Microsoft ha confirmado un problema en el ciclo de actualizaciones de octubre: tras instalar KB5066835, los teclados y ratones USB con cable dejan de funcionar en Windows Recovery Environment (WinRE). La anomalía se limita a WinRE —el entorno de recuperación— y no afecta al uso normal de estos periféricos dentro del sistema operativo.
Qué ocurre: fallo de entrada USB en WinRE tras KB5066835
WinRE es un entorno mínimo y aislado de Windows diseñado para restauración del sistema, reversión de actualizaciones, reparación del arranque y tareas de seguridad. Según la información publicada por Microsoft en Release Health, después de aplicar KB5066835 no es posible interactuar con menús ni utilidades de WinRE empleando periféricos USB con cable. En el sistema operativo principal, la pila USB continúa operando con normalidad.
Alcance: Windows 11 24H2/25H2 y Windows Server 2025
El fallo está confirmado en las ediciones cliente Windows 11 24H2 y 25H2, así como en Windows Server 2025. Microsoft trabaja en un fix que se distribuirá mediante el canal de mantenimiento (servicing) en los próximos días. Hasta la publicación del parche, se recomiendan mitigaciones operativas.
Riesgos operativos y de seguridad
La indisponibilidad de entrada en WinRE aumenta el riesgo de indisponibilidad al impedir tareas críticas de recuperación tras fallos de actualización, conflictos de controladores o incidentes de seguridad. El impacto es mayor en equipos con BitLocker, donde WinRE se emplea para introducir claves de recuperación, y en infraestructura servidor, donde la consecución de objetivos de RTO/RPO depende de restauraciones rápidas y repetibles. De acuerdo con las mejores prácticas de continuidad (p. ej., ISO/IEC 27001 Anexo A.17 y NIST SP 800-34), la resiliencia del proceso de recuperación es tan importante como la prevención del incidente.
Mitigaciones temporales comprobadas
Microsoft indica que el problema afecta al stack USB dentro de WinRE. Como alternativas, se recomiendan dispositivos Bluetooth (teclado/ratón) o periféricos PS/2. En entornos corporativos, valide la compatibilidad de adaptadores y firmware Bluetooth con las políticas de seguridad, y mantenga un kit PS/2 para nodos críticos y puestos de administración. Siempre que sea posible, pruebe estas vías en bancos de pruebas antes de intervenir en producción.
Buenas prácticas para administradores (WinRE y continuidad)
– Asegure canales de gestión fuera de banda: KVM/IPMI/iDRAC/iLO, consolas de hipervisor y acceso remoto del proveedor. Compruebe si el input en WinRE se mantiene mediante la consola remota específica del hardware.
– Tenga disponibles teclados/ratones Bluetooth y PS/2 para intervenciones de emergencia en servidores y estaciones prioritarias.
– Evite desinstalar KB5066835 salvo necesidad crítica: revertir el parche reduce la postura de seguridad. Priorice mitigaciones temporales y espere el parche oficial.
– Verifique que las claves de recuperación de BitLocker estén accesibles sin conexión (AD DS, Azure AD, escrow), y actualice los runbooks de guardia incorporando este fallo.
Contexto: otro incidente en el ciclo de octubre
La semana pasada, Microsoft también abordó un error en Windows 11 que interrumpía conexiones HTTP/2 a localhost (127.0.0.1) tras las actualizaciones de octubre. La recurrencia de regresiones subraya la necesidad de despliegues escalonados por anillos, pruebas previas en entornos de staging y control de cambios coordinado mediante WSUS, Microsoft Intune o ConfigMgr.
Qué esperar y cómo prepararse
Microsoft prevé publicar la corrección en breve por la vía habitual de mantenimiento. Mientras tanto, se recomienda monitorizar Release Health y las páginas KB, así como las notificaciones del sistema de actualización (WSUS/ConfigMgr/Intune). Mantenga actualizadas las guías operativas, compruebe accesos alternativos a consolas de recuperación y asegure la disponibilidad de periféricos de contingencia.
En síntesis: use temporalmente Bluetooth o PS/2 para operar WinRE, garantice canales OOB para administración y evite retirar el parche de octubre salvo urgencia documentada. Preparar equipos, claves de BitLocker y procedimientos de recuperación reducirá tiempos de inactividad y mantendrá el nivel de protección hasta que llegue el arreglo oficial. Mantenga sus planes de continuidad al día y despliegue por anillos para mitigar el riesgo de futuras regresiones.
