¿Buscas claridad sobre la “certificación Hyper‑V” (Protection Profile for Virtualization) en Windows Server 2022? Aquí encontrarás el estado verificado, alternativas viables para entornos regulados y una guía práctica para auditar y tomar decisiones sin perder el tiempo.

Resumen ejecutivo

• Windows Server 2022 está certificado en Common Criteria como GP OS v4.2.1 con módulos de VPN, WLAN y Bluetooth (fechas de publicación: 26‑ene‑2023 y 17‑ene‑2024). No hay una entrada pública de certificación contra el Protection Profile for Virtualization (PP de Virtualización) para WS2022.
• Windows Server 2019 (Hyper‑V) sí cuenta con certificación de Virtualización vigente desde el 11‑feb‑2021 en su configuración evaluada.
• Si tu normativa exige hoy PP de Virtualización para el hipervisor, las rutas reales son: seguir con WS2019 en configuración evaluada o adoptar un hipervisor alternativo con validación de Virtualización (p. ej., VMware ESXi 7.0 U3d validado contra PP for Virtualization v1.1 + módulo de Server Virtualization, de acuerdo con su documentación de evaluación).

Contexto: ¿qué significa realmente “certificación Hyper‑V”?

En el lenguaje de Common Criteria (CC), lo que comúnmente llamamos “certificación Hyper‑V” corresponde a la conformidad del producto con el Protection Profile for Virtualization (PP de Virtualización) —un conjunto de requisitos específicos para plataformas de virtualización. Esta certificación no es lo mismo que la certificación como General Purpose Operating System (GP OS), que cubre sistemas operativos de propósito general y permite añadir módulos (por ejemplo, VPN, WLAN, Bluetooth), pero no sustituye a los requisitos del PP de Virtualización.

En la práctica, cumplir GP OS no implica cumplir Virtualización. Las exigencias del PP de Virtualización incluyen aspectos como aislamiento entre máquinas virtuales, controles del monitor de máquina virtual, gestión de recursos, atestación, protección de interfaces de administración, entre otros. Además, algunas evaluaciones de Virtualización se completan con un módulo/paquete de extensión (por ejemplo, Server Virtualization) que puntualiza requisitos adicionales orientados a hipervisores de servidor.

Estado verificado a la fecha

• Windows Server 2022: certificado como GP OS v4.2.1 con módulos de VPN, WLAN y Bluetooth (publicaciones 26‑ene‑2023 y 17‑ene‑2024). No figura certificación pública contra el PP de Virtualización.
• Windows Server 2019: certificación de Virtualización (Hyper‑V) desde el 11‑feb‑2021, con guía de configuración evaluada (Administrative Guidance) y Security Target que delimitan el alcance exacto de la conformidad.

Conclusión operativa: si tu auditor o normativa exige PP de Virtualización hoy, WS2022 no cubre ese requisito. Debes optar por WS2019 en configuración evaluada o por una plataforma de virtualización con evaluación vigente contra el PP de Virtualización (ejemplo conocido en el mercado: ESXi 7.0 U3d conforme a PP v1.1 + módulo de Server Virtualization, según su validación).

¿Qué opción elegir según tu caso?

Escenario A: ya necesitas PP de Virtualización

1. Conservar o desplegar WS2019 (Hyper‑V) en configuración evaluada.
   • Ventaja: continuidad con el ecosistema Windows, aprovechando automatizaciones y experiencia previa.
   • Clave: la conformidad solo aplica si configuras exactamente lo descrito en la guía administrativa y el Security Target de la evaluación. Cualquier desviación debe justificarse y documentarse (o no estará en el alcance de la certificación).
2. Usar un hipervisor alternativo con certificación vigente de Virtualización (p. ej., VMware ESXi 7.0 U3d con PP de Virtualización v1.1 + módulo de Server Virtualization).
   • Ventaja: continuidad con un PP de Virtualización moderno y guías evaluadas.
   • Clave: verificar versión exacta, número de evaluación, documentos de orientación evaluada y matriz hardware soportado (HCL) que estuvieran cubiertos por la evaluación. Evita mezclar componentes fuera del alcance evaluado.

Escenario B: puedes esperar

Si no te urge el PP de Virtualización y puedes aguardar a movimientos de Microsoft en WS2022/WS2025, la recomendación es monitorizar los portales oficiales donde se publican las validaciones CC y las nuevas fichas. En cuanto aparezca una entrada pública para Virtualización, podrás migrar con una base documental sólida y repetible para auditoría.

Comparativa rápida

Producto	Tipo de certificación CC	Versión/Perfil	¿PP de Virtualización?	Guía evaluada	Notas clave
Windows Server 2022	GP OS + módulos (VPN/WLAN/Bluetooth)	GP OS v4.2.1	No (sin entrada pública)	Administrative Guidance (para GP OS)	Válido para entornos que aceptan GP OS; no cubre requisitos del PP de Virtualización.
Windows Server 2019 (Hyper‑V)	Virtualización	PP de Virtualización (ver ficha)	Sí (desde 11‑feb‑2021)	Administrative Guidance específica	Seguir estrictamente la configuración evaluada del hipervisor.
VMware ESXi 7.0 U3d	Virtualización	PP v1.1 + módulo Server Virtualization	Sí	Guía evaluada del fabricante	Verifica versión, actualización y hardware dentro del alcance.

Decisión guiada paso a paso

1. Exigencia normativa: ¿tu auditoría/cliente exige explícitamente PP de Virtualización para el hipervisor?
   • Sí: elige WS2019 (Hyper‑V) en configuración evaluada o un hipervisor alternativo con PP de Virtualización vigente.
   • No: WS2022 con GP OS podría ser suficiente (revisa requisitos y alcance de la certificación en tu pliego).
2. Horizonte temporal: ¿cuándo entra en vigor la certificación exigida?
   • Inmediato: evita esperar nuevas entradas; aplica lo ya certificado.
   • Medio plazo: planifica un “pivot” si apareciera la evaluación de WS2022/WS2025.
3. Compatibilidad técnica: inventaría dependencias (características Hyper‑V, HCI, backups, networking, aceleración, etc.) y contrástalas con la configuración evaluada.
4. Coste de cambio: mide licenciamiento, formación, riesgos de migración y ventana de mantenimiento.
5. Estrategia de salida: documenta un plan de reversión si la evaluación no cubre escenarios específicos (p. ej., live migration entre hosts con distintos microcode o tarjetas fuera del HCL evaluado).

Checklist de cumplimiento (para pasar auditorías CC)

• Alcance definido: modelo de despliegue (nº de hosts, clusters, dominios de seguridad) y funcionalidades usadas dentro del alcance evaluado.
• Guías oficiales de evaluación aplicadas: Administrative Guidance y Security Target correspondientes a tu producto/versión.
• Configuración “evaluada” reproducible: scripts de IaC (PowerShell/Ansible) o runbooks con pasos inequívocos.
• Evidencias: capturas, volcados y exportaciones de políticas/roles, estados de servicios, versión exacta, firmas de binarios, hashes, inventario de hardware.
• Control de cambios: política de parches alineada al ciclo de actualización permitido por la evaluación (evita introducir versiones/firmware no cubiertos sin gestión de riesgo).
• Segregación: separación de dominios de administración y de carga, control de acceso con privilegios mínimos y registro centralizado.
• Pruebas: casos de prueba de aislamiento entre VMs, arranque seguro, integridad, auditoría y respuesta a incidentes.

Mapa de evidencias para el informe del auditor

Requisito (resumen)	Qué se espera ver	Dónde encontrarlo	Observaciones
Alcance y versión evaluada	Versión exacta del SO/hipervisor, build, patch level, hardware	Inventario CMDB, salida de PowerShell/CLI, ficha de evaluación	Debe coincidir con lo cubierto por la evaluación
Configuración evaluada aplicada	Parámetros y roles según guía administrativa	Export de políticas, plantillas, scripts de IaC	Evita desviaciones no justificadas
Gestión de identidades y acceso	RBAC con privilegios mínimos, MFA para admins	AD/AAD, PAM, documentación de permisos	Separación de funciones (SoD) válida
Registro y auditoría	Logs centrales, retención, integridad	SIEM/Log Analytics/Syslog	Incluye eventos de administración del hipervisor
Parcheo y cambios	Calendario, pruebas previas, aprobación	ITSM, RFCs, plan de reversión	Evita salirte del alcance evaluado

Errores frecuentes y cómo evitarlos

• Confundir GP OS con Virtualización: GP OS (aunque tenga módulos de VPN/WLAN/Bluetooth) no cubre los requisitos del PP de Virtualización. Comprueba la ficha específica de Virtualización.
• Aplicar “mejores prácticas” en lugar de la guía evaluada: la evaluación CC exige seguir la Administrative Guidance al pie de la letra. Prácticas recomendables que contradigan o amplíen el alcance evaluado pueden invalidar la conformidad.
• Actualizar sin control: introducir firmware, microcode, controladores o parches fuera del conjunto evaluado requiere assessment de impacto y, a menudo, aval del auditor.
• No delimitar dominios de administración: mezclar cuentas de producción y administración, o no proteger la consola del hipervisor, suele ser no conforme.

Recomendaciones prácticas por plataforma

Si te quedas en Windows Server 2019 (Hyper‑V) evaluado

• Genera IaC para reproducir la configuración evaluada (PowerShell DSC/Desired State Configuration o Ansible).
• Define una línea base de seguridad y un informe de trazabilidad que mapee cada control del PP de Virtualización a evidencias concretas.
• Documenta explícitamente qué características Hyper‑V usas (réplica, migración en vivo, redes virtuales, nested virtualization, etc.) e identifica si están cubiertas en la evaluación o requieren controles compensatorios.

Si optas por un hipervisor alternativo (p. ej., ESXi 7.0 U3d)

• Comprueba que tu hardware y periféricos estén dentro del HCL del paquete evaluado.
• Usa la Administrative Guidance del fabricante para cerrar servicios, reforzar el plano de administración y fijar cifrados/fuentes de entropía aprobados.
• Integra la auditoría del hipervisor con tu SIEM y establece alertas de cambios de configuración en el plano de control y en las VMs de gestión.

Plan de transición sin sorpresas

1. Diagnóstico: inventario técnico + exigencias regulatorias (¿PP de Virtualización requisito duro?).
2. Selección: WS2019 evaluado vs hipervisor alternativo; calcula TCO y ventana de despliegue.
3. Piloto: entorno mínimo viable replicando la guía evaluada; validación con el auditor.
4. Industrialización: automatización (IaC), hardening y runbooks para operación y respuesta a incidentes.
5. Operación continua: ciclo de parches sujeto al alcance de la evaluación; control de cambios con evaluación de impacto.

Preguntas frecuentes

¿Puedo “elevar” WS2022 con GP OS a Virtualización aplicando más controles?
No. El PP de Virtualización es un perfil de protección distinto con requisitos específicos sobre el hipervisor y su aislamiento. La conformidad exige una evaluación CC publicada para esa familia/versión en concreto.

¿Cuándo habrá PP de Virtualización para WS2022/WS2025?
A fecha de esta guía no hay anuncio público. La vía correcta es revisar periódicamente las páginas oficiales de validaciones de Microsoft y los portales de CC/NIAP, donde se publican nuevas entradas y sus documentos.

¿Si uso WS2019 evaluado, puedo ejecutar VMs con Windows Server 2022?
Depende del alcance evaluado y de cómo se definieron las dependencias del invitado/host en la evaluación y en la guía administrativa. En CC, el foco está en el TOE (Target of Evaluation, el hipervisor/sistema) y su configuración; cualquier arquitectura que metas debe analizarse frente a ese alcance.

¿Qué pasa si un parche crítico sale del alcance evaluado?
Normalmente, se requiere gestión de cambios y una evaluación de impacto con el auditor. Algunas organizaciones mantienen dos ramas: evaluated (para cargas reguladas) y rapid (para cargas no críticas), con controles compensatorios si hace falta.

Cómo seguir las novedades (sin perderte)

• Microsoft Learn – “Common Criteria certifications for Windows Server”: Microsoft anuncia ahí nuevas validaciones, fechas y documentación aplicable a WS2022/2019/2016 y versiones anteriores.
• NIAP/Common Criteria Portal: consulta del Protection Profile for Virtualization v1.1 y de las validaciones/entradas de productos que lo reclaman, incluyendo módulos como Server Virtualization.
• Fichas de validación de terceros (p. ej., hipervisores alternativos): verifican versión, paquete y guías evaluadas con detalle.

Plantillas útiles para tu documentación

Declaración de alcance (ejemplo)

Este entorno de virtualización se implementa en conformidad con la guía administrativa y el Security Target de [producto y versión], evaluado contra [PP aplicable]. Todos los hosts, firmware, controladores y parches se ajustan a la línea base aprobada. Cualquier cambio será sometido a evaluación de impacto y aprobado por el comité de cambios.

Control compensatorio (ejemplo)

Ante la imposibilidad temporal de mantener [componente] en la versión evaluada, se aplica un control compensatorio que incluye: aislamiento de red de administración, monitorización reforzada, revisión diaria de integridad y ventana de actualización acelerada. Este control se documenta y revisa semanalmente hasta restablecer el estado evaluado.

Conclusión

Si necesitas ya PP de Virtualización, el camino seguro es WS2019 (Hyper‑V) en configuración evaluada o un hipervisor alternativo con evaluación vigente (como ESXi 7.0 U3d según su validación). Si tu caso permite esperar, WS2022 continúa siendo una opción sólida para GP OS, y conviene vigilar las publicaciones oficiales para reaccionar en cuanto haya novedades sobre Virtualización para WS2022/WS2025. En todos los escenarios, la conformidad real se gana en la configuración evaluada, las evidencias y la disciplina operativa.

---

Fuentes consultadas

• Microsoft Learn – Common Criteria certifications for Windows Server 2022/2019/2016 (detalle de validaciones, fechas y documentos).
• Validación CC de un hipervisor alternativo (por ejemplo, ESXi 7.0 U3d conforme a PP for Virtualization v1.1 + módulo de Server Virtualization).
• NIAP – Protection Profile for Virtualization, versión 1.1 (requisitos base y expectativas de evaluación).
• Microsoft Learn – Common Criteria certifications for previous Windows (histórico de versiones y estados de validación).
• Protection Profile for Virtualization v1.1 (documento del perfil de protección).

Nota legal: Esta guía resume información pública y prácticas recomendadas. La conformidad Common Criteria depende de la versión exacta del producto, el alcance evaluado, la configuración aplicada y las evidencias que presentes al auditor. Verifica siempre los documentos oficiales vigentes para tu caso.