segundo plano sin interrumpir al usuario. Una vez descargadas, aparece una notificación informando de que están listas para instalarse, y el usuario decide cuándo iniciar el proceso.
• Opción 4 – Descargar automáticamente y programar la instalación: similar a la anterior, pero además permite definir una programación concreta para la instalación y el posible reinicio, gestionada por otras políticas complementarias de programación.
• Opción 5 – Permitir que el administrador local elija la configuración: otorga a los administradores locales la capacidad de escoger el modo de las actualizaciones automáticas desde la aplicación Configuración. Eso sí, no pueden desactivar completamente las actualizaciones. Esta opción ya no está disponible en Windows 10 ni en versiones posteriores, por lo que en Windows 11 no se suele utilizar.
• Opción 7 – Notificar para instalar y notificar para reiniciar (Windows Server 2016 y posteriores): pensada sobre todo para servidores, descarga las actualizaciones y luego notifica tanto la instalación como el reinicio, dando el máximo control posible al administrador.

Si pones la política en deshabilitado, las actualizaciones deben descargarse e instalarse de forma completamente manual desde la interfaz de Windows Update. Si la dejas en No configurada, el administrador puede ajustar el comportamiento de las actualizaciones automáticas directamente desde la app Configuración en cada equipo.

Configurar Windows Update modificando el Registro

En redes pequeñas sin Active Directory, o cuando quieres aplicar un ajuste muy concreto de forma manual o mediante scripts, puedes recurrir a la configuración de Windows Update a través del Registro. Los valores clave se encuentran bajo la ruta:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

Desde ahí se pueden crear distintos valores de tipo REG_DWORD para reproducir el mismo comportamiento que ofrecen las políticas de grupo. Algunos de los más importantes son:

• NoAutoUpdate: cuando se establece, controla si el sistema desactiva las actualizaciones automáticas, de forma similar a deshabilitar la política correspondiente.
• AUOptions: define el modo de funcionamiento de las actualizaciones automáticas (1, 2, 3, 4, 5 o 7), con la misma semántica que en las GPO: desde desactivar la función de mantener el equipo actualizado hasta notificar solo instalación y reinicio.
• ScheduledInstallEveryWeek, ScheduledInstallDay y ScheduledInstallTime: permiten programar instalaciones automáticas una vez por semana, indicando el día y la hora exactos en formato de 24 horas.
• UseWUServer: cuando se establece en 1, indica que el cliente debe usar un servidor que ejecuta WSUS en lugar del servicio público de Windows Update.
• RescheduleWaitTime: define el tiempo de espera, en minutos, entre el momento en que se activan las actualizaciones automáticas y el inicio de las instalaciones si ya se ha pasado la hora programada.
• NoAutoRebootWithLoggedOnUsers: si se establece en 1, evita que el sistema reinicie automáticamente mientras haya usuarios con sesión iniciada.

Además, para indicar a qué servidor WSUS debe conectarse el cliente, se utilizan las siguientes claves dentro de HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate:

• WUServer (REG_SZ): especifica la URL HTTP del servidor WSUS desde el que se obtienen las actualizaciones.
• WUStatusServer (REG_SZ): define el servidor que recibe las estadísticas de estado de los clientes.

Cuando configuras las actualizaciones automáticas directamente mediante estas claves de registro, la política resultante tiene prioridad sobre las preferencias establecidas por el administrador local en la interfaz. Si más adelante eliminas estas claves, el sistema vuelve a respetar la configuración aplicada desde la app Configuración.

Ajustes adicionales de Windows Update específicos de Windows 11

Windows 11 introduce algunas particularidades adicionales en torno a la actualización del sistema que conviene conocer, sobre todo en escenarios con Azure AD (ahora Microsoft Entra) o en despliegues con máquinas virtuales nuevas.

Mostrar (o no) el nombre de la organización en las notificaciones

Cuando un dispositivo con Windows 11 está unido o asociado a un inquilino de Microsoft Entra ID, el sistema puede mostrar el nombre de la organización en distintas notificaciones de Windows Update. Por ejemplo, en mensajes que informan de una fecha límite de cumplimiento para instalar una actualización importante puede aparecer algo del estilo: “Contoso requiere que se instalen actualizaciones importantes”.

Este nombre también puede mostrarse en la propia página de Windows Update dentro de Configuración, de modo que el usuario tiene más claro que su equipo está gestionado por una organización concreta y que ciertas políticas vienen impuestas por la empresa.

Si por cualquier razón no quieres que aparezca el nombre de la organización en estas notificaciones, puedes modificar el registro en la ruta:

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsUpdate\Orchestrator\Configurations

En esa clave debes crear o editar el valor DWORD UsoDisableAADJAttribution y establecerlo a 1. Al hacerlo, Windows dejará de mostrar la atribución al inquilino de Microsoft Entra en las notificaciones de Windows Update, manteniendo el resto de funcionamiento igual.

Permitir que las actualizaciones se instalen antes del primer inicio de sesión

A partir de Windows 11, versión 22H2, con las actualizaciones acumulativas recientes, existe una opción pensada para escenarios donde el primer inicio de sesión de usuario se produce con bastante retraso, como sucede en muchas máquinas virtuales aprovisionadas de forma automatizada.

En condiciones normales, Windows Update no inicia la instalación de actualizaciones en segundo plano hasta que alguien completa la experiencia fuera de la caja (OOBE) y se inicia sesión por primera vez. Si el equipo se queda “aparcado” varios días sin que nadie entre, puede permanecer todo ese tiempo sin parches instalados.

Para permitir que las actualizaciones comiencen a trabajarse incluso antes de esa primera sesión, puedes establecer en el registro, bajo:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Orchestrator

el valor DWORD ScanBeforeInitialLogonAllowed con datos igual a 1. Con este ajuste, Windows 11 puede empezar a escanear e instalar actualizaciones en segundo plano aunque nadie haya iniciado sesión aún, mejorando la seguridad y reduciendo el tiempo de puesta en marcha cuando finalmente se asigne el dispositivo a un usuario.

Experiencia inicial de Windows 11 (OOBE) y opción para aplazar actualizaciones

Uno de los momentos en los que más se nota la política de actualizaciones es durante la configuración inicial de Windows 11, el conocido asistente OOBE que ves la primera vez que enciendes un equipo nuevo o después de una reinstalación limpia.

Hasta hace poco, el proceso obligaba casi siempre a instalar ciertas actualizaciones antes de permitirte llegar al escritorio. Esto podía traducirse en esperas de 30 a 45 minutos en algunos casos, especialmente en conexiones lentas o equipos no demasiado potentes, lo que daba una mala primera impresión del sistema.

Microsoft ha introducido una mejora relevante en este punto: la incorporación de una opción del tipo “Update later” (actualizar más tarde). Con ella, el usuario puede terminar la configuración inicial, llegar al escritorio y dejar que las actualizaciones se instalen después, en segundo plano, cuando le venga mejor.

Esta opción no aparece en absolutamente todos los escenarios, ya que su despliegue se ha ido realizando de forma progresiva y puede estar influido por políticas de la organización, pero cuando está disponible supone un alivio importante tanto para usuarios domésticos como para departamentos de IT que tienen que preparar muchos equipos de golpe.

Solución de problemas y comprobaciones básicas en Windows Update

Aunque tengas todo bien configurado, es posible que en algún momento Windows 11 se atasque con una actualización, muestre un error al instalar o tarde demasiado en completar el proceso. En esos casos hay una serie de pasos de diagnóstico que conviene revisar antes de meterse en soluciones más drásticas.

Lo primero es comprobar que la cuenta con la que trabajas tiene permisos de administrador, ya que muchas operaciones de reparación requieren elevación. Puedes abrir el cuadro Ejecutar con Windows + R, escribir netplwiz y verificar que tu cuenta figura como Administrador.

También es recomendable desactivar temporalmente cualquier antivirus de terceros distinto de Windows Defender, ya que algunos productos de seguridad interfieren con el servicio de Windows Update o con el proceso de instalación de parches. Cada fabricante tiene su propio método para pausarlo, así que conviene consultar su documentación.

Como siguiente paso, suele funcionar bien ejecutar una serie de comandos de reparación del sistema. Abre el Símbolo del sistema como administrador y lanza, uno a uno, SFC /Scannow, DISM.exe /Online /Cleanup-image /Scanhealth y DISM.exe /Online /Cleanup-image /Restorehealth. Estos comandos analizan y reparan archivos de sistema dañados o inconsistentes, algo que con frecuencia está detrás de errores de Windows Update.

Por último, conviene asegurarse de que los servicios de Windows Update están habilitados y configurados correctamente (por ejemplo, el servicio wuauserv, BITS, etc.) y revisar las sugerencias oficiales de Microsoft para mejorar el rendimiento del PC, ya que un equipo extremadamente lento puede hacer que las actualizaciones parezcan eternas aunque en realidad estén avanzando.

Dominar todas estas opciones de configuración de actualizaciones en Windows 11, desde las horas activas y los ajustes visuales de Windows Update hasta las directivas de grupo, MDM y claves de registro, te permite adaptar el comportamiento del sistema a tus necesidades reales, reducir interrupciones, mejorar la seguridad y, en entornos profesionales, mantener un control fino sobre qué se instala, cuándo y desde dónde.