Actualizado a: 26 de octubre de 2023
¿Por qué Windows 11 nos obliga a usar chips TPM para actualizarnos a él? Como muchos de vosotros ya sabréis, uno de los debates más polémicos que se generó allá en su momento fue que, con el lanzamiento de Windows 11 y los chips TPM, Microsoft informó de que su sistema operativo solo funcionaria en ordenadores que dispusiesen de este componente. Y si bien es cierto que la mayoría de grandes compañías llevan tiempo incluyéndolo en sus composiciones, el aviso no sentó demasiado bien.
Algo lógico si tenemos en cuenta que, en realidad, los procesadores más antiguos no disponen de este sistema. Por un lado, las CPU de Intel equipadas con un chip TPM son de la octava generación en adelante. Por el otro, en AMD solo se pueden localizar en los componentes diseñados con arquitectura Zen 2 o superior. Como consecuencia, esta limitación dejó fuera de la ecuación a un buen número de usuarios.
El problema de todo esto es que Microsoft, con este movimiento, dejó fuera a muchísimos Surface. Según informaron allá en su momento desde MyComputerPro, la mayoría de portátiles de la marca (siendo esta de Microsoft) no podrían funcionar con Windows 11. Y al igual que con esta, otros muchos portátiles se vieron en la misma tesitura, limitando mucho el rango de acción de bastantes consumidores.
Con el lanzamiento de Windows 11, Microsoft no solo presentó una nueva interfaz de usuario y características mejoradas, sino que también introdujo requisitos más estrictos para la seguridad del sistema. Uno de estos requisitos es el chip TPM 2.0 (Trusted Platform Module), un componente que puede resultar desconocido para muchos usuarios y que, sin embargo, se ha convertido en un elemento crucial para garantizar la seguridad y la privacidad en el mundo digital actual.
¿Por qué Windows 11 nos obliga a usar un chip TPM 2.0?
Esta situación provocó que muchos se preguntasen, en efecto, por qué Microsoft estaba obligando a sus usuarios a tener ordenadores con chips TPM aunque, inclusive, no pocos de sus productos no cumplían con esta exigencia. La respuesta de la compañía, en ese sentido, fue bastante simple: seguridad. Por supuesto, el tema es más complejo que esto, pero era el punto central de la explicación.
Esto lo podemos ver en la propia web oficial de Microsoft.com. Más concretamente, forma parte de un artículo de David Weston, vicepresidente de seguridad empresarial y de sistemas operativos en Windows. Según explicó, con Windows 11 quisieron dar un paso hacia delante en la ciberseguridad, ofreciendo una nueva capa de protección contra los ciberataques. Es en este contexto en el que entran los chips TPM y, más concretamente, los TPM 2.0.
Son un sistema para ayudar a garantizar la seguridad de los usuarios de W11. Según explicó, el TPM «es un chip que se integra en la placa base de su PC o se agrega por separado a la CPU. Su propósito es ayudar a proteger las claves de cifrado, las credenciales de usuario y otros datos confidenciales detrás de una barrera de hardware para que el malware y los atacantes no puedan acceder a esos datos ni alterarlos».
Es decir, que desde Microsoft consideran que es un elemento indispensable para proporcionarle un entorno seguro a sus usuarios. Para ellos, el TPM 2.0 es una herramienta indispensable para ofrecer el estándar de calidad que busquen. Que lo consigan es otro tema diferente, pero ese es su razonamiento. Consideran, pues, que solicitar que los ordenadores vengan con un «TPM 2.0 eleva el estándar de seguridad del hardware al requerir esa raíz de confianza incorporada«.
Una cuestión de seguridad
Pese a ello, aun aclarando esto, muchos usuarios consideraron que no era razón más que suficiente. Otros muchos, por el lado contrario, entendieron que era un razonamiento lógico, pues (en caso de ser cierto) podrían desarrollar un entorno de seguridad más efectivo sin tener que sacrificar nada en favor de un enfoque más generalista. Determinar si la razón es acertada o no es otro tema, mas esta es la justificación que ofrecieron.
Del mismo modo, y en tema que hemos citado anteriormente, Wesxton explicó que «TPM 2.0 es un componente fundamental para brindar seguridad con Windows Hello y BitLocker para ayudar a los clientes a proteger mejor sus identidades y datos. Además, para muchos clientes empresariales, los TPM ayudan a facilitar la seguridad Zero Trust al proporcionar un elemento seguro para certificar el estado de los dispositivos».
Así pues, la presencia del TPM 2.0 es necesaria para poder ejecutar protocolos de seguridad mediante los sistemas Zero Trust, una estrategia de ciberseguridad que se basa en la premisa de que nadie de fuera de una red concreta, o un ordenador individual, pueda tener acceso para conectarse a un sistema o carga TI sin que se considere necesario. Es decir, aplicar capas de seguridad que asumen que las amenazas pueden darse tanto desde dentro como desde fuera.
Si concretamos un poco más, podemos decir que el TPM es una parte obligatorio de los sistemas Windows 11 debido a que es un componente muy importante en su sistema de seguridad contra ataques tales como el malware, el ransomware o el pishing, entre muchos otros. Según declaró el propio Weston, los ordenadores con protocolos de seguridad TPM son más seguros frente a este tipo de ataques, siendo este el motivo por el cual lo consideran clave dentro del concepto de Windows 11.
Qué es un chip TPM
Un TPM, también llamado Módulo de Plataforma Segura, es un chip esencialmente diseñado para fortalecer los sistemas de seguridad de un ordenador. Ha sido especialmente diseñado para proteger datos sensibles y claves de cifrado, esencialmente de ataques externo, por lo que su principal objetivo es proporcionar espacios de trabajo seguros para almacenar la información y salvaguardar la privacidad de los usuarios.
Como norma general, hablamos de un chip que se instala en la placa base de los ordenadores. No obstante, no todos (sobre todo los modelos más antiguos) no lo incluyen. Del mismo modo, puede estar desactivado por defecto, por lo que os explicaré al final de este mismo artículo cómo podéis comprobar si tenéis o no y si está funcionando. Dicho esto, podemos decir que, desde 2016, aproximadamente, Microsoft estableció que era necesario tener un chip TPM para usar Windows, mientras que en Windows 11 es obligatorio tenerlo instalado.
Para qué sirve
En general, podemos decir que un chip TPM cumple con varias funciones muy importantes. Una de las más importantes, por ejemplo, es almacenar las claves de cifrado que utilizan herramientas como Windows Hello. Por lo tanto, es una capa de seguridad que nos intenta defender de los ataques externos. Al mismo tiempo, estos chips permiten cifrar las unidades de almacenamiento, guardar contraseñas de administrador, almacenar datos DRM, etc. en un entorno seguro. También mejora la navegación segura con SSL y tiene aplicaciones en redes privadas virtuales (VPN).
El TPM se comunica exclusivamente con el procesador del computador, asegurando que ningún otro componente pueda acceder a los datos sin el permiso de la propia CPU. Esto proporciona una capa adicional de seguridad, dificultando que malware o virus accedan a las claves criptográficas almacenadas en el dispositivo. Además, el TPM 2.0, la versión más reciente, ha introducido la capacidad de almacenar datos biométricos para una autenticación más segura. Podemos decir, por lo tanto, que sus principales funciones son:
- Almacenar claves criptográficas en entornos seguros, actuando como una bóveda de seguridad. Estas claves se utilizan para proteger datos sensibles y garantizar la seguridad de las comunicaciones en línea.
- Asegurar la integridad de la plataforma, protegiendo la integridad del hardware y el software analizando los componentes y programas para determinar si han sido alterados, vulnerados o comprometidos de alguna manera mediante ataques externos o terceros.
- Proteger al usuario de ataques, almacenando las claves en entornos seguros y defendiendo los datos contra software maliciosos.
- Ejecutar sistemas de autenticación segura mediante sistemas como Windows Hello, en Windows. Esto incluye sistemas de biometría, reconocimiento facial, mediante huellas dactilares, etc. según el dispositivo.
- Cifrar el disco, protegiendo todos los datos que se incluyan en su interior.
- Potenciar la seguridad en redes y comunicaciones en entornos VPB.
- Mejorar la seguridad a través de internet mediante cifrados como el SSL/TLS.
Estas son algunas de sus principales funciones. Por supuesto, puede actuar en otros ámbitos de otras maneras, pero este sería el resumen general. Todo sea dicho, que estos sean sus objetivos no significa que sea infalible. Como cualquier sistema, se puede vulnerar, pero la idea general es evitarlo lo máximo posible, como es lógico.
Diferencias entre chip TPM y TPM 2.0
En general, no quiero extenderme demasiado en este tema, puesto que es menos «importante» o «relevante» en este contexto, pero creo que sí que es interesante tenerlo en cuenta. En ese sentido, también podemos citar a Microsoft, pues tiempo atrás publico un artículo en el que explicaba algunas de sus principales diferencias. La mayoría de ellas son muy técnicas, por lo que os simplificaré un poco todo. Si queréis saber más al respecto, podéis hacerlo en el susodicho artículo.
Dicho esto, una de las principales diferencias es que el TPM 2.0 emplea herramientas, tecnologías y compatibilidades más avanzadas y abandona aquellas que son menos útiles en estos momentos. Gracias a esto, una de las principales diferencias es que el «TPM 2.0 permite mayor agilidad criptográfica, ya que es más flexible con respecto a los algoritmos criptográficos«. Es decir, que trabaja con elementos más avanzados que permiten un mayor rendimiento y una tasa de seguridad más alta. Aparte, es una tecnología más coherente en diferentes implementaciones, lo que le permite funcionar no solo mejor, sino con más herramientas.
TPM 1.2, aunque pionero, tiene limitaciones notables. Sus funciones criptográficas son básicas, las claves están limitadas a 2048 bits y su compatibilidad se restringe a sistemas Windows. En contraste, TPM 2.0 supera estas limitaciones. Con funciones criptográficas avanzadas y claves de hasta 4096 bits, se ha convertido (en teoría) en una opción más segura. Además, su compatibilidad con una gama más amplia de sistemas operativos ha hecho que sea más atractiva en términos generales.
¿Cómo saber si tengo TPM?
En último término, y citando de nuevo a Microsoft, es muy fácil comprobar si tenemos TPM instalado. El sistema que ellos nos recomiendan mediante su propio tutorial es seguir una ruta concreta, aunque nos explican que nuestro PC debería tener TPM 2.0 sí o sí si tiene menos de cinco años. Del mismo modo, si tienes Windows 11, lo tendrás instalado de manera obligatoria, pues de otra manera no podrías usarlo.
Dicho esto, nos dicen que, para revisarlo en Windows 10, solo tenemos que seguir esta ruta:
Inicio > Configuración > Actualización y seguridad > Seguridad de Windows > Seguridad del dispositivo
Si lo tenemos, verás una sección en la que ponga «procesador seguridad», tal y como en la imagen que ellos mismos utilizan. Si no consigues revisarlo mediante este sistema, tienes otras dos opciones.
Mediante el buscador de Windows. Solo tienes que abrir el buscador de Windows y escribir «tpm.msc». Al hacerlo, te saldrá un icono de una llave de color dorado y un microchip. Pulsa en él. Si tienes o no TPM, el propio cuadro que se abra te lo dirá mediante la información que aparezca en él.
Mediante PowerShell. Solo tienes que abrir PowerShell y utilizar el comando «get-tpm». Al hacerlo, te darán toda la información al respecto. Tendrás que buscar el término TPMPresent. Si pone «false» a su lado es que no tienes un chip TPM.
