Microsoft Defender vs antivirus de terceros en Windows: guía completa

PCHardwarePro » Windows » Microsoft Defender vs antivirus de terceros en Windows: guía completa

Elegir entre Microsoft Defender y un antivirus de terceros en Windows se ha convertido en uno de esos temas que salen siempre que alguien se compra un PC nuevo o actualiza a Windows 10 u 11. Durante años la respuesta era casi automática: instalar otro antivirus cuanto antes. Pero el panorama ha cambiado, Microsoft ha reforzado muchísimo su solución integrada y ahora la decisión es bastante menos obvia.

Hoy, Microsoft afirma abiertamente que Defender es suficiente para muchos usuarios, mientras que los fabricantes clásicos (Norton, McAfee, Bitdefender Antivirus Free Edition, Kaspersky, etc.) siguen defendiendo que un antivirus dedicado es imprescindible. En este artículo vamos a desgranar qué ofrece exactamente Microsoft Defender, cómo encaja con otros antivirus, qué dicen las pruebas independientes y en qué casos tiene sentido seguir pagando por una solución de terceros.

Qué es Microsoft Defender y cómo encaja con los antivirus de terceros

Microsoft Defender (antes Windows Defender) es la suite de seguridad integrada en Windows 10, Windows 11 y varias ediciones de Windows Server. Nació como un simple antispyware, pero hoy es un antivirus completo con protección en tiempo real, análisis bajo demanda, firewall, controles de aplicaciones y varias capas adicionales enfocadas a frenar malware moderno, ransomware y ataques de phishing.

En las últimas versiones de Windows, Defender viene activado por defecto, no requiere licencia adicional y se actualiza automáticamente a través de Windows Update. Esto significa que, si estás en una versión soportada de Windows y no has instalado nada más, ya tienes un antivirus activo y funcionando sin haber tocado nada.

Por otro lado, Microsoft deja claro que la instalación de un antivirus de terceros es una decisión del usuario. No hay obligación ni técnica ni legal de usar software de seguridad adicional. De hecho, si instalas un antivirus compatible de otro proveedor, Windows desactiva automáticamente Defender como protección principal para evitar conflictos.

En entornos profesionales y de empresa, Defender se integra con Microsoft Defender para punto de conexión (Defender for Endpoint), una plataforma avanzada que añade capacidades EDR, análisis en la nube, protección de datos (DLP) y herramientas de respuesta a incidentes. En estos escenarios, la convivencia con soluciones de terceros se gestiona de forma más fina, permitiendo que Defender trabaje en modos especiales.

Componentes y funciones clave de Microsoft Defender en Windows

El “antivirus” es solo una parte del puzzle. Windows 10 y Windows 11 agrupan la seguridad en la aplicación Seguridad de Windows, desde donde se accede a distintas áreas de protección. Cada una aporta una capa diferente frente a malware, ataques web o intentos de robo de datos.

Protección contra virus y amenazas

La sección de “Protección antivirus y contra amenazas” es el corazón del motor de Microsoft Defender Antivirus. Desde ahí se gestionan los análisis, la configuración avanzada y el historial de detecciones:

• Análisis del sistema. Es posible lanzar exámenes rápidos, completos, personalizados o sin conexión. El análisis rápido revisa las zonas de mayor riesgo, mientras que el completo rastrea todo el disco. El examen sin conexión reinicia el sistema y analiza antes de que se cargue Windows, ideal para malware difícil de eliminar.
• Amenazas actuales e historial de protección. Defender mantiene un registro con las detecciones, acciones tomadas (poner en cuarentena, eliminar, permitir) y recomendaciones. Este historial permite revisar falsos positivos y entender qué se ha bloqueado.
• Configuración avanzada. Se puede activar o desactivar la protección en tiempo real (no recomendado hacerlo), la protección en la nube, el envío de muestras y el acceso controlado a carpetas, entre otros ajustes.
• Actualizaciones de protección. Desde esta misma área se fuerzan actualizaciones de inteligencia de seguridad, es decir, las firmas y modelos que usa Defender para identificar malware.
• Protección específica contra ransomware. Incluye acceso controlado a carpetas y la integración con OneDrive para copias de seguridad automáticas de documentos importantes, reduciendo el impacto de un cifrado malicioso.

Además del análisis clásico, Defender incorpora detección de anomalías basada en comportamiento. En lugar de depender solo de firmas, supervisa procesos, creaciones de archivos y descargas para determinar si algo se comporta como malware, incluso aunque no esté catalogado todavía.

Protección de cuentas y phishing

La sección de “Protección de cuentas” se centra en la seguridad de tu identidad y credenciales. En Windows 11, una función destacada es la protección específica contra el phishing que detecta cuando escribes tu contraseña de Windows en sitios web o aplicaciones no de confianza.

Cuando esta capa está activa, Windows puede avisarte si introduces tus credenciales en una página sospechosa, proponerte cambiar la contraseña e incluso bloquear ciertas acciones. Es un enfoque directo contra uno de los vectores de ataque más comunes hoy en día: páginas falsas que imitan a bancos, correos corporativos o servicios conocidos.

En el apartado de cuentas también se integran opciones como Windows Hello, bloqueo dinámico por Bluetooth y otros métodos de inicio de sesión seguro que reducen la exposición a ataques por fuerza bruta o robo físico del equipo.

Firewall y protección de red

El módulo de “Firewall y protección de red” ofrece una visión simplificada del firewall de Windows Defender. Desde aquí se puede ver el estado de las distintas redes (dominio, privada, pública), gestionar qué aplicaciones pueden comunicarse y acceder a la configuración avanzada.

Esta capa es clave para evitar que programas sospechosos salgan a Internet o escuchen puertos innecesarios. También permite recibir notificaciones cuando una nueva app intenta conectarse, algo que ayuda a detectar comportamientos raros después de instalar software.

Control de aplicaciones y navegador

En el área de “Control de aplicaciones y explorador” se agrupan varias funcionalidades pensadas para blindar lo que instalas y lo que navegas:

• SmartScreen. Filtra archivos descargados, aplicaciones y sitios web según su reputación. Si algo es poco común o está en listas de amenazas, muestra advertencias o bloquea directamente.
• Smart App Control (Windows 11, instalaciones limpias). Bloquea aplicaciones potencialmente peligrosas basándose en reputación y firmas. Solo se activa en equipos donde Windows 11 se haya instalado desde cero, no en los que se han actualizado desde Windows 10.
• Protección frente a software potencialmente no deseado (PUA). Evita instaladores cargados de adware, barras de herramientas y otros “extras” molestos que suelen venir en paquetes de software gratuito.

Mantener estas opciones activadas refuerza la protección más allá del antivirus tradicional, sobre todo para usuarios que descargan programas con frecuencia o visitan sitios desconocidos.

Seguridad del dispositivo y rendimiento

En “Seguridad del dispositivo”, Windows muestra información y opciones relacionadas con el aislamiento del núcleo y la integridad de la memoria. Son medidas que usan virtualización para proteger componentes críticos (como memoria RAM o el propio núcleo del sistema) de ataques que intentan ejecutarse a muy bajo nivel.

Activar el aislamiento del núcleo puede ofrecer una capa extra frente a exploits avanzados, aunque en algunos equipos antiguos puede tener impacto en el rendimiento o en la compatibilidad con ciertos drivers.

En “Rendimiento y estado del dispositivo”, se incluye un informe de mantenimiento básico (almacenamiento, apps problemáticas, servicio de hora de Windows) y la opción “Comienzo de cero”, que reinstala Windows manteniendo archivos personales pero eliminando muchas aplicaciones, útil si sospechas que el sistema está muy comprometido o lleno de software basura.

Opciones de familia y control parental

La sección de “Opciones de familia” se conecta con los servicios de Microsoft Family Safety, permitiendo supervisar el uso de otros dispositivos asociados a la familia, configurar límites de tiempo, filtros de contenido y revisar el estado de seguridad de los equipos de menores.

Si usas una suscripción Microsoft 365 Familia, Defender puede compartir con los organizadores familiares el estado de seguridad de los dispositivos, sin exponer archivos personales ni otra información ajena a la seguridad. Solo se transmite información de amenazas y estado general para facilitar la protección conjunta.

Cómo de bueno es Defender comparado con los antivirus de terceros

Más allá del marketing, las pruebas independientes son las que ponen a Defender en su sitio. Organismos como PC Mag, SE Labs u otros laboratorios especializados miden periódicamente tasas de detección, número de falsos positivos y resistencia frente a ransomware, phishing y otros tipos de ataque.

Según estas evaluaciones, Defender ha mejorado mucho, pero aún suele quedar un pasito por detrás de algunas suites de pago. Un informe de SE Labs, por ejemplo, otorgaba a Defender una “protection accuracy” del 93 %, mientras que ciertas alternativas premium alcanzaban el 100 % en ese mismo panel de pruebas.

Ese 7 % de diferencia puede parecer pequeño, pero traducido a números absolutos significa que de cada 100 amenazas, unas 7 pasan el filtro de Defender y no el de un antivirus de pago. Para un usuario doméstico típico, esta diferencia puede ser asumible, sobre todo si mantiene buenas prácticas (no instalar software pirata, no abrir adjuntos sospechosos, actualizar el sistema, etc.).

PC Mag, en sus análisis recientes, ha señalado debilidades de Defender en detección de phishing y algunos escenarios de ransomware. No es que el antivirus sea inútil, ni mucho menos, pero hay soluciones que afinan más en estas áreas concretas; por ejemplo, comparativas como Avast vs Windows Defender analizan diferencias prácticas entre ambos enfoques.

Microsoft, consciente de esto, está invirtiendo fuerte en mejorar justo la parte de phishing, con funciones como la protección de credenciales en Windows 11 y mejoras continuas en SmartScreen. Es razonable esperar que, a medida que evolucionen estas capas, la brecha con soluciones de pago se vaya estrechando.

Arquitectura y tecnología de Microsoft Defender Antivirus

En el lado más técnico, Microsoft Defender Antivirus es el componente central de protección de nueva generación en Microsoft Defender para punto de conexión. Su enfoque va bastante más allá del clásico motor de firmas de hace años.

Desde 2015, Defender migró de un motor estático a un modelo basado en aprendizaje automático, ciencia de datos e inteligencia artificial. Aprovecha macrodatos recogidos de millones de dispositivos, inteligencia de amenazas en la nube de Microsoft y análisis de comportamiento para reaccionar en milisegundos ante nuevas familias de malware.

Una parte crítica de esta estrategia es que el endpoint recibe inteligencia dinámica del “gráfico de seguridad inteligente” de Microsoft. Incluso sin conexión, el equipo dispone de información actualizada que se aprovisiona a lo largo del día. Cuando el dispositivo se conecta a Internet, se beneficia además de decisiones de bloqueo en tiempo real basadas en la nube.

Defender también está diseñado para funcionar tanto online como offline: cuando no hay conexión, sigue utilizando las últimas actualizaciones recibidas; cuando la hay, consulta la nube para mejorar la precisión y reducir falsos positivos.

Especialmente relevante hoy son los ataques de malware sin archivos (fileless), que se ejecutan en memoria o usan herramientas legítimas del sistema. Aquí entran en juego la supervisión de procesos, árboles de ejecución y anomalías, combinada con otras tecnologías de Microsoft para bloquear y contener comportamientos sospechosos incluso cuando no hay un archivo malicioso tradicional que analizar.

Servicios y procesos de Defender en Windows

En un equipo con Windows moderno, Defender se materializa en varios procesos y servicios visibles en el Administrador de tareas. Entre los más importantes están:

• Microsoft Defender Antivirus Core Service (MdCoreSvc / MpDefenderCoreService.exe). Servicio central del motor antimalware, aparece como “Antimalware Core Service”.
• Microsoft Defender Antivirus Service (WinDefend / MsMpEng.exe). Es el conocido “Antimalware Service Executable”, responsable de gran parte de la protección en tiempo real.
• Microsoft Defender Antivirus Network Realtime Inspection Service (WdNisSvc / NisSrv.exe). Inspecciona tráfico de red y ayuda a detectar ataques que usen conexiones sospechosas.
• Herramientas de línea de comandos (MpCmdRun.exe). Utilidades para gestionar Defender vía scripts y automatización.
• Servicio de prevención de pérdida de datos (MDDlpSvc / MpDlpService.exe) cuando se usa DLP de punto de conexión, centrado en proteger información sensible.

Todos estos componentes trabajan juntos para ofrecer una protección continua sin que el usuario tenga que intervenir. No obstante, conviene saber que están ahí para poder diagnosticar problemas de rendimiento, confirmar que el antivirus está funcionando o integrarlo con herramientas de administración; en ese sentido es útil revisar si tu antivirus está afectando al rendimiento del PC.

Modos de funcionamiento: activo, pasivo y deshabilitado

Un aspecto clave a la hora de mezclar Defender con antivirus de terceros es entender sus modos de ejecución: activo, pasivo y deshabilitado. El comportamiento cambia mucho en cada uno.

En modo activo, Defender es el antivirus principal del dispositivo: analiza archivos, corrige amenazas (las elimina o pone en cuarentena) y muestra las detecciones tanto en Seguridad de Windows como, en entornos empresariales, en las consolas de administración correspondientes.

En modo pasivo, Defender sigue examinando archivos y registrando amenazas, pero no actúa sobre ellas. En este escenario, otro antivirus es el responsable de la corrección. Este modo está pensado para cuando el equipo está incorporado a Defender para punto de conexión y se usa otra solución como antivirus principal.

Cuando está deshabilitado o desinstalado, Defender no analiza ni corrige nada. En general, no se recomienda desactivarlo salvo en casos muy concretos en servidores o configuraciones especiales, ya que te deja sin la protección básica integrada.

Microsoft ha implementado además un mecanismo de reactivación automática de Defender: si el antivirus de terceros caduca, se desinstala o deja de proporcionar protección en tiempo real, Defender puede volver a habilitarse solo para evitar que el sistema quede a la intemperie; por ejemplo, si necesitas desactivar Avast y activar Windows Defender en un equipo con conflicto.

Compatibilidad con antivirus de terceros en Windows y Windows Server

La interacción de Defender con antivirus externos depende de la versión de Windows y de si el dispositivo está o no incorporado a Defender para punto de conexión. A grandes rasgos:

• En Windows 10 y Windows 11, si no hay otro antivirus, Defender funciona en modo activo. Si instalas una solución que no es de Microsoft y la activas como principal, Defender pasa a estar deshabilitado de forma automática.
• En Windows 11 con Smart App Control habilitado, puede que veas a Defender en modo pasivo en lugar de completamente deshabilitado, pero no es el mismo caso que en entornos con Defender para punto de conexión.
• En Windows Server 2016, 2019, 2022, 2025 y versiones afines, Defender no entra en modo pasivo automáticamente al instalar otro antivirus: hay que configurarlo manualmente (por ejemplo, mediante la clave de registro ForceDefenderPassiveMode con valor 1) o deshabilitarlo por completo.
• En escenarios con Defender para punto de conexión, se recomienda mantener Defender instalado al menos en modo pasivo, para que funcionalidades como EDR en modo bloqueo o DLP sigan funcionando correctamente.

Cuando Defender está en modo pasivo, no se programan análisis periódicos normales, aunque puede seguir ejecutando ciertos exámenes rápidos, por ejemplo, tras actualizaciones de inteligencia de seguridad o cada cierto número de días, salvo que se desactiven explícitamente esas opciones. Además, la protección en tiempo real solo se habilita para funciones específicas de DLP cuando esta está activa.

En cualquier caso, si optas por una solución de terceros, es importante evitar tener dos motores antivirus en modo activo al mismo tiempo, porque puede generar conflictos, ralentizar el sistema y, paradójicamente, abrir huecos de seguridad.

Dispositivos no Windows y Microsoft Defender

La marca Microsoft Defender ya no se limita al PC clásico: también existen apps para Android, iOS y macOS, especialmente ligadas a suscripciones de Microsoft 365 Personal o Familia. Aunque el foco de este artículo es Windows y la convivencia con antivirus de terceros, merece la pena repasar brevemente cómo funcionan.

Microsoft Defender en Android

Para instalar Microsoft Defender en un móvil Android, se accede a la URL corta proporcionada por Microsoft o se busca la app en Google Play. Una vez instalada, se inicia sesión con la cuenta personal de Microsoft asociada a la suscripción de Microsoft 365.

Al abrir la app por primera vez, se guía al usuario por unos pasos de configuración centrados inicialmente en la protección web. Durante este proceso, la app solicita permisos clave como:

• Ejecutarse en segundo plano, imprescindible para vigilar enlaces maliciosos y acciones del usuario incluso cuando no está abierta en primer plano.
• Uso del Servicio de accesibilidad, que permite a Defender leer las direcciones (URLs) que se abren en el navegador para evaluarlas frente a listas de sitios peligrosos.
• Acceso al almacenamiento del dispositivo, necesario para escanear aplicaciones y archivos en busca de amenazas. Microsoft recalca que este proceso ocurre de forma local y que no se envía información sobre apps o ficheros personales a sus servidores.
• Permiso para enviar notificaciones, con el fin de alertar al usuario si se detecta una amenaza o se bloquea una página.

Tras configurar la parte de navegación segura, Defender realiza un primer análisis antimalware del dispositivo, que suele tardar uno o dos minutos. Si se encuentran amenazas, la app muestra avisos y ayuda a eliminarlas.

Microsoft Defender en iOS

En iPhone y iPad, la instalación se realiza desde la App Store mediante la URL abreviada de Microsoft o buscando directamente la app. De nuevo, se usa la cuenta personal de Microsoft vinculada a Microsoft 365.

La primera configuración se orienta a habilitar la protección web a través de una VPN local y a permitir notificaciones. Debido a las restricciones de seguridad de iOS, las apps no pueden ver las URLs que abren otras apps, de modo que Defender utiliza una VPN que nunca sale del propio dispositivo.

Con esta VPN local, el navegador envía las direcciones a Defender, que las revisa y decide si son seguras. Si la web se considera fiable, se permite el acceso casi sin retraso perceptible. Si es maliciosa, se bloquea la conexión y se genera una notificación informando de que el sitio es peligroso.

Desde esa notificación, el usuario puede cerrar la pestaña del navegador o, si está completamente seguro de que no hay riesgo, optar por continuar bajo su responsabilidad.

Microsoft Defender en Windows y macOS con Microsoft 365

En equipos Windows con suscripción de Microsoft 365, la app de Microsoft Defender se descarga desde Microsoft Store. Si el dispositivo usa inicio de sesión único (SSO), puede que la sesión se inicie automáticamente sin pedir credenciales cada vez.

Si Defender Antivirus ya es el antivirus principal del sistema, la app puede iniciarse incluso sin que el usuario la abra explícitamente, aprovechando la integración con el sistema operativo. Para quienes no tengan una suscripción activa, la instalación sigue siendo posible, aunque con funcionalidades adaptadas.

En macOS, la instalación se realiza mediante un paquete PKG descargado desde la URL oficial de Microsoft. Tras instalar y entrar con la cuenta de Microsoft 365, se solicitan permisos importantes:

• Acceso al sistema a través de las preferencias de Seguridad, donde hay que desbloquear con contraseña, aceptar controladores o extensiones de Microsoft Defender y posteriormente volver a bloquear los cambios.
• Acceso completo al disco desde el panel de Privacidad, seleccionando Microsoft Defender y, si aparece, sus extensiones para poder analizar aplicaciones y archivos.

Una vez concedidos los permisos, la app realiza un análisis inicial del Mac, que puede durar más o menos dependiendo de la velocidad del equipo y del número de apps instaladas. Durante el análisis se puede seguir trabajando con normalidad y, si se detectan amenazas, Defender guía en el proceso de limpieza.

Valoración: ¿Defender basta o merece la pena un antivirus de terceros?

A la hora de la verdad, la decisión depende mucho del uso que des a tu PC y del contexto en el que trabajas. Microsoft ha sido sorprendentemente claro: para muchos usuarios de Windows 11, Defender cubre el riesgo diario sin necesidad de software adicional.

Para un uso doméstico estándar (navegar, correo, streaming, ofimática, juegos, compras en tiendas oficiales), Defender, combinado con SmartScreen, Smart App Control, Controlled Folder Access y protección frente a phishing, ofrece una seguridad muy razonable, con pocas molestias y sin el coste ni el peso extra de un antivirus de terceros.

Donde las cosas cambian es en entornos profesionales con datos especialmente sensibles: despachos de abogados, consultas médicas, periodistas con fuentes de alto riesgo, sectores regulados (finanzas, sanidad…) o empresas sometidas a auditorías de seguridad estrictas. En estos casos, ese 7 % de diferencia en detección puede traducirse en un incidente costoso.

También hay que considerar la dimensión geopolítica y de cumplimiento. Muchos antivirus de referencia son estadounidenses, uno es ruso (Kaspersky, con restricciones en varios países), otros son europeos o chinos. Para algunas organizaciones, la elección no es solo técnica sino de soberanía de datos y cumplimiento normativo. Defender, al ser parte del sistema operativo y regirse por la normativa de Microsoft, suele ser la opción “por defecto” en muchos departamentos de TI por temas de compliance.

Mirando el conjunto, Windows 10 y 11 han alcanzado un nivel de seguridad integrada que hace innecesario, para la mayoría de usuarios particulares, pagar por un antivirus externo. Mantener Defender activo, revisar que SmartScreen, Smart App Control y el firewall estén habilitados, aplicar las actualizaciones de Windows cuanto antes y ser prudente con los enlaces y adjuntos cubre ya un amplio espectro de amenazas.

Para quien maneje información crítica, necesite informes de cumplimiento avanzados, desee funciones extra como VPN comercial, gestor de contraseñas integrado o controles granulares de red, una suite de seguridad de terceros sigue siendo una inversión razonable. Pero la época en la que un PC con solo la protección de Microsoft era sinónimo de agujero de seguridad ha quedado bastante atrás; si quieres comparar opciones, consulta cuál es el mejor antivirus gratuito para Windows.

Al final, la mejor estrategia pasa por combinar la fortaleza de Microsoft Defender como base integrada con buenos hábitos digitales y, solo cuando el nivel de riesgo o las exigencias profesionales lo pidan, añadir una solución de terceros bien escogida que complemente, en lugar de entorpecer, la protección nativa de Windows.