- La actualización ESU KB5071546 para Windows 10 corrige 57 vulnerabilidades, incluidas varias zero-day y fallos de ejecución remota de código.
- Solo está disponible para equipos inscritos en el programa Extended Security Updates (ESU) y ediciones como Windows 10 Enterprise LTSC.
- Introduce cambios clave en PowerShell 5.1 e Invoke-WebRequest por la vulnerabilidad CVE-2025-54100 y actualiza la pila de mantenimiento (SSU).
- Puede provocar fallos en MSMQ en entornos corporativos, aunque Microsoft ha liberado una actualización fuera de banda posterior para corregir este problema.
Si sigues usando Windows 10 a pesar del fin de soporte oficial, la actualización ESU KB5071546 es uno de esos parches que no puedes pasar por alto. No trae grandes cambios visuales, pero está cargada de correcciones de seguridad críticas y, además, ha destapado algún que otro problema serio en determinados entornos.
A lo largo de este artículo vas a encontrar una explicación clara de qué aporta exactamente KB5071546, en qué equipos se instala, qué vulnerabilidades corrige, qué relación tiene con PowerShell y por qué ha roto la funcionalidad MSMQ en algunos servidores. También verás cómo gestionarla (instalarla o desinstalarla) y qué papel juega dentro del programa de Extended Security Updates (ESU) de Windows 10.
Qué es la actualización ESU KB5071546 de Windows 10
La actualización KB5071546 es una actualización acumulativa de seguridad para Windows 10 que Microsoft distribuye exclusivamente a través del programa Extended Security Updates (ESU) y en ediciones específicas de empresa. No añade funciones llamativas, pero concentra un número muy elevado de parches para vulnerabilidades recientes.
En Windows Update se muestra como “2025-12 Cumulative Update for Windows 10 Version 22H2 for x64-based Systems (KB5071546)” y eleva el sistema a las compilaciones 19045.6691 (Windows 10 22H2) o 19044.6691 en las ediciones Enterprise LTSC 2021 y otras variantes compatibles.
Microsoft ha confirmado que el alcance de esta actualización es amplio, ya que forma parte del paquete de parches de seguridad de diciembre y se apoya en actualizaciones previas como KB5071959 (11 de noviembre de 2025, fuera de banda) y KB5068781 (compilaciones 19044.6575 y 19045.6575). Si instalaste parches anteriores, solo se descargan e instalan los componentes nuevos contenidos en este paquete.
Aunque Windows 10 alcanzó su fin de vida comercial en octubre de 2025, Microsoft continúa liberando este tipo de actualizaciones para los sistemas que aún están cubiertos por ESU o que pertenecen a canales de soporte extendido como LTSC. Esto permite que millones de equipos sigan protegidos mientras se planifica la migración a Windows 11.
En qué equipos se instala la KB5071546
Una de las particularidades de este parche es que no está disponible para todos los usuarios de Windows 10. Solo lo verás en Windows Update o en el Catálogo de Microsoft Update si tu sistema cumple ciertos requisitos relacionados con el soporte extendido.
Por un lado, la actualización se distribuye a los equipos con Windows 10 versión 22H2 que formen parte del programa Extended Security Updates (ESU). Este programa está pensado principalmente para empresas, administraciones públicas y organizaciones que necesitan más tiempo para migrar sus equipos.
Además, Windows 10 Enterprise LTSC 2021 (compilación base 19044) también recibe KB5071546 dentro de su ciclo propio de soporte de larga duración. Esta edición suele utilizarse en entornos industriales, equipos de misión crítica, infraestructuras o dispositivos donde la estabilidad es prioritaria y apenas se cambian las aplicaciones instaladas.
En consecuencia, usuarios domésticos con ediciones Home o Pro estándar que no hayan activado ESU no verán este parche en Windows Update. En la práctica, la actualización está dirigida a sistemas gestionados profesionalmente, donde la seguridad continua es un requisito contractual o normativo.
Qué problemas de seguridad corrige KB5071546
Aunque las notas oficiales de Microsoft para las actualizaciones ESU suelen ser escuetas, las investigaciones de seguridad independientes confirman que KB5071546 corrige 57 vulnerabilidades en diferentes componentes de Windows 10, con varios fallos considerados de gravedad alta.
Dentro de ese conjunto de 57 vulnerabilidades se incluyen varios tipos de fallos de seguridad: problemas de suplantación, escaladas de privilegios, riesgos de denegación de servicio y vulnerabilidades de ejecución remota de código. Es un paquete amplio que refuerza distintas capas del sistema operativo.
Entre las correcciones destacan dos vulnerabilidades de tipo zero‑day, es decir, fallos que eran desconocidos públicamente o no estaban parcheados en el momento en que empezaron a explotarse. También se ha confirmado al menos una vulnerabilidad que ya estaba siendo explotada activamente, lo que aumenta la urgencia de instalar el parche en equipos expuestos a Internet.
Distribuidas de forma aproximada, las correcciones abarcan fallos de suplantación de identidad (spoofing), varios problemas de denegación de servicio (DoS), más de una veintena de vulnerabilidades de escalada de privilegios y cerca de una veintena de vulnerabilidades de ejecución remota de código, estas últimas especialmente peligrosas por permitir ataques sin interacción directa del usuario.
En términos prácticos, mantener el sistema sin KB5071546 significa dejar abiertas puertas conocidas que pueden ser aprovechadas por atacantes para tomar el control del equipo, robar información o interrumpir servicios. Precisamente por eso Microsoft ha clasificado esta actualización como crítica dentro del programa ESU.
El papel clave de PowerShell e Invoke-WebRequest (CVE-2025-54100)
La corrección más visible para los administradores y usuarios avanzados está relacionada con PowerShell 5.1, concretamente con el comando Invoke-WebRequest. Aquí entra en juego la vulnerabilidad CVE-2025-54100, clasificada con nivel de riesgo elevado.
Antes de este parche, el comando Invoke-WebRequest analizaba el contenido HTML de las páginas web que descargaba, y en ese proceso podía llegar a ejecutar código de script incrustado de manera no segura. Los atacantes podían diseñar páginas maliciosas que, al ser consultadas mediante este comando, desencadenasen la ejecución de instrucciones en el equipo víctima.
Tras instalar KB5071546, Microsoft ha añadido un nuevo aviso de seguridad y un cambio de comportamiento en PowerShell. Ahora, cuando se lanza Invoke-WebRequest en determinados contextos, se muestra un mensaje advirtiendo de que el análisis del contenido web podría dar lugar a la ejecución de scripts y recomendando el uso del modificador -UseBasicParsing para evitar riesgos.
Este nuevo aviso no bloquea por completo la ejecución, pero ofrece al usuario o al administrador una oportunidad adicional para detectar comportamientos sospechosos. Si se emplea el parámetro -UseBasicParsing, PowerShell evita procesar el contenido de manera avanzada y reduce las posibilidades de que se ejecute código no deseado procedente de una página web.
Además del propio parche, Microsoft ha publicado documentación específica para endurecer el uso de PowerShell 5.1, insistiendo en la importancia de revisar el origen de los scripts, evitar ejecutar código descargado directamente desde Internet y aplicar buenas prácticas de seguridad en entornos donde PowerShell se utiliza para automatizar tareas críticas.
Actualización de la pila de mantenimiento (SSU) y mejoras en Azure
Junto con la actualización acumulativa, Microsoft ha incluido una actualización de la pila de mantenimiento (Servicing Stack Update, SSU) para Windows 10, identificada como KB5068780 para las compilaciones 19044.6575 y 19045.6575, que se integra en el propio paquete de la KB5071546.
La pila de mantenimiento es el componente interno de Windows encargado de instalar actualizaciones. Las SSU no añaden funciones al sistema operativo visible para el usuario, pero mejoran la fiabilidad del proceso de actualización y reducen el riesgo de errores durante la instalación de futuros parches.
En este caso, la SSU incluida introduce lógica mejorada para comprobar si un dispositivo está hospedado en Azure. Para ello aprovecha una cadena de certificados actualizada que refuerza la validación y garantiza que los dispositivos en la nube puedan recibir e instalar correctamente las actualizaciones que les correspondan.
Microsoft recomienda encarecidamente instalar la SSU más reciente antes de aplicar otras actualizaciones, algo que en la práctica se resuelve al incluir la SSU dentro de la propia actualización acumulativa. Para entornos gestionados, es importante asegurarse de que los dispositivos pueden acceder a los dominios necesarios para la descarga de certificados y listas de revocación.
En la documentación oficial se hace referencia a recursos relacionados con descarga de certificados y detalles de la entidad de certificación de Azure, que ayudan a los administradores a validar que su infraestructura cumple los requisitos de conectividad y confianza para mantener el flujo de parches sin interrupciones.
KB5071546, Windows 11 y el contexto de vulnerabilidades recientes
La aparición de KB5071546 se enmarca en un escenario particularmente complejo para el ecosistema Windows, marcado por el fin del soporte general de Windows 10 y por la presión creciente sobre Windows 11, en plena integración de funciones basadas en inteligencia artificial.
En las últimas semanas, Microsoft ha tenido que hacer frente a decenas de vulnerabilidades detectadas tanto en Windows 10 como en Windows 11, incluidas varias zero‑day de alto impacto. El paquete de parches correspondiente a este ciclo corrige 57 fallos, lo que refleja la intensidad del trabajo en materia de seguridad en Redmond.
En el caso de Windows 11, la compañía ha publicado parches paralelos a la KB5071546, con referencias como KB5072033 para las versiones 24H2 y 25H2, y KB5071417 para la versión 23H2. Estas actualizaciones no solo contienen correcciones de seguridad, sino que también incorporan más de una decena de nuevas características orientadas a mejorar el rendimiento y la experiencia de usuario.
De hecho, en Windows 11 las actualizaciones recientes se han desplegado de manera escalonada y progresiva, con Microsoft indicando que las nuevas funciones irán activándose poco a poco en los distintos equipos. Este enfoque ayuda a detectar posibles problemas antes de que afecten a toda la base de usuarios.
Pese a este esfuerzo, la adopción de Windows 11 sigue siendo más lenta de lo que Microsoft desearía, en parte por requisitos como requisitos como TPM, y una parte significativa de los usuarios continúa utilizando Windows 10. Se calcula que, incluso tras el fin de soporte, la cuota de uso de Windows 10 ronda todavía aproximadamente el 40 %, de ahí la importancia de las ESU y de parches como KB5071546.
Programa ESU y soporte extendido para Windows 10
La existencia de la actualización KB5071546 está directamente ligada al programa Extended Security Updates (ESU), que es el mecanismo que Microsoft ha puesto en marcha para prolongar la seguridad de Windows 10 más allá del fin de soporte estándar.
El programa ESU está dirigido principalmente a empresas, organismos públicos y usuarios avanzados que, por motivos de compatibilidad, presupuesto o planificación, no pueden dar el salto inmediato a Windows 11. A través de ESU, estos sistemas siguen recibiendo parches críticos y correcciones de seguridad, aunque ya no se incluyen nuevas funciones ni mejoras generales.
En la práctica, si tienes un equipo con Windows 10 22H2 y cumples las condiciones del programa, Windows Update mostrará la opción para inscribirte en ESU. En algunos casos, Microsoft ofrece un año de soporte extendido sin coste adicional, especialmente si el equipo procede de un entorno con Windows 11 o con licencias específicas.
Para quienes utilizan cuentas locales o configuraciones que no encajan en el modelo gratuito, existe la opción de pagar una cuota anual por cada dispositivo para seguir recibiendo actualizaciones. Esta cuota tiende a incrementarse con el paso de los años, lo que refuerza la idea de que ESU es una solución temporal y no un sustituto permanente de la migración.
En regiones como Europa, los usuarios pueden acceder al programa ESU directamente desde Windows Update siguiendo las indicaciones que muestra el propio sistema. Para entornos corporativos, la gestión se suele centralizar a través de herramientas como WSUS, Microsoft Endpoint Configuration Manager u otras plataformas de despliegue.
Problemas conocidos: fallo en MSMQ tras instalar KB5071546
Aunque la actualización se ha diseñado como un parche crítico de seguridad, Microsoft ha reconocido que KB5071546 puede provocar problemas en la funcionalidad Message Queuing (MSMQ) en ciertos entornos, especialmente en configuraciones empresariales o servidores con cargas específicas.
Tras la instalación, algunos usuarios han reportado colas MSMQ que dejan de procesar mensajes o que aparecen como inactivas sin razón aparente. Este comportamiento se ha observado tanto en servidores independientes como en entornos con MSMQ configurado en clúster o balanceo de carga.
Además, se han detectado errores en sitios web alojados en IIS, con mensajes del tipo “Insufficient resources to perform operation” cuando las aplicaciones intentan acceder a colas MSMQ o interactuar con servicios que dependen de ellas. En la práctica, esto puede traducirse en aplicaciones web que dejan de abrirse o se comportan de forma errática.
Otro síntoma habitual es que las aplicaciones no pueden escribir en las colas y registran errores al crear archivos de mensajes, con mensajes del estilo “The message file ‘C:\Windows\System32\msmq\storage*.mq’ cannot be created”. También se han visto registros indicando “There is insufficient disk space or memory” aun cuando el sistema dispone de recursos suficientes.
La causa de fondo está relacionada con cambios recientes en el modelo de seguridad de MSMQ y en los permisos NTFS de la carpeta C:\Windows\System32\MSMQ\storage. Tras la actualización, los procesos que utilizan MSMQ necesitan permisos de escritura sobre esta carpeta, permisos que tradicionalmente estaban restringidos a administradores, lo que provoca conflictos en aplicaciones configuradas con cuentas de servicio más limitadas.
Quién se ve afectado por el fallo en MSMQ y qué hacer
Este problema con MSMQ no afecta por igual a todos los usuarios. En general, es muy poco frecuente que un usuario doméstico con Windows 10 Home o Pro en un PC personal se vea impactado, ya que MSMQ suele estar deshabilitado por defecto y rara vez forma parte de la configuración de un equipo de uso cotidiano.
Los entornos más afectados son infraestructuras corporativas y sistemas gestionados donde MSMQ se utiliza como pieza clave para la comunicación entre servicios, aplicaciones de back‑office, sistemas en segundo plano o soluciones que coordinan procesos distribuidos.
En estos contextos, si tras instalar KB5071546 empiezan a fallar servicios que dependen de MSMQ, una solución de choque que muchos administradores están aplicando consiste en desinstalar temporalmente la actualización KB5071546 desde el historial de Windows Update. Al hacerlo, el sistema vuelve al estado anterior y la funcionalidad de MSMQ se recupera.
Para eliminar la actualización desde la propia interfaz de Windows 10, se puede acceder a la aplicación de Configuración, entrar en “Actualización y seguridad”, abrir el historial de actualizaciones, localizar la entrada correspondiente a KB5071546 y proceder a su desinstalación. Tras el reinicio, los servicios suelen volver a funcionar con normalidad.
Microsoft ha confirmado públicamente que está investigando estos problemas asociados a MSMQ tras el despliegue de la actualización, aunque en un primer momento no ha ofrecido un parche definitivo. Mientras tanto, la recomendación en entornos críticos es evaluar cuidadosamente el impacto antes de aplicar la actualización o, si ya está instalada, valorar la reversión si MSMQ resulta esencial para el negocio.
Resolución oficial y actualización fuera de banda
Tras reconocer la incidencia relacionada con MSMQ, Microsoft ha publicado una actualización fuera de banda para resolver el problema. Esta corrección adicional se distribuyó el 18 de diciembre de 2025 en forma de parches como KB5074976 para los sistemas afectados.
La compañía recomienda instalar la actualización más reciente disponible para cada dispositivo, ya que en ella se incluyen tanto los parches de seguridad principales (como la KB5071546) como la solución específica para los problemas con MSMQ. De este modo, se puede mantener el nivel de protección sin sacrificar la estabilidad de las aplicaciones que trabajan con colas de mensajes.
En entornos empresariales, el procedimiento habitual pasa por probar primero la actualización fuera de banda en un entorno de preproducción, validando que MSMQ funciona correctamente y que no se introducen regresiones adicionales. Una vez confirmado, el parche se puede desplegar de manera controlada al resto de servidores.
Conviene recordar que este fallo no afecta a Windows 11, ya que la incidencia se limita a ciertas configuraciones de Windows 10 que utilizan MSMQ bajo el paraguas de ESU. Aun así, la lección es clara: es recomendable disponer de un plan de pruebas y de reversión para cada ciclo de actualizaciones, sobre todo en sistemas que ofrecen servicios críticos.
Mientras la investigación de Microsoft avanza, los administradores deben encontrar el equilibrio entre mantener los sistemas parcheados frente a vulnerabilidades activas y evitar interrupciones de servicio por cambios inesperados en componentes como MSMQ, ajustando permisos NTFS o aplicando parches adicionales según la guía oficial.
Cómo instalar KB5071546 y gestionar ESU
En equipos que cumplen los requisitos, la forma más sencilla de obtener este parche es a través de Windows Update. Basta con abrir la aplicación de Configuración, ir a “Windows Update” y pulsar en “Buscar actualizaciones” para que el sistema detecte y ofrezca la instalación de KB5071546 si el equipo está inscrito en el programa ESU.
En el propio panel de Windows Update suele aparecer un botón o enlace para inscribirse en ESU, identificado con textos del tipo “Enroll now” cuando el dispositivo cumple los criterios. En algunos casos se ofrece un año de actualizaciones de seguridad extendidas sin coste, mientras que en otros se requiere un pago por licencia.
Para quienes prefieren gestionar las actualizaciones manualmente, Microsoft publica los paquetes .msu en el Catálogo de Microsoft Update. Desde allí se pueden descargar los instaladores offline de KB5071546 para arquitecturas x64 y desplegarlos en equipos sin conexión directa a Windows Update o en redes segmentadas.
Sin embargo, es importante tener en cuenta que, si el dispositivo no está correctamente registrado en ESU, los instaladores manuales pueden fallar o negarse a aplicar el parche. Por eso la recomendación general es utilizar primero el mecanismo automático de Windows Update y dejar el uso de instaladores manuales para escenarios muy concretos.
Una vez instalada la actualización, el sistema solicitará un reinicio para completar el proceso. Es recomendable realizar una copia de seguridad previa o, en entornos profesionales, tener instantáneas o puntos de restauración que permitan volver atrás en caso de que se detecten problemas posteriores, como el ya mencionado con MSMQ.
¿Tiene sentido seguir con Windows 10 con ESU?
La existencia de parches como KB5071546 abre el debate sobre hasta cuándo merece la pena alargar la vida de Windows 10 mediante ESU. Para muchos usuarios domésticos, dar el salto a Windows 11 puede ser la opción más lógica, siempre que el hardware lo permita.
En cambio, para empresas que dependen de aplicaciones legadas, hardware especializado o entornos certificados, mantener Windows 10 con ESU durante un tiempo adicional puede ser la única alternativa razonable mientras se preparan migraciones complejas o se adaptan sistemas que no admiten cambios rápidos.
Microsoft ha diseñado el programa ESU como una tabla de salvación temporal, con previsión de aumentar los costes con el paso de los años para incentivar finalmente la transición a plataformas más modernas. Aun así, mientras ESU siga activo y cubriendo vulnerabilidades importantes, resulta una opción válida para quienes no pueden moverse todavía a Windows 11.
Lo fundamental en este contexto es que los responsables de TI tengan una estrategia clara de actualización: aprovechar ESU y parches como KB5071546 para ganar tiempo, pero avanzar en paralelo en la renovación del parque de equipos y en la validación de aplicaciones en Windows 11 o incluso en otras plataformas.
Con todo ello en mente, KB5071546 se convierte en una pieza clave del puzle de seguridad de Windows 10 en esta etapa final: un parche crítico que corrige decenas de vulnerabilidades, introduce cambios importantes en PowerShell, ajusta la pila de mantenimiento y, a la vez, ha puesto de manifiesto la necesidad de testear a fondo cualquier actualización cuando hay servicios sensibles como MSMQ en juego.
