TPM (Trusted Platform Module): definición y función

El Trusted Platform Module (TPM) es un chip especial integrado en portátiles y ordenadores. Ofrece importantes funciones de seguridad para comprobar la integridad y la seguridad de los sistemas y el software en un entorno protegido. Si un sistema operativo es compatible con TPM, puede activarse o desactivarse a través de las funciones de la BIOS si es necesario.

¿Qué es el Trusted Platform Module?

Los mecanismos de seguridad para la protección del sistema, así como para la defensa contra malware o ransomware juegan un papel decisivo para usuarios y empresas. Para ello, no solo se utilizan cortafuegos y antivirus, sino también herramientas como un Trusted Platform Module. Los TPM son chips integrados en portátiles y otros ordenadores que proporcionan funciones de seguridad adicionales para el hardware y el software. Estas funciones incluyen la autenticación de un dispositivo, la identificación de usuarios o también la verificación de licencias de software y el almacenamiento de claves, contraseñas o certificados.

Un TPM actúa como una caja fuerte de seguridad y, por tanto, como un entorno aislado que está protegido de la manipulación y el malware. Así, el TPM activa los componentes de software y hardware durante el proceso de arranque y comprueba su integridad. Esto garantiza que el sistema operativo no se vea comprometido y que el proceso de arranque no sea peligroso. Aunque los chips TPM solían utilizarse como chips independientes para los ordenadores de empresa, la mayoría de las CPU modernas de AMD e Intel cuentan con funcionalidades TPM, aunque hay placas base que requieren un chip TPM adicional. Sin embargo, a largo plazo, el hardware tendrá TPM incorporado por defecto, ya que el sistema operativo Windows 11, por ejemplo, solo requiere TPM 2.0.

¿Dónde se encuentra un TPM?

Un chip TPM actúa como un procesador dedicado y se encuentra en la placa base de la unidad. Las placas base sin chip TPM preinstalado ofrecen una ranura TPM para un chip opcional. Esta ranura permite instalar un TPM independientemente de la CPU del ordenador. Si necesitas un chip independiente para la funcionalidad TPM, es aconsejable utilizar únicamente módulos compatibles de la misma época y del mismo fabricante de placas base o de placas madre.

¿Cuáles son las ventajas de un Trusted Platform Module?

Las funciones del TPM ofrecen las siguientes ventajas:

  • Generación y almacenamiento de contraseñas, certificados o claves criptográficas para métodos de encriptación con seguridad adicional.
  • Verificación/seguimiento de la integridad de la plataforma mediante métricas y procesos de comparación para detectar manipulaciones durante el proceso de puesta en marcha.
  • Autenticación por hardware del sistema operativo mediante sistemas criptográficos RSA
  • Protección del sistema contra cambios maliciosos en el software o el firmware mediante la clave de identidad de atestación (AIK), que comprueba la integridad de los componentes mediante hashing.
  • Junto con los cortafuegos, las tarjetas inteligentes, las pruebas biométricas o los programas antivirus, la defensa optimizada contra el malware, el ransomware, los ataques de diccionario y el phishing
  • Verificación de las licencias de software mediante la gestión de derechos digitales (DRM)

¿Cómo puedo comprobar el TPM en mi propio dispositivo?

Dado que TPM 2.0 es, entre otras cosas, un requisito de hardware para Windows 11, son varios los usuarios que se preguntan si su dispositivo tiene TPM. Para obtener una respuesta, hay dos métodos sencillos para comprobar el TPM en el propio sistema. Es importante señalar que incluso los chips TPM integrados no siempre están activados por defecto.

Para determinar la presencia de un chip TPM y la versión de TPM en Windows, sigue estos pasos:

Acceder a la gestión del TPM

Paso 1. Escribe el comando “tpm.msc” en la línea de búsqueda de Windows para acceder a la herramienta integrada TPM Management.

Paso 2. Si el ordenador o portátil no tiene un chip TPM dedicado, verás el mensaje correspondiente en la ventana que aparece. Si hay un chip TPM en la placa base, se mostrará una nota sobre el tipo y la versión del chip TPM en la ventana.

Acceder al Administrador de Dispositivos

Paso 1. Presiona las teclas [Windows] + [X] y accede al “Administrador de dispositivos”.

Paso 2. Busca “Dispositivos de seguridad” en el menú de la izquierda y abre el menú desplegable. Si el TPM está presente, allí verás la versión actual del TPM.

Comprobar con el símbolo del sistema

Paso 1. Abre el cuadro de diálogo “Ejecutar” con la combinación de teclas [Windows] + [R], introduce el comando “cmd” y presiona las teclas [Windows] + [Shift] + [Intro] para abrir el símbolo del sistema como administrador.

Paso 2. Para comprobar si hay un chip TPM, teclea el siguiente comando:

wmic /namespace:\\root\cimv2\security\microsofttpm path win32_tpm get /value
shell

Si el TPM está presente, podrás ver qué versión utilizas en la línea “SpecVersion=”.

¿Se puede activar y desactivar el TPM de forma independiente?

El hecho de que el Trusted Platform Module esté activado por defecto depende de la antigüedad, la versión y el tipo de portátil u ordenador utilizado. Incluso con los chips TPM incorporados, no es posible decir de forma generalizada si la funcionalidad TPM está activada por defecto. Algunos TPM de firmware pueden requerir una actualización de la BIOS o de la UEFI. Si el TPM no está activado por defecto, hay varias formas de activarlo o desactivarlo.

Puedes hacerlo de la siguiente manera:

Activar o desactivar el TPM en la BIOS

Paso 1. Inicia tu sistema y accede a la BIOS (según el sistema, presiona [F2], [F12] o [Del] durante el proceso de arranque).

Paso 2. Ve al menú “Security” y a “Trusted Computing”.

Paso 3. Activa la opción “Security Device Support”.

Paso 4. Inicia “PTT” en “TPM-Device”.

Paso 5. Guarda los cambios y reinicia el ordenador. Para desactivarlo, procede exactamente al revés.

Activar o desactivar el TPM a través de la herramienta de gestión del TPM

Paso 1. Inicia la herramienta TPM. Para ello, introduce “tpm.msc” en la herramienta de búsqueda de Windows y haz clic en [Intro].

Paso 2. Continúa hasta “Administración de TPM en el equipo local”. Lee atentamente la información que aparece en la ventana.

Paso 3. Ve a “Actualizar” o “Reiniciar” y sigue los pasos respectivos de UEFI.

Paso 4. Acepta la reconfiguración del TPM durante el proceso de arranque. El sistema garantiza, de esta manera, que solo los usuarios autentificados realicen cambios.

Paso 5. TPM está ahora activado en Windows.

Paso 6. Para desactivarlo, en la Administración de TPM del equipo local, haz clic en “Quitar TPM”. En el cuadro de diálogo “Desactivar hardware de seguridad TPM”, selecciona si quieres introducir la contraseña del propietario del TPM a través de un medio extraíble, introducirla manualmente o desactivarla sin introducir la contraseña.

¿Qué implica la desactivación de un TPM?

La eliminación o desactivación de un Trusted Platform Module, por ejemplo, para la resolución de problemas o la reinstalación del sistema, puede provocar la pérdida de datos en determinadas circunstancias. Esto se aplica a las claves almacenadas, las contraseñas, los certificados, las tarjetas inteligentes virtuales o los PIN de inicio de sesión, entre otras cosas. Por esta razón, debes tener en cuenta importantes precauciones:

  • Crea un método de restauración o backup de los datos almacenados en el TPM.
  • Elimina/desactiva solo los TPM en tus dispositivos o con la aprobación del administrador responsable.
  • Comprueba la información sobre el TPM en el manual del fabricante o en la página web de la empresa.
  • Si es posible, desactiva el TPM mediante la Administración de TPM en el equipo local o crea una copia de seguridad del sistema antes de realizar cambios en la BIOS y el modo UEFI.

¿Qué tipos de TPM existen?

Según el tipo de implementación, se distinguen los siguientes tipos de Trusted Platform Module:

  • TPM discreto: se trata de un chip dedicado que suele considerarse la variante óptima de TPM. Ofrece soporte para más algoritmos de encriptación, protege contra la manipulación y es poco propenso a errores. Sin embargo, se necesita más espacio para el TPM.
  • TPM basado en la física: integrado directamente en la CPU, proporciona características de seguridad física que protegen contra la manipulación y el malware.
  • TPM basado en firmware: similar a la variante basada en la física, funciona en un entorno de ejecución de CPU seguro y evita la manipulación y las modificaciones maliciosas.
  • TPM virtual: los hipervisores pueden crear un TPM virtual que genere claves de seguridad independientemente de una máquina virtual.
  • TPM basado en software: dado que ofrecen pocas ventajas de seguridad y tienen una mayor vulnerabilidad a los errores y al malware, los TPM basados en software son menos recomendables.
¿Le ha resultado útil este artículo?
Page top