TPM 2.0 en Windows 11: qué es, cómo comprobar si lo tienes y cómo habilitarlo

Lectura en: 6 minutos

El anuncio de Microsoft reveló detalles sobre Windows 11, pero sin duda el más polémico es TPM 2.0, que se define como un requisito de la nueva versión del popular sistema operativo. Aquí una introducción a TPM sobre qué es y cómo habilitarlo.

El rol de TPM

Los requisitos de Windows 11 anunciados el 25 de junio de 2021, que especificaban «TPM 2.0», captaron mucho la atención de los usuarios y los medios de comunicación.

Microsoft había anunciado la necesidad de implementar TPM 2.0 en ordenadores con Windows 10 a partir de 2016, pero se espera que sea obligatorio de forma definitiva con el lanzamiento de Windows 11 a finales de este año.

El Módulo de plataforma segura (TPM) es un módulo que proporciona una variedad de características de seguridad en un dispositivo.

Un módulo equipado con un motor de algoritmos de cifrado, un motor hash, un generador de claves, un generador de números aleatorios, una memoria no volátil (para almacenamiento de claves, etc.) y que se usa para crear y limitar el uso de claves criptográficas en el TPM.

En pocas palabras, es un mecanismo para administrar las claves de cifrado en una ubicación segura.

Por ejemplo, si bloqueas una caja fuerte, es probable que alguien la abra si dejas la caja fuerte y su llave en el mismo lugar, pero puedes proteger el contenido de la caja fuerte almacenando la clave en un lugar diferente (es decir, TPM) y controlando estrictamente quién puede sacar esa llave.

TPM tiene versión 1.2 y 2.0, pero la 2.0 tiene mejoras significativas y especificaciones muy diferentes. Específicamente, además de la RCA convencional como algoritmo de cifrado, también está disponible ECC, y la jerarquía para administrar claves está separada de uno a tres niveles.

Hay que tener en cuenta que los equipos más antiguos pueden admitir TPM 1.2, pero no es suficiente para cumplir los requisitos de Windows 11 descritos anteriormente.

Ejemplos de uso del TPM

Un ejemplo de uso de TPM sería BitLocker en Windows.

BitLocker es una característica que protege los datos mediante el cifrado del almacenamiento del dispositivo. En caso de que el dispositivo sea robado o eliminado, los datos pueden permanecer confidenciales.

También podemos supervisar el proceso de arranque y restringir el descifrado del almacenamiento si detecta un inicio no autorizado.

Por ejemplo, imagínate cifras una unidad con BitLocker en un equipo e intentas arrancarla desde otro sistema operativo como un medio USB.

Durante el arranque, el TPM y el firmware del sistema trabajan juntos para registrar las medidas de arranque de un sistema permitido (código de firmware UEFI/BIOS y configuración del equipo, la secuencia y componentes de arranque, configuración bcd,etc.). Sin embargo, si intentamos arrancar desde otro medio, como USB, estos valores registrados cambiarán en tiempo real.

Al detectar esto, se puede prohibir el acceso a la clave de cifrado de BitLocker en el TPM para descifrar el almacenamiento, lo que da como resultado un estado que no permite arrancar.

También se usa en Credital Guard y Windows Hello para empresas, así como en las características de seguridad de Windows.

TPM discreto y TPM de firmware (fTPM)

El «Módulo de plataforma segura» ampliamente conocido como TPM es un TPM de tipo discreto. Se utiliza habitualmente en los PCs de empresa, en los que se instala un módulo/chip TPM en la placa base.

En este tipo de equipos, es fácil entender si admiten o no TPM porque se indica en la lista de especificaciones, pero en los productos de consumo, los módulos TPM de tipo discreto rara vez se instalan en primer lugar.

Las placas base que solemos adquirir los usuarios domésticos suelen tener un conector incorporado para instalar el módulo TPM de manera opcional, que normalmente se vende por separado, pero los ejemplos de instalación y uso reales son probablemente minoritarios.

Entonces, si no compras el módulo TPM 2.0, ¿es imposible utilizar Windows 11 en el PC de un usuario doméstico? No exactamente…

Recientemente, el TPM de firmware (fTPM), que utiliza la función TPM instalada en el chipset o SoC de la CPU en combinación con el firmware de la placa base, se ha convertido en algo común, y es posible utilizar TPM 2.0 en la mayoría de los casos (excepto cuando hablamos de CPUs antiguas o una placa base que no soporta el firmware). Por lo tanto, generalmente solemos encontrar que TPM 2.0 ya está disponible en los ordenadores más modernos.

Dicho esto, aunque hay algunos casos en los que el soporte de TPM difiere según el fabricante o el modelo, en muchos casos está disponible de forma estándar incluso para productos de consumo como los ordenadores portátiles y de sobremesa.

Por ejemplo, en el caso de las plataformas Intel, podemos comprobar la lista de especificaciones del chipset para ver si es compatible con Intel PTT (Platform Trust Technology). Los chipsets de la 6ª generación (Skylake) de Intel de la serie 100 también lo soportan, así que, a menos que tengas un PC sumamente antiguo, puedes asumir que será compatible.

En la plataforma Intel, comprueba que en las especificaciones de tu chipset está disponible la tecnología «Intel Platform Trust Technology (Intel PTT)».

Por otro lado, las plataformas de AMD han anunciado la compatibilidad con fTPM en la serie Ryzen PRO para clientes corporativos, pero no se especifica la compatibilidad con fTPM en la serie Ryzen para consumidores.

Aún así, hay casos en los que fTPM si está disponible, por ejemplo en el Ryzen 3900X.

¿Cómo saber si tú PC tiene TPM 2.0?

Desde que se dieron a conocer los estrictos requisitos mínimos de Windows 11, han aparecido numerosas aplicaciones, tanto oficiales como de terceros, para comprobar si nuestro PC es compatible con Windows 11 y, por ende, saber si tenemos TPM 2.0.

Comprobación de estado del PC
Microsoft lanza «PC Health Check» para comprobar si nuestro PC puede ejecutar Windows 11

Por una parte, cuando Microsoft anunció oficialmente Windows 11 el día 25, lanzó al mismo tiempo un programa para comprobar su compatibilidad. Sin embargo, la versión que se publicó inicialmente sólo mostraba como resultado la posibilidad o no de ejecutar Windows 11 sin entrar en detalles, por lo que no podíamos saber de ninguna manera qué requisitos eran los que no cumplíamos.

Comprobar la compatibilidad con Windows 11

La herramienta conocida como «Comprobación de estado del PC» (en inglés PC Health Check), ya ha sido retirada temporalmente por Microsoft de su sitio web hasta nuevo aviso y han reconocido que «no estaba preparada para ofrecer un análisis detallado de por qué un PC con Windows 10 no cumple los requisitos para ejecutar Windows 11».

No obstante, pocos días más tarde, concretamente el día 27, se publicó en GitHub una aplicación de terceros llamada WhyNotWin11 que se ha ganado todo el protagonismo.

WhyNotWin11

Cuando ejecutamos WhyNotWin11, podemos ver de un solo vistazo si Windows 11 es compatible o no con nuestro equipo y por qué. Su funcionamiento es sencillo: comprueba varios elementos como la CPU, el método de arranque y la versión de TPM de forma automática y los colorea según su resultado. Los requisitos cumplidos aparecerán con un «OK» sobre un fondo verde, los elementos no compatibles con una «X» sobre un fondo rojo, y «?» (un interrogante) sobre un fondo amarillo para los elementos desconocidos.

Además, si ya estás seguro de cumplir la mayoría de los requisitos de Windows 11 y lo único que quieres saber es si tu equipo dispone de TPM 2.0 o no, hay formas de saberlo sin necesidad de descargarse nada externo.

BitLocker

Si intentas habilitar BitLocker para la unidad del sistema en la configuración de BitLocker en el Panel de Control, te dirá si TPM está desactivado.

comprobar tpm 2.0 con bitlocker

Administrador del Módulo de plataforma segura (TPM)

Si hacemos clic en el enlace «Administrar TPM» de la pantalla de configuración de BitLocker anterior, o ejecutamos «tpm.msc» en Ejecutar (WIN+R), también podemos ver si el TPM está habilitado o no en nuestro PC.

como saber si tengo tpm 2.0 en mi pc

Administrador de dispositivos

Comprueba si «Módulo de plataforma segura 2.0» aparece en «Dispositivos de seguridad» del Administrador de dispositivos.

chip de seguridad tpm 2.0

Cómo saber si tu PC tiene TPM 2.0 con PowerShell

Para terminar, otra forma más de comprobar si el TPM 2.0 está disponible en tu PC es ejecutando el comando «Get-Tpm» en PowerShell.

tpm 2.0 como saber si lo tengo

Cómo borrar los valores del TPM

Es posible borrar y restablecer los valores del fTPM en la pantalla de configuración UEFI. Pero hay que tener cuidado con esto. Si lo borras por descuido, la clave almacenada en el TPM también se borrará. Si el fTPM está habilitado y el cifrado BitLocker está configurado, debes tener cuidado de no borrarlo.

Además, dependiendo de la placa base se mostrará un mensaje de advertencia, pero en el caso de Ryzen, si sustituimos la CPU, también se sustituirán los datos del TPM (porque el TPM está instalado en el SoC de la CPU), por lo que si piensas en cambiar de procesador al instalar Windows 11, hay que tener cuidado con el manejo de la llave. BitLocker, por ejemplo, puede no ser capaz de iniciarse a menos que se sustituya la CPU después de desbloquearla previamente.

Conclusión

En mi humilde opinión no debes volverte loco con TPM 2.0 y los requisitos de Windows 11 en general. Si tienes un PC antiguo, no caigas en el error de montarte uno nuevo solo porque te preocupa no poder ejecutar Windows 11.

Todos sabemos que en este momento los precios del mercado de los diferentes componentes, especialmente las placas base y las tarjetas gráficas, están desorbitados, así que montarse un ordenador por piezas en los tiempos que corren sería una mala idea si no quieres pagar un precio por encima de su valor.

Por otra parte, recomiendo comprobar la compatibilidad con tu PC poco antes del lanzamiento de la versión final de Windows 11, ya que hasta entonces puede que la lista de CPUs AMD e Intel soportadas oficialmente en Windows 11 esté sujeta a cambios, por lo que si a día de hoy tu CPU no aparece en la documentación oficial como soportada, no implica que el día de mañana, en la versión final, tampoco lo sea.

De la misma manera, puede que Microsoft ceda ante el feedback negativo de los usuarios entorno al TPM y nos permita instalar Windows 11 independientemente de si tenemos o no conectado un módulo TPM 2.0 o una versión inferior.

Lo que está claro es que es demasiado pronto para sacar conclusiones y tendremos que esperar como mínimo hasta finales de este año para aclarar (Microsoft también) un poco nuestras ideas.

Déjame en los comentarios tu opinión sobre Windows 11 y sus requisitos, si los cumples o no y qué piensas hacer al respecto.

Acerca de Alex Monrás

Editor jefe y propietario de DominioGeek. Siguiendo sin interrupción los últimos acontecimientos tecnológicos. Tengo unos 15 años de experiencia como bloguero, escribiendo para ayudar a comprender mejor el universo de la tecnología y los sistemas operativos.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Send this to a friend