Si tras una instalación limpia ves “Aislamiento del núcleo” y “Integridad de memoria” como desactivados, no entres en pánico. En la mayoría de equipos es un comportamiento normal que depende de la virtualización del procesador y de los controladores. Aquí tienes cómo entenderlo y solucionarlo.
Qué está pasando
En equipos con Windows 11 recién instalado es habitual que el panel Seguridad de Windows → Seguridad del dispositivo muestre “Aislamiento del núcleo” como apagado o no disponible, y que “Integridad de memoria” aparezca desactivada. Días después, puede surgir un aviso para activarlos. Este comportamiento, aunque confunda, responde a decisiones de diseño orientadas a la compatibilidad: el sistema espera a que el hardware, la UEFI/BIOS y los controladores estén en condiciones óptimas antes de activar protecciones basadas en virtualización.
Qué son estas funciones
Aislamiento del núcleo y Integridad de memoria forman parte de la seguridad basada en virtualización (VBS). En términos prácticos:
- Aislamiento del núcleo: ejecuta componentes sensibles del sistema en un entorno aislado mediante el hipervisor.
- Integridad de memoria (HVCI): obliga a que el código que se carga en el kernel esté firmado y cumpla reglas estrictas, evitando inyecciones y drivers maliciosos.
Estas capas se apoyan en la virtualización por hardware (SVM/AMD‑V en AMD, VT‑x en Intel) y, cuando están activas, elevan la protección ante ataques de alto impacto sin que el usuario perciba cambios en el uso cotidiano.
Por qué aparecen apagadas tras una instalación limpia
Las causas más frecuentes son benignas y previsibles:
- Predeterminados conservadores: en muchos equipos la Integridad de memoria no se activa hasta que el usuario lo solicita en Seguridad de Windows. Así se evitan conflictos iniciales con drivers.
- Virtualización deshabilitada en UEFI/BIOS: si SVM/AMD‑V o Intel VT‑x están apagados, el aislamiento no tiene dónde ejecutarse.
- Controladores incompatibles: un driver antiguo o sin compatibilidad HVCI puede bloquear la activación hasta que se actualice o retire.
- Reevaluación tras actualizaciones: al actualizar controladores o el propio sistema, Windows puede “recalcular” la viabilidad de VBS y posponer el aviso unos días.
- Software de virtualización o seguridad de terceros: herramientas que instalan filtros en el kernel o hipervisores alternativos pueden temporalmente desactivar o entrar en conflicto con HVCI.
Pasos rápidos para activarlas
- Habilitar la virtualización en UEFI/BIOS: entra en la configuración del firmware y activa SVM/AMD‑V (AMD) o Intel VT‑x (Intel). Guarda cambios y reinicia.
- Activar la integridad de memoria: abre Seguridad de Windows → Seguridad del dispositivo → Aislamiento del núcleo → Detalles y activa “Integridad de memoria”. Acepta el reinicio si se solicita.
- Resolver controladores incompatibles: en la misma pantalla, revisa Controladores incompatibles. Actualízalos desde el fabricante o desinstálalos si no son imprescindibles. Reinicia y vuelve a intentar.
- Comprobación extra: ejecuta msinfo32 y verifica que Seguridad basada en virtualización indique En ejecución.
Cuando el aviso aparece días después y también se apaga la protección basada en reputación
Algunas personas observan que, además del aviso sobre el aislamiento, se desactiva “Protección basada en reputación” (SmartScreen y asociados) en Control de aplicaciones y navegador. Razones probables:
- Actualizaciones diferidas: cambios en Windows o drivers que fuerzan una reevaluación de HVCI.
- Drivers no conformes con HVCI: al detectar incompatibilidad, el sistema “baja” el nivel temporalmente.
- Software de terceros: antivirus o “optimizadores” que ajustan políticas de Defender y SmartScreen.
- Uso de hipervisores: alternar Hyper‑V, WSL2, VMware o VirtualBox puede modificar servicios relacionados.
Cómo estabilizarlo:
- Instala todas las actualizaciones de Windows y del fabricante (chipset, gráficos, almacenamiento, red).
- Resuelve los controladores señalados como incompatibles en Aislamiento del núcleo → Detalles.
- Activa de nuevo Protección basada en reputación y habilita “Protección contra alteraciones” para evitar cambios no autorizados.
- Revisa o desinstala temporalmente software de seguridad/optimización que gestione políticas de Defender o SmartScreen.
- Si usas plataformas de virtualización, comprueba su configuración para que no desactiven VBS o HVCI.
Qué significan exactamente estas capas
| Función | Qué protege | Requisitos clave | Dónde se controla |
|---|---|---|---|
| Aislamiento del núcleo (VBS) | Servicios del sistema y secretos en un entorno aislado | Virtualización por hardware activa en UEFI/BIOS | Seguridad de Windows → Seguridad del dispositivo |
| Integridad de memoria (HVCI) | Bloquea carga de código no conforme en el kernel | VBS operativo y drivers compatibles | Aislamiento del núcleo → Detalles |
| Protección basada en reputación | Bloquea apps potencialmente no deseadas y descargas peligrosas | SmartScreen activo y políticas sin interferencias | Control de aplicaciones y navegador |
Tabla de causas y soluciones
| Síntoma | Causa probable | Acción recomendada |
|---|---|---|
| Aislamiento aparece apagado o no disponible | Virtualización desactivada en UEFI/BIOS | Habilitar SVM o VT‑x y reiniciar |
| No permite activar integridad de memoria | Controladores incompatibles | Actualizar o quitar drivers listados como incompatibles |
| Se desactiva junto con la protección basada en reputación | Software de terceros o políticas que cambian SmartScreen | Reactivar en Seguridad de Windows y habilitar Protección contra alteraciones |
| Baja de rendimiento o incompatibilidades en juegos | Drivers antiguos o anticheats no preparados para HVCI | Actualizar juegos y anticheats; valorar desactivar HVCI en ese equipo |
Cómo habilitar la virtualización en el firmware
Los nombres y rutas varían según el fabricante. Esta guía orientativa te ayudará a localizar la opción correcta:
| Fabricante | Nombre frecuente de la opción | Ruta aproximada | Estado deseado |
|---|---|---|---|
| AMD | SVM, SVM Mode, AMD‑V | Advanced → CPU Configuration → SVM | Enabled |
| Intel | Intel Virtualization Technology, VT‑x | Advanced → CPU Configuration → Virtualization | Enabled |
| Opcional | VT‑d o IOMMU (aislamiento de dispositivos) | Advanced → System Agent/Chipset → IOMMU/VT‑d | Enabled |
Tras activar, guarda los cambios, reinicia y continúa con la activación en Windows.
Solución de problemas al activarlas
Detectar controladores incompatibles
En Seguridad de Windows → Seguridad del dispositivo → Aislamiento del núcleo → Detalles, revisa la sección Controladores incompatibles. Apunta los nombres de archivo (.sys) y el proveedor. Luego:
- Actualiza desde el OEM o el fabricante del componente.
- Si el dispositivo es antiguo y prescindible, desinstálalo.
- Evita paquetes genéricos o “driver packs” de origen desconocido.
Comandos útiles
Para inspeccionar compatibilidad y estado:
# Estado de Device Guard / HVCI
Get-CimInstance -ClassName Win32_DeviceGuard | Select-Object *
Arranque del hipervisor
bcdedit /enum {current} | findstr -i hypervisorlaunchtype Valores esperados: hypervisorlaunchtype Auto cuando VBS puede ejecutarse.
Claves de registro relacionadas
Solo para usuarios avanzados: no cambies el registro sin copia de seguridad.
HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity
Valor: Enabled (DWORD) → 1 para encender HVCI
HKEY\LOCAL\MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
Claves como RequirePlatformSecurityFeatures y EnableVirtualizationBasedSecurity influyen en VBS Interacciones con virtualización de terceros
- Hyper‑V y WSL2: conviven nativamente con VBS/HVCI.
- VMware/VirtualBox: usa versiones recientes; desactiva características de compatibilidad antigua que insertan drivers no compatibles.
- Emuladores o soluciones legacy: si dependen de drivers en modo kernel no firmados para HVCI, podrían requerir desactivar “Integridad de memoria”.
Impacto en rendimiento y compatibilidad
Con hardware moderno, el impacto de VBS/HVCI suele ser leve. Donde sí puede notarse es en:
- Aplicaciones que cargan muchos filtros en el kernel (anticheats antiguos, controladores de captura, utilidades de monitoreo).
- Periféricos que dependen de controladores desactualizados.
Si tu prioridad es la seguridad y tu equipo funciona correctamente, mantén SVM/VT‑x y HVCI encendidos. Si necesitas compatibilidad o exprimir cada fotograma en un título específico con anticheat problemático, puedes dejar HVCI apagado en ese equipo, sabiendo que renuncias a una capa de defensa relevante.
Comprobaciones y verificaciones
- En msinfo32: busca Seguridad basada en virtualización → En ejecución.
- En Seguridad de Windows: confirma que Integridad de memoria está en Activado y que Protección contra alteraciones está activada en Protección antivirus y contra amenazas.
- En Control de aplicaciones y navegador: entra en Configuración de protección basada en reputación y activa todas las opciones clave (descargas, apps potencialmente no deseadas, etc.).
Guía de decisión
| Escenario | Recomendación | Motivo |
|---|---|---|
| Equipo personal para trabajo y navegación | Mantener SVM/VT‑x y HVCI activados | Mayor protección frente a ataques de kernel y drivers maliciosos |
| Equipo para juegos con anticheats problemáticos | Probar con HVCI activado; si hay fallos, desactivarlo solo para ese equipo | Compatibilidad ante drivers legacy de anticheat |
| Uso intensivo de máquinas virtuales con herramientas mixtas | Preferir Hyper‑V/WSL2 o versiones modernas de VMware/VirtualBox | Evitar hipervisores que inyecten drivers incompatibles |
| Hardware antiguo con drivers sin soporte | Evaluar desactivar HVCI y plan de renovación de controladores o dispositivo | Evitar fallos por incompatibilidades irresolubles |
Preguntas frecuentes
¿Indica esto una infección o fallo del sistema?
No. Que aparezcan apagados por defecto no es señal de malware ni de corrupción del sistema.
¿Puedo activar solo integridad de memoria sin tocar la UEFI/BIOS?
Si la virtualización por hardware está desactivada en el firmware, HVCI no podrá ejecutarse. Actívala primero.
¿Qué pasa si un driver esencial no es compatible?
Actualiza desde el fabricante. Si no existe versión compatible, valora alternativas de hardware o mantener HVCI apagado en ese equipo.
¿Debo dejar SVM activado siempre?
En general, sí. Aporta seguridad (VBS/HVCI) y habilita plataformas como Hyper‑V y WSL2. El coste de rendimiento suele ser bajo.
¿Por qué se desactiva la protección basada en reputación sin que yo la toque?
Suele deberse a actualizaciones, políticas cambiadas por software de terceros o a reevaluaciones del sistema. Activa Protección contra alteraciones para impedir cambios no autorizados.
Checklist de acciones
- Actualizar Windows y drivers del fabricante.
- Activar SVM/AMD‑V o Intel VT‑x en UEFI/BIOS.
- Activar “Integridad de memoria” y reiniciar.
- Resolver controladores incompatibles señalados por el sistema.
- Reactivar “Protección basada en reputación” y habilitar “Protección contra alteraciones”.
- Verificar con msinfo32 y comandos de PowerShell.
Resumen final
No es motivo de alarma que Aislamiento del núcleo e Integridad de memoria se muestren apagados tras una instalación limpia. En muchos casos es el comportamiento esperado y depende de que la virtualización esté activa y de la salud de tus controladores. La ruta de solución es directa: habilita SVM/VT‑x en la UEFI/BIOS, activa Integridad de memoria en Seguridad de Windows y corrige drivers incompatibles. Si además la Protección basada en reputación se desactiva, revisa software de terceros y activa Protección contra alteraciones para mantener la configuración estable. Elige dejar la virtualización encendida si priorizas seguridad y compatibilidad con tecnologías modernas; apágala solo si un caso de uso concreto lo exige.
En dos líneas: que estas funciones aparezcan desactivadas no implica un problema. Actívalas cuando tu hardware y drivers estén listos y disfruta de una capa adicional de defensa sin complicaciones.