El Trusted Platform Module (TPM) es un chip especial integrado en po­r­tá­ti­les y or­de­na­do­res. Ofrece im­po­r­ta­n­tes funciones de seguridad para comprobar la in­te­gri­dad y la seguridad de los sistemas y el software en un entorno protegido. Si un sistema operativo es co­m­pa­ti­ble con TPM, puede activarse o des­ac­ti­var­se a través de las funciones de la BIOS si es necesario.

¿Qué es el Trusted Platform Module?

Los me­ca­ni­s­mos de seguridad para la pro­te­c­ción del sistema, así como para la defensa contra malware o ra­n­so­m­wa­re juegan un papel decisivo para usuarios y empresas. Para ello, no solo se utilizan co­r­ta­fue­gos y antivirus, sino también he­rra­mie­n­tas como un Trusted Platform Module. Los TPM son chips in­te­gra­dos en po­r­tá­ti­les y otros or­de­na­do­res que pro­po­r­cio­nan funciones de seguridad adi­cio­na­les para el hardware y el software. Estas funciones incluyen la au­te­n­ti­ca­ción de un di­s­po­si­ti­vo, la ide­n­ti­fi­ca­ción de usuarios o también la ve­ri­fi­ca­ción de licencias de software y el al­ma­ce­na­mie­n­to de claves, co­n­tra­se­ñas o ce­r­ti­fi­ca­dos.

Un TPM actúa como una caja fuerte de seguridad y, por tanto, como un entorno aislado que está protegido de la ma­ni­pu­la­ción y el malware. Así, el TPM activa los co­m­po­ne­n­tes de software y hardware durante el proceso de arranque y comprueba su in­te­gri­dad. Esto garantiza que el sistema operativo no se vea co­m­pro­me­ti­do y que el proceso de arranque no sea peligroso. Aunque los chips TPM solían uti­li­zar­se como chips in­de­pe­n­die­n­tes para los or­de­na­do­res de empresa, la mayoría de las CPU modernas de AMD e Intel cuentan con fu­n­cio­na­li­da­des TPM, aunque hay placas base que requieren un chip TPM adicional. Sin embargo, a largo plazo, el hardware tendrá TPM in­co­r­po­ra­do por defecto, ya que el sistema operativo Windows 11, por ejemplo, solo requiere TPM 2.0.

¿Dónde se encuentra un TPM?

Un chip TPM actúa como un pro­ce­sa­dor dedicado y se encuentra en la placa base de la unidad. Las placas base sin chip TPM prei­n­s­ta­la­do ofrecen una ranura TPM para un chip opcional. Esta ranura permite instalar un TPM in­de­pe­n­die­n­te­me­n­te de la CPU del ordenador. Si necesitas un chip in­de­pe­n­die­n­te para la fu­n­cio­na­li­dad TPM, es aco­n­se­ja­ble utilizar úni­ca­me­n­te módulos co­m­pa­ti­bles de la misma época y del mismo fa­bri­ca­n­te de placas base o de placas madre.

¿Cuáles son las ventajas de un Trusted Platform Module?

Las funciones del TPM ofrecen las si­guie­n­tes ventajas:

  • Ge­ne­ra­ción y al­ma­ce­na­mie­n­to de co­n­tra­se­ñas, ce­r­ti­fi­ca­dos o claves cri­p­to­grá­fi­cas para métodos de en­cri­p­ta­ción con seguridad adicional.
  • Ve­ri­fi­ca­ción/se­gui­mie­n­to de la in­te­gri­dad de la pla­ta­fo­r­ma mediante métricas y procesos de co­m­pa­ra­ción para detectar ma­ni­pu­la­cio­nes durante el proceso de puesta en marcha.
  • Au­te­n­ti­ca­ción por hardware del sistema operativo mediante sistemas cri­p­to­grá­fi­cos RSA
  • Pro­te­c­ción del sistema contra cambios ma­li­cio­sos en el software o el firmware mediante la clave de identidad de ate­s­ta­ción (AIK), que comprueba la in­te­gri­dad de los co­m­po­ne­n­tes mediante hashing.
  • Junto con los co­r­ta­fue­gos, las tarjetas in­te­li­ge­n­tes, las pruebas bio­mé­tri­cas o los programas antivirus, la defensa op­ti­mi­za­da contra el malware, el ra­n­so­m­wa­re, los ataques de di­c­cio­na­rio y el phishing
  • Ve­ri­fi­ca­ción de las licencias de software mediante la gestión de derechos digitales (DRM)

¿Cómo puedo comprobar el TPM en mi propio di­s­po­si­ti­vo?

Dado que TPM 2.0 es, entre otras cosas, un requisito de hardware para Windows 11, son varios los usuarios que se preguntan si su di­s­po­si­ti­vo tiene TPM. Para obtener una respuesta, hay dos métodos sencillos para comprobar el TPM en el propio sistema. Es im­po­r­ta­n­te señalar que incluso los chips TPM in­te­gra­dos no siempre están activados por defecto.

Para de­te­r­mi­nar la presencia de un chip TPM y la versión de TPM en Windows, sigue estos pasos:

Acceder a la gestión del TPM

Paso 1. Escribe el comando “tpm.msc” en la línea de búsqueda de Windows para acceder a la he­rra­mie­n­ta integrada TPM Ma­na­ge­me­nt.

Paso 2. Si el ordenador o portátil no tiene un chip TPM dedicado, verás el mensaje co­rre­s­po­n­die­n­te en la ventana que aparece. Si hay un chip TPM en la placa base, se mostrará una nota sobre el tipo y la versión del chip TPM en la ventana.

Acceder al Ad­mi­ni­s­tra­dor de Di­s­po­si­ti­vos

Paso 1. Presiona las teclas [Windows] + [X] y accede al “Ad­mi­ni­s­tra­dor de di­s­po­si­ti­vos”.

Paso 2. Busca “Di­s­po­si­ti­vos de seguridad” en el menú de la izquierda y abre el menú de­s­ple­ga­ble. Si el TPM está presente, allí verás la versión actual del TPM.

Comprobar con el símbolo del sistema

Paso 1. Abre el cuadro de diálogo “Ejecutar” con la co­m­bi­na­ción de teclas [Windows] + [R], introduce el comando “cmd” y presiona las teclas [Windows] + [Shift] + [Intro] para abrir el símbolo del sistema como ad­mi­ni­s­tra­dor.

Paso 2. Para comprobar si hay un chip TPM, teclea el siguiente comando:

wmic /namespace:\\root\cimv2\security\microsofttpm path win32_tpm get /value
shell

Si el TPM está presente, podrás ver qué versión utilizas en la línea “Spe­c­Ve­r­sion=”.

¿Se puede activar y des­ac­ti­var el TPM de forma in­de­pe­n­die­n­te?

El hecho de que el Trusted Platform Module esté activado por defecto depende de la an­ti­güe­dad, la versión y el tipo de portátil u ordenador utilizado. Incluso con los chips TPM in­co­r­po­ra­dos, no es posible decir de forma ge­ne­ra­li­za­da si la fu­n­cio­na­li­dad TPM está activada por defecto. Algunos TPM de firmware pueden requerir una ac­tua­li­za­ción de la BIOS o de la UEFI. Si el TPM no está activado por defecto, hay varias formas de activarlo o des­ac­ti­var­lo.

Puedes hacerlo de la siguiente manera:

Activar o des­ac­ti­var el TPM en la BIOS

Paso 1. Inicia tu sistema y accede a la BIOS (según el sistema, presiona [F2], [F12] o [Del] durante el proceso de arranque).

Paso 2. Ve al menú “Security” y a “Trusted Computing”.

Paso 3. Activa la opción “Security Device Support”.

Paso 4. Inicia “PTT” en “TPM-Device”.

Paso 5. Guarda los cambios y reinicia el ordenador. Para des­ac­ti­var­lo, procede exac­ta­me­n­te al revés.

Activar o des­ac­ti­var el TPM a través de la he­rra­mie­n­ta de gestión del TPM

Paso 1. Inicia la he­rra­mie­n­ta TPM. Para ello, introduce “tpm.msc” en la he­rra­mie­n­ta de búsqueda de Windows y haz clic en [Intro].

Paso 2. Continúa hasta “Ad­mi­ni­s­tra­ción de TPM en el equipo local”. Lee ate­n­ta­me­n­te la in­fo­r­ma­ción que aparece en la ventana.

Paso 3. Ve a “Ac­tua­li­zar” o “Reiniciar” y sigue los pasos re­s­pe­c­ti­vos de UEFI.

Paso 4. Acepta la re­co­n­fi­gu­ra­ción del TPM durante el proceso de arranque. El sistema garantiza, de esta manera, que solo los usuarios au­te­n­ti­fi­ca­dos realicen cambios.

Paso 5. TPM está ahora activado en Windows.

Paso 6. Para des­ac­ti­var­lo, en la Ad­mi­ni­s­tra­ción de TPM del equipo local, haz clic en “Quitar TPM”. En el cuadro de diálogo “Des­ac­ti­var hardware de seguridad TPM”, se­le­c­cio­na si quieres in­tro­du­cir la co­n­tra­se­ña del pro­pie­ta­rio del TPM a través de un medio extraíble, in­tro­du­ci­r­la ma­nua­l­me­n­te o des­ac­ti­var­la sin in­tro­du­cir la co­n­tra­se­ña.

¿Qué implica la des­ac­ti­va­ción de un TPM?

La eli­mi­na­ción o des­ac­ti­va­ción de un Trusted Platform Module, por ejemplo, para la re­so­lu­ción de problemas o la re­in­s­ta­la­ción del sistema, puede provocar la pérdida de datos en de­te­r­mi­na­das ci­r­cu­n­s­ta­n­cias. Esto se aplica a las claves al­ma­ce­na­das, las co­n­tra­se­ñas, los ce­r­ti­fi­ca­dos, las tarjetas in­te­li­ge­n­tes virtuales o los PIN de inicio de sesión, entre otras cosas. Por esta razón, debes tener en cuenta im­po­r­ta­n­tes pre­cau­cio­nes:

  • Crea un método de re­s­tau­ra­ción o backup de los datos al­ma­ce­na­dos en el TPM.
  • Elimina/desactiva solo los TPM en tus di­s­po­si­ti­vos o con la apro­ba­ción del ad­mi­ni­s­tra­dor re­s­po­n­sa­ble.
  • Comprueba la in­fo­r­ma­ción sobre el TPM en el manual del fa­bri­ca­n­te o en la página web de la empresa.
  • Si es posible, desactiva el TPM mediante la Ad­mi­ni­s­tra­ción de TPM en el equipo local o crea una copia de seguridad del sistema antes de realizar cambios en la BIOS y el modo UEFI.

¿Qué tipos de TPM existen?

Según el tipo de im­ple­me­n­ta­ción, se di­s­ti­n­guen los si­guie­n­tes tipos de Trusted Platform Module:

  • TPM discreto: se trata de un chip dedicado que suele co­n­si­de­rar­se la variante óptima de TPM. Ofrece soporte para más al­go­ri­t­mos de en­cri­p­ta­ción, protege contra la ma­ni­pu­la­ción y es poco propenso a errores. Sin embargo, se necesita más espacio para el TPM.
  • TPM basado en la física: integrado di­re­c­ta­me­n­te en la CPU, pro­po­r­cio­na ca­ra­c­te­rí­s­ti­cas de seguridad física que protegen contra la ma­ni­pu­la­ción y el malware.
  • TPM basado en firmware: similar a la variante basada en la física, funciona en un entorno de ejecución de CPU seguro y evita la ma­ni­pu­la­ción y las mo­di­fi­ca­cio­nes ma­li­cio­sas.
  • TPM virtual: los hi­pe­r­vi­so­res pueden crear un TPM virtual que genere claves de seguridad in­de­pe­n­die­n­te­me­n­te de una máquina virtual.
  • TPM basado en software: dado que ofrecen pocas ventajas de seguridad y tienen una mayor vu­l­ne­ra­bi­li­dad a los errores y al malware, los TPM basados en software son menos re­co­me­n­da­bles.
Ir al menú principal