Llegamos a ustedes gracias a:



Reportajes y análisis

¿Qué es un TPM y por qué el mío no funciona?

[15/07/2021] Si es como la mayoría de las personas, no pensó en si su PC tenía un TPM (Trusted Platform Module) hasta que Microsoft lo incluyó en los requisitos del sistema para ejecutar Windows 11, la próxima nueva versión de su sistema operativo. Explicaremos qué es un TPM, cómo puede averiguar si su sistema tiene uno y cómo habilitarlo si está apagado.

[Guía de Windows 11: Noticias, consejos, reseñas y más]

¿Qué es un TPM?

Un TPM, o Trusted Platform Module, es un chip de seguridad que puede integrarse en una laptop o conectarse a la mayoría de las computadoras de escritorio. Es básicamente una caja de seguridad para llaves, así como un dispositivo de cifrado que una PC puede usar para aumentar su seguridad.

Por ejemplo, cuando inicia su PC, un chip se activa y comienza a empujar otros componentes con el fin de que se calienten para el comienzo del día. Una vez que todo el hardware está listo, va a la unidad de almacenamiento para comenzar a transportar el sistema operativo a la memoria.

En un ambiente seguro, la PC primero se cerciora de que el sistema operativo sea seguro. De hecho, es posible que ni siquiera confíe en el hardware circundante que se activó antes, por lo que también los verifica. Pero sin un punto de referencia, la PC no tiene idea de si alguna parte del sistema ha sido manipulado. Con un TPM, la PC puede comparar notas utilizando la información almacenada en el TPM bloqueado. Si todo coincide, el arranque se realiza con normalidad. Si algo anda mal, se encienden las banderas rojas.

La mayoría de las CPU Intel más nuevas cuentan con un TPM dentro de la propia CPU, a la que llama Platform Trusted Technology.

Los TPM se encuentran en la mayoría de las CPU más nuevas

Los TPM originalmente venían como chips independientes y originalmente se usaban solo en computadoras corporativas, donde la seguridad era más una preocupación y los clientes pagarían un adicional por este complemento. Más recientemente, AMD e Intel han integrado TPMs basados en firmware en sus CPU. Eso hizo que la compatibilidad con los TPM estuviese mucho más disponible.

Prácticamente cualquier CPU Intel del 2013 (piense en Haswell de cuarta generación) y construida para Windows 8.1 debería tener un TPM basado en firmware. AMD también ha soportado el firmware TPM durante algún tiempo.

Incluso si el firmware TPM está instalado en la CPU, eso no significa que todas las PC tengan acceso inmediato a él. Es posible que necesite una actualización de BIOS o UEFI para soportarlo. Si bien la mayoría de las PC que compra a un fabricante de PCs grande generalmente lo tienen instalado, muchas placas base minoristas a menudo no tienen el soporte de BIOS o no lo tienen encendido de manera predeterminada.

Esta placa base Asus Z87, hecha para Haswell de cuarta generación de Intel, cuenta con un encabezado TPM para un módulo TPM opcional. En la mayoría de los equipos de escritorio para consumidores, no habrá un módulo TPM instalado.
TPM, Windows 11, seguridad

¿Qué es un encabezado TPM?

Verá que muchas placas base de escritorio tendrán disponible una opción de encabezado TPM sin completar. El encabezado permite que un consumidor compre un módulo TPM para la placa si desea habilitar un TPM discreto. La mayoría del hardware que se vende directamente a los consumidores no incluye el módulo, porque siempre se ha visto como un costo adicional.

Si su placa base, en particular, nunca implementó el soporte de firmware TPM, y este es un obstáculo que le impide instalar Windows 11, podría valer la pena buscar un módulo compatible. Recomendamos que cuando compre, se ciña a un módulo del mismo fabricante de placa base y dentro de la misma cosecha de placa base. Aunque los chips TPM en los módulos pueden estar listos para usar, las conexiones físicas reales, así como la forma en que el BIOS/UEFI se comunica con ellas, serán únicas.

Aunque los módulos TPM son similares, no querrá comprar uno sin asegurarse de que funcione con su computadora.
TPM, seguridad, Windows 11

Cómo verificar el estado de su TPM

La forma más fácil de verificar el estado de su TPM, en una máquina con Windows 10, es ir a Seguridad del dispositivo. Puede hacer esto presionando la tecla de Windows y escribiendo seguridad del dispositivo. Desde allí, haga clic en el enlace Detalles del procesador de seguridad. Si su PC tiene un TPM que Windows 10 puede ver, obtendrá detalles aquí. Por ejemplo, en las capturas de pantalla de una laptop Core i7-1185G7 de consumo y una Core i7-8665U comercial o empresarial, podemos ver que la laptop de consumo utiliza el TPM integrado de Intel o la tecnología de confianza de plataforma porque, bueno, es gratis.

En una laptop comercial, el proveedor (HP, en este caso) ha incorporado un módulo TPM de Infineon discreto en la laptop, una práctica normal para las laptops corporativas.

¿Cuál es mejor? Generalmente, se cree que el módulo TPM discreto o separado es mejor, ya que soporta más algoritmos de cifrado. Pero ocupa espacio y agrega costos.

La laptop de consumo, de generación 11 (izquierda), utiliza TPM integrada de Intel, mientras que la laptop de octava generación, centrada en los negocios (derecha), cuenta con una TPM discreta.
TPM, Seguridad, Windows 11

¿Por qué no aparece mi TPM?

Si bien la compatibilidad con la TPM en una PC, de siete años, para ejecutar Windows 11 causará problemas durante los próximos seis meses, incluso las PC más nuevas pueden tener problemas. Por ejemplo, en una PC Core i7 de octava generación, encontramos el soporte de TPM en su estado predeterminado de "discreto -que, como en la mayoría de las computadoras de escritorio de los consumidores, significa "apagado porque no había ningún módulo TPM opcional instalado.

Esto arroja una bandera en la verificación de requisitos de Windows 11 de Microsoft, alegando que necesita que TPM 2.0 esté habilitada. Como mencionamos, eso significa que sale y compra el módulo TPM apropiado y lo conecta al encabezado, o simplemente enciende el firmware TPM, ya integrado en la CPU de octava generación. En esta placa base en particular, significa cambiarla de discreta a firmware.

Dependiendo del fabricante de la placa base o laptop, la búsqueda de esta configuración variará. En esta placa base, por ejemplo, simplemente se llama TPM. En algunas placas base se llama Intel Platform Trusted Technology (PTT). Algunas placas base AMD se llaman fTPM.

Para encontrarla, tendrá que buscar a través del UEFI de su PC para encenderla.

La mayoría de las PC, desde el 2013, han incorporado compatibilidad con TPM basada en firmware, pero está desactivada de forma predeterminada.
TPM, Seguridad, Windows 11

En realidad, no recomendamos que haga esto en una PC que funcione, en este momento, sin hacer backup. Si bien algunos han informado de éxito, otros han dicho que ha causado errores esporádicos de pantalla azul que no desaparecieron incluso después de apagar el firmware TPM en UEFI.

Con Windows 11, aún a meses de distancia, los proveedores de placas base probablemente lanzarán nuevas UEFI para sus clientes. Probablemente querrá esperar hasta que esté disponible una UEFI/BIOS más nueva, y el sistema operativo en sí esté aquí, antes de arriesgarse a romper cosas.

Por supuesto, la TPM es solo una de las muchas cosas que necesitará antes de poder instalar Windows 11. También habilitará el arranque seguro y el modo UEFI. La mayoría de las computadoras fabricadas en los últimos tres o cuatro años deberían gestionar el proceso sin problemas. Con el hardware más antiguo, habrá que esperar y ver.

Incluso si su CPU soporta una TPM, primero deberá activarla en UEFI/BIOS.
TPM, Windows 11, seguridad

Basado en el artículo de Gordon Mah Ung (PCWorld) y editado por CIO Perú