El Patch Tuesday de abril de 2026 ya está causando problemas graves en equipos con Windows Server y Windows 11. Microsoft ha confirmado dos fallos distintos: uno que bloquea controladores de dominio en bucles de reinicio infinito, y otro que solicita la clave de recuperación de BitLocker al arrancar. Si gestionas servidores corporativos o simplemente actualizas tu PC en casa, necesitas saber esto antes de instalar el parche.
—
Qué ha pasado exactamente
El problema más serio afecta a Windows Server 2025 y Windows Server 2022. Tras instalar el parche de abril de 2026, los controladores de dominio que usan Privileged Access Management (PAM) entran en un bucle de reinicios del que no salen solos. El servidor arranca, intenta validar credenciales, falla, y vuelve a reiniciar. Una y otra vez.
El origen técnico del fallo está en un conflicto entre dos componentes del sistema. Por un lado, LSASS (Local Security Authority Subsystem Service), el servicio que gestiona la validación de credenciales tanto en sesiones locales como remotas. Por el otro, PAM, la capa de protección que restringe el movimiento lateral dentro de una red para evitar que un atacante escale privilegios. La actualización hace que ambos componentes entren en conflicto, con el resultado de que ninguno puede hacer su trabajo correctamente.
Las consecuencias prácticas son serias. Un servidor atrapado en este bucle no puede autenticar usuarios ni ofrecer servicios de directorio. En el peor escenario posible, si todos los controladores de dominio de una organización instalan el parche simultáneamente, el dominio completo queda inoperativo. Nadie entra, nadie trabaja, nadie accede a nada.
El segundo fallo es menos catastrófico pero igualmente molesto. En equipos con Windows 11 y Windows 10, la misma tanda de actualizaciones provoca que BitLocker solicite su clave de recuperación al arrancar. Según Microsoft, el problema aparece cuando se dan dos condiciones a la vez: que la política de grupo incluya el registro PCR7, y que el estado de *Secure Boot PCR7 Binding* aparezca como «Not Possible» en la información del sistema. La buena noticia es que, una vez introducida la clave, el sistema arranca con normalidad y no vuelve a pedirla.
—
Por qué esto importa ahora
Las actualizaciones de Windows llevan meses acumulando un historial complicado. No es la primera vez que un Patch Tuesday genera más problemas de los que resuelve: en los últimos años hemos visto parches que rompían impresoras, que causaban pantallas azules, que inutilizaban conexiones VPN o que corrompían perfiles de usuario. Lo que cambia aquí es la gravedad potencial del fallo en entornos empresariales.
Un bucle de reinicio en un controlador de dominio no es un inconveniente menor. Es una interrupción total del servicio de autenticación. Para una empresa mediana o grande que depende de Active Directory para gestionar el acceso de cientos o miles de empleados, esto puede traducirse en horas de tiempo de inactividad y costes reales. Microsoft ha tenido que recomendar explícitamente a los administradores de TI que contacten con soporte antes de poder aplicar una solución, lo que da idea de que no existe un workaround sencillo disponible de inmediato.
Para el usuario doméstico, el problema de BitLocker es diferente pero igualmente revelador. BitLocker está pensado precisamente para proteger el acceso a los datos en caso de robo o manipulación del hardware. Que una actualización rutinaria del sistema operativo active ese mecanismo de protección es, cuanto menos, irónico. Y si el usuario no tiene a mano su clave de recuperación, que está vinculada a una cuenta de Microsoft o almacenada en un documento que muchos nunca llegan a guardar, el acceso al equipo puede complicarse enormemente.
—
Qué dicen los que saben
Microsoft ha reconocido ambos fallos de forma oficial, lo cual es relevante. La compañía no siempre admite con celeridad que una de sus actualizaciones es la causa directa de un problema. En este caso, la confirmación llegó rápido, probablemente porque el volumen de reportes de administradores de sistemas fue suficientemente alto como para no poder ignorarlo.
Lo interesante aquí es que el conflicto entre LSASS y PAM no debería haber llegado a producción. Ambos componentes son críticos y conocidos. PAM no es una tecnología nueva: lleva años siendo parte de las estrategias de seguridad en entornos Windows Server. Que un parche mensual introduzca una regresión en la interacción entre dos servicios tan fundamentales apunta a un problema en los procesos de prueba internos de Microsoft, no a un caso aislado de mala suerte.
La recomendación de consultar con soporte antes de aplicar la mitigación, en lugar de publicar directamente una solución documentada, sugiere además que el parche corrector no estaba listo en el momento del comunicado. Eso obliga a los administradores a decidir entre mantener un sistema vulnerable a los fallos que el parche de abril intentaba corregir, o instalarlo y enfrentarse al bucle de reinicios.
—
Lo que nadie te está contando
Hay un detalle que los titulares sobre este fallo tienden a pasar por alto: PAM existe precisamente para proteger los controladores de dominio de ataques de escalada de privilegios. Es una de las defensas más importantes en una infraestructura Windows corporativa. El hecho de que el propio parche de seguridad de Microsoft rompa la integración con PAM significa que, para evitar el fallo, algunos administradores podrían verse tentados a deshabilitar o modificar su configuración de PAM. Eso no es una solución: es cambiar un problema por otro potencialmente más grave.
Además, conviene mirar el patrón más amplio. Microsoft lleva meses prometiendo cambios estructurales en la forma en que gestiona las actualizaciones de Windows. La compañía ha anunciado mejoras en el proceso de validación y en la forma en que los usuarios pueden controlar cuándo se aplican los parches. Pero mientras esos cambios llegan, la realidad es que cada Patch Tuesday sigue siendo una pequeña apuesta. Los usuarios domésticos pueden permitirse esperar unas semanas antes de actualizar. Los entornos empresariales, que suelen tener políticas de actualización más estrictas por razones de seguridad y cumplimiento normativo, tienen mucho menos margen de maniobra. Y son precisamente ellos los que más daño sufren cuando algo sale mal.
—
Qué esperar a partir de ahora
Microsoft publicará un parche correctivo para el fallo de los controladores de dominio, previsiblemente fuera del ciclo mensual habitual dado el impacto potencial en entornos corporativos. Para el problema de BitLocker, la compañía ya ha publicado instrucciones para eliminar la directiva de grupo problemática antes de instalar la actualización, así que quien no haya actualizado aún tiene margen de actuar.
Si gestionas servidores con PAM activado, no instales el parche de abril hasta recibir confirmación de Microsoft de que hay una solución disponible. Si eres usuario doméstico de Windows 11, puedes pausar las actualizaciones durante cuatro semanas desde Configuración > Windows Update > Opciones avanzadas, lo que te dará tiempo suficiente para que llegue un parche más limpio.
La pregunta que queda en el aire es cuántos de estos episodios hacen falta antes de que Microsoft cambie realmente la forma en que prueba sus actualizaciones, o antes de que las organizaciones empiecen a tomarse más en serio los ciclos de validación antes de desplegar parches en producción.
