Cómo interpretar un archivo CBS.log tras un fallo del sistema

Cuando Windows falla y te aparece el mensaje de que revises el archivo CBS.log tras un fallo del sistema, es normal que cunda el pánico. De repente ves avisos como “Protección de recursos de Windows encontró archivos dañados y no consiguió reparar algunos de ellos” y, para rematar, el sistema insiste en que la unidad C: está dañada. Puede parecer que tu instalación de Windows está sentenciada, pero en realidad tienes varias herramientas potentes para diagnosticar y reparar el problema paso a paso.

En este artículo vamos a desgranar con calma qué es el archivo CBS.log, qué significa exactamente el mensaje de error de SFC, cómo se interpretan esos registros, qué papel juegan las utilidades SFC y DISM, y qué puedes hacer si el disco o la imagen de Windows están dañados. Además, veremos algunos casos reales habituales (Windows preinstalado sin DVD, problemas tras una actualización, infecciones de malware…) y cómo abordarlos de forma ordenada.

Qué es CBS.log y por qué aparece tras un fallo del sistema

El archivo CBS.log forma parte del registro interno de mantenimiento de Windows. Se guarda en la ruta %windir%\Logs\CBS\CBS.log (normalmente C:\Windows\Logs\CBS\CBS.log) y lo usan varios componentes del sistema, entre ellos Windows Resource Protection (WRP) y el Comprobador de archivos de sistema (SFC.exe). Cada vez que ejecutas sfc /scannow, Windows deja un rastro detallado de lo que ha comprobado y reparado en este log.

Dentro de ese archivo verás muchas líneas marcadas con la etiqueta , que corresponden a las operaciones de SFC. A menudo, tras un fallo del sistema o un reinicio brusco, te encontrarás mensajes indicando que Windows ha detectado daños y que los detalles están en CBS.log. Eso no significa automáticamente que el sistema sea irrecuperable, sino que hay que revisar qué tipo de archivos se han visto afectados y si han podido repararse o no.

Archivos estáticos, archivos mutables y por qué WRP no lo protege todo

En el sistema operativo Windows se distingue entre archivos estáticos y archivos mutables. Los archivos estáticos son aquellos que, en condiciones normales, no deberían cambiar nunca (binarios del sistema, ciertos recursos básicos, etc.). Los mutables, en cambio, son aquellos que se modifican constantemente, como registros (logs) y ficheros del Registro cuando se almacenan en disco.

La característica Windows Resource Protection (WRP) se centra en proteger y vigilar principalmente los archivos estáticos críticos. Sin embargo, hay excepciones: algunos archivos estáticos no están cubiertos por WRP. Un ejemplo clásico documentado por Microsoft es una imagen de fondo, img11.jpg, perteneciente al componente Microsoft-Windows-Shell-Wallpaper-Common. Si este archivo cambia cuando WRP está comprobando el sistema (por ejemplo, durante un sfc /scannow), la modificación se registra en CBS.log, pero como no está protegido por WRP, el sistema no intenta revertirlo y simplemente deja constancia de que el hash no coincide.

En el log pueden aparecer entradas similares a estas, que suelen asustar aunque no siempre implican un problema grave:

<fecha y hora>, Info CSI 00000145 No se puede reparar el archivo de miembro «img11.jpg» de Microsoft-Windows-Shell-Wallpaper-Common… error de coincidencia de hash

En este tipo de situaciones, aunque SFC informe de que ha reparado “componentes”, el registro puede seguir mostrando que determinados archivos no han podido restaurarse porque, sencillamente, WRP no los protege o no dispone de una copia de referencia. No siempre es motivo para alarmarse, pero conviene comprobar si esos ficheros están relacionados con fallos reales del sistema.

Qué es SFC y qué es DISM en Windows

Las herramientas SFC (System File Checker) y DISM (Deployment Image Servicing and Management) son dos utilidades de línea de comandos integradas en Windows que sirven para analizar y reparar archivos de sistema críticos. Aunque comparten objetivo general, funcionan de forma algo distinta y se complementan muy bien.

El comando SFC examina cada archivo protegido del sistema y lo compara con una copia considerada “de confianza”, almacenada en la caché de protección de archivos (Windows File Protection, WFP). Si detecta diferencias, marca el archivo como dañado y intenta reemplazarlo automáticamente por una copia limpia de esa caché. Esto se hace con órdenes como sfc /scannow tanto en modo online (sistema arrancado) como offline.

Por su parte, DISM trabaja a un nivel algo más global. En lugar de ir archivo por archivo, revisa el estado de la imagen de Windows (la instalación completa) y la compara con una imagen limpia, local o en línea. Si encuentra componentes dañados, intenta reemplazarlos usando esa fuente sana. DISM es especialmente útil cuando la caché que usa SFC también está dañada, porque repara la propia “base” de la que SFC toma las copias.

En sistemas modernos (Windows 8, 8.1, 10 y 11) la recomendación suele ser que, si SFC no consigue reparar todo, recurras a DISM para restaurar la imagen y, después, vuelvas a ejecutar SFC para rematar la reparación de archivos individuales.

Códigos de salida y mensajes típicos de SFC

Al terminar un sfc /scannow, la herramienta devuelve uno de varios mensajes estándar que te dan una idea rápida del estado de tus archivos del sistema:

• “Protección de recursos de Windows no encontró ninguna infracción de integridad”: SFC no ha descubierto anomalías en los archivos protegidos. Si sigues teniendo problemas, lo más probable es que la causa esté en drivers, software de terceros, hardware o configuración y no tanto en archivos del sistema.
• “Protección de recursos de Windows encontró archivos dañados y los reparó correctamente. Detalles en CBS.log”: Windows ha localizado uno o más ficheros dañados y ha conseguido reemplazarlos con copias sanas de la caché. Es un resultado positivo, aunque conviene revisar si el problema que tenías ha desaparecido.
• “Protección de recursos de Windows encontró archivos dañados y no consiguió reparar algunos de ellos. Detalles en CBS.log”: indica que la caché de archivos que usa SFC también está corrupta o incompleta, o que ciertos archivos no están protegidos por WRP. En estos casos es cuando tiene sentido recurrir a DISM o a métodos manuales.
• “Protección de recursos de Windows no pudo realizar la operación solicitada”: el análisis se ha interrumpido o ha fallado, a veces por conflictos con software de terceros, errores de disco o problemas de permisos. Suele ser buena idea volver a intentarlo en Modo seguro o tras pasar otras herramientas de reparación. Si sospechas que el fallo se debe a permisos, consulta qué hacer si no puedes acceder a ajustes por falta de admin.

Cuando el mensaje hace referencia a CBS.log, puedes filtrar las entradas relacionadas con SFC buscando las líneas marcadas con . Para hacerlo de forma rápida, se puede usar el comando:

findstr /c:"" %windir%\logs\cbs\cbs.log >sfcdetails.txt

Con ello generas un archivo de texto con solo las líneas relevantes de SFC, lo que facilita mucho identificar qué archivos concretos han dado problemas.

Cómo ejecutar SFC /scannow correctamente

En la mayoría de equipos con Windows 7, 8, 8.1, 10 u 11, el uso básico de SFC es prácticamente el mismo y sirve tanto para comprobar integridad como para reparar archivos dañados siempre que la caché esté bien.

Para lanzar un análisis estándar en un sistema que arranca con normalidad, puedes seguir estos pasos:

1. Abre el menú Inicio, escribe cmd, haz clic derecho sobre Símbolo del sistema y selecciona Ejecutar como administrador para disponer de permisos elevados.
2. En la ventana negra escribe sfc /scannow y pulsa Intro para iniciar el escaneo completo de los archivos protegidos.

El proceso puede tardar un buen rato según la velocidad del disco y la cantidad de archivos. Al final, revisa cuál de los mensajes de resultado comentados antes aparece y, si no ha podido repararlo todo, echa un vistazo a CBS.log o al archivo sfcdetails.txt que puedes generar con findstr.

Usar SFC cuando Windows no arranca o desde medios de recuperación

Si el sistema está tan dañado que ni siquiera puedes iniciar sesión, aún tienes la opción de ejecutar SFC desde el Entorno de recuperación de Windows (WinRE) o desde un medio externo (USB, DVD de instalación o partición de recuperación del fabricante).

En Windows 10, 11, 8 y 8.1 el procedimiento general es muy parecido. Una vez arrancas desde el medio de recuperación o desde las opciones avanzadas de inicio, puedes hacer lo siguiente:

1. En el menú de opciones, elige Solucionar problemas y, dentro, selecciona Símbolo del sistema para abrir una consola.
2. En la consola, ejecuta un comando similar a sfc /scannow /offbootdir=C:\ /offwindir=C:\Windows ajustando la letra de unidad y la ruta de Windows según corresponda si el sistema está en otra partición.

En Windows 7 el flujo es muy parecido, solo que arrancas desde el DVD o USB de instalación, seleccionas la opción Reparar el equipo, eliges tu instalación de Windows y entras al símbolo del sistema. Desde ahí puedes usar un comando como sfc /scannow /offbootdir=C:\ /offwindir=C:\Windows para analizar la instalación sin arrancarla.

Cuando SFC no basta: DISM y reparación de la imagen de Windows

En muchos casos el mensaje “Protección de recursos de Windows encontró archivos dañados y no consiguió reparar algunos de ellos” significa que la imagen de Windows o el almacén de componentes están corruptos. En esos casos, aunque SFC detecta problemas, no dispone de copias sanas desde las que restaurar. Ahí entra en juego DISM.

DISM tiene varios parámetros clave para comprobar y reparar la imagen del sistema:

• /checkhealth: revisa si ya hay daños registrados en el almacén de componentes y te indica si existen problemas conocidos, pero no realiza un escaneo profundo ni repara nada.
• /scanhealth: realiza una comprobación más exhaustiva de la imagen comparándola con una referencia limpia y registra los posibles fallos, aunque sigue sin corregirlos.
• /restorehealth: lanza un análisis completo y repara los daños encontrados consultando una imagen de referencia, que puede estar en línea (Windows Update) o en un medio local (archivo WIM o ESD).

En un equipo con Windows 8, 8.1, 10 u 11 arrancado normalmente, un comando típico sería:

dism /online /cleanup-image /restorehealth

Este orden le dice a DISM que repare la imagen activa (“online”) y que se conecte a los servidores de Windows Update para descargar los componentes necesarios si hace falta. Es fundamental disponer de una conexión a Internet estable, porque de lo contrario el proceso puede fallar con errores del tipo “no se pudieron encontrar los archivos de origen”.

Si estás trabajando desde un entorno de reparación o quieres reparar una instalación de Windows que está montada en otra unidad (por ejemplo, para rescatar una instalación dañada desde otra copia de Windows instalada en un segundo disco), puedes usar algo como:

Dism /Image:D:\ /Cleanup-Image /RestoreHealth

En este caso, sustituyes D:\ por la letra de unidad y ruta donde se encuentra la carpeta Windows de la instalación que quieres arreglar.

Uso de DISM con una imagen WIM/ESD como fuente

En algunas situaciones, DISM no puede usar Windows Update (por políticas de empresa, falta de conexión, bloqueos de firewall, etc.) o bien necesitas forzar una fuente concreta, por ejemplo un ISO de Windows con la misma versión y edición que tienes instalada.

En estos casos, el flujo típico es:

1. Descargar la imagen ISO de Windows que corresponda a tu versión instalada (por ejemplo, una Windows 10 April 2018 Update si tu sistema muestra una versión como 10.0.17134.xxx) desde la página oficial de Microsoft.
2. Montar el ISO en una unidad (digamos E:\) y localizar el archivo install.wim o, en algunas imágenes, install.esd en la carpeta sources.
3. Comprobar con dism /get-wiminfo qué índice corresponde a tu edición (Home, Pro, Pro N, etc.):dism /get-wiminfo /wimfile:E:\sources\install.wim /index:7
4. Ejecutar DISM indicando explícitamente la fuente:dism /image:D:\ /cleanup-image /restorehealth /source:wim:E:\sources\install.wim:7 /limitaccess

Si pese a todo obtienes errores del tipo 0x800f081f (“no se pudieron encontrar los archivos de origen”), casi siempre hay alguna discrepancia entre la versión/edición del ISO y la de tu instalación, o la ruta/índice del archivo WIM/ESD no es el correcto. Es importante que la versión de la imagen coincida con la de la instalación (mismo número de compilación principal y misma edición), de lo contrario DISM rechazará usarla como fuente.

Daños en la unidad C:, errores de almacenamiento y CHKDSK

Cuando Windows te avisa de que el almacenamiento C: está dañado y, además, SFC informa de archivos corruptos que no puede arreglar, es muy probable que haya problemas físicos o lógicos en el disco. Antes de seguir insistiendo con reparaciones de archivos de sistema, conviene revisar el estado del volumen.

Una forma clásica de hacerlo es con la herramienta integrada CHKDSK. Ejecutada con permisos de administrador, puede localizar errores en el sistema de archivos y marcar o intentar recuperar sectores defectuosos. Un comando típico sería:

chkdsk C: /f /r

El parámetro /f indica que se corrijan los errores que se encuentren, y /r fuerza una comprobación más profunda del disco en busca de sectores dañados y la recuperación de la información legible. En la mayoría de casos, CHKDSK pedirá reiniciar para poder analizar la unidad del sistema antes de que Windows se cargue del todo.

Si prefieres algo más visual, existen gestores de particiones de terceros que incluyen funciones de “Comprobar sistema de archivos” y revisión de sectores defectuosos con unos pocos clics. Es fundamental que el disco esté razonablemente sano antes de fiarte de cualquier reparación de archivos, porque un sector defectuoso puede volver a corromper archivos restaurados al cabo de poco tiempo.

Malware, adware y su impacto en la estabilidad del sistema

En más de un caso, detrás de errores persistentes de Windows, fallos de servicios y mensajes extraños en CBS.log hay una infección de malware o adware que ha modificado configuraciones, inyectado complementos en navegadores o manipulado claves del Registro.

Herramientas especializadas como Malwarebytes o utilidades concretas tipo ZHPCleaner pueden detectar y poner en cuarentena aplicaciones potencialmente no deseadas (PUP), barras de herramientas y extensiones invasivas. Además, conviene aprender a analizar un USB antes de abrir archivos.

C:\Users\…\AppData\Local\Google\Chrome\User Data\Profile 1\Sync Data\LevelDB

Estos ficheros suelen corresponder a restos de adware en el navegador (por ejemplo, variantes de Babylon y similares) que, aunque no siempre son la causa directa de los mensajes de CBS.log, sí que pueden contribuir al mal rendimiento general del sistema y al comportamiento extraño del equipo.

Una limpieza a fondo con este tipo de herramientas, seguida de un nuevo análisis con SFC y DISM, puede ayudar a estabilizar el sistema y a que las reparaciones de Windows no se vean entorpecidas por software de terceros que interfiere con servicios, actualizaciones o procesos críticos. También es recomendable revisar cómo funciona SmartScreen de Windows Defender si observas bloqueos inesperados.

Archivos del sistema de Windows: qué son y cómo pueden dañarse

Los archivos del sistema de Windows son los que permiten que el sistema operativo arranque, cargue controladores, gestione servicios y ejecute aplicaciones. Incluyen ejecutables, bibliotecas (DLL), controladores, componentes de la interfaz gráfica y un largo etcétera. Si alguno de estos archivos se daña o se pierde, puedes notar desde errores puntuales en programas hasta pantallazos azules o bloqueos completos del sistema.

Los motivos habituales por los que estos archivos acaban dañados son bastante variados. Entre los más comunes se encuentran:

• Hardware o software defectuoso: discos duros y SSD envejecidos o con errores físicos pueden corromper datos al escribir o leer. También algunas aplicaciones mal diseñadas, drivers con fallos o programas que escriben donde no deben pueden desencadenar corrupción.
• Bloqueos del equipo y apagados bruscos: cuando el sistema se congela o se apaga de golpe (por ejemplo, debido a problemas en servicios alojados en svchost), si coincide con una operación de escritura crítica, el archivo afectado puede quedar en un estado inconsistente.
• Malware y virus: muchas amenazas se centran en modificar o reemplazar archivos de sistema para ganar persistencia o escalar privilegios. Aunque tu antivirus los detecte más tarde, es posible que ya hayan dejado ficheros corruptos a su paso.
• Problemas de espacio en disco: cuando el disco está saturado de archivos temporales, bloatware o basura, a veces no queda espacio suficiente para completar actualizaciones críticas o escribir archivos temporales. Esto puede producir cortes en mitad de un proceso y corrupción de archivos.
• Subidas de tensión o cortes eléctricos: un corte de energía repentino en mitad de una actualización de sistema o de una operación de escritura en disco es una receta casi segura para que algunos archivos queden dañados.
• Actualizaciones interrumpidas o incompletas: si una actualización de Windows se ve interrumpida (apagado, error de red, cancelación forzada), puede haber componentes nuevos instalados a medias o bibliotecas desincronizadas entre sí.

Minimizar este tipo de situaciones, mantener el sistema limpio de programas innecesarios, usar un buen protector frente a malware y disponer de copias de seguridad periódicas reduces mucho el riesgo de que un problema puntual acabe convirtiéndose en una corrupción masiva del sistema.

Escenarios típicos y pasos recomendables

Muchos usuarios se encuentran con el mensaje de que revisen CBS.log tras un fallo del sistema en situaciones similares: portátiles con Windows preinstalado sin DVD, problemas después de actualizar a una versión nueva, errores de “almacenamiento C: dañado” o tras detectar malware. Aunque cada caso tiene sus matices, una forma bastante segura de proceder sería:

1. Comprobar el disco con chkdsk u otra utilidad, para asegurarse de que la unidad donde está Windows no tiene errores graves o sectores defectuosos.
2. Pasar herramientas antimalware (Malwarebytes, ZHPCleaner u otras de confianza) para limpiar adware, PUP y amenazas que puedan interferir con servicios de Windows y actualizaciones.
3. Ejecutar SFC primero en modo normal y, si da errores, repetirlo en Modo seguro o desde WinRE usando parámetros /offbootdir y /offwindir cuando haga falta.
4. Si SFC no lo soluciona, lanzar DISM /online /cleanup-image /restorehealth o, si se trata de una instalación montada en otra partición, especificar la ruta de imagen con /Image: y, si es necesario, un WIM/ESD como fuente que coincida en versión.
5. Como último escalón, plantearse una reparación in-place o una reinstalación de Windows, que aunque es más drástica, suele resolver los casos en los que ni SFC ni DISM consiguen devolver la estabilidad al sistema.

Cuando el equipo viene con Windows preinstalado y no tienes DVDs físicos, lo habitual es que el fabricante incluya una partición de recuperación o que puedas descargar la imagen desde la web de Microsoft y crear un USB de instalación para usarlo tanto como medio de reparación como para reinstalar si no queda otra.

En definitiva, aunque ver mensajes sobre CBS.log, archivos corruptos y protecciones de recursos de Windows impone bastante, la combinación correcta de chequeo de disco, limpieza de malware, SFC, DISM y, si hace falta, una instalación de reparación suele ser suficiente para que la mayoría de sistemas vuelvan a funcionar con normalidad sin tener que renunciar de entrada a tus datos o a reinstalarlo todo desde cero.