¿Qué es un chip TPM?
Un chip TPM (Módulo de Plataforma de Confianza, del inglés Trusted Platform Module) es un procesador de seguridad dedicado integrado en la placa base de un PC que gestiona operaciones criptográficas como la generación y el almacenamiento de claves de cifrado, la verificación de firmas digitales y la atestación de la integridad del proceso de arranque. TPM 2.0 es un requisito obligatorio para Windows 11 y sustenta las funciones de seguridad principales del sistema operativo, como el Arranque Seguro y el cifrado de unidad BitLocker. Al mantener el material criptográfico sensible dentro de un límite hardware resistente a manipulaciones, un TPM garantiza que, aunque se extraiga físicamente una unidad de un portátil robado, los datos cifrados permanezcan inaccesibles.
Explicación detallada
Cómo funciona un chip TPM
El TPM almacena las claves de cifrado en un área resistente a manipulaciones diseñada para resistir el análisis físico y los ataques de canal lateral. Las claves generadas dentro del TPM nunca salen del chip en texto sin cifrar. Durante el arranque, el TPM mide la integridad del firmware UEFI, el gestor de arranque y el kernel del sistema operativo, creando una cadena de confianza. Si algún componente ha sido manipulado, el TPM puede negarse a liberar las claves de descifrado, impidiendo que el sistema comprometido acceda a los datos protegidos.
TPM 1.2 frente a TPM 2.0
TPM 1.2, estandarizado en 2011, solo admite el algoritmo hash SHA-1 y la criptografía basada en RSA. TPM 2.0, finalizado en 2014, añade soporte para SHA-256, ECC (Criptografía de Curva Elíptica) y agilidad algorítmica adicional que lo prepara para las amenazas futuras. Windows 11 requiere TPM 2.0, que es la razón principal por la que muchos PC más antiguos no pueden actualizarse. La mayoría de los PC fabricados desde 2016 incluyen soporte para TPM 2.0 de alguna forma.
TPM discreto frente a TPM de firmware
Los TPM se presentan en dos formas. Un TPM discreto es un chip independiente soldado a la placa base que ofrece el mayor nivel de aislamiento físico y seguridad. Un TPM de firmware (fTPM) se implementa en software que se ejecuta dentro de la CPU o el chipset; los ejemplos más comunes son el PTT (Platform Trust Technology) de Intel y el fTPM de AMD. Ambos cumplen la especificación TPM 2.0 y satisfacen el requisito de Windows 11. Los TPM discretos se prefieren en entornos empresariales de alta seguridad, mientras que los fTPM son estándar en los PC de consumo y solo requieren un ajuste en la UEFI/BIOS para activarse.
Cómo elegir
1. Comprueba el estado actual del TPM en tu PC
En Windows, pulsa Win + R, escribe tpm.msc y pulsa Intro. La consola de administración del TPM mostrará la versión y el estado. Si indica «No se puede encontrar un TPM compatible», puede que el TPM simplemente esté desactivado en la configuración UEFI. Activar el fTPM en la BIOS suele resolver este problema.
2. Verifica el TPM al comprar un PC nuevo
Prácticamente todos los PC fabricados desde 2016 incluyen soporte para TPM 2.0, aunque puede estar desactivado por defecto en algunas placas base de escritorio. Al comprar un PC nuevo o ensamblar uno, confirma el soporte de fTPM o TPM discreto en las especificaciones de la placa base y actívalo en la configuración UEFI.
3. Activa BitLocker para el cifrado completo del disco
Con TPM 2.0 activo, las ediciones Pro y Enterprise de Windows te permiten activar el cifrado de unidad BitLocker con solo unos clics. El TPM gestiona las claves de cifrado de forma transparente, desbloqueando la unidad automáticamente en el arranque sin necesitar una contraseña adicional. Esto es especialmente valioso para los portátiles que salen de la oficina.
Conclusión
El chip TPM es un componente de seguridad fundamental que protege silenciosamente las claves de cifrado de tu PC, verifica la integridad del arranque y habilita funciones como BitLocker y Windows Hello. Ya sea un chip discreto o una implementación de firmware, asegurarse de que TPM 2.0 está activado es esencial para ejecutar Windows 11 y para proteger tus datos. Comprueba hoy el estado de tu TPM, actívalo si está desconectado y activa BitLocker para poner ese hardware de seguridad a trabajar protegiendo tus archivos.