El Trusted Platform Module (TPM) designa a los chips de seguridad que se integran en la placa base de un portátil u ordenador. Mediante funciones de seguridad básicas, el TPM crea un entorno seguro para comprobar la in­te­gri­dad del sistema, au­te­n­ti­car a los usuarios o almacenar claves cri­p­to­grá­fi­cas y co­n­tra­se­ñas. La versión TPM 2.0, lanzada en 2018, añade nuevas funciones como, por ejemplo, el uso de di­fe­re­n­tes al­go­ri­t­mos hash, números de ide­n­ti­fi­ca­ción personal y gestión de claves definidas por el usuario.

Breve resumen: ¿qué significa TPM?

La mayoría de los usuarios están fa­mi­lia­ri­za­dos con los me­ca­ni­s­mos comunes de pro­te­c­ción contra malware, rootkits o ra­n­so­m­wa­re. Además de los firewalls, también debemos incluir los antivirus o la au­te­n­ti­ca­ción de dos factores. En este contexto, el TPM es un chip de seguridad que añade otra capa de seguridad a un sistema.

El chip TPM integrado fí­si­ca­me­n­te en los po­r­tá­ti­les y or­de­na­do­res se utiliza para la au­te­n­ti­ca­ción de di­s­po­si­ti­vos y usuarios, así como para comprobar la in­te­gri­dad del sistema o las licencias de software. Otra función im­po­r­ta­n­te es el al­ma­ce­na­mie­n­to de claves cri­p­to­grá­fi­cas, co­n­tra­se­ñas y ce­r­ti­fi­ca­dos. El TPM crea un entorno seguro y protegido contra la ma­ni­pu­la­ción, en el que se co­m­prue­ban se­cue­n­cia­l­me­n­te los co­m­po­ne­n­tes del software y del hardware para asegurar la seguridad durante el proceso de arranque. Si se detecta una al­te­ra­ción por co­m­pa­ra­ción con las métricas al­ma­ce­na­das, el TPM hace sonar la alarma. Mientras que los TPM solían ser chips de seguridad in­de­pe­n­die­n­tes, los nuevos or­de­na­do­res y po­r­tá­ti­les suelen venir con la fu­n­cio­na­li­dad TPM integrada.

¿Qué es el TPM 2.0?

El TPM fue de­sa­rro­lla­do por el consorcio in­fo­r­má­ti­co TCG (Trusted Computing Group), y no­r­ma­li­za­do en 2009 por la Or­ga­ni­za­ción In­te­r­na­cio­nal de No­r­ma­li­za­ción (ISO) y la Comisión Ele­c­tro­té­c­ni­ca In­te­r­na­cio­nal (CEI) como ISO/IEC 11889:2009. El primer TPM de­fi­ni­ti­vo se presentó el 3 de marzo de 2011 como TPM versión 1.2. Con TPM 2.0, el nuevo estándar TPM salió en 2019 como ISO/IEC 11889:2015 con nuevas ca­ra­c­te­rí­s­ti­cas de seguridad. Se han realizado op­ti­mi­za­cio­nes en la ar­qui­te­c­tu­ra y es­tru­c­tu­ra del TPM, así como en los comandos y rutinas de apoyo del TPM, entre otras cosas.

¿Dónde está el TPM 2.0?

Como los chips TPM 2.0 actúan como pro­ce­sa­do­res dedicados, se integran di­re­c­ta­me­n­te en la placa base de un portátil u ordenador. Por regla general, la mayoría de los nuevos or­de­na­do­res y po­r­tá­ti­les tienen TPM in­te­gra­dos de fábrica y co­m­pa­ti­bi­li­dad con TPM. Además, todavía se pueden conseguir placas base que no ofrecen chips TPM 2.0 prei­n­s­ta­la­dos, pero que incluyen una ranura para un chip adicional. Así, puede in­te­grar­se un chip de seguridad TPM sin depender de la CPU. Cuando se adquieren chips TPM por separado, ge­ne­ra­l­me­n­te se re­co­mie­n­da utilizar chips que provengan del mismo fa­bri­ca­n­te de placas base y hayan sido fa­bri­ca­das el mismo año.

¿Es necesario el TPM 2.0 para Windows 11?

Con el la­n­za­mie­n­to de Windows 11, TPM 2.0 se convirtió en un requisito de hardware para el sistema operativo Windows 11. Es posible que algunos usuarios de Windows no se hayan dado cuenta de que el TPM 2.0 existía hasta que ac­tua­li­za­ron a Windows 11. Si tu ordenador no tiene TPM o la función TPM está des­ha­bi­li­ta­da, aparecerá una no­ti­fi­ca­ción in­fo­r­ma­n­do que el TPM no está di­s­po­ni­ble o no es co­m­pa­ti­ble. Además, se requiere una UEFI (Unified Ex­te­n­si­ble Firmware Interface) con función de arranque seguro.

El TPM 2.0 se utiliza en Windows para las si­guie­n­tes funciones, entre otras:

  • Windows Hello: control de acceso e ide­n­ti­fi­ca­ción bio­mé­tri­ca mediante huella dactilar y/o escaneo del iris, re­co­no­ci­mie­n­to facial a través de la clave de apro­ba­ción (EK) y la clave de identidad de ate­s­ta­ción (AIK).
  • Cifrado de unidades BitLocker: para el cifrado de volúmenes lógicos y, por tanto, de unidades completas.
  • Tarjetas in­te­li­ge­n­tes virtuales: al igual que las tarjetas in­te­li­ge­n­tes físicas, estas tarjetas se utilizan para controlar el acceso a sistemas y recursos externos.
  • Medición del arranque de TPM: mediante el uso de métricas TPM en el estado de arranque de Windows, se puede comprobar la in­te­gri­dad de los co­m­po­ne­n­tes del sistema y las co­n­fi­gu­ra­cio­nes de Windows midiendo las se­cue­n­cias de arranque.
  • Ce­r­ti­fi­ca­dos de la AIK: los ce­r­ti­fi­ca­dos AIK al­ma­ce­na­dos en el TPM comparan los datos de arranque medidos con las métricas an­te­rio­res del estado del di­s­po­si­ti­vo.
  • Defensa contra los ataques de di­c­cio­na­rio: protege contra ataques de fuerza bruta que intentan eludir la pro­te­c­ción de las co­n­tra­se­ñas mediante la consulta au­to­má­ti­ca de las listas de di­c­cio­na­rio.
  • Cre­de­n­tial Guard: aísla las cre­de­n­cia­les y los datos de los usuarios y protege las claves al­ma­ce­na­das mediante una auditoría de seguridad basada en la vi­r­tua­li­za­ción.

¿Cuáles son las ventajas de Trusted Platform Module 2.0?

Las funciones del TPM 2.0 ofrecen las si­guie­n­tes ventajas:

  • Generar y almacenar claves cri­p­to­grá­fi­cas, co­n­tra­se­ñas y ce­r­ti­fi­ca­dos para métodos de en­cri­p­ta­ción con múltiples garantías.
  • Detectar la ma­ni­pu­la­ción del código de la BIOS a través de un valor de co­m­pro­ba­ción en el registro de co­n­fi­gu­ra­ción de la pla­ta­fo­r­ma (PCR) 17.
  • Ofrecer una nueva función de in­te­r­ca­m­bio de al­go­ri­t­mos para el uso en paralelo de di­fe­re­n­tes al­go­ri­t­mos.
  • Admitir números de ide­n­ti­fi­ca­ción personal, así como datos de po­si­cio­na­mie­n­to basados en controles de acceso bio­mé­tri­cos o globales, mediante firmas de ve­ri­fi­ca­ción.
  • Usar claves cri­p­to­grá­fi­cas, aunque sea de forma limitada o co­n­di­cio­nal.
  • Disfrutar mayor fle­xi­bi­li­dad de uso, también en di­s­po­si­ti­vos con menos recursos.
  • Verificar las licencias de software mediante la gestión de derechos digitales (DRM).
  • Ga­ra­n­ti­zar la in­te­gri­dad de la pla­ta­fo­r­ma mediante métricas de co­n­fi­gu­ra­ción que co­m­prue­ban la seguridad de las se­cue­n­cias de arranque y los cambios.
  • Au­te­n­ti­ca­ción por hardware del sistema operativo a través de sistemas cri­p­to­grá­fi­cos RSA.
  • Las “En­do­r­se­me­nt Keys” (EK) y las “At­te­s­ta­tion Keys” (AIK) utilizan hashing para verificar la in­te­gri­dad y la seguridad del sistema.
  • En co­m­bi­na­ción con firewalls seguros, tarjetas in­te­li­ge­n­tes, pro­te­c­ción de acceso bio­mé­tri­co y programas antivirus, se puede optimizar la pro­te­c­ción contra el malware, el ra­n­so­m­wa­re, los ataques de fuerza bruta y el phishing.

¿Cómo comprobar el TPM 2.0 en tu propio di­s­po­si­ti­vo?

¿Quieres saber si tu di­s­po­si­ti­vo Windows ya tiene TPM 2.0? Usa los si­guie­n­tes métodos para comprobar si ya está instalado y cuál es su estado. Ten en cuenta, sin embargo, que incluso los chips TPM 2.0 in­te­gra­dos de fábrica no siempre se activan au­to­má­ti­ca­me­n­te.

Activar la he­rra­mie­n­ta de gestión de TPM 2.0

Paso 1. Introduce el comando “tpm.msc” en la línea de búsqueda de Windows para abrir la he­rra­mie­n­ta de gestión de TPM integrada.

Paso 2. Si tu ordenador o portátil tiene un chip TPM 2.0 dedicado, la ventana del menú que aparece te mostrará in­fo­r­ma­ción sobre la versión del TPM. Si no hay TPM 2.0, Windows te dirá que no hay co­m­po­ne­n­tes TPM co­m­pa­ti­bles.

Activar el Ad­mi­ni­s­tra­dor de Di­s­po­si­ti­vos

Paso 1. Presiona [Windows] + [X] para abrir el menú ad­mi­ni­s­tra­ti­vo. A co­n­ti­nua­ción, ve al “Ad­mi­ni­s­tra­dor de di­s­po­si­ti­vos”.

Paso 2: Continúa hasta “Di­s­po­si­ti­vos de seguridad”, en el menú de la izquierda, y haz clic en él. Si está di­s­po­ni­ble, verás “Módulo de pla­ta­fo­r­ma segura 2.0”.

Activar el símbolo del sistema

Paso 1. Presiona la co­m­bi­na­ción de teclas [Windows] + [R] para abrir el diálogo “Ejecutar”. Introduce “cmd” y presiona [Windows] + [Shift] + [Enter]. De este modo, iniciarás el símbolo del sistema con derechos de ad­mi­ni­s­tra­dor.

Paso 2. Ahora usa el siguiente comando y luego presiona [Enter]:

wmic /namespace:\\root\cimv2\security\microsoftTPM 2.0 path win32_TPM 2.0 get /value.
shell

Si el TPM 2.0 está presente, en­co­n­tra­rás in­fo­r­ma­ción sobre la versión del TPM en la última línea “Spe­c­Ve­r­sion=”.

¿Cómo activar y des­ac­ti­var ma­nua­l­me­n­te el TPM 2.0?

El estado del TPM 2.0 depende de la an­ti­güe­dad de tu portátil u ordenador. Los or­de­na­do­res más nuevos suelen tener TPM prei­n­te­gra­dos que se pueden activar por defecto. Sin embargo, no es posible decir de forma ge­ne­ra­li­za­da si la fu­n­cio­na­li­dad está realmente activada por defecto. En algunos casos, esto puede requerir una ac­tua­li­za­ción de tu BIOS o UEFI.

Si es necesario, existen las si­guie­n­tes opciones para activar y des­ac­ti­var el TPM 2.0:

Activar o des­ac­ti­var TPM 2.0 en la BIOS

Paso 1. Reinicia y accede a tu BIOS. Según el sistema operativo o del di­s­po­si­ti­vo, tendrás que usar la tecla [F2], [F12] o [Del] mientras el sistema esté iniciando. Ten en cuenta que siempre debes crear una copia de seguridad del sistema y una copia de seguridad para las claves, co­n­tra­se­ñas y ce­r­ti­fi­ca­dos im­po­r­ta­n­tes antes de realizar cambios en la BIOS.

Paso 2. Ve a “Security” en la BIOS y navega hasta “Trusted Computing”.

Paso 3. Activa el elemento “Security Device Support”.

Paso 4. Abre “PTT” en “TPM 2.0-Device” y activa este elemento.

Paso 5. Después de guardar los cambios, tendrás que reiniciar. Para des­ac­ti­var­lo, basta con deshacer los cambios.

Activar o des­ac­ti­var el TPM con la he­rra­mie­n­ta de gestión TPM 2.0

Paso 1. Introduce el comando “tpm.msc” en la línea de búsqueda de Windows y presiona [Enter].

Paso 2. En la he­rra­mie­n­ta de gestión de TPM, ve hasta “Ad­mi­ni­s­tra­ción de TPM en el equipo local”. En la página “Activar el hardware de seguridad TPM 2.0” verás ahora in­fo­r­ma­ción detallada sobre los si­guie­n­tes pasos.

Paso 3. Haz clic en “Apagar” o “Reiniciar”. A co­n­ti­nua­ción, sigue las se­cue­n­cias de pasos UEFI es­pe­ci­fi­ca­das.

Paso 4. Durante el proceso de puesta en marcha, acepta la re­co­n­fi­gu­ra­ción del TPM 2.0. De este modo, el sistema garantiza que solo los usuarios au­te­n­ti­fi­ca­dos realicen cambios. Así tendrás activado el TPM 2.0 en Windows.

Paso 5. Para des­ac­ti­var el TPM, ve a “Ad­mi­ni­s­tra­ción de TPM en el equipo local” en la he­rra­mie­n­ta de gestión del TPM. En el cuadro de diálogo que aparece, se­le­c­cio­na “Des­ac­ti­var el hardware de seguridad TPM 2.0” y es­pe­ci­fi­ca si prefieres insertar la co­n­tra­se­ña de pro­pie­ta­rio mediante un medio extraíble, si quieres in­tro­du­ci­r­la ma­nua­l­me­n­te o des­ac­ti­var­la sin in­tro­du­cir la co­n­tra­se­ña.

¿Cuál es la co­n­se­cue­n­cia de des­ac­ti­var un TPM 2.0?

Ya sea para so­lu­cio­nar problemas, re­in­s­ta­lar o ac­tua­li­zar, eliminar o des­ac­ti­var el TPM 2.0, puede causar una pérdida de datos in­vo­lu­n­ta­ria. Los datos en riesgo incluyen las claves cri­p­to­grá­fi­cas, los ce­r­ti­fi­ca­dos y las co­n­tra­se­ñas al­ma­ce­na­das en el TPM 2.0. Toma las si­guie­n­tes medidas de seguridad pre­ve­n­ti­vas:

  • Es­ta­ble­cer un método de copia de seguridad/re­s­tau­ra­ción de los datos al­ma­ce­na­dos a través de TPM 2.0.
  • La eli­mi­na­ción o des­ac­ti­va­ción del TPM 2.0 solo debe rea­li­zar­se en los propios di­s­po­si­ti­vos del usuario o con el permiso de los ad­mi­ni­s­tra­do­res re­s­po­n­sa­bles.
  • Revisa la in­fo­r­ma­ción en el manual del fa­bri­ca­n­te o en la página web del fa­bri­ca­n­te sobre el TPM.
  • Si es posible, desactiva el TPM 2.0 mediante la he­rra­mie­n­ta de gestión del TPM o crea una copia de seguridad del sistema antes de realizar cambios en la BIOS.

¿Qué tipos de TPM 2.0 existen?

De­pe­n­die­n­do de la im­ple­me­n­ta­ción, se puede di­s­ti­n­guir entre los si­guie­n­tes tipos de TPM 2.0:

  • TPM 2.0 discreto: el TPM 2.0 discreto es un chip de seguridad dedicado que ofrece co­m­pa­ti­bi­li­dad con varios al­go­ri­t­mos de cifrado, pro­te­c­ción contra ma­ni­pu­la­cio­nes y baja su­s­ce­p­ti­bi­li­dad a los errores.
  • TPM 2.0 de base física: los TPM in­te­gra­dos en las CPU pro­po­r­cio­nan ca­ra­c­te­rí­s­ti­cas de seguridad física para proteger contra la ma­ni­pu­la­ción y el malware.
  • TPM 2.0 basado en firmware: co­m­pa­ra­ble al TPM 2.0 basado en físico, el TPM 2.0 basado en firmware utiliza un entorno de CPU seguro para evitar la ma­ni­pu­la­ción y los cambios no au­te­n­ti­fi­ca­dos.
  • TPM 2.0 virtual: los hi­pe­r­vi­so­res pueden crear un TPM 2.0 virtual, in­de­pe­n­die­n­te de las máquinas virtuales, para generar tus claves de seguridad.
  • TPM 2.0 basado en software: debido a las escasas ventajas de seguridad y a la mayor vu­l­ne­ra­bi­li­dad a los errores/malware, los TPM 2.0 basados en software no se re­co­mie­n­dan.
Ir al menú principal