La integridad de memoria de Windows se ha convertido en una de esas opciones de seguridad que ves en la app de Seguridad de Windows, te suena a algo importante, pero al mismo tiempo has oído que puede comerse unos cuantos FPS en tus juegos. No es raro sentirse dividido entre exprimir el PC al máximo y mantenerlo bien blindado frente a malware y exploits.
Antes de decidir si la activas o la desactivas, conviene entender bien qué hace exactamente, qué gana tu sistema a nivel de protección, cuánto puedes perder en rendimiento y cómo jugar con todos estos ajustes (VBS, hipervisor, controladores, etc.) sin liarla y quedarte con el PC inestable o menos seguro de la cuenta.
Qué es la integridad de memoria en Windows y cómo funciona
La llamada “integridad de memoria” de Windows es, en realidad, la interfaz amigable de una tecnología de seguridad más grande: la seguridad basada en virtualización o VBS (Virtualization-Based Security). Ambas van de la mano y están pensadas para defender la parte más sensible del sistema, el kernel, de ataques muy avanzados.
Windows se apoya en el hipervisor integrado del propio sistema para crear un entorno virtual aislado que actúa como raíz de confianza. Ese entorno asume que, en el peor de los casos, el kernel podría estar comprometido. Por eso traslada ciertas comprobaciones críticas de seguridad a un espacio protegido separado de Windows “normal”.
Dentro de ese entorno protegido se ejecuta la integridad de código en modo kernel. Básicamente, se comprueba que los controladores y el código que quieren ejecutarse en el kernel estén firmados, sean de confianza y no hayan sido manipulados. Si algo se cuela que no cumple las reglas, no se ejecuta.
La integridad de memoria, como tal, añade otra capa: controla y restringe cómo se asigna y usa la memoria del kernel. Las páginas de memoria del kernel solo se marcan como ejecutables después de pasar las comprobaciones de integridad. Además, una vez son ejecutables dejan de ser escribibles. Esto complica mucho la vida a los exploits que intentan inyectar código o modificar estructuras críticas en memoria.
Entre otras cosas, esta característica protege la modificación del mapa de bits de Control Flow Guard (CFG) en modo kernel y refuerza el proceso de integridad de código que valida que los procesos privilegiados tengan certificados válidos y confiables.
Requisitos de hardware y cuándo se activa sola
Microsoft no puede activar alegremente esta protección en cualquier PC antiguo, porque depende de funciones modernas de CPU, firmware y almacenamiento. Por eso, la integridad de memoria solo se habilita automáticamente si el equipo cumple una serie de requisitos mínimos.
En instalaciones limpias de Windows 11, y en algunos Windows 10 (como las ediciones en modo S) sobre hardware compatible, la integridad de memoria viene activa de fábrica. También está habilitada por defecto en los equipos denominados “núcleo protegido”. En otros equipos se deja al usuario o al administrador decidir si la enciende.
De forma general, el equipo debe contar con un procesador moderno con soporte avanzado de virtualización y mitigaciones. Por ejemplo, Intel de 8ª generación o posterior, AMD a partir de la arquitectura Zen 2 o SoCs Qualcomm Snapdragon recientes. Además, en x64 se exige un mínimo de 8 GB de RAM para garantizar que el sistema no se ahogue al montar el entorno virtualizado.
También se exige que el disco del sistema sea un SSD de al menos 64 GB, que la BIOS/UEFI tenga la virtualización activada y que los controladores que se instalen en el sistema sean compatibles con HVCI (Hypervisor-Enforced Code Integrity). Sin estos ingredientes, la activación automática no entra en juego y VBS o la integridad de memoria pueden quedarse desactivados.
Los OEM y administradores que preparan imágenes pueden forzar que la integridad de memoria se active por defecto configurando claves de registro específicas, incluyendo valores como Enabled, WasEnabledBy y el identificador de arranque (BootId) que usa Windows para revertir la función si detecta bloqueos críticos de arranque causados por ella.
Cómo activar la integridad de memoria (VBS y HVCI) desde el sistema
Más allá del interruptor visible en Seguridad de Windows, la integridad de memoria y VBS se controlan con claves de registro y políticas que permiten afinar mucho el comportamiento. Esto es especialmente útil en empresas u organizaciones.
En el registro de Windows, la seguridad basada en virtualización se gobierna desde la ruta HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard. Ahí se define si VBS se activa, qué nivel de seguridad de plataforma se requiere (solo Arranque Seguro, Arranque Seguro + protección DMA, etc.), si se bloquea la configuración desde UEFI y si la integridad de memoria (HVCI) está habilitada.
Por ejemplo, para encender VBS y la integridad de memoria con una configuración típica, se usan entradas como EnableVirtualizationBasedSecurity=1 y RequirePlatformSecurityFeatures con valores que especifican qué tipo de seguridad de firmware es obligatoria (por ejemplo 1 para solo Secure Boot o 3 para Secure Boot + protección DMA).
La integridad de memoria en sí cuelga de la subclave DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity. Ahí se marca Enabled=1 para activar la función y se puede controlar si el estado queda bloqueado a nivel de firmware usando la clave Locked con distintos valores en función de si se desea o no bloqueo UEFI.
Para entornos donde se quiere ir al máximo, existe la opción de marcar la política como Mandatory. En ese modo, si el hipervisor, el kernel seguro o alguno de sus módulos clave no se carga en el arranque, el sistema directamente no continúa el boot. Es una protección muy agresiva que refuerza la seguridad. Sin embargo, puede complicar la recuperación si hay problemas de compatibilidad.
Control mediante App Control para empresas y PowerShell
En redes corporativas, la forma más cómoda de gestionar la integridad de memoria suele ser a través de App Control for Business (antes WDAC). Esta permite activar HVCI junto a reglas de control de aplicaciones desde políticas centralizadas.
Con el asistente de Control de aplicaciones se pueden crear o editar directivas y marcar la opción de “Integridad de código protegida por hipervisor” en la sección de reglas. De este modo, al desplegar la política, los equipos pasan a ejecutar la integridad de memoria según los parámetros definidos.
Otra vía es usar PowerShell. Con cmdlets como Set-HVCIOptions se pueden modificar las opciones de HVCI de forma automatizada en múltiples dispositivos. Esto es algo muy útil en scripts de despliegue o configuración inicial de equipos.
Si se trabaja directamente con los ficheros XML de App Control, también es posible ajustar el valor del elemento <HVCIOptions> dentro de la política, afinando el comportamiento de la integridad de código protegida por hipervisor sin tocar el registro uno por uno en cada máquina.
Para evitar que el usuario final pueda encender o apagar la integridad de memoria desde la interfaz de Seguridad de Windows, el administrador puede jugar con la clave WasEnabledBy. Ajustando o eliminando este valor, la UI aparece atenuada y muestra un mensaje del tipo “This setting is managed by your administrator”.
Cómo comprobar si VBS e integridad de memoria están realmente activos
No basta con confiar en un simple interruptor, sobre todo en entornos donde la seguridad es crítica. Windows ofrece varias formas de verificar el estado real de VBS y de la integridad de memoria usando WMI, herramientas gráficas y registros.
Una de las más completas es la clase WMI Win32_DeviceGuard, accesible desde PowerShell con permisos elevados mediante el comando Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard. La salida detalla qué protecciones basadas en hardware están disponibles y cuáles se encuentran habilitadas en ese momento.
En los resultados aparecen campos como AvailableSecurityProperties. Este nos indica si el dispositivo tiene soporte de hipervisor, Secure Boot, protección DMA, protecciones NX, mitigaciones SMM, MBEC/GMET o virtualización de APIC. Cada capacidad se representada por un valor numérico concreto.
Otros campos importantes son:
- RequiredSecurityProperties. Las características de seguridad se necesitan para habilitar VBS.
- SecurityServicesConfigured. Para revisar si están configurados Credential Guard, integridad de memoria, protección de arranque seguro, medición de firmware, protección de pila aplicada por hardware, etc.
- SecurityServicesRunning. Lo mismo que el anterior, pero para servicios actualmente en ejecución.
También resulta clave fijarse en VirtualizationBasedSecurityStatus, donde un valor concreto indica si VBS está deshabilitado, habilitado pero no arrancado o habilitado y en ejecución. Finalmente, el estado directo de la integridad de memoria se puede consultar en la clave de registro volátil HKLM\System\CurrentControlSet\Control\CI\State\HVCIEnabled, así como en la información de MsInfo32 (en el apartado “Ejecución de servicios de seguridad basados en virtualización”).
SkTool y otros recursos avanzados para diagnosticar VBS
Para escenarios más complejos, como problemas con el hipervisor, claves de seguridad o errores al iniciar VBS, Microsoft incluye en el SDK de Windows una utilidad llamada SkTool que simplifica bastante el diagnóstico.
SkTool se encuentra en la carpeta bin del SDK, en una ruta del estilo “C:\Program Files (x86)\Windows Kits\10\bin\10.0.xxx\<Arch>”, donde <Arch> puede ser x64, arm64, etc. Al ejecutarla sin parámetros, muestra el estado actual del hipervisor y de VBS, indicando de forma clara por qué se ha iniciado o por qué no ha podido arrancar.
Admite varios modificadores de línea de comandos, como /status (información general de hipervisor y kernel seguro), /lkey (estado de la clave maestra de VSM) o /mitigations (mitigaciones activas). El parámetro de la clave maestra es muy útil para investigar problemas de Windows Hello u otras funciones de seguridad reforzada cuando el sistema no acepta el PIN o el reconocimiento facial.
Si, por ejemplo, se desactiva el Arranque Seguro o cambia algo en el estado medido por el TPM, SkTool puede reflejar que la clave maestra de VSM no se puede desbloquear, indicando el código de error concreto y explicando que se ha generado una nueva clave almacenada en una variable UEFI.
Además de SkTool, para revisar qué ha pasado con la habilitación automática de integridad de memoria durante la instalación, se puede consultar el fichero setupact.log, buscar la cadena HVCI y ver si se activó correctamente o si el sistema decidió no habilitarla por no cumplir algún requisito, indicando códigos como VBS_COMPAT_ISSUES con el detalle de las incompatibilidades detectadas (arquitectura no soportada, falta de SLAT, ausencia de tabla de atributos de memoria UEFI, disco demasiado pequeño, sin SSD, etc.).
Impacto en rendimiento y juegos: ¿merece la pena desactivarla?
Una de las grandes dudas de muchos usuarios es el equilibrio entre seguridad y rendimiento, especialmente en gaming. Hay pruebas y recomendaciones, incluso de la propia Microsoft, que apuntan a que la integridad de memoria y otras funciones de VBS pueden recortar varios puntos porcentuales de FPS, en torno a un 5 % de media dependiendo del juego y del hardware.
En algunas actualizaciones de Windows 11 se han visto casos donde, combinada con otras características como la Plataforma de máquina virtual (usada, por ejemplo, para ejecutar apps Android), el impacto en ciertos títulos era más notable, sobre todo en equipos justos de recursos o con GPUs donde cualquier sobrecarga extra se nota.
Microsoft, en documentación y comunicados relacionados con problemas de rendimiento en juegos, ha llegado a recomendar que los usuarios más exigentes desactiven temporalmente tanto VBS como la integridad de memoria cuando vayan a jugar. Y que los vuelvan a activar después. El problema práctico es que estos cambios suelen requerir reiniciar el equipo. Esto que convierte la operación en algo un poco pesado para hacerlo a diario.
Desde un punto de vista de seguridad, conviene recordar que esta característica complica ataques contra el kernel y detiene drivers o módulos con firmas dudosas o vulnerables. Si solo usas Windows Defender, descargas programas de fuentes que no siempre controlas y, en general, no quieres jugártela demasiado, tener desactivada la integridad de memoria de forma permanente te deja más expuesto a cierto tipo de malware avanzado.
La decisión práctica suele ser valorar tu perfil de riesgo: si el equipo es de trabajo, gestionas información sensible o sueles instalar menos cosas “raras”, es recomendable dejar la integridad de memoria encendida. Si el PC es puramente para jugar y exprimir hasta el último FPS, puedes plantearte apagarla mientras juegas, sabiendo que asumes un nivel de riesgo más alto, sobre todo si descargas ejecutables de fuentes poco fiables.
Soluciones paso a paso cuando la integridad de memoria no se enciende
Cuando el sistema insiste en que no puede habilitar la integridad de memoria, se pueden seguir varias vías de solución, de menor a mayor “agresividad”, hasta dejar la función operativa sin comprometer la estabilidad del equipo.
El primer paso suele ser revisar e instalar todas las actualizaciones disponibles desde Configuración > Windows Update. Muchas veces, un simple driver actualizado o un parche de compatibilidad arregla el bloqueo sin necesidad de tocar nada más.
Después conviene entrar en Seguridad de Windows > Seguridad del dispositivo > Aislamiento del núcleo y, donde aparece el mensaje de error, pulsar en “Revisar controladores incompatibles”. Si ahí se lista un driver concreto, lo ideal es intentar actualizarlo desde el Administrador de dispositivos buscando controladores por fabricante o descargando directamente la versión más reciente desde la web del proveedor.
Si el listado no muestra claramente cuál es el archivo conflictivo, se puede recurrir al símbolo del sistema con permisos de administrador. A través de él se pueden lanzar comandos como dism /online /get-drivers /format:table para enumerar todos los controladores instalados. A partir de ahí, se identifica el “Published Name” que corresponde al driver sospechoso y se anota para usarlo en otras operaciones.
En casos más extremos, cuando no hay actualización posible, se puede realizar una desinstalación forzada del controlador con herramientas como pnputil, eliminando el paquete del sistema para después instalar una versión compatible o una alternativa. Siempre es recomendable hacer copia de seguridad antes de meterse en este tipo de maniobras.
Otras medidas de reparación cuando todo lo demás falla
No todos los problemas de integridad de memoria vienen de drivers. A veces detrás hay archivos de sistema dañados, malware o un Windows muy tocado por años de uso, cambios de hardware o errores en el registro.
Un paso bastante seguro es utilizar el Comprobador de Archivos de Sistema (SFC) y, cuando sospeches de hardware, ejecutar Memtest64. Abriendo un símbolo del sistema como administrador y ejecutando sfc /scannow, Windows analiza los archivos críticos del sistema y sustituye los que estén corruptos o falten. Tras el análisis, se recomienda reiniciar y probar de nuevo a activar la integridad de memoria desde Seguridad de Windows.
También es buena idea pasar un análisis completo de malware con la propia Seguridad de Windows (Protección contra virus y amenazas > Opciones de examen > Examen completo) o con una solución de terceros fiable. Algunas infecciones se apoyan en manipular procesos y servicios en memoria. Y pueden interferir con la activación de esta función.
Si el sistema sigue igual de cabezón, queda la opción del Modo Seguro. Reiniciando y eligiendo arrancar en modo seguro se cargan solo los drivers mínimos. Desde ahí se puede probar a activar la integridad de memoria y revisar eventos. E incluso realizar limpiezas de software problemático con menos interferencias.
Para situaciones muy graves, en las que el equipo se ha vuelto inestable o directamente no arranca bien tras intentar forzar VBS o HVCI, se puede tirar del Entorno de Recuperación de Windows (Windows RE). Allí es posible desactivar políticas de grupo relacionadas, modificar claves de registro para poner Enabled=0 en la configuración de integridad de memoria y devolver el sistema a un estado más básico que permita arrancar con normalidad.
Integridad de memoria dentro de máquinas virtuales Hyper-V
La integridad de memoria no es exclusiva de máquinas físicas. También puede proteger máquinas virtuales basadas en Hyper-V casi del mismo modo en que protege un PC normal, siempre que se cumplan ciertos requisitos.
El host de Hyper-V debe estar ejecutando al menos Windows Server 2016 o Windows 10 versión 1607. Además, la máquina virtual debe ser de generación 2, con un sistema invitado moderno (Windows 10, Windows 11 o Windows Server 2016 en adelante). Dentro de la propia máquina virtual, los pasos para activar VBS e integridad de memoria son prácticamente idénticos a los de un equipo físico.
La protección que aporta se centra en evitar que malware que se ejecute dentro de la VM pueda comprometer su kernel. Lo que no hace es reforzar de forma adicional la seguridad del host. Un administrador del host sigue teniendo control para, por ejemplo, desactivar la integridad de memoria de la VM usando comandos como Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true.
Existen algunas limitaciones. Elementos como los adaptadores de canal de fibra virtual no son compatibles con integridad de memoria, y si se quieren usar hay que excluir la VM de VBS mediante configuración de seguridad de la máquina virtual. Lo mismo pasa con opciones como AllowFullSCSICommandSet en discos de paso a través, que no se llevan bien con HVCI.
En Windows con virtualización anidada, se puede tener el rol de Hyper-V dentro de una VM que a su vez tiene integridad de memoria activada. Pero hay que seguir un orden concreto de configuración y asegurarse de que tanto el host como la invitada cumplen los requisitos.
Cuándo conviene mantenerla activa y cuándo desactivarla
La pregunta del millón, sobre todo si te preocupan los FPS en juegos, es si te compensa tener esta característica siempre encendida. En la mayoría de equipos modernos y para un uso general, el sacrificio de rendimiento es razonable frente al salto en seguridad que obtienes frente a exploits de kernel y drivers maliciosos.
Si no utilizas antivirus de terceros, confías en Windows Defender y sueles descargar programas de sitios poco controlados, la integridad de memoria añade un escudo extra importante. Reduce la superficie de ataque y obliga a que los controladores de dispositivo pasen por un filtro más estricto.
En cambio, si tu prioridad absoluta es el rendimiento de juegos competitivos y cada frame cuenta, puedes plantearte una estrategia intermedia: desactivar VBS e integridad de memoria cuando sabes que vas a dedicar el rato solo a jugar y volver a activarlos para el día a día de navegación, ofimática y demás. Hay que tener en cuenta, eso sí, que los cambios exigen reinicio. No es algo tan cómodo como pulsar un simple botón.
Para usuarios avanzados o administradores, la clave está en conocer bien el entorno. Desde equipos de trabajo con datos sensibles hasta estaciones de administración, todos suelen beneficiarse de tener la integridad de memoria habilitada como parte de una estrategia de seguridad en profundidad. Apoyada en backups y políticas de actualización estrictas.
Al final, entender cómo funciona VBS, cómo interactúa con controladores, firmware y rendimiento, y cómo diagnosticar sus errores, permite tomar decisiones más conscientes: mantener la integridad de memoria de Windows como un aliado potente contra ataques sofisticados, o desactivarla en momentos muy concretos sabiendo perfectamente qué se gana y qué se pierde en cada caso.
