Durante los últimos días se han multiplicado los informes que aseguraban que Microsoft Defender había comenzado a bloquear Microsoft Activation Scripts (MAS), una popular herramienta de código abierto utilizada por la comunidad para la activación de Windows y Office. El aviso detectado por algunos usuarios, identificado como Trojan:PowerShell/FakeMas.DA!MTB, llevó rápidamente a sospechar de un bloqueo intencionado por parte de Microsoft.
El mensaje parecía claro: Defender estaría confundiendo el script legítimo con una de las múltiples copias maliciosas que circulan por la red. Dado que MAS no es un producto oficial de Microsoft, la teoría de una intervención deliberada se extendió con rapidez en foros y redes sociales.
Pruebas internas descartan un bloqueo generalizado
Sin embargo, tras analizar el comportamiento con las definiciones más recientes de Microsoft Defender a fecha de 9 de enero de 2026, el problema no se ha podido reproducir de forma consistente. En varias pruebas realizadas en distintos equipos y entornos, el script original ejecutado mediante el comando habitual:
-
irm https://get.activated.win | iex
se procesó sin generar ninguna alerta de seguridad. Estas pruebas se realizaron utilizando DNS de Cloudflare (1.1.1.1) y también con versiones ligeramente anteriores de Defender, recuperadas a través de máquinas virtuales con copias de seguridad recientes. En todos los casos, el resultado fue el mismo: ninguna detección errónea.
Este comportamiento apunta a que Defender no está bloqueando MAS de forma global, lo que abre la puerta a una explicación alternativa.
El foco estaría en el DNS, no en Microsoft Defender
La hipótesis más sólida es que los avisos detectados por algunos usuarios no son falsos positivos, sino detecciones legítimas de versiones manipuladas del script. Si el sistema DNS del usuario ha sido alterado -por errores del proveedor, configuraciones defectuosas o incluso ataques de DNS spoofing-, la resolución del dominio legítimo podría estar redirigiendo a un servidor malicioso que distribuye una variante falsa de MAS.
En ese escenario, Microsoft Defender estaría funcionando correctamente, identificando un script malicioso distinto al original. El hecho de que las alertas parezcan concentrarse en regiones concretas refuerza esta teoría, ya que apunta a problemas específicos de ciertos ISP o a redirecciones locales no autorizadas.
Desactivar Defender no es la solución
Algunos sitios han recomendado desactivar temporalmente Microsoft Defender para evitar el bloqueo, una medida que supone un riesgo importante. Si el aviso se debe realmente a una redirección DNS hacia malware, desactivar la protección dejaría el sistema completamente expuesto a troyanos o puertas traseras.
En lugar de eso, los usuarios afectados deberían revisar urgentemente su configuración DNS. Una forma de comprobar si el problema está en la resolución de dominios es forzar el uso de un DNS fiable, como Cloudflare, al descargar el script.
Un ejemplo de comando para ello sería:
-
iex (curl.exe -s --doh-url https://1.1.1.1/dns-query https://get.activated.win | Out-String)
Si este método funciona sin alertas, lo más probable es que el origen del problema sea una configuración DNS defectuosa o comprometida.
Conclusión: una alerta que puede ser una protección real
Lejos de tratarse de un fallo grave de Microsoft Defender, todo apunta a que estamos ante un caso donde la seguridad está haciendo su trabajo. Defender no estaría bloqueando MAS como proyecto, sino protegiendo a los usuarios que, sin saberlo, están accediendo a versiones falsas del script debido a problemas de red.
Antes de acusar a Microsoft de censura o negligencia, conviene mirar un paso más abajo en la pila técnica. En este caso, el problema parece estar en la red y no en el antivirus.
Vía: NotebookCheck
