¿La opción Integridad de la memoria vuelve a aparecer desactivada en tu PC con Windows 10 u 11? Esta guía práctica y exhaustiva te ayudará a identificar la causa, volver a habilitar la función y evitar que vuelva a fallar, reforzando la protección del kernel contra código malicioso.
Resumen rápido de la problemática
La Integridad de la memoria (también llamada HVCI o Hypervisor‑Protected Code Integrity) es un componente de aislamiento del núcleo que impide que controladores y procesos no firmados se inyecten en el kernel. Si el conmutador aparece desactivado o se desactiva tras reiniciar, el origen suele encontrarse en:
- Hardware o firmware sin los requisitos de virtualización y aislamiento DMA.
- Controladores antiguos, sin firma o instalados mediante métodos no estándar.
- Aplicaciones de virtualización o seguridad que no están preparadas para VBS.
Requisitos técnicos imprescindibles
Compatibilidad de hardware y firmware
- CPU x64 con virtualización por hardware (VT‑x/AMD‑V) y SLAT (EPT o RVI).
- IOMMU activo (VT‑d / AMD‑Vi) para bloquear accesos DMA directos.
- TPM 2.0 (discreto o firmware) habilitado en modo FIPS o Supervisor.
- Firmware UEFI con:
- Tabla
EFIMEMORYATTRIBUTES_TABLEque distinga código y datos. - Protección SMM Code conforme a especificación WSMT.
- Secure MOR v2 o equivalente para impedir manipulaciones tempranas.
- Tabla
Controladores y software compatibles
- Toda la pila de controladores debe superar:
- Pruebas Driver Verifier con «Code Integrity compatibility».
- HLK Hypervisor Code Integrity Readiness Test.
- Controladores firmados (WHQL) y compilados con la versión mínima de Windows Target Platform que soporta HVCI.
- Windows y BIOS/UEFI actualizados para recibir parches de VBS.
Procedimiento paso a paso para reactivarla
| Paso | Acción | Detalle |
|---|---|---|
| 1 | Actualizar BIOS/UEFI y drivers | Descarga del fabricante la versión más reciente —prioriza chipset, gráfica, red y almacenamiento—. Una BIOS antigua es la causa nº 1. |
| 2 | Habilitar virtualización | En UEFI ▸ Advanced ▸ CPU Configuration activa VT‑x/AMD‑V y VT‑d/AMD‑Vi. Guarda y reinicia. |
| 3 | Revisar incompatibilidades | En Windows Security ▸ Device Security ▸ Core Isolation ▸ Memory Integrity haz clic en Review incompatible drivers. Desinstala o sustituye los listados. |
| 4 | Ejecutar Driver Verifier | Abre CMD como administrador y ejecuta verifier /standard /driver *. Tras el reinicio, deja el equipo inactivo 30 min. Si aparece BSOD, revisa %SystemRoot%\Minidump y actualiza/quita el causante. |
| 5 | Activar Integridad de la memoria | Vuelve a Core Isolation, activa el interruptor y acepta el reinicio. |
| 6 | Monitorizar desactivaciones | Tras cada gran actualización de Windows (feature update) repite el paso 3; algunos controladores se reinstalan temporalmente. |
Diagnóstico avanzado de controladores
Interpretar los resultados de verifier
Cuando Driver Verifier detecta infracciones, el volcado de memoria señalará el módulo responsable. Anota:
- Driver: archivo
.sysinfractor, versión y proveedor. - BugCheck: normalmente
0xC4o0xC9, indicativos de violación de directivas HVCI. - Si el controlador pertenece a hardware esencial (controladora RAID, GPU profesional), busca versiones beta o firmas HLK para Windows 11.
Uso de Device Guard and Credential Guard hardware readiness tool
Microsoft ofrece un script que genera un informe HTML con el estado de VBS/HVCI. Ejecuta:
DGReadinessTool_v3.6.ps1 -ReadyEn la sección Driver Issues encontrarás enlaces directos al OEM. Si aparece la columna HVCI Compatibility en «False», integra una versión firmada o pide al fabricante que recompilen con la cabecera adecuada.
Compatibilidad con software de virtualización y antivirus
- Hyper‑V, WSL 2 y Sandbox conviven con HVCI sin problema; no así versiones antiguas de VMware Workstation < 16 o VirtualBox < 7.0.
- Algunos AV de terceros insertan controladores de filtrado no compatibles. Busca la opción «Modo compatible con HVCI» o instala su versión para empresas.
- Desactiva mitigaciones de seguridad redundantes: por ejemplo, si tu suite ya implementa protección de kernel, evita la doble inyección.
Automatizar la vigilancia con PowerShell
Crea una tarea programada para comprobar el estado cada arranque y recibir alertas en el Visor de eventos:
# Get‑HVCIStatus.ps1
$status = Get‑ItemPropertyValue `
-Path "HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" `
-Name "Enabled"
if ($status -ne 1) {
Write‑EventLog -LogName "Application" -Source "HVCI" -EntryType Warning `
-EventId 1000 -Message "¡Integridad de la memoria se ha desactivado!"
}Programa la ejecución con schtasks /create o el Programador de tareas en modo alto privilegio.
Preguntas frecuentes
¿Puedo activar HVCI en una CPU sin SLAT? No; los procesadores sin EPT o RVI no pueden mapear memoria secundaria eficientemente, lo que provocaría graves ralentizaciones o fallos. ¿HVCI reduce el rendimiento? En CPUs modernas (Alder Lake, Zen 3+) la penalización es < 3 %. En hardware más antiguo (Skylake) puede alcanzar 8 % en carga de trabajo I/O intensiva. ¿Por qué Windows la apaga tras actualizar? Si un nuevo controlador crítico no supera la firma HVCI, Windows prefiere desactivar la protección antes que impedir el arranque. Vuelve al paso 3 para aislar el recién instalado.
Buenas prácticas para mantenerla siempre encendida
- Mantén BIOS, firmware TPM y ME/AGESA al día; sus notas de versión suelen mencionar «Improve VBS/HVCI compatibility».
- Instala drivers sólo desde Windows Update o la web oficial del OEM; evita instaladores genéricos modificados.
- Crea puntos de restauración antes de añadir nuevo hardware PCIe (tarjetas de captura, HBA, GPU externa), ya que su controlador podría no estar firmado.
- Comprueba la matriz de compatibilidad de tu suite EDR/antivirus y activa los módulos para kernel mode que soporten HVCI.
Conclusión
La Integridad de la memoria es una barrera crítica para aislar el núcleo frente a exploits de kernel‑level malware. Aunque requiere cumplir requisitos estrictos, seguir los pasos de actualización, verificación de controladores y automatización de alertas garantiza que tu sistema permanezca protegido de forma permanente. La inversión de tiempo inicial se traduce en un entorno Windows mucho menos vulnerable a rootkits y ataques DMA.