Seguridad del dispositivo

La sección "Seguridad del dispositivo" en Windows agrupa las defensas más profundas del sistema, aquellas ancladas en el hardware y la virtualización. Aquí te explicamos cada componente y cómo aprovecharlos al máximo.

¿Qué es "Seguridad del dispositivo" y dónde encontrarla?

"Seguridad del dispositivo" es una sección dentro de la aplicación Seguridad de Windows que actúa como un panel de control centralizado para todas las protecciones relacionadas con el hardware, el arranque del sistema y la virtualización de seguridad.

A diferencia del antivirus o el firewall, que operan principalmente a nivel de software y red, los componentes aquí descritos protegen el núcleo mismo del sistema operativo desde el momento en que se enciende el equipo.

Para acceder:

  1. Abre Inicio > Seguridad de Windows.

  2. Selecciona la pestaña "Seguridad del dispositivo" en el panel izquierdo.

Esta vista se organiza normalmente en dos grandes bloques: Aislamiento del núcleo y Procesador de seguridad, aunque pueden aparecer más elementos según el hardware del equipo.

Aislamiento del núcleo: La cámara acorazada del sistema

El Aislamiento del núcleo es una característica que utiliza la virtualización asistida por hardware para crear una región de memoria segregada y altamente segura, incluso aislada del propio sistema operativo.

Integridad de memoria (Protección contra alteraciones)

Es la estrella del aislamiento del núcleo. También conocida como Hypervisor-protected Code Integrity (HVCI), esta función ejecuta el servicio de integridad de código dentro de un entorno virtualizado y seguro, aislado del kernel de Windows.

¿Qué hace exactamente?

  • Impide que código malicioso o controladores sin firmar se inyecten en procesos críticos del sistema.

  • Bloquea intentos de modificar el propio kernel.

  • Es especialmente efectiva contra rootkits y bootkits que intentan cargarse antes que el antivirus.

Requisitos:

  • Procesador compatible con virtualización (Intel VT-x o AMD-V).

  • Virtualización habilitada en la BIOS/UEFI.

  • Controladores de dispositivos compatibles con HVCI.

Recomendación: Mantenerla SIEMPRE ACTIVADA. Es una de las defensas más importantes contra amenazas avanzadas.

Procesador de seguridad: El módulo de confianza (TPM)

El Procesador de seguridad hace referencia al chip Trusted Platform Module (TPM), un componente criptográfico discreto (o integrado en la CPU) que almacena claves, certificados y medidas de integridad de forma aislada e inviolable.

Funciones críticas del TPM:

  1. Arranque medido (Measured Boot): El TPM registra de forma segura cada componente que se carga durante el arranque (firmware, cargador de arranque, kernel). Si algo ha sido alterado, el registro no coincidirá y el sistema puede alertar o bloquearse.

  2. Almacenamiento de claves de BitLocker: Cuando cifras tu disco con BitLocker, la clave de cifrado puede estar protegida por el TPM, impidiendo que alguien extraiga el disco físico y lo lea en otro equipo.

  3. Windows Hello: El PIN o los datos biométricos están vinculados al TPM, lo que impide ataques de "fuerza bruta" offline contra tus credenciales.

Windows 11 hizo obligatorio el TPM 2.0, lo que demuestra la importancia que Microsoft otorga a esta defensa basada en hardware.

Arranque seguro y protección del inicio del sistema

Aunque no siempre aparece como un gran titular dentro de "Seguridad del dispositivo", el estado del Arranque seguro (Secure Boot) se refleja aquí indirectamente a través de la integridad de la plataforma.

Secure Boot es una característica del firmware UEFI que verifica que solo se ejecute software firmado y confiable durante el proceso de arranque. Impide que cargadores de arranque maliciosos o rootkits de firmware secuestren el equipo antes de que Windows se inicie.

Estado recomendado: Activado. Si está desactivado, el sistema es vulnerable a ataques de "bootkit" muy difíciles de detectar.

Aislamiento del núcleo: Más allá de la integridad de memoria

En versiones recientes de Windows, dentro de "Aislamiento del núcleo" puedes encontrar otras opciones avanzadas:

Característica Función Estado recomendado
Integridad de memoria Protege procesos del kernel contra inyección de código malicioso. Activado (si el hardware lo permite y hay compatibilidad).
Compatibilidad de la plataforma virtual Permite la ejecución de máquinas virtuales mientras se mantiene el aislamiento de seguridad. Activado si usas Hyper-V o WSL 2.
Acceso directo a memoria (DMA) del kernel Protege contra ataques que usan puertos Thunderbolt o PCIe para acceder directamente a la memoria. Activado (especialmente en portátiles).

Requisitos hardware y solución de problemas

No todos los equipos pueden activar todas las funciones de seguridad del dispositivo. Si alguna opción aparece deshabilitada o en gris, estas son las causas más comunes:

  1. Virtualización deshabilitada en BIOS/UEFI: Debes entrar en la configuración del firmware (pulsando F2, Supr, etc. al encender) y activar Intel VT-x, AMD-V o SVM.

  2. Controladores incompatibles: La integridad de memoria requiere que todos los controladores cargados sean compatibles. Puedes ver los controladores problemáticos en el visor de eventos o usando herramientas como msinfo32.

  3. TPM no presente o desactivado: En equipos más antiguos, puede ser un chip físico que hay que habilitar en la BIOS. En modernos, suele estar integrado en la CPU y activado por defecto.

  4. Firmware desactualizado: Una BIOS/UEFI antigua puede carecer de las implementaciones necesarias para Secure Boot o virtualización avanzada.

Mejores prácticas y conclusiones

La sección "Seguridad del dispositivo" representa la base de la confianza (Root of Trust) de todo el sistema. Mientras que el antivirus y el firewall protegen contra amenazas que ya están en el sistema, las defensas aquí descritas protegen el sistema desde antes de que se inicie y en sus capas más privilegiadas.

Recomendaciones finales:

  1. Activa la integridad de memoria si tu hardware lo permite. Es el salto cualitativo más importante en seguridad nativa de los últimos años.

  2. Verifica que Secure Boot esté activado en la BIOS/UEFI.

  3. Asegúrate de que el TPM esté funcionando (se puede comprobar en tpm.msc).

  4. Mantén el firmware actualizado (las actualizaciones de BIOS/UEFI también corrigen vulnerabilidades de seguridad).

Un equipo con estas defensas activadas no es "inhackeable", pero eleva enormemente el coste y la dificultad para un atacante, protegiendo tanto el sistema operativo como los datos personales y corporativos almacenados en él.