TPM 2.0: cómo funciona el Trusted Platform Module 2.0

El Trusted Platform Module (TPM) designa a los chips de seguridad que se integran en la placa base de un portátil u ordenador. Mediante funciones de seguridad básicas, el TPM crea un entorno seguro para comprobar la integridad del sistema, autenticar a los usuarios o almacenar claves criptográficas y contraseñas. La versión TPM 2.0, lanzada en 2018, añade nuevas funciones como, por ejemplo, el uso de diferentes algoritmos hash, números de identificación personal y gestión de claves definidas por el usuario.

Breve resumen: ¿qué significa TPM?

La mayoría de los usuarios están familiarizados con los mecanismos comunes de protección contra malware, rootkits o ransomware. Además de los firewalls, también debemos incluir los antivirus o la autenticación de dos factores. En este contexto, el TPM es un chip de seguridad que añade otra capa de seguridad a un sistema.

El chip TPM integrado físicamente en los portátiles y ordenadores se utiliza para la autenticación de dispositivos y usuarios, así como para comprobar la integridad del sistema o las licencias de software. Otra función importante es el almacenamiento de claves criptográficas, contraseñas y certificados. El TPM crea un entorno seguro y protegido contra la manipulación, en el que se comprueban secuencialmente los componentes del software y del hardware para asegurar la seguridad durante el proceso de arranque. Si se detecta una alteración por comparación con las métricas almacenadas, el TPM hace sonar la alarma. Mientras que los TPM solían ser chips de seguridad independientes, los nuevos ordenadores y portátiles suelen venir con la funcionalidad TPM integrada.

¿Qué es el TPM 2.0?

El TPM fue desarrollado por el consorcio informático TCG (Trusted Computing Group), y normalizado en 2009 por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (CEI) como ISO/IEC 11889:2009. El primer TPM definitivo se presentó el 3 de marzo de 2011 como TPM versión 1.2. Con TPM 2.0, el nuevo estándar TPM salió en 2019 como ISO/IEC 11889:2015 con nuevas características de seguridad. Se han realizado optimizaciones en la arquitectura y estructura del TPM, así como en los comandos y rutinas de apoyo del TPM, entre otras cosas.

¿Dónde está el TPM 2.0?

Como los chips TPM 2.0 actúan como procesadores dedicados, se integran directamente en la placa base de un portátil u ordenador. Por regla general, la mayoría de los nuevos ordenadores y portátiles tienen TPM integrados de fábrica y compatibilidad con TPM. Además, todavía se pueden conseguir placas base que no ofrecen chips TPM 2.0 preinstalados, pero que incluyen una ranura para un chip adicional. Así, puede integrarse un chip de seguridad TPM sin depender de la CPU. Cuando se adquieren chips TPM por separado, generalmente se recomienda utilizar chips que provengan del mismo fabricante de placas base y hayan sido fabricadas el mismo año.

¿Es necesario el TPM 2.0 para Windows 11?

Con el lanzamiento de Windows 11, TPM 2.0 se convirtió en un requisito de hardware para el sistema operativo Windows 11. Es posible que algunos usuarios de Windows no se hayan dado cuenta de que el TPM 2.0 existía hasta que actualizaron a Windows 11. Si tu ordenador no tiene TPM o la función TPM está deshabilitada, aparecerá una notificación informando que el TPM no está disponible o no es compatible. Además, se requiere una UEFI (Unified Extensible Firmware Interface) con función de arranque seguro.

El TPM 2.0 se utiliza en Windows para las siguientes funciones, entre otras:

  • Windows Hello: control de acceso e identificación biométrica mediante huella dactilar y/o escaneo del iris, reconocimiento facial a través de la clave de aprobación (EK) y la clave de identidad de atestación (AIK).
  • Cifrado de unidades BitLocker: para el cifrado de volúmenes lógicos y, por tanto, de unidades completas.
  • Tarjetas inteligentes virtuales: al igual que las tarjetas inteligentes físicas, estas tarjetas se utilizan para controlar el acceso a sistemas y recursos externos.
  • Medición del arranque de TPM: mediante el uso de métricas TPM en el estado de arranque de Windows, se puede comprobar la integridad de los componentes del sistema y las configuraciones de Windows midiendo las secuencias de arranque.
  • Certificados de la AIK: los certificados AIK almacenados en el TPM comparan los datos de arranque medidos con las métricas anteriores del estado del dispositivo.
  • Defensa contra los ataques de diccionario: protege contra ataques de fuerza bruta que intentan eludir la protección de las contraseñas mediante la consulta automática de las listas de diccionario.
  • Credential Guard: aísla las credenciales y los datos de los usuarios y protege las claves almacenadas mediante una auditoría de seguridad basada en la virtualización.

¿Cuáles son las ventajas de Trusted Platform Module 2.0?

Las funciones del TPM 2.0 ofrecen las siguientes ventajas:

  • Generar y almacenar claves criptográficas, contraseñas y certificados para métodos de encriptación con múltiples garantías.
  • Detectar la manipulación del código de la BIOS a través de un valor de comprobación en el registro de configuración de la plataforma (PCR) 17.
  • Ofrecer una nueva función de intercambio de algoritmos para el uso en paralelo de diferentes algoritmos.
  • Admitir números de identificación personal, así como datos de posicionamiento basados en controles de acceso biométricos o globales, mediante firmas de verificación.
  • Usar claves criptográficas, aunque sea de forma limitada o condicional.
  • Disfrutar mayor flexibilidad de uso, también en dispositivos con menos recursos.
  • Verificar las licencias de software mediante la gestión de derechos digitales (DRM).
  • Garantizar la integridad de la plataforma mediante métricas de configuración que comprueban la seguridad de las secuencias de arranque y los cambios.
  • Autenticación por hardware del sistema operativo a través de sistemas criptográficos RSA.
  • Las “Endorsement Keys” (EK) y las “Attestation Keys” (AIK) utilizan hashing para verificar la integridad y la seguridad del sistema.
  • En combinación con firewalls seguros, tarjetas inteligentes, protección de acceso biométrico y programas antivirus, se puede optimizar la protección contra el malware, el ransomware, los ataques de fuerza bruta y el phishing.

¿Cómo comprobar el TPM 2.0 en tu propio dispositivo?

¿Quieres saber si tu dispositivo Windows ya tiene TPM 2.0? Usa los siguientes métodos para comprobar si ya está instalado y cuál es su estado. Ten en cuenta, sin embargo, que incluso los chips TPM 2.0 integrados de fábrica no siempre se activan automáticamente.

Activar la herramienta de gestión de TPM 2.0

Paso 1. Introduce el comando “tpm.msc” en la línea de búsqueda de Windows para abrir la herramienta de gestión de TPM integrada.

Paso 2. Si tu ordenador o portátil tiene un chip TPM 2.0 dedicado, la ventana del menú que aparece te mostrará información sobre la versión del TPM. Si no hay TPM 2.0, Windows te dirá que no hay componentes TPM compatibles.

Activar el Administrador de Dispositivos

Paso 1. Presiona [Windows] + [X] para abrir el menú administrativo. A continuación, ve al “Administrador de dispositivos”.

Paso 2: Continúa hasta “Dispositivos de seguridad”, en el menú de la izquierda, y haz clic en él. Si está disponible, verás “Módulo de plataforma segura 2.0”.

Activar el símbolo del sistema

Paso 1. Presiona la combinación de teclas [Windows] + [R] para abrir el diálogo “Ejecutar”. Introduce “cmd” y presiona [Windows] + [Shift] + [Enter]. De este modo, iniciarás el símbolo del sistema con derechos de administrador.

Paso 2. Ahora usa el siguiente comando y luego presiona [Enter]:

wmic /namespace:\\root\cimv2\security\microsoftTPM 2.0 path win32_TPM 2.0 get /value.
shell

Si el TPM 2.0 está presente, encontrarás información sobre la versión del TPM en la última línea “SpecVersion=”.

¿Cómo activar y desactivar manualmente el TPM 2.0?

El estado del TPM 2.0 depende de la antigüedad de tu portátil u ordenador. Los ordenadores más nuevos suelen tener TPM preintegrados que se pueden activar por defecto. Sin embargo, no es posible decir de forma generalizada si la funcionalidad está realmente activada por defecto. En algunos casos, esto puede requerir una actualización de tu BIOS o UEFI.

Si es necesario, existen las siguientes opciones para activar y desactivar el TPM 2.0:

Activar o desactivar TPM 2.0 en la BIOS

Paso 1. Reinicia y accede a tu BIOS. Según el sistema operativo o del dispositivo, tendrás que usar la tecla [F2], [F12] o [Del] mientras el sistema esté iniciando. Ten en cuenta que siempre debes crear una copia de seguridad del sistema y una copia de seguridad para las claves, contraseñas y certificados importantes antes de realizar cambios en la BIOS.

Paso 2. Ve a “Security” en la BIOS y navega hasta “Trusted Computing”.

Paso 3. Activa el elemento “Security Device Support”.

Paso 4. Abre “PTT” en “TPM 2.0-Device” y activa este elemento.

Paso 5. Después de guardar los cambios, tendrás que reiniciar. Para desactivarlo, basta con deshacer los cambios.

Activar o desactivar el TPM con la herramienta de gestión TPM 2.0

Paso 1. Introduce el comando “tpm.msc” en la línea de búsqueda de Windows y presiona [Enter].

Paso 2. En la herramienta de gestión de TPM, ve hasta “Administración de TPM en el equipo local”. En la página “Activar el hardware de seguridad TPM 2.0” verás ahora información detallada sobre los siguientes pasos.

Paso 3. Haz clic en “Apagar” o “Reiniciar”. A continuación, sigue las secuencias de pasos UEFI especificadas.

Paso 4. Durante el proceso de puesta en marcha, acepta la reconfiguración del TPM 2.0. De este modo, el sistema garantiza que solo los usuarios autentificados realicen cambios. Así tendrás activado el TPM 2.0 en Windows.

Paso 5. Para desactivar el TPM, ve a “Administración de TPM en el equipo local” en la herramienta de gestión del TPM. En el cuadro de diálogo que aparece, selecciona “Desactivar el hardware de seguridad TPM 2.0” y especifica si prefieres insertar la contraseña de propietario mediante un medio extraíble, si quieres introducirla manualmente o desactivarla sin introducir la contraseña.

¿Cuál es la consecuencia de desactivar un TPM 2.0?

Ya sea para solucionar problemas, reinstalar o actualizar, eliminar o desactivar el TPM 2.0, puede causar una pérdida de datos involuntaria. Los datos en riesgo incluyen las claves criptográficas, los certificados y las contraseñas almacenadas en el TPM 2.0. Toma las siguientes medidas de seguridad preventivas:

  • Establecer un método de copia de seguridad/restauración de los datos almacenados a través de TPM 2.0.
  • La eliminación o desactivación del TPM 2.0 solo debe realizarse en los propios dispositivos del usuario o con el permiso de los administradores responsables.
  • Revisa la información en el manual del fabricante o en la página web del fabricante sobre el TPM.
  • Si es posible, desactiva el TPM 2.0 mediante la herramienta de gestión del TPM o crea una copia de seguridad del sistema antes de realizar cambios en la BIOS.

¿Qué tipos de TPM 2.0 existen?

Dependiendo de la implementación, se puede distinguir entre los siguientes tipos de TPM 2.0:

  • TPM 2.0 discreto: el TPM 2.0 discreto es un chip de seguridad dedicado que ofrece compatibilidad con varios algoritmos de cifrado, protección contra manipulaciones y baja susceptibilidad a los errores.
  • TPM 2.0 de base física: los TPM integrados en las CPU proporcionan características de seguridad física para proteger contra la manipulación y el malware.
  • TPM 2.0 basado en firmware: comparable al TPM 2.0 basado en físico, el TPM 2.0 basado en firmware utiliza un entorno de CPU seguro para evitar la manipulación y los cambios no autentificados.
  • TPM 2.0 virtual: los hipervisores pueden crear un TPM 2.0 virtual, independiente de las máquinas virtuales, para generar tus claves de seguridad.
  • TPM 2.0 basado en software: debido a las escasas ventajas de seguridad y a la mayor vulnerabilidad a los errores/malware, los TPM 2.0 basados en software no se recomiendan.
¿Le ha resultado útil este artículo?
Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continua navegando, consideramos que acepta su uso. Puede obtener más información, o bien conocer cómo cambiar la configuración de su navegador en nuestra. Política de Cookies.
Page top