Cómo corregir el error "Memory integrity is off" en Windows

Qué verás arriba y por qué importa

La integridad de memoria (Memory integrity) forma parte de la función “Aislamiento del núcleo” (Core isolation) en la seguridad de Windows. Protege procesos críticos del sistema frente a malware usando virtualización de hardware. Si el interruptor de “Integridad de memoria” aparece atenuado o no se queda activado y Windows muestra un aviso sobre drivers incompatibles, tu equipo puede quedar más expuesto a amenazas.

Nota: “Integridad de memoria” depende de características de hardware y firmware (virtualización, arranque seguro, TPM/Pluton, etc.). Antes de cambiar opciones, asegúrate de tener respaldo y puntos de restauración si vas a modificar el registro o desinstalar controladores.

Important: Si tu PC se usa en un entorno corporativo, consulta primero con el área de TI antes de deshabilitar o modificar drivers y políticas de seguridad.

Índice

• Qué es Integridad de memoria y por qué aparece atenuada
• 1. Detectar y corregir drivers incompatibles desde Seguridad del dispositivo
• 2. Encontrar drivers problemáticos con Autoruns
• 3. Reparar archivos del sistema (SFC / DISM)
• 4. Desinstalar aplicaciones que causan conflicto
• 5. Solucionar problemas de Windows Update
• 6. Habilitar Integridad de memoria mediante el Registro
• Diagnóstico avanzado: matrices de compatibilidad y pruebas
• Playbook rápido para usuarios y administradores
• Flujo de decisión (Mermaid)
• Preguntas frecuentes
• Resumen y próximos pasos

Qué es Integridad de memoria y por qué aparece atenuada

Integridad de memoria es una protección basada en virtualización que impide que controladores mal firmados o con comportamiento inseguro inyecten código en procesos protegidos. Requiere que los drivers sean compatibles con la característica HVCI (Hypervisor-Enforced Code Integrity).

Cuando el interruptor aparece atenuado (gris), suele deberse a:

• Drivers incompatibles o antiguos que no implementan HVCI.
• Controladores dañados o faltantes.
• Actualizaciones problemáticas de Windows recientes.
• Ajustes de BIOS/UEFI que desactivan virtualización (p. ej., Intel VT-x, AMD-V).
• Restricciones de políticas de grupo en equipos corporativos.

Si Windows intenta activar la integridad y aparece el mensaje “Resolve any driver incompatibilities and scan again”, Windows normalmente lista los controladores detectados como problemáticos. Anota esos nombres: serán la pista principal.

1. Detectar y corregir drivers incompatibles desde Seguridad del dispositivo

Sigue estos pasos para que Windows muestre la lista de controladores sospechosos y para intentar repararlos:

1. Busca “Seguridad del dispositivo” en el menú Inicio y ábrelo.

2. Haz clic en “Detalles de aislamiento del núcleo” (Core isolation details).

3. Intenta activar la opción “Integridad de memoria”. Si aparece un error, selecciona “Revisar controladores incompatibles” y anota los controladores listados.

4. Abre el Administrador de dispositivos (Device Manager). En la pestaña “Vista” activa “Mostrar dispositivos ocultos” y busca los nombres de controlador anotados.

5. Si ves iconos con triángulo amarillo, intenta actualizar esos controladores (clic derecho → Actualizar controlador) o desinstalarlos y reinstalarlos con la última versión del fabricante.

Sugerencia práctica: descarga el driver más reciente desde el sitio oficial del fabricante del dispositivo (no de repositorios genéricos). Si el controlador proviene de una suite (p. ej., paquete de audio, suite de impresora), considera reinstalar la suite completa.

2. Encontrar drivers problemáticos con Autoruns

Si Seguridad del dispositivo no muestra controladores, o el Administrador de dispositivos no revela nada, usa Autoruns (herramienta de Microsoft Sysinternals) para localizar drivers que bloquean HVCI.

1. Descarga Autoruns desde el sitio oficial de Microsoft Sysinternals y extrae el ZIP.
2. Ejecuta Autoruns como administrador (clic derecho → Ejecutar como administrador).
3. Ve a la pestaña “Drivers”; los controladores problemáticos suelen aparecer resaltados en amarillo.

4. Para probar, desmarca temporalmente la casilla del driver señalado. Si Autoruns no permite desmarcar, intenta eliminar la entrada (clic derecho → Delete) con precaución.
5. Reinicia y vuelve a intentar activar Integridad de memoria. Si funciona, reinstala el driver desde el fabricante (versión compatible con HVCI).

Important: Antes de eliminar entradas en Autoruns, crea un punto de restauración del sistema. Autoruns modifica elementos de arranque y controladores; una eliminación incorrecta puede dejar el sistema inestable.

3. Reparar archivos del sistema

Si la comprobación de controladores no resuelve el problema, archivos de sistema corruptos pueden impedir que Windows aplique la comprobación de integridad correctamente. Ejecuta estas herramientas en orden:

1. Abre el Símbolo del sistema (CMD) como administrador.
2. Ejecuta System File Checker:

sfc /scannow

3. Si SFC informa que no pudo reparar algunos archivos, ejecuta DISM para restaurar la imagen de Windows:

DISM /Online /Cleanup-Image /RestoreHealth

4. Después de DISM, vuelve a ejecutar sfc /scannow.

Reinicia y prueba activar Integridad de memoria. Estas utilidades no tocan drivers de terceros pero pueden solucionar archivos del sistema que controlan comprobaciones de seguridad.

4. Desinstalar aplicaciones que causan conflicto

A veces la fuente del driver problemático es una suite de terceros (antivirus, herramientas de virtualización, utilidades de audio/impresión). La estrategia:

1. Abre Inicio → clic derecho → Aplicaciones y características.

2. Localiza aplicaciones del mismo fabricante que los drivers incompatibles.
3. Desinstala esas aplicaciones (tres puntos → Desinstalar). Repite si hay varias aplicaciones relacionadas.

4. Reinicia y prueba de nuevo.

Nota: Si el software es una suite de seguridad (antivirus/endpoint), consulta las políticas corporativas antes de removerla. En entornos controlados por TI, un administrador deberá validar la compatibilidad con HVCI.

5. Solucionar problemas de Windows Update

Windows Update puede introducir cambios que afectan drivers o la comprobación de integridad. Para revisar actualizaciones:

1. Busca “Windows Update” y abre la configuración.

2. Haz clic en “Buscar actualizaciones” y aplica todas las pendientes.

3. Si no hay nuevas actualizaciones pero el problema comenzó tras una actualización reciente, ve a “Historial de actualizaciones” → “Desinstalar actualizaciones” y considera quitar la actualización más reciente que coincidió con el inicio del problema.

4. Reinicia y vuelve a probar Integridad de memoria.

Consejo: Mantén Windows actualizado en general; muchos fabricantes actualizan controladores a través de Windows Update.

6. Habilitar Integridad de memoria mediante el Registro

Si nada ha funcionado y entiendes los riesgos, puedes forzar la opción mediante el Registro de Windows. Esta es una medida avanzada: crea un punto de restauración y exporta la rama del Registro antes de tocarla.

1. Busca “regedit” y abre el Editor del Registro como administrador.

2. Navega a la ruta:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios

3. En el panel derecho, crea un nuevo valor DWORD (32 bits) si no existe: haz clic derecho → Nuevo → Valor DWORD (32 bits).

4. Nombra la entrada: HypervisorEnforcedCodeIntegrity y establece su valor en 1.

5. Reinicia el equipo. Después abre Seguridad del dispositivo y comprueba si la Integridad de memoria ya aparece activada.

Cómo revertir: si quieres desactivar la opción por seguridad o testing, vuelve a la misma clave y cambia el valor a 0 o elimina la entrada HypervisorEnforcedCodeIntegrity.

Importante: Forzar ajustes por registro no elimina la dependencia de drivers compatibles. Si los controladores siguen sin ser compatibles, es posible que la función no funcione correctamente o que el sistema rechace cargar algunos controladores.

Diagnóstico avanzado: matriz de compatibilidad y pruebas

A continuación tienes una mini-matriz de compatibilidad/impacto para ayudarte a decidir el orden de intervención.

• Drivers firmados por Microsoft (WHQL): alta compatibilidad con HVCI.
• Drivers firmados por el fabricante pero antiguos: compatibilidad media; actualizar primero.
• Drivers no firmados / modificados: no compatibles; reemplazar o eliminar.
• Software de virtualización o kernel-level (p. ej., VMware, VirtualBox, antivirus con controlador en kernel): posible conflicto; prueba en un equipo de prueba.

Pruebas que puedes aplicar (aceptación mínima):

• Prueba A: Reiniciar en Modo Seguro, ejecutar Autoruns y deshabilitar el driver sospechoso. Reiniciar en modo normal y comprobar Integridad.
• Prueba B: Crear una cuenta de usuario local limpia, iniciar sesión y comprobar si Integridad de memoria se puede activar (descarta políticas por usuario).
• Prueba C: Restaurar sistema a punto anterior a la aparición del error y validar si el problema se resuelve.

Playbook rápido: acciones por rol

Home user (usuario doméstico):

• Backup rápido: haz copia de archivos importantes.
• Ejecuta Seguridad del dispositivo → revisar controladores incompatibles.
• Actualiza drivers desde la web del fabricante.
• Ejecuta SFC y DISM.
• Si procede, desinstala software recientemente instalado.

Power user / administrador local:

• Ejecuta Autoruns y revisa pestaña Drivers.
• Revisa logs de eventos (Visor de eventos → Windows Logs → System) para errores relacionados con driver load/CodeIntegrity.
• Prueba cambios en una VM antes de desplegar a máquinas de producción.

Administrador de TI:

• Consulta inventario de hardware y versiones de drivers corporativos.
• Evaluar compatibilidad de imágenes de referencia (WIM) y actualizar drivers en la imagen.
• Implementar GPO que permita telemetría necesaria y controle HVCI vía políticas.

Flujo de decisión (depuración rápida)

flowchart TD
  A[¿Interruptor de Integridad atenuado?] -->|Sí| B[Revisar 'Revisar controladores incompatibles']
  B --> C{¿Hay drivers listados?}
  C -->|Sí| D[Actualizar/desinstalar drivers problemáticos]
  C -->|No| E[Ejecutar Autoruns 'Drivers']
  E --> F{¿Drivers en amarillo?}
  F -->|Sí| D
  F -->|No| G[Ejecutar SFC y DISM]
  G --> H{¿Resuelto?}
  H -->|Sí| I[Activar Integridad]
  H -->|No| J[Revisar actualizaciones/Desinstalar última actualización]
  J --> K{Resuelto?}
  K -->|Sí| I
  K -->|No| L[Habilitar vía Registro 'con respaldo']
  L --> M[Probar y revertir si hay problemas]

Casos en los que puede fallar y alternativas

• Si un driver esencial (controlador de disco, RAID, controlador de red empresarial) no tiene versión compatible, es posible que no puedas habilitar Integridad sin perder funcionalidad. En ese caso, prioriza actualizar firmware/BIOS y coordinar con el proveedor del hardware.

• Si la máquina es antigua y carece de soporte de virtualización en firmware, la única alternativa es reemplazar el hardware o aceptar que la función no esté disponible.

Alternativas si no puedes activar Integridad de memoria:

• Asegurar otras capas: antimalware actualizado, activación de arranque seguro (Secure Boot), y mantener el sistema y apps actualizados.
• Segmentar la red y aplicar políticas de acceso para reducir exposición.

Pruebas de aceptación (test cases)

• Caso 1: Tras actualizar driver X, el equipo permite activar Integridad y no aparecen errores en el Visor de eventos.
• Caso 2: Tras deshabilitar temporalmente un driver con Autoruns y reiniciar, la función se activa; al reinstalar driver actualizado, todo sigue estable.
• Caso 3: Forzar valor de registro HypervisorEnforcedCodeIntegrity=1 activa la función y el equipo arranca sin pérdida de funcionalidades críticas.

Preguntas frecuentes

¿Puede la integridad de memoria afectar al rendimiento?

Sí. Algunas aplicaciones que dependen de accesos de bajo nivel al hardware —por ejemplo juegos extremos o software de virtualización— pueden mostrar pequeñas caídas en rendimiento debido al uso de virtualización y comprobaciones adicionales. Si el impacto es significativo, puedes desactivar la opción temporalmente para ese escenario, pero considera el riesgo de seguridad.

¿Es seguro desactivar Integridad de memoria?

Puedes desactivarla desde Configuración o el Registro, pero reduce una capa de defensa frente a ataques de kernel. Evalúa la protección antivirus y el patrón de uso de Internet. En entornos corporativos, sigue la política de seguridad de la organización.

No veo “Aislamiento del núcleo” en Seguridad del dispositivo. Qué hago

Probablemente falten funciones de hardware o estén desactivadas en BIOS/UEFI. Entra en BIOS durante el arranque y habilita: Intel Virtualization Technology, VT-d, Intel Platform Trust Technology (IPTT) en Intel; AMD-V y SVM en AMD. Después reinicia y verifica de nuevo.

Buenas prácticas y mitigaciones adicionales

• Mantén una política de actualización de drivers y firmware (BIOS/UEFI/firmware de dispositivo).
• Usa controladores firmados y distribuidos por el fabricante.
• Emplea puntos de restauración antes de cambios críticos (drivers/registro).
• En entornos empresariales, realiza pruebas en una imagen de referencia antes de desplegar cambios a usuarios.

Resumen y próximos pasos

• Paso 1: Revisa controladores incompatibles desde Seguridad del dispositivo.
• Paso 2: Usa Autoruns si no aparecen controladores en Seguridad del dispositivo.
• Paso 3: Repara archivos del sistema con SFC y DISM.
• Paso 4: Desinstala aplicaciones relacionadas con los drivers problemáticos.
• Paso 5: Revisa Windows Update y desinstala actualizaciones recientes si procede.
• Paso 6: Como último recurso y con precaución, activa la clave de registro HypervisorEnforcedCodeIntegrity.

Extras: tienes un playbook por rol y un flujo de decisión para depuración rápida en este artículo. Si trabajas en un entorno corporativo, coordina con TI y prueba cambios en una máquina de laboratorio antes de aplicar en producción.

Image credit: Pexels. Todas las capturas de pantalla por Tanveer Singh.