Las últimas actualizaciones de seguridad de Windows 11 están dando más quebraderos de cabeza de los habituales, y esta vez el golpe va directo a un punto especialmente sensible: las copias de seguridad. La acumulativa de abril está provocando que muchos equipos con Windows 11 y Windows 10 vean cómo su software de backup de terceros deja de funcionar como debería.
Lo preocupante es que el fallo no se limita a una aplicación poco conocida. Herramientas ampliamente usadas en entornos domésticos y empresariales, como Acronis Cyber Protect Cloud, Macrium Reflect, NinjaOne Backup o UrBackup Server, están reportando problemas después de instalar el parche KB5083769. En el peor escenario, las copias parecen estar hechas pero se vuelven imposibles de montar o de restaurar justo cuando más se necesitan.
Qué está pasando con la actualización KB5083769 en Windows 11
Según la información recopilada por distintos medios especializados como BleepingComputer y la propia documentación de Microsoft, el origen del lío está en la actualización acumulativa KB5083769, distribuida el 14 de abril de 2026. Este parche se ha desplegado en equipos con Windows 11 24H2 y 25H2 —incluyendo builds como 26200.8246 y 26100.8246— y también alcanza a sistemas con Windows 10 y Windows Server.
El objetivo oficial del parche es reforzar la seguridad del sistema operativo, con correcciones de vulnerabilidades, mejoras de calidad y otros cambios heredados de actualizaciones anteriores. Entre esas medidas, Microsoft ha decidido ampliar la llamada Microsoft vulnerable driver blocklist, es decir, la lista de controladores de kernel considerados peligrosos que Windows bloquea para evitar ataques.
El problema aparece cuando uno de esos controladores vetados resulta ser una pieza clave para muchas soluciones de copia de seguridad. Se trata de psmounterex.sys, un driver que numerosos programas de backup utilizan para montar imágenes de disco como si fueran unidades virtuales. Cuando este componente deja de cargarse por estar en la lista de bloqueos, las aplicaciones pierden la capacidad de montar, explorar o gestionar correctamente las copias.
De cara al usuario, el síntoma no siempre es evidente. Las copias completas pueden seguir generándose sin fallo aparente, pero al intentar abrir la imagen para recuperar uno o varios archivos, el proceso se rompe. Es decir, el respaldo existe, pero se vuelve inservible para muchas tareas prácticas de restauración.
El controlador psmounterex.sys y la vulnerabilidad de seguridad
Microsoft ha explicado que el bloqueo de psmounterex.sys no es un capricho, sino una respuesta a una vulnerabilidad grave catalogada como CVE-2023-43896. Este fallo permitiría a un atacante escalar privilegios o ejecutar código arbitrario en el equipo, lo que convierte al controlador en un vector de ataque potencialmente serio.
Para cortar de raíz ese riesgo, el fabricante ha decidido incluir psmounterex.sys en su lista de drivers vulnerables. En cuanto se activa la integridad de código y la política de bloqueo correspondiente, el controlador deja de cargarse, y con él se vienen abajo las funciones que dependen de su uso, entre ellas el montaje de imágenes de copia de seguridad.
Desde el punto de vista técnico, muchas de estas aplicaciones de backup se apoyan en VSS (Volume Shadow Copy Service), el sistema de instantáneas de volumen de Windows, para crear copias consistentes mientras el sistema sigue funcionando. Cuando VSS intenta hacer su trabajo pero el driver necesario está vetado, empiezan a aparecer errores como “The backup has failed because Microsoft VSS has timed out during the snapshot creation” o códigos como VSS_E_BAD_STATE, que no resultan precisamente claros para el usuario medio.
Este endurecimiento de la seguridad encaja con la estrategia general de Microsoft de cerrar puertas a ataques a bajo nivel. Sin embargo, en la práctica ha roto el funcionamiento de parte del ecosistema de software de respaldo, afectando tanto a particulares como a empresas, incluidos administradores que gestionan flotas de ordenadores en Europa con soluciones centralizadas de backup.
Programas de copia de seguridad afectados y comportamiento de los fallos
Entre las aplicaciones que han reconocido o mostrado problemas tras instalar KB5083769 destacan varias herramientas muy populares. La lista de programas afectados confirmados hasta la fecha incluye Acronis Cyber Protect Cloud, Macrium Reflect, NinjaOne Backup y UrBackup Server, si bien no se descarta que haya más soluciones impactadas que dependan del mismo controlador.
En el caso de Acronis, la compañía ha publicado documentación de soporte específica en la que admite el fallo y detalla que no solo se ven afectadas las operaciones de montaje o restauración, sino que algunos equipos dejan de comunicarse correctamente con la consola en la nube. El agente instalado en la máquina puede aparecer como desconectado, lo que complica la gestión remota de los respaldos.
Con Macrium Reflect y herramientas similares, el patrón suele repetirse: la copia completa se crea sin aparente contratiempo, pero al intentar montar la imagen como unidad virtual o explorar su contenido, la operación falla con mensajes vinculados a VSS o a la integridad de código. En entornos profesionales donde la restauración granular de archivos es el pan de cada día, este comportamiento es especialmente delicado.
Soluciones de administración y backup gestionado como NinjaOne Backup o UrBackup Server también están en el punto de mira. En redes con muchos equipos, un cambio como este puede dejar a decenas o cientos de ordenadores con copias que parecen válidas pero no lo son, al menos hasta que se apliquen parches específicos por parte de los desarrolladores de cada producto.
Por ahora, los distintos proveedores afectados han reconocido la incompatibilidad y trabajan en actualizaciones que sustituyan la dependencia de psmounterex.sys por otras técnicas más seguras, de forma que puedan seguir montando y gestionando imágenes sin chocar con el nuevo bloqueo de Windows.
Cómo saber si tu sistema está bloqueando el controlador de backup
Quienes administran sistemas, tanto en hogares como en empresas, pueden comprobar si el bloqueo de psmounterex.sys está activo en sus equipos usando el Visor de eventos de Windows. No es un proceso complicado, pero conviene seguir los pasos con calma para no perderse entre los registros.
El procedimiento recomendado es el siguiente: primero, haz clic derecho sobre el botón de Inicio y elige “Visor de eventos”. Una vez abierto, navega hasta la ruta “Registros de aplicaciones y servicios > Microsoft > Windows > CodeIntegrity > Operational”. Es una sección centrada en los eventos de integridad de código y bloqueo de controladores.
Dentro de ese registro, la clave es buscar entradas con el Event ID 3077 asociadas a la política cuyo identificador figura como D2BDA982-CCF6-4344-AC5B-0B44427B6816. Si ese evento aparece, significa que Windows está aplicando la política de bloqueo sobre el controlador vulnerable, y lo más probable es que sea el motivo por el que tu software de backup ha empezado a comportarse de forma extraña.
En un entorno corporativo, revisar estos eventos en varios equipos puede ayudar a identificar rápidamente dónde se está aplicando el bloqueo y qué máquinas corren más riesgo de tener copias inutilizables. En el ámbito doméstico, aunque pueda sonar un poco técnico, invertir unos minutos en esta comprobación puede evitar sorpresas desagradables cuando toque recuperar archivos.
Recomendaciones oficiales de Microsoft y opciones para recuperar datos
Microsoft ha dejado claro en su documentación que la solución preferente no pasa por desinstalar la actualización. La recomendación principal es actualizar el software de copia de seguridad a la última versión disponible, confiando en que los desarrolladores publiquen nuevas compilaciones que eliminen la dependencia de psmounterex.sys o la sustituyan por un método compatible con el bloqueo actual.
Desde el punto de vista de la seguridad, la compañía insiste en que no es buena idea pausar indefinidamente Windows Update ni retirar el parche KB5083769 de forma generalizada, porque eso reabriría la puerta a la vulnerabilidad asociada al controlador, dejando los equipos expuestos a potenciales ataques de escalada de privilegios o ejecución remota.
No obstante, se admite que hay situaciones críticas en las que la prioridad absoluta es recuperar datos. Para esos casos, Microsoft contempla como último recurso la posibilidad de desinstalar temporalmente la actualización KB5083769 desde Configuración > Windows Update > Historial de actualizaciones > Desinstalar actualizaciones, localizar el parche en la lista, retirarlo y reiniciar el equipo.
Tras la desinstalación, se aconseja pausar las actualizaciones automáticas para evitar que el parche vuelva a instalarse de inmediato, realizar las operaciones de restauración imprescindibles y, en cuanto sea posible, volver a aplicar las actualizaciones de seguridad. Es un equilibrio complicado entre proteger el sistema y no perder la capacidad de recuperar copias de seguridad, pero en muchos casos no queda otra que valorar el riesgo frente a la urgencia.
Buenas prácticas mientras se soluciona el conflicto de las copias de seguridad
Mientras los fabricantes de software de respaldo lanzan versiones adaptadas al nuevo escenario, es prudente tomar algunas medidas adicionales. La primera, por obvia que parezca, es revisar el historial de copias de seguridad y comprobar no solo que las tareas se completan, sino que las imágenes pueden montarse y explorarse correctamente en un entorno de prueba.
Otra recomendación es mantener al menos una copia offline o fuera de línea, ya sea en un disco externo desconectado, en un NAS con snapshots o en un servicio en la nube que no dependa del controlador afectado. De este modo, aunque el backup habitual falle al montarse, tendrás una red de seguridad alternativa.
En organizaciones y pymes, resulta especialmente útil suscribirse a los boletines de avisos de los fabricantes de backup, revisar con frecuencia sus notas de versión y aplicar parches en cuanto aparezca una actualización que declare ser compatible con KB5083769. Dejar el tema para más adelante puede traducirse en copias que nadie sabe si realmente sirven hasta que llega el desastre.
También es aconsejable documentar los procedimientos de restauración y realizar pruebas periódicas en un entorno controlado, por ejemplo restaurando una máquina virtual o un conjunto limitado de archivos. Esto permite detectar incompatibilidades antes de una emergencia real, reduciendo la presión cuando hay que actuar con prisas.
Por último, aunque pueda sonar contradictorio ante un parche problemático, conviene seguir manteniendo el sistema operativo al día en materia de seguridad. Si un proveedor de backup recomienda un plan específico —como pausar ciertas actualizaciones en algunos equipos clave—, lo ideal es seguir esas indicaciones y revisarlas periódicamente, sin perder de vista que los exploits contra vulnerabilidades de kernel son un riesgo real.
Todo este episodio con la actualización KB5083769 de Windows 11 pone sobre la mesa un dilema clásico: cómo reforzar la seguridad sin romper servicios críticos como las copias de seguridad. Hasta que los distintos actores —Microsoft y los desarrolladores de backup— terminen de ajustar sus productos, toca extremar la vigilancia sobre el estado de las copias, probar que las restauraciones funcionan y valorar muy bien cada cambio en los equipos, especialmente en aquellos que guardan información sensible tanto en hogares como en empresas de España y del resto de Europa.