Una nueva serie de evasiones de Denuvo a través del hipervisor ha atraído rápidamente la atención no solo de las comunidades de piratería, sino también de los jugadores comunes. La razón es clara: ya no se trata del crackeo habitual que simplemente cambia los archivos del juego. Ahora, un nivel de evasión mucho más profundo está interviniendo. El mismo que está relacionado con la virtualización, la protección de Windows y la configuración del BIOS.
Para la mayoría de los usuarios, el hipervisor ha sido durante mucho tiempo algo lejano. Lo conocían quienes ejecutaban máquinas virtuales, trabajaban con servidores o entendían de seguridad. Pero en los últimos años, el hipervisor se ha convertido en parte de la vida cotidiana incluso para el propietario común de un PC para juegos: a través de él funcionan mecanismos de protección individuales de Windows; en él se basan los antitrampas modernos; ahora también se ha empezado a utilizar como herramienta para eludir la protección antipiratería. Por eso, la conversación sobre el hipervisor no puede reducirse solo al tema de la piratería.
En este material es importante entender tres cosas. Qué es exactamente un hipervisor y para qué sirve en el funcionamiento normal de un ordenador. Cómo ha llegado a ser una parte notable de las comunidades de jugadores y de la lucha en torno a Denuvo. Y por qué los nuevos métodos para eludir la protección no solo despiertan interés, sino también preocupación.
Brevemente sobre el hipervisor
Para empezar, conviene explicar la terminología. Un hipervisor es una tecnología para ejecutar software en un entorno separado, aislado de su hardware. Una máquina virtual es una aplicación con un sistema operativo que emula el funcionamiento de un ordenador. A través de ella se pueden ejecutar programas, trabajar y pasar el tiempo libre. Sin embargo, si se apaga la máquina virtual, todas las aplicaciones instaladas se borrarán y los datos de acceso se olvidarán.
La principal razón por la que la virtualización ha echado raíces es el aislamiento. Dentro de una máquina virtual, el sistema no ve tu hardware real. En su lugar, el hipervisor le muestra dispositivos virtuales que imitan el hardware real. Una máquina virtual es el lugar ideal para ejecutar aplicaciones sospechosas y visitar sitios dudosos. Los virus obtenidos de allí no se propagarán al entorno principal.
Por la misma razón, las máquinas virtuales son populares en el desarrollo, las pruebas y la administración. Se puede crear un entorno separado "para la tarea" y luego eliminarlo junto con todo su contenido.
En la vida cotidiana, el hipervisor aparece con mayor frecuencia en dos casos. El primero es cuando una persona instala VirtualBox, VMware o Windows Sandbox para crear una máquina virtual para el trabajo, las pruebas o los experimentos. El segundo es cuando el propio Windows utiliza funciones de virtualización para la protección. En este escenario, parte de los componentes críticos se aíslan para que los controladores y los programas no puedan conectarse a ellos así como así. Es posible que el usuario ni siquiera note que el hipervisor está activado en el sistema hasta que se encuentre con problemas de compatibilidad o configuración de seguridad.
Desde el punto de vista de la seguridad, se considera que el hipervisor es una capa de mayor confianza, donde en el rango de los "anillos de protección" ocupa el nivel más alto: "Ring -1". Gestiona la memoria, el acceso a los dispositivos y los modos de funcionamiento del procesador. Si hay un error en el hipervisor o si es malicioso desde el principio, las consecuencias serán más graves que las de una infección vírica normal.
Un programa normal funciona dentro de los derechos del usuario y las restricciones del sistema. El hipervisor y sus controladores pueden estar más cerca del núcleo del sistema y tener más derechos. Por lo tanto, "instalar" algo que funcione con el hipervisor no es el mismo nivel de riesgo que instalar una utilidad normal.
Cómo se utilizaba el hipervisor en los juegos antes
En las comunidades de jugadores, el hipervisor ha sido durante mucho tiempo un tema de nicho. Lo utilizaban quienes ejecutaban juegos no en un sistema operativo doméstico "limpio", sino dentro de una máquina virtual. Este enfoque se utilizaba en los juegos en la nube, donde el juego se ejecuta en una máquina remota y el usuario recibe una imagen ya preparada a través de la red. Con su ayuda, algunos jugadores astutos se dedicaban al botting en juegos condicionalmente gratuitos.
Otra categoría de usuarios del hipervisor estaba directamente relacionada con Linux, que no tiene una compatibilidad normal con los juegos. Creaban una máquina virtual basada en Windows. Sin embargo, ahora los desarrolladores impiden el uso de máquinas virtuales en sus servicios en vivo. Por otro lado, hoy en día el propio Linux tiene compilaciones y configuraciones de juegos listas para usar, donde Steam, Proton, los controladores y las herramientas relacionadas están preconfigurados. Son compatibles con la mayoría de los proyectos y sus indicadores técnicos (fotogramas por segundo, carga en el hardware, etc.) son comparables o incluso mejores que en Windows.
Otro lado más oscuro del uso del hipervisor está relacionado con el funcionamiento de los trucos. Se valora por la posibilidad de funcionar "por debajo" del propio juego y por debajo de muchos métodos de detección habituales. En 2025, los investigadores describieron un esquema de trampas mediante la virtualización: utiliza una máquina virtual y un hipervisor para recopilar datos sobre el juego de forma encubierta y construir trucos como el radar y el aimbot.
Sin embargo, se habla de los trucos de hipervisor desde 2017. Sus primeras versiones se aplicaron en CS:GO en los servidores de FaceIt, cuyo antitrampas entonces luchaba contra las trampas de forma mucho más eficaz que cualquier otro sistema de contramedidas. Reconocía las tarjetas DMA enmascaradas y también detectaba el funcionamiento de los trucos de hipervisor analizando el tiempo de respuesta del ordenador.
En este contexto, los desarrolladores también empezaron a observar el estado del sistema más profundamente que antes. Ahora, todas las versiones modernas de los antitrampas populares requieren acceso al núcleo. Tenemos un material aparte sobre sus requisitos, el principio de interacción y los métodos de evasión.
En ese momento, estas eran todas las formas de utilizar el hipervisor. Al mismo tiempo, muchas de ellas ya han perdido su relevancia o no están muy extendidas debido al alto umbral de entrada. Pero a finales de 2025, la comunidad de jugadores se enteró de una nueva forma de utilizar el hipervisor de donde nadie lo esperaba: de los piratas.
Su lucha
Las primeras noticias sobre los hackeos aparecieron en diciembre de 2025. Entonces apareció una evasión de prueba de Persona 5 Royal, donde los piratas hablaban directamente de apostar por el hipervisor. En febrero de 2026, Stellar Blade, Assassin's Creed: Shadows y Avatar: Frontiers of Pandora se destacaron de la misma manera, y a principios de marzo llegó a Resident Evil: Requiem. Todos estos juegos tenían protección antipiratería Denuvo. Es contra ella contra la que se libra una lucha activa desde hace más de 10 años. Y el uso del hipervisor se ha convertido en su nuevo paso.
Cabe señalar que los desarrolladores de Denuvo afirman que su sistema de protección no es necesario para bloquear permanentemente el juego de los piratas. Su tarea es cerrar la ventana de ventas inicial y evitar que aparezca una copia pirata en las primeras semanas o meses después del lanzamiento. Funciona sobre el esquema DRM existente e impide la interferencia en el código del juego, la depuración y el análisis de las comprobaciones internas. Por lo tanto, los editores lo utilizan como una forma de ganar tiempo en el período de ventas más importante.
Además de que Denuvo no permite la piratería, la principal queja de los jugadores durante muchos años está relacionada con el rendimiento. Los desarrolladores de la protección afirman que, con una integración normal, no debería interferir con el juego. Pero en la práctica, todo se reduce a la calidad de la implementación. En la segunda mitad de la década de 2010, los blogueros grababan regularmente vídeos de cómo un juego hackeado funciona mucho mejor que una licencia con Denuvo. Y ahora aparecen noticias similares sobre cómo los desarrolladores eliminan el odioso sistema de protección y, de repente, su proyecto empieza a funcionar mejor.
Denuvo no se elude con una sola píldora universal. La protección se integra en un juego específico y cierra su código por partes, por lo que cada lanzamiento importante tiene que ser analizado casi manualmente. Incluso en la propia escena, esto se describía como un trabajo en el que había que limpiar completamente la protección del juego y restaurar la lógica original de las funciones. Por esta razón, siempre ha habido pocas figuras notables en torno a Denuvo. A mediados de la década de 2010, 3DM habló abiertamente de su complejidad. Entonces, uno de los opositores más famosos a la protección fue Voksi. Sin embargo, hoy en día los usuarios comunes solo recuerdan a una oponente de Denuvo: la hacker con el apodo de EMPRESS. Es cierto que en 2024 dejó de hackear.
Si hablamos del pico de Denuvo, normalmente se asocia con el período posterior a 2018-2019. En estos años, la protección se mejoró constantemente. En este contexto, el círculo de personas que sabían trabajar con Denuvo se hizo cada vez más pequeño. Después de la historia de Voksi y la marcha de otras figuras notables, casi no quedaron hackers en el campo público capaces de analizar de forma estable las nuevas versiones de la protección.
En este contexto, corrían rumores en las comunidades de piratería de que los creadores de la protección atraían a personas que se dedicaban a hackear su protección. Debido a esto, se produjeron escándalos "éticos" dentro de la comunidad. Por lo tanto, en los últimos años Denuvo se percibía como inquebrantable. Con el hipervisor, la situación ha cambiado por completo, pero al público no le ha hecho mucha gracia.
En este contexto, corrían rumores en las comunidades de piratería de que los creadores de la protección atraían a personas que se dedicaban a hackear su sistema. Debido a esto, se produjeron escándalos "éticos" dentro de la comunidad. Por lo tanto, en los últimos años Denuvo se percibía como inquebrantable. Con el hipervisor, la situación ha cambiado por completo, pero al público no le ha hecho mucha gracia.
El dilema del "crack" perfecto
A pesar de los grandes éxitos, la nueva ola de elusiones a través del hipervisor no ha gustado a todo el mundo. Las primeras versiones requerían desactivar las funciones de protección del PC y entrar en la BIOS. Para parte de la audiencia, esto fue inmediatamente una señal de alerta. Hoy en día, Secure Boot y TPM 2.0 ya están vinculados al funcionamiento de los modernos sistemas antitrampas. Por lo tanto, el jugador se enfrenta a un esquema extraño: por una versión pirata, debilita el sistema, y luego se ve obligado a reiniciar el ordenador y volver a activar la protección para poder acceder a los juegos en red sin problemas.
A algunos les puede parecer que configurar la BIOS es sencillo. En la práctica, un paso en falso puede terminar siendo mucho más desagradable que un simple juego que no funciona. Si el usuario cambia el sistema a UEFI y Secure Boot sin la preparación adecuada del disco, es posible que Windows deje de arrancar. Microsoft también advirtió que los cambios en el TPM, la configuración de arranque o la BIOS pueden bloquear el sistema operativo y requerir una clave.
Y si intervienen las funciones de protección "cero", también surge el tema de la compatibilidad de los controladores: Microsoft advierte que, en caso de incompatibilidad, el sistema podría no arrancar. En este contexto, las conversaciones sobre "fugas de memoria" tampoco parecen un cuento de terror: Hyper-V y VMware han encontrado vulnerabilidades de divulgación de información, cuando se conseguía extraer datos del entorno virtualizado.
La principal discusión en torno a estas elusiones ya no se centra en la comodidad, sino en la seguridad. El nuevo método no se ha estudiado a fondo, y al usuario se le propone en primer lugar debilitar precisamente los mecanismos que protegen el arranque temprano del sistema. Secure Boot es necesario para evitar que código ajeno se incorpore al proceso de inicio del PC. Microsoft lleva varios años advirtiendo de la amenaza de los rootkits UEFI y los ataques al firmware. El código malicioso puede afianzarse por debajo del nivel de Windows, lo que significa que sobrevive a la reinstalación del sistema y permanece casi invisible para el usuario. En pocas palabras, cuando se le pide a una persona que desactive la protección por el bien de una "elusión", está haciendo que el ordenador sea vulnerable a esa clase de amenazas que operan a nivel de hardware y firmware de la placa base.
También existe una segunda vertiente de riesgo: el código malicioso puede no provenir de un virus abstracto del exterior, sino del propio distribuidor pirata. Ya ha habido precedentes. En 2025 y 2026, los investigadores registraron la distribución de mineros, cargadores y stealers a través de juegos, cracks y mods piratas. Algunas campañas se disfrazaban de torrents con juegos populares, otras de cracks y modificaciones "inofensivas". Para el usuario, casi no hay diferencia: descarga una compilación ajena y no sabe quién puso allí el archivo malicioso: el autor de la elusión, el repaquetador o el siguiente distribuidor. Por lo tanto, la conversación sobre el hipervisor aquí se sale rápidamente de los límites de la piratería y se reduce a una cosa banal: el código desconocido exige la máxima confianza.
En este contexto, la aparición del llamado "Hypervisor 3.0" no elimina las principales preguntas. La nueva utilidad elimina la necesidad de entrar en la BIOS cada vez y cambiar la configuración manualmente. Pero desde el punto de vista de la seguridad de la información, sigue siendo una caja negra. El usuario no sabe cómo funciona exactamente el programa, qué cambios del sistema realiza, qué desactiva por el camino y si deja o no nuevos agujeros en la protección.
Es decir, externamente el esquema se ha vuelto más cómodo, pero el problema no ha desaparecido: en lugar de manipulaciones manuales con la BIOS, a la persona se le propone simplemente confiar en un archivo ejecutable desconocido que obtiene acceso a la parte más sensible del sistema.
¿Qué sigue?
Hoy en día, el hipervisor no solo se ha convertido en parte de la protección moderna de Windows, sino también en un apoyo para las trampas y, al mismo tiempo, en un nuevo punto de ataque para quienes intentan eludir el DRM. Debido a esto, hay una lucha separada a su alrededor: los desarrolladores de herramientas de protección fortalecen el sistema, y los hackers buscan una manera de profundizar aún más. El problema es que este entorno es demasiado sensible a los errores. Una acción incorrecta puede terminar con una carga rota, una pantalla azul u otros fallos del sistema.
El deseo de ejecutar juegos caros sin gastos innecesarios es comprensible. Muchas novedades cuestan 70 dólares, y para parte de la audiencia las versiones piratas siguen siendo una forma de al menos echar un vistazo al lanzamiento sin comprarlo. Esto no cambia lo principal: no vale la pena desactivar la protección del ordenador y otorgar privilegios máximos a código desconocido por el bien del juego. Unas horas de placer no valen el riesgo de perder el acceso al sistema, a los datos o al propio dispositivo.
Al mismo tiempo, el método a través del hipervisor no puede declararse inútil de antemano solo porque es nuevo y controvertido. Si realmente funciona y no plantea serias dudas, esto se verá no el día del lanzamiento ni por los primeros mensajes entusiastas. Aquí es más sensato no apresurarse y esperar unos meses. Durante este tiempo, quedará claro cómo se comporta esta elusión en la práctica, qué fallos provoca y qué problemas de seguridad se revelan a los usuarios comunes.
Aún más importante es esperar un análisis por parte de programadores independientes y especialistas en seguridad. Solo una auditoría de este tipo puede mostrar cuán seguro es el hipervisor, qué cambia exactamente en el sistema y cuán honestamente funciona con respecto al usuario.
Mientras esto no suceda, recuerde: cualquier software desconocido puede conducir a consecuencias impredecibles.