Notebookcheck Logo

Microsoft Defender podría tener razón al bloquear los scripts de activación de Microsoft (MAS)

Microsoft defender bloqueando MAS (incluyendo captura de pantalla de Powerm1nt vía X)
Microsoft defender bloqueando MAS (incluyendo captura de pantalla de Powerm1nt vía X)
Se están difundiendo informes de que Microsoft Defender está bloqueando la popular herramienta comunitaria MAS, marcándola como falsa. Por el contrario, nuestras propias pruebas demuestran que el script funciona a la perfección. ¿Acaso los usuarios afectados han sido víctimas de una manipulación del DNS?
Security Windows Microsoft Hack / Data Breach Server/Datacenter

A primera vista, la historia parecía un clásico fallo de seguridad informática. Varios sitios web informaron de que Microsoft Defender había empezado a bloquear repentinamente los "Microsoft Activation Scripts" (MAS) originales. El mensaje de error, "Trojan:PowerShell/FakeMas.DA!MTB", sugería que el software de seguridad de Microsoft estaba confundiendo la herramienta legítima de código abierto con una de las muchas copias de malware en circulación. Dado que MAS es una solución comunitaria para activar Windows y Office y no un producto oficial de Microsoft, muchos sospecharon inmediatamente de una intención deliberada: un bloqueo por la puerta trasera, por así decirlo.

However, we examined the situation more closely using the latest Defender updates on January 9, 2026, and were unable to reproduce the error. During our tests on multiple laptops, the original script executed via the known command irm https://get.activated.win | iex was processed through without Defender producing warnings. Our test network was preconfigured to use Cloudflare's DNS server at 1.1.1.1. Furthermore, we also tested slightly older Defender versions via VM backups done during the last three days. All of them passed without any false detections. This gives room for a different perspective. If Defender remains silent for us but flags the script for other users, explicitly warning of a "FakeMas" variant, the detection logic might actually be working exactly as intended.

Sospechamos que no se trata de un error por parte de Microsoft, sino de un problema a nivel de red para los usuarios afectados. Una explicación plausible serían errores DNS o incluso ataques DNS dirigidos (DNS spoofing). Si la resolución del dominio ha sido manipulada para estos usuarios, intentar acceder a la dirección supuestamente legítima en realidad les desvía a un servidor que entrega una versión "falsa" maliciosa. En este escenario, la advertencia de Defender no es un falso positivo, sino una medida de rescate legítima y de última hora. La solución sugerida por algunos sitios web -desactivar temporalmente Defender- dejaría la puerta abierta de par en par al malware o a los troyanos.

The fact that reports seem clustered in specific regions supports this theory. ISP-specific DNS issues or local redirections could be causing users to be unwittingly redirected to malware sites. Therefore, instead of hastily accusing Microsoft of negligence, affected users should urgently check their DNS settings. The script can also be retrieved by enforcing a specific DNS server. To do this, enter the following command: iex (curl.exe -s --doh-url https://1.1.1.1/dns-query https://get.activated.win | Out-String). If this resolves the issue, a faulty DNS configuration is likely the culprit.

Artículos relacionados

Please share our article, every link counts!
Mail Logo
> Análisis y pruebas de ordenadores portátiles y móviles teléfonos > Noticias > Archivo de noticias > Archivo de noticias 2026 01 > Microsoft Defender podría tener razón al bloquear los scripts de activación de Microsoft (MAS)
Marc Herter, 2026-01-10 (Update: 2026-01-10)