Problema

En entornos Windows 11 es frecuente encontrarse con una pantalla azul que muestra el código 0xc0430001 y el mensaje “Code Integrity failed to initialize”. El síntoma típico es un boot loop que impide iniciar el sistema operativo y, en casos más críticos, la propia instalación limpia desde medios USB también falla. El error aparece después de una actualización acumulativa, pero también puede manifestarse tras cambios de firmware, modificaciones de la configuración de almacenamiento (VMD, RAID) o la introducción de controladores firmados de forma incorrecta. El problema no se limita a una máquina concreta; cualquier equipo con Windows 11 que utilice Secure Boot, VMD o controladores de terceros puede presentar este comportamiento.

Causa

1. Fallo de Code Integrity (CI)

CI es el subsistema de Windows Defender Application Control (WDAC) que verifica la firma digital de todos los controladores y componentes críticos antes de cargarlos. Si CI no puede validar un driver, el kernel aborta con 0xc0430001.

2. Controladores corruptos o no firmados

  • Drivers de GPU, chipset o NVMe que no pasen la firma digital.
  • Versiones de drivers que no son compatibles con la última build de Windows 11.
  • Controladores instalados por herramientas de overclock o software de terceros.

3. Configuración de Secure Boot / VMD

  • Secure Boot habilitado con una clave de firmware que no reconoce un driver firmado.
  • Intel VMD (Volume Management Device) activado sin los controladores adecuados, lo que oculta el SSD a Windows y provoca que CI no encuentre los archivos críticos.

4. Archivo bootrec o winre dañado

Una actualización que interrumpe la escritura del registro de arranque puede dejar corruptas las imágenes de recuperación (WinRE) y de arranque (BCD), impidiendo que el instalador cargue los archivos de CI.

5. Firmware BIOS desactualizado

Aunque el BIOS esté actualizado, algunas versiones introducen cambios en la gestión de la memoria o en la inicialización del controlador NVMe que CI interpreta como una violación de integridad.

Solución

La estrategia se divide en tres fases: preparar el entorno, reparar la cadena de integridad y restaurar la capacidad de instalación.

Fase 1 – Preparar medios de arranque seguros

  1. Crear un USB de Windows 11 con la herramienta oficial y asegurarse de que la opción UEFI está seleccionada.
  2. En el BIOS:
    • Desactivar temporalmente Secure Boot.
    • Desactivar Intel VMD (o cualquier RAID/VMD) para que el SSD aparezca como AHCI.
    • Habilitar CSM solo si el instalador no arranca en modo UEFI (no recomendado).

Fase 2 – Desactivar Code Integrity y reparar controladores

Arranca desde el USB y elige Repair your computer → Troubleshoot → Advanced options → Command Prompt. Ejecuta los siguientes pasos:

rem 1. Desactivar temporalmente la política de Code Integrity
bcdedit /set loadoptions DISABLE_INTEGRITY_CHECKS

rem 2. Forzar la carga de controladores firmados en modo test
bcdedit /set testsigning on

rem 3. Reparar la imagen del sistema con DISM
dism /Online /Cleanup-Image /RestoreHealth /Source:wim:D:\sources\install.wim:1 /LimitAccess

rem 4. Reinstalar los controladores críticos del chipset y NVMe
pnputil /add-driver D:\Drivers\Chipset\*.inf /install
pnputil /add-driver D:\Drivers\NVMe\*.inf /install

rem 5. Restablecer el BCD
bootrec /fixmbr
bootrec /fixboot
bootrec /rebuildbcd

Nota: D: corresponde a la letra asignada al medio de instalación. Ajusta la ruta según tu caso.

Fase 3 – Reiniciar con CI habilitado y volver a Secure Boot

  1. Reinicia y vuelve al BIOS.
  2. Reactiva Secure Boot y, si lo deseas, vuelve a habilitar VMD (instalando primero los controladores VMD desde el sitio del fabricante).
  3. En Windows, abre una consola con privilegios y ejecuta:
bcdedit /deletevalue loadoptions
bcdedit /set testsigning off
  1. Ejecuta sfc /scannow para validar la integridad de los archivos del sistema.

Si la instalación limpia sigue fallando, repite la fase 2 pero omite los pasos de desactivación de CI y, en su lugar, elimina todas las particiones y crea una nueva tabla de particiones GPT desde diskpart antes de iniciar la instalación:

diskpart
list disk
select disk 0
clean
convert gpt
exit

Luego procede con la instalación normal; el instalador recreará automáticamente las particiones necesarias y, con CI ya reparado, el proceso debería completarse sin el mensaje de error.

Cuándo aplicar esta solución

  • Síntomas: BSOD 0xc0430001 al arrancar, WinRE negro, instalación limpia que aborta con “Windows installation has failed”.
  • Entorno: Windows 11 (cualquier build), hardware con Secure Boot y/o VMD habilitado, SSD NVMe en M.2.
  • No aplicar: Si el equipo arranca sin problemas y solo ocurre en un arranque dual con Linux, el error suele deberse a configuraciones de arranque diferentes; aquí la solución se centra en Windows puro.
  • Escenarios donde falla: Cuando el firmware está tan desactualizado que no reconoce los nuevos algoritmos de firma, o cuando el SSD está físicamente dañado (en cuyo caso la reparación de CI no ayuda).

Verificación

  1. Arranque exitoso: El sistema llega al escritorio sin BSOD.
  2. WinRE funcional: Desde Advanced startup se puede abrir la consola de reparación.
  3. Instalación limpia: El instalador muestra “Installing Windows” y finaliza sin errores.
  4. Comprobación de CI: Ejecuta bcdedit /enum y verifica que loadoptions no contiene DISABLE_INTEGRITY_CHECKS.
  5. Estado de Secure Boot: En System Information (msinfo32) la línea Secure Boot State debe decir On.

Notas adicionales

  • Backup de firmware: Antes de desactivar Secure Boot, guarda la configuración actual del BIOS; algunos fabricantes permiten exportar la clave de arranque.
  • Controladores de GPU: En equipos con RTX 4070, usa siempre el driver WHQL más reciente; los controladores beta suelen romper CI.
  • VMD vs AHCI: Si necesitas VMD por rendimiento, instala primero los controladores VMD desde el sitio de MSI antes de volver a habilitar la opción en BIOS.
  • Registro de eventos: Después de la reparación, revisa Event Viewer → Microsoft → Windows → CodeIntegrity para confirmar que no aparecen errores.
  • Actualizaciones futuras: Configura Windows Update para que aplique solo actualizaciones de calidad y posponga los feature updates hasta validar la compatibilidad con tu hardware.