- DEP bloquea la ejecución en memoria de datos y frena exploits basados en desbordamientos.
- Se puede ajustar por app desde el panel de rendimiento o forzar con BCDEdit.
- Requiere NX/XD activo en BIOS y se complementa con ASLR y CFG.
Cuando un programa intenta ejecutar código desde zonas de memoria reservadas para datos, Windows interviene con una protección que se llama Prevención de ejecución de datos (DEP). Esta capa de seguridad viene activada por defecto y evita muchos exploits basados en memoria, aunque en escenarios concretos puede chocar con apps antiguas o mal diseñadas.
En esta guía vas a encontrar todo lo necesario para entender qué es DEP, cuándo conviene tocar su configuración y cómo hacerlo en Windows 10 y 11 desde el panel gráfico, con comandos, mediante un acceso directo, e incluso revisando opciones de BIOS/UEFI y directivas. Te explico también cómo identificar conflictos, el impacto en rendimiento y qué hacer si sufres pérdida de datos.
¿Qué es la Prevención de ejecución de datos (DEP)?
DEP impide que se ejecute código desde regiones de memoria marcadas como “no ejecutables”, típicamente zonas donde solo deberían almacenarse datos (pila, montones, buffers). Si un proceso intenta ejecutar instrucciones desde esas áreas, el sistema lo bloquea y puede terminar el programa para evitar daños.
Hay dos pilares para que DEP funcione: el soporte de hardware (bit NX en AMD y bit XD en Intel) y las comprobaciones del sistema operativo. El procesador marca páginas como no ejecutables y Windows hace cumplir esa política en tiempo de ejecución.
Además de la variante con apoyo del procesador, Windows incluye comprobaciones a nivel de software (presentes desde Windows XP SP2) que refuerzan la seguridad del sistema. Estas comprobaciones por software se centran en archivos y componentes del propio Windows y no requieren una CPU moderna para activarse.
Cuando DEP detecta un intento de ejecución en memoria de datos, el sistema genera una infracción de acceso (STATUS_ACCESS_VIOLATION) y puede finalizar la aplicación implicada. Este comportamiento es intencionado y evita que un desbordamiento de búfer acabe ejecutando shellcode malicioso.
Compatibilidad: programas que pueden chocar con DEP y cómo detectarlo
DEP normalmente no da problemas con software moderno, pero puede entrar en conflicto con apps y juegos antiguos de 32 bits, ciertos drivers desactualizados o componentes heredados como viejos controles ActiveX. Si una app no respeta buenas prácticas de memoria, DEP puede cerrarla o hacer que se comporte de forma extraña.
Si una aplicación se cierra de golpe y sospechas de DEP, revisa el Visor de eventos. Abre Inicio, escribe “Visor de eventos” y ve a los registros de Windows para comprobar errores asociados (p. ej., eventos relacionados con DEP como el Event ID 1000). Si ves entradas recurrentes alrededor del momento del fallo, probablemente hay un choque con esta mitigación.
Antes de desactivar nada, busca si el fabricante ofrece una actualización compatible con DEP. Actualizar el programa o cambiar a una versión más reciente suele resolver el problema sin tocar la seguridad del sistema.
Desactivar DEP solo para programas concretos (método gráfico)
La opción menos intrusiva es excluir únicamente la app que falla. Así mantienes DEP activo para el resto del sistema y minimizas el riesgo.
Sigue esta ruta: Inicio > Panel de control > Sistema y seguridad > Sistema > Configuración avanzada del sistema. En la pestaña “Avanzado”, pulsa “Configuración” dentro de “Rendimiento” y abre la pestaña “Prevención de ejecución de datos”.
Marca “Activar DEP para todos los programas y servicios excepto los que seleccione” y pulsa “Agregar” para localizar el ejecutable problemático. Selecciona el .exe afectado, aplícalo y reinicia Windows para que los cambios tomen efecto.
Ten en cuenta que la lista es de exclusión: todo lo que añadas quedará fuera de la protección. Usa esta vía solo con software de confianza y en el mínimo imprescindible.
Activar o desactivar DEP globalmente desde el Símbolo del sistema
Si necesitas forzar el estado global de DEP, puedes hacerlo con BCDEdit. Abre una consola con permisos de administrador: Win + R > escribe cmd > Ctrl + Mayús + Intro.
Para desactivar DEP completamente en todo el sistema, ejecuta y reinicia después: BCDEDIT /SET {CURRENT} NX ALWAYSOFF. Este ajuste apaga la mitigación de forma global hasta que vuelvas a activarla (si trabajas con opciones de arranque relacionadas, consulta cómo desactivar el modo de prueba para entender comandos BCDEdit similares).
Para volver a habilitar DEP de forma global, usa: BCDEDIT /SET {CURRENT} NX ALWAYSOn y reinicia. Con este estado, la protección se aplica a nivel de sistema y servicios esenciales.
Por motivos de seguridad, no es recomendable mantener DEP apagado más allá de pruebas puntuales. Si lo desactivas, extrema precauciones, no ejecutes software dudoso y cuenta con una suite de seguridad fiable.
Activar la protección para todos los programas (modo completo)
En instalaciones por defecto, Windows protege el núcleo y los procesos esenciales. Si quieres endurecer el sistema, puedes activar DEP para todos los programas y servicios.
En Windows 11: Configuración > Sistema > Información > Configuración avanzada del sistema > Rendimiento > Configuración > pestaña “Prevención de ejecución de datos”. Selecciona “Activar DEP para todos los programas y servicios excepto los que seleccione”, aplica y reinicia.
En Windows 10 la ruta es equivalente (Configuración > Sistema > Acerca de > enlaces de configuración avanzada). Si alguna app concreta da problemas tras endurecer la política, añádela a la lista de exclusiones.
Crear un acceso directo para abrir la configuración de DEP
Si necesitas entrar a menudo a esta pantalla, crea un acceso directo en el escritorio. Haz clic derecho en el escritorio > Nuevo > Acceso directo.
En la ubicación del elemento escribe: %windir%\system32\systempropertiesdataexecutionprevention.exe y pulsa Siguiente. Ponle un nombre (por ejemplo, “DEP”) y Finalizar. Doble clic en el acceso y entrarás directamente a la pestaña de DEP.
En algunos tutoriales verás la ruta con barras normales. Cámbialas por contrabarras para que funcione en Windows.
Revisar BIOS/UEFI y Directiva de grupo
Si no consigues activar DEP, puede que el soporte NX/XD esté apagado en el firmware. Entra en BIOS/UEFI al arrancar (F2, F10, Supr o Esc según equipo) y busca opciones como “NX”, “No-Execute Memory Protection” o “Execute Disable Bit”; actívalas, guarda y reinicia.
Existe además una directiva específica para el Explorador de Windows. Abre el Editor de directivas (Win + R > gpedit.msc) y ve a Configuración del equipo > Plantillas administrativas > Componentes de Windows > Explorador de Windows. Edita “Desactivar la protección de ejecución de datos para Explorer”. Déjala deshabilitada si quieres que DEP siga protegiendo al Explorador.
Tras cambios en BIOS/UEFI o directivas, conviene reiniciar para consolidar el nuevo comportamiento. Haz copia de seguridad de tus datos antes de tocar el firmware del equipo.
Impacto en rendimiento: ¿merece la pena desactivarlo?
DEP añade una sobrecarga muy baja en equipos modernos porque se apoya en el procesador. En hardware justo de RAM o CPU puede notarse ligeramente, sobre todo si ejecutas procesos pesados de forma simultánea.
Si utilizas un PC antiguo y eres extremadamente cuidadoso con lo que instalas y abres, podrías plantearte excluir puntualmente un programa problemático. Sin embargo, mantener DEP activo aporta un plus de seguridad que compensa con creces en la mayoría de escenarios.
Recuerda que DEP no sustituye a otras capas: navegación segura, actualizaciones, antivirus, Control Flow Guard, ASLR, etc. La seguridad real llega por la suma de mitigaciones, no por una sola característica.
Recuperar datos si has perdido archivos tras cambios en DEP
Desactivar DEP puede aumentar la exposición a malware y, en cascada, al riesgo de pérdida de datos. Si has borrado archivos por error o tras un incidente, es posible recuperarlos con herramientas especializadas.
La literatura técnica suele recomendar utilidades de recuperación para Windows 10/11/8/7 que analizan particiones y dispositivos completos. El flujo típico consiste en seleccionar el volumen o el disco y lanzar un escaneo profundo para localizar archivos normales, perdidos y eliminados.
Después del escaneo, revisa los resultados por ruta o por tipo, y utiliza funciones de búsqueda y filtro (por extensión, tamaño o fecha) para acotar. Muchas soluciones permiten previsualizar decenas de formatos antes de guardar.
Marca los elementos que necesitas y pulsa “Guardar”, eligiendo como destino una unidad distinta para evitar sobrescribir. Evita instalar la herramienta en el mismo disco del que quieres recuperar datos.
Algunas guías mencionan productos como MiniTool Power Data Recovery y describen exactamente este proceso de tres pasos (seleccionar, analizar, guardar). Elijas la que elijas, actúa cuanto antes y no utilices el equipo de forma intensiva hasta terminar la recuperación.
Detalles técnicos y limitaciones de DEP
DEP por hardware marca la memoria del proceso como no ejecutable salvo aquellas páginas con código válido. El SO delega en el procesador la enforcement del bit NX/XD para impedir ejecución fuera de regiones legítimas.
DEP por software (presente desde Windows XP SP2) añade comprobaciones que frenan abusos del mecanismo de excepciones y protegen un conjunto limitado de archivos del sistema. No requiere CPU con NX/XD pero su alcance es más acotado.
Como toda mitigación, DEP no es infalible. Existen técnicas como ROP (Programación Orientada a Retornos) que encadenan gadgets de código legítimo para formar una carga útil, algo que DEP por sí sola no bloquea. También hay escenarios donde un atacante intenta remapear páginas para cambiar permisos.
Por eso DEP se combina con otras protecciones del ecosistema Windows: ASLR (aleatorización de direcciones), Control Flow Guard, y políticas de ejecución como AppLocker o Smart App Control. Juntas forman un modelo de defensa en capas que dificulta las cadenas de explotación.
- DEP: impide ejecutar desde regiones de datos y frena shellcode y muchos desbordamientos.
- ASLR: aleatoriza ubicaciones de memoria y complica ataques basados en offsets predecibles.
- CFG: bloquea saltos y llamadas indirectas a destinos no autorizados.
- AppLocker/Smart App Control: restringe qué binarios y scripts pueden ejecutarse.
Notas y preguntas rápidas
¿Cómo reactivar DEP si lo desactivé por CMD? Ejecuta como admin: BCDEDIT /SET {CURRENT} NX ALWAYSON y reinicia. Así vuelves al estado protegido.
¿Puedo saber si DEP es el culpable de un cierre? Visor de eventos y registros con errores relacionados (p. ej., Event ID 1000) alrededor del momento del fallo son indicios claros.
¿Afecta al Explorador de archivos? Hay una directiva específica para Explorer; si está “Desactivada” la protección, vuelve a habilitarla para que DEP lo cubra.
¿Y en sistemas antiguos? En XP se modificaba boot.ini, en Vista llegó BCDEdit; hoy en Windows 10/11 lo normal es usar la pestaña de Rendimiento o BCDEdit.
Si bien DEP puede parecer técnico y algo árido, su valor práctico es enorme: bloquea vectores de ataque clásicos con una penalización mínima de rendimiento. Ajusta excepciones con cuidado, verifica que NX/XD esté habilitado en BIOS/UEFI, apóyate en el Visor de eventos para diagnosticar conflictos y utiliza CMD o el panel gráfico cuando necesites cambiar el alcance. Si un día te ves obligado a desactivarlo temporalmente, no te la juegues: limita su uso, mantén tu antivirus activo y vuelve a activarlo cuanto antes.
