Configuración de Core Isolation y Memory Integrity en Windows

La configuración de Core Isolation e Integridad de memoria en Windows se ha convertido en un tema clave para cualquiera que busque un plus de seguridad en su PC, sobre todo en entornos donde el malware y los ataques al sistema están a la orden del día. Aunque a primera vista pueda parecer una función «escondida» entre los ajustes avanzados, lo cierto es que tiene un papel fundamental a la hora de blindar el núcleo del sistema operativo.

En las próximas líneas vas a encontrar una guía muy completa donde se explica qué es exactamente el aislamiento de núcleo, cómo funciona la integridad de memoria basada en virtualización (VBS), qué requisitos y limitaciones tiene, cómo activarla o desactivarla tanto desde la interfaz gráfica como mediante Registro, PowerShell o directivas, y qué impacto real puede tener en el rendimiento y la compatibilidad de tu equipo.

¿Qué es Core Isolation en Windows y para qué sirve?

El llamado aislamiento del núcleo (Core Isolation) es una característica de seguridad avanzada integrada en Windows 10, Windows 11 y Windows Server que se apoya en la seguridad basada en virtualización (VBS). Su objetivo es ejecutar ciertos componentes críticos del sistema operativo en un entorno aislado del resto de procesos, reduciendo muchísimo la superficie de ataque frente a malware y exploits que intentan comprometer el kernel.

Cuando activas Core Isolation, el sistema crea un entorno virtual protegido aprovechando el hipervisor de Windows. En ese espacio aislado se ejecutan funciones de alta seguridad, de forma que el código malicioso que logre ejecutarse en el sistema normal no pueda interactuar fácilmente con el núcleo ni manipular estructuras de memoria críticas. Esta separación lógica funciona como una barrera extra entre el sistema y todo lo que venga de fuera, ya sea un archivo adjunto infectado, un programa de procedencia dudosa o un controlador defectuoso.

Imagina que abres un correo electrónico con un adjunto malicioso. Sin este aislamiento, un exploit podría aprovechar vulnerabilidades del sistema para escalar privilegios y llegar hasta el kernel. Con Core Isolation habilitado, gran parte de la lógica crítica se encuentra protegida en ese entorno virtualizado, de modo que el malware ve muy limitado su margen de maniobra, aunque haya conseguido ejecutarse con permisos elevados en la parte no aislada del sistema.

¿Qué es la Integridad de memoria y qué papel juega en VBS?

Dentro de Core Isolation, la pieza estrella es la llamada Integridad de memoria, también conocida como HVCI (Hypervisor-Enforced Code Integrity). Esta funcionalidad traslada la comprobación de integridad del código que se ejecuta en modo kernel al entorno seguro de VBS, de forma que el hipervisor actúa como raíz de confianza y supervisa que solo se cargue código firmado y legítimo en el núcleo.

Con Integridad de memoria activa, el sistema restringe las asignaciones de memoria del kernel que podrían ser utilizadas para ataques de inyección de código o para desactivar mecanismos de seguridad. Al ejecutarse la validación de integridad en el entorno aislado, un atacante que llegue a comprometer el núcleo tradicional lo tiene mucho más difícil para desactivar estas protecciones, porque el propio proceso de verificación está fuera de su alcance.

Entre las funciones internas más relevantes, la integridad de memoria se encarga de proteger el mapa de bits de Control Flow Guard (CFG) aplicado a controladores en modo kernel y de blindar el proceso de integridad de código que valida que otros procesos privilegiados cuenten con certificados válidos. Estas medidas limitan notablemente los intentos de redirigir flujos de ejecución hacia código malicioso o de cargar binarios no confiables en el núcleo.

Requisitos y compatibilidad del aislamiento de núcleo

Aunque Windows integra estas funciones de serie, no todos los equipos son compatibles o las tienen activadas por defecto. Para que Core Isolation y la integridad de memoria funcionen correctamente, el hardware y el firmware deben cumplir una serie de condiciones: soporte de virtualización por hardware (Intel VT-x, AMD-V), arranque seguro, ciertas extensiones de CPU como MBEC/GMET y, en entornos de servidor o virtualización, capacidades adicionales para aislamiento de máquinas virtuales.

En muchos casos, estas opciones dependen también de la configuración de la BIOS/UEFI. Si la virtualización o el arranque seguro están desactivados a nivel de firmware, VBS no podrá iniciarse y las funciones de aislamiento del núcleo no estarán disponibles, aunque las actives desde Windows. Además, algunos controladores antiguos o poco mantenidos pueden resultar incompatibles con estas tecnologías, provocando errores, pantallazos azules como el error IRQL_NOT_LESS_OR_EQUAL o directamente impidiendo la activación de la integridad de memoria.

¿Cómo activar o desactivar Core Isolation desde Seguridad de Windows?

La forma más sencilla y mejor orientada para usuarios domésticos o de oficina es gestionar el aislamiento del núcleo desde la propia aplicación Seguridad de Windows, donde se agrupan la mayoría de ajustes de seguridad del sistema en un único panel.

Para revisar y modificar estas opciones, puedes seguir una secuencia parecida a esta en Windows 10 y Windows 11: abres la app Seguridad de Windows desde el icono de escudo en la bandeja o con la búsqueda, entras en Seguridad del dispositivo y localizas el bloque de Aislamiento del núcleo. En esa pantalla suele aparecer un mensaje indicando si la integridad de memoria está activada o no, junto con un aviso de vulnerabilidad potencial cuando permanece deshabilitada.

Dentro de Detalles de aislamiento del núcleo encontrarás el interruptor para activar o desactivar la Integridad de memoria, así como la opción llamada lista de bloqueados de controladores vulnerables de Microsoft, que impide que se carguen drivers conocidos por presentar fallos graves. Una vez activas la integridad de memoria, el sistema te pedirá reiniciar el equipo para aplicar los cambios y, al volver a iniciar, deberías ver un icono verde de confirmación junto al apartado de aislamiento del núcleo.

Si, al encenderla, aparecen problemas de rendimiento, caídas de FPS en juegos o incluso pantallazos azules, siempre puedes volver a ese mismo panel y apagar el interruptor. Windows permite cambiar este ajuste cuantas veces quieras, lo cual resulta práctico si, por ejemplo, quieres activarlo solo en momentos concretos (como cuando manejas unidades USB desconocidas o instalas software de procedencia dudosa).

Impacto en rendimiento y cuándo conviene activarlo o no

Conviene tener claro que Core Isolation y, especialmente, la integridad de memoria, no son funciones gratuitas en términos de rendimiento. Cada capa adicional de seguridad implica más comprobaciones, más validaciones de código y más trabajo para la CPU a la hora de examinar qué se ejecuta en el sistema. En PCs potentes quizá apenas se note, pero en equipos más justos o cuando se juega a títulos exigentes sí puede apreciarse una caída de FPS o una respuesta menos fluida.

Muchos usuarios han reportado que, tras activar el aislamiento de núcleo, juegos y aplicaciones gráficas van algo peor, y que al desactivarlo recuperan la fluidez previa. En algunos casos puntuales, incluso se han encontrado con errores críticos como el BSOD Critical_Process_Died al intentar activarlo, especialmente si había drivers antiguos o mal diseñados que no se llevaban bien con estas protecciones.

Por eso, tiene sentido valorar el contexto de uso. Si utilizas el PC fundamentalmente para jugar y tareas de alto rendimiento en un entorno relativamente controlado, con buenos hábitos de seguridad (no descargar ejecutables sospechosos, evitar webs turbias, mantener Windows Defender actualizado), quizá prefieras dejar Core Isolation desactivado para exprimir al máximo el hardware. Si, en cambio, navegas mucho, abres adjuntos con frecuencia, conectas dispositivos externos de terceros o el equipo se usa de forma compartida en bibliotecas, oficinas o centros educativos, es bastante recomendable sacrificar un poco de rendimiento a cambio de una seguridad notablemente mayor.

Integridad de memoria y aislamiento del hardware: cómo protege el sistema

Cuando se habla de esta función también se menciona con frecuencia que separa procesos de alta seguridad del resto del sistema, estableciendo una barrera virtual entre lo que podríamos considerar hardware primario (placa base, CPU, GPU, RAM y almacenamiento principal) y el hardware periférico (dispositivos USB, impresoras, discos externos…). La idea es que cualquier interacción con componentes críticos pase por filtros más estrictos.

Esta protección no sustituye a Windows Defender ni a otras soluciones antimalware tradicionales, sino que las complementa. El antivirus sigue siendo el encargado de analizar archivos, detectar patrones de malware y bloquear amenazas conocidas, mientras que el aislamiento del núcleo vigila los vectores de ataque al propio kernel y las estructuras de memoria más sensibles. Es habitual que se recomiende mantener Windows Defender activado siempre y, de forma opcional, añadir la software de seguridad imprescindible dependiendo de las necesidades concretas.

¿Cómo activar el aislamiento del núcleo en Windows 11 paso a paso?

En Windows 11, el proceso para poner en marcha esta función es bastante directo y no requiere tocar nada en el Registro si no quieres complicarte. A grandes rasgos, se trata de acceder a la configuración del sistema, entrar en la sección de seguridad y localizar el panel de Seguridad de Windows para activar el aislamiento del núcleo y su integridad de memoria.

El recorrido típico consiste en abrir la Configuración de Windows (por ejemplo con Win + I), ir a Privacidad y seguridad, entrar en Seguridad de Windows y pulsar en el botón que abre la aplicación. Desde ahí, en el menú lateral, eliges Seguridad del dispositivo, localizas el bloque de Aislamiento del núcleo, accedes a los detalles y activas el control de Integridad de memoria si está apagado. Tras cerrar la ventana y reiniciar el sistema, la función queda habilitada; para consejos generales sobre cómo mejorar la seguridad en Windows 11 puedes revisar guías complementarias.

Este mismo mecanismo puedes repetirlo tantas veces como quieras. En algunos escenarios puede ser útil encenderlo de forma puntual, por ejemplo cuando vas a conectar un USB procedente de otra persona, cuando trabajas con discos externos de origen desconocido o si compartes el equipo con varios usuarios. Aunque no sea un escudo infalible, reduce las posibilidades de que un malware aproveche un fallo en un controlador para colarse a nivel de kernel.

Activación en Windows 10 y similitudes con Windows 11

En Windows 10 también existe el aislamiento del núcleo y la integridad de memoria, y la forma de activarlo es muy parecida a la de Windows 11, con pequeñas diferencias en los nombres de algunos menús. De nuevo, el camino pasa por el panel de Configuración, la sección de seguridad y la app Seguridad de Windows.

En este caso, abres Configuración, entras en Actualización y seguridad, eliges Seguridad de Windows y luego la categoría de Seguridad del dispositivo. Ahí verás el apartado de Aislamiento del núcleo y, dentro de los detalles, el conmutador para encender o apagar la integridad de memoria. Puedes cambiar este ajuste siempre que te haga falta, algo interesante si alternas periodos de navegación intensiva por Internet con sesiones de gaming donde prefieres rascar cada FPS disponible.

Activar Integridad de memoria y VBS desde la línea de comandos (Registro)

Para entornos corporativos o usuarios avanzados que quieran automatizar la configuración de VBS y la integridad de memoria, el Registro de Windows ofrece un control bastante granular. A través de la herramienta de línea de comandos REG puedes añadir y modificar las claves necesarias para que el hipervisor y las protecciones basadas en virtualización se activen al arrancar; antes de hacerlo es recomendable crear copias de seguridad del registro.

Una configuración habitual consiste en habilitar virtualización basada en seguridad, exigir determinadas características de plataforma, activar la integridad de código reforzada por el hipervisor y ajustar el bloqueo UEFI. Para ello, se modifican entradas bajo la clave HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard y su subclave Scenarios\HypervisorEnforcedCodeIntegrity, ajustando valores como EnableVirtualizationBasedSecurity, RequirePlatformSecurityFeatures, Locked, Enabled o Mandatory, todos ellos en formato REG_DWORD con valores numéricos que definen el comportamiento.

Por ejemplo, puedes establecer VBS sin integridad de memoria solo activando EnableVirtualizationBasedSecurity, o bien combinarlo con la clave RequirePlatformSecurityFeatures para exigir arranque seguro (valor 1) o arranque seguro más protección DMA (valor 3). El parámetro Locked permite definir si el bloqueo UEFI se aplica o no, y la opción Mandatory hace que el sistema no continúe el arranque si el hipervisor, el kernel seguro o uno de sus módulos dependientes no se cargan correctamente.

En el subárbol de HypervisorEnforcedCodeIntegrity, el valor Enabled controla directamente si se activa la integridad de memoria, mientras que la clave Locked para ese mismo escenario decide si queda fijada con bloqueo UEFI. Además, existe un valor denominado WasEnabledBy que se usa para controlar cómo se presenta la interfaz gráfica al usuario: si se elimina, la UI muestra el mensaje de «This setting is managed by your administrator» y el conmutador aparece deshabilitado; si se establece con un valor concreto, la interfaz vuelve a comportarse de forma normal.

Gestión mediante App Control para empresas y PowerShell

En despliegues empresariales donde se centralizan políticas de seguridad, App Control para empresas (antes Windows Defender Application Control) ofrece otra vía para habilitar la integridad de memoria de forma más estructurada. Desde su asistente de configuración se puede crear o editar una directiva de control de aplicaciones y marcar la opción de Integridad de código protegida por hipervisor en la página de reglas de la política.

Además de la interfaz gráfica, es posible recurrir al cmdlet de PowerShell Set-HVCIOptions, diseñado específicamente para ajustar las opciones de HVCI, o editar directamente el XML de la directiva de App Control, modificando el valor del elemento <HVCIOptions> para activar las protecciones deseadas. Estos enfoques son especialmente útiles cuando se quiere aplicar la misma configuración a muchos equipos sin tener que tocar uno por uno, y pueden complementarse con políticas de seguridad via secpol.msc en entornos gestionados.

Validar si VBS e Integridad de memoria están activados

Para comprobar de forma precisa si la virtualización basada en seguridad y la integridad de memoria están realmente activas y en ejecución, Windows proporciona varias herramientas orientadas a administradores y usuarios avanzados, entre las que destacan una clase WMI específica y el clásico msinfo32.

La clase WMI Win32_DeviceGuard, accesible desde PowerShell con permisos elevados mediante el comando Get-CimInstance y el espacio de nombres root\Microsoft\Windows\DeviceGuard, devuelve numerosos campos relacionados con las propiedades de seguridad de VBS e HVCI. Entre ellos destacan:

El identificador único InstanceIdentifier y la versión de la clase, que actualmente suele ser 1.0, así como la lista AvailableSecurityProperties, que indica qué características de seguridad basadas en hardware están presentes en el dispositivo, como soporte de hipervisor, arranque seguro, protección de DMA, sobrescritura segura de memoria, protecciones NX, mitigaciones de SMM, MBEC/GMET o virtualización de APIC.

El campo RequiredSecurityProperties especifica qué elementos son necesarios para que VBS pueda habilitarse en ese equipo (por ejemplo, exigir arranque seguro o protección DMA), mientras que SecurityServicesConfigured muestra si se han configurado servicios como Credential Guard, integridad de memoria, System Guard Secure Launch, medición de firmware de SMM o protección de pila en modo kernel, incluyendo si esta última se encuentra en modo auditoría o de aplicación forzada.

Relacionado con lo anterior, SecurityServicesRunning indica qué servicios están realmente en ejecución en ese momento, diferenciando entre configurado y operativo. Otros campos importantes son CodeIntegrityPolicyEnforcementStatus, que revela si la directiva de integridad de código del sistema está desactivada, en modo auditoría o en modo exigido; UsermodeCodeIntegrityPolicyEnforcementStatus, que ofrece la misma información pero centrada en el código en modo usuario; y VirtualizationBasedSecurityStatus, que aclara si VBS está desactivado, simplemente habilitado pero inactivo, o plenamente habilitado y en marcha.

Por último, VirtualMachineIsolation y VirtualMachineIsolationProperties indican el nivel de aislamiento de máquina virtual disponible y las tecnologías soportadas, como AMD SEV-SNP, virtualización basada en seguridad o Intel TDX, relevantes cuando se desea aplicar estas protecciones en entornos virtualizados.

Si prefieres una vía más visual, puedes ejecutar msinfo32.exe con permisos elevados, lo que abrirá la ventana de Información del sistema. En la parte inferior de la sección de Resumen del sistema aparece un bloque dedicado a las características de VBS y sus estados, donde se detalla si la seguridad basada en virtualización está habilitada y qué componentes concretos están activos.

Protección de pila impuesta por hardware y relación con Integridad de memoria

En la familia de protecciones que giran alrededor de Core Isolation encontramos la protección de pila forzada por hardware, una función basada en capacidades específicas de CPU modernas (como Intel Control-Flow Enforcement Technology o AMD Shadow Stack) destinada a evitar que el código malicioso manipule direcciones de retorno en la pila de modo kernel para redirigir la ejecución hacia cargas maliciosas.

En procesadores compatibles, la CPU mantiene una segunda copia de las direcciones de retorno en una pila de sombras de solo lectura, inaccesible para los controladores normales. Si un programa o driver intenta modificar la dirección de vuelta en la pila principal, la CPU detecta la discrepancia comparándola con la referencia guardada en la pila de sombras. Cuando esto ocurre, el sistema dispara un error grave (el típico pantallazo azul) y detiene la ejecución, bloqueando el intento de secuestro del flujo de ejecución.

No todos los controladores son compatibles con esta defensa, ya que algunos drivers legítimos alteran direcciones de retorno con fines no maliciosos. Por ese motivo, Microsoft ha ido trabajando con múltiples fabricantes para que sus versiones más recientes soporten la protección de pila basada en hardware. Esta función se puede activar o desactivar mediante un conmutador en la interfaz de Seguridad de Windows, pero para que funcione es imprescindible tener la integridad de memoria habilitada y contar con una CPU que implemente las tecnologías mencionadas.

Si al tratar de activarla el sistema avisa de que existe un controlador o servicio incompatible, conviene buscar actualizaciones en la web del fabricante del dispositivo o de la aplicación implicada. En ocasiones, el componente problemático es un servicio asociado a un controlador que solo se carga al iniciar el programa, por lo que puede ser necesario desinstalar dicho software o evitar su uso si se quiere mantener la protección de pila habilitada.

Solución de problemas y reversión en caso de fallos

Al activar VBS, integridad de memoria o la protección de pila, es posible que en algunos equipos ciertos controladores dejen de cargarse o el sistema se vuelva inestable. En el mejor de los casos, bastará con actualizar los drivers desde el Administrador de dispositivos o la web del fabricante; en situaciones más graves, puede producirse un error crítico durante el arranque.

Si tras habilitar estas funciones el sistema no arranca correctamente o se comporta de forma errática, una opción es recurrir al Entorno de recuperación de Windows (Windows RE). Antes de nada, conviene desactivar las políticas (por ejemplo, de directiva de grupo) que se usaron para forzar VBS y HVCI. Después, arrancas el equipo afectado en Windows RE, inicias sesión y, desde allí, puedes cambiar la clave de Registro correspondiente para desactivar la integridad de memoria estableciendo el valor Enabled de HypervisorEnforcedCodeIntegrity a 0. Al reiniciar, el sistema debería volver a arrancar sin esa protección, lo que suele restaurar la estabilidad si el problema era de compatibilidad; si el problema fuera un fallo de arranque grave consulta la guía sobre el error INACCESSIBLE_BOOT_DEVICE.

En entornos donde se quiere además gestionar las advertencias visuales que aparecen en Seguridad de Windows (como el icono de exclamación amarillo cuando se desactiva la integridad de memoria), la cosa se complica. No siempre basta con tocar el Registro, y muchas veces es necesario combinar directivas de grupo, Intune u otras herramientas de gestión para ocultar esos avisos sin tener que ir equipo por equipo a descartar el mensaje desde la interfaz local, algo que además requiere permisos de administrador.

Integridad de memoria en máquinas virtuales Hyper-V

La integridad de memoria no solo protege sistemas físicos; también puede aplicarse a máquinas virtuales que se ejecutan sobre Hyper-V, donde actúa de forma muy similar a como lo haría en un equipo real. Desde dentro de la máquina virtual, los pasos para habilitar la función son esencialmente los mismos: activar VBS, asegurarse de que la integridad de memoria puede iniciarse y cumplir los requisitos de hardware virtualizado.

Es importante entender que esta protección blinda la máquina virtual invitada frente a malware que se ejecute dentro de ella, pero no añade una seguridad extra al host. Desde el sistema anfitrión es posible desactivar la integridad de memoria de una VM concreta utilizando comandos de administración de Hyper-V (como Set-VMSecurity con la opción de exclusión de VBS), de manera que el administrador mantiene el control sobre qué invitadas aprovechan estas características y cuáles no.

Para que las máquinas virtuales de Hyper-V puedan usar integridad de memoria, el host debe ejecutar al menos Windows Server 2016 o Windows 10 versión 1607, y las VMs han de ser de generación 2, con un sistema operativo moderno (Windows 10 o Windows Server 2016 en adelante). También es posible combinar integridad de memoria con virtualización anidada, siempre que primero se habilite el rol de Hyper-V dentro de la propia máquina virtual y se cumplan las condiciones necesarias.

Hay ciertas limitaciones que conviene conocer: algunos dispositivos virtuales, como los adaptadores de canal de fibra virtual, no son compatibles con integridad de memoria, por lo que la máquina virtual debe excluirse de VBS antes de añadirlos mediante las opciones de seguridad de Hyper-V. Lo mismo ocurre con discos de paso a través configurados con AllowFullSCSICommandSet, que requieren desactivar la seguridad basada en virtualización de esa VM antes de usarlos.

Alternativas cuando Core Isolation no es viable

En equipos donde el hardware no cumple los requisitos, los drivers generan conflictos constantes o el impacto en rendimiento es demasiado alto, tiene sentido plantearse soluciones alternativas para ejecutar aplicaciones de riesgo sin comprometer el sistema principal. Entre las más utilizadas se encuentran tecnologías como Docker o el uso de máquinas virtuales completas.

Docker permite crear entornos aislados tipo contenedor donde ejecutar aplicaciones de forma encapsulada. En Windows, se puede usar para montar una especie de «mini-sistema» separado en el que probar software sospechoso o servicios concretos, sabiendo que, al cerrar y eliminar el contenedor, todo su contenido desaparece sin dejar rastro en el host. Para pruebas más complejas o cuando se requiere un escritorio completo, el recurso clásico es configurar una máquina virtual con Windows y ejecutar ahí los programas potencialmente peligrosos; si algo sale mal o se detecta malware, basta con destruir la VM y crear una nueva.

Aunque estas alternativas no replican exactamente el tipo de defensa que ofrece la integridad de memoria a nivel de kernel, sí proporcionan un nivel de aislamiento práctico muy útil cuando no es posible o recomendable activar Core Isolation en el propio sistema físico.