Han pasado varios días desde el lanzamiento de Windows 11, pero todavía existen muchos interrogantes respecto al nuevo sistema operativo. Especialmente en lo que refiere a la compatibilidad de componentes y, particularmente, la obligatoriedad de contar con un TPM 2.0 en el ordenador.
Muchos usuarios todavía no saben si su PC puede actualizarse o no a Windows 11, y buena parte de la responsabilidad recae sobre Microsoft. La corporación de Redmond ha generado bastante confusión con los requisitos mínimos de Windows 11 y la flexibilidad de los mismos. Las idas y vueltas de la empresa no solamente están relacionadas a la obligatoriedad de TPM 2.0, sino también a los procesadores compatibles.
Pero, ¿qué es un TPM 2.0? ¿Por qué es tan importante que mi PC tenga uno? ¿Es posible instalarlo? ¿Qué tipos de TPM existen? En este artículo respondemos a todas esas dudas que puedes tener sobre uno de los requisitos más controvertidos de Windows 11.
¿Qué es TPM 2.0 y por qué es imprescindible para instalar Windows 11?
TPM es la sigla en inglés de Trusted Platform Module (Módulo de Plataforma de Confianza), y se ha convertido en protagonista de la última novela relacionada con Windows 11. Se trata de un chip dedicado aislado del resto del equipo que almacena y gestiona diversos datos sensibles de un PC. El pequeño componente está presente en la placa base del PC y podemos encontrarlo en muchos equipos desde 2016 en adelante.
De hecho, fue Microsoft la compañía que "presionó" a los fabricantes para la incorporación de TPM 2.0 en sus equipos. De hecho, se impuso como condición para la certificación de hardware compatible con Windows 10. Sin embargo, recién ahora aparece como un hipotético impedimento para la instalación de Windows 11, por más que los demás requisitos se cumplan con holgura.
Entonces, ¿por qué Microsoft insiste en la obligatoriedad de TPM 2.0 para la instalación de Windows 11? Esto dijo la compañía, a través de David Weston, director de Seguridad Empresarial y de Sistema Operativo:
El propósito [de TPM] es ayudar a proteger las claves de cifrado, las credenciales de usuario y otros datos confidenciales detrás de una barrera de hardware para que el malware y los atacantes no puedan acceder o manipular esos datos.
Los ordenadores del futuro necesitan esta moderna root-of-trust (raíz de confianza) de hardware para ayudar a protegerse de amenazas tanto comunes como elaboradas, como el ransomware y ataques más sofisticados de los estados-nación. Requerir el TPM 2.0 eleva el estándar de seguridad del hardware al solicitar esa raíz de confianza incorporada.
TPM 2.0 es un componente fundamental para brindar seguridad junto a Windows Hello y BitLocker, que ayudan a los clientes a proteger mejor sus identidades y datos.
Comprender los distintos tipos de TPM
Muchas de las dudas en torno a Windows 11 y la compatibilidad de los ordenadores con TPM 2.0 fueron alimentadas por la propia Microsoft. Originalmente, la documentación del nuevo sistema operativo hablaba de un "piso blando" y un "piso duro" en referencia a las especificaciones de hardware que se debían cumplir.
De esta manera, se establecían parámetros mínimos de requerimientos (por debajo de los recomendados) para instalar y ejecutar el SO. Así, por ejemplo, se podría utilizar Windows 11 en equipos con procesadores no compatibles o con TPM 1.2. Esto último implicaba un alivio importante, ya que TPM 1.2 está disponible desde marzo de 2011 y es factible de hallar en ordenadores más antiguos. Sin embargo, la compañía de Redmond eliminó dicha información de su sitio web sin explicar los motivos.
Lógicamente, la versión 2.0 de TPM es bastante más avanzada y completa que la 1.2. Como explica dynabook en su página de soporte, TPM 1.2 solo permite el uso del sistema criptográfico RSA y al algoritmo de hash seguro SHA-1. Por su parte, TPM 2.0 es más flexible en lo que respecta a los algoritmos criptográficos. Soporta métodos más nuevos y brinda "una experiencia más consistente" a través de diferentes implementaciones.
Queda claro que existen varias diferencias más entre ambas versiones, pero nos enfocamos en lo más simple y evidente. Así es más sencillo comprender por qué Microsoft habría dado marcha atrás en la compatibilidad de Windows 11 con tecnología de seguridad que tiene una década de antigüedad.
fTPM, una alternativa a tener en cuenta
Existe una variante de TPM llamada fTPM, o TPM basado en firmware. Un punto destacado es que su funcionamiento no requiere de la instalación de un chip dedicado en la motherboard. Esto convierte a fTPM en una alternativa común de ver en ordenadores portáles.
[En fTPM] el código se ejecuta en la CPU principal, por lo que no se requiere un chip separado. Mientras se ejecuta como cualquier otro programa, el código se encuentra en un entorno de ejecución confiable (TEE), separado del resto de los programas que corren en la CPU.
Al hacer esto, las claves privadas que el TPM podría necesitar, pero que otros no deberían acceder, pueden mantenerse en el TEE, creando una ruta más difícil para los piratas informáticos.
dynabook
Sin dudas, es una alternativa interesante a tener en cuenta a la hora de ver si nuestro PC es compatible o no con Windows 11. Por ejemplo, la librería AGESA, de AMD, ofrece soporte para fTPM 2.0 directamente con la BIOS de las placas base compatibles.
¿Cómo saber si tenemos un chip TPM 2.0 en nuestro ordenador y cómo activarlo?
Para saber si nuestro ordenador cuenta con TPM 2.0 debemos simplemente escribir tpm.msc en el buscador del menú inicio de Windows. Inmediatamente, se abre una ventana llamada "Administración del Módulo de Plataforma Segura en el equipo local". Una vez allí es posible ver el estado, el nombre del fabricante, y las versiones del chip y de la especificación. En este último caso debe verse la inscripción 2.0.
Es posible que tu PC tenga un chip TPM 2.0, pero que se encuentre desactivado de modo predeterminado. Si deseas activarlo puedes hacerlo manualmente desde la opción "Preparar TPM". Otra opción es realizarlo desde la BIOS, chequeando el apartado avanzado o de seguridad. Dependiendo del modelo de placa base puedes encontrarte con opciones similares, pero bajo denominaciones un tanto cambiantes. Recuerda que la instalación de Windows 11 también requiere tener Secure Boot activo.
¿Es posible añadir un chip TPM 2.0 en mi ordenador?
La respuesta es breve: sí, es posible. Un chip TPM 2.0 se puede incorporar a la motherboard de un PC con suma facilidad. De hecho, se consiguen en las principales tiendas en línea y, por lo general, son económicos. De todos modos, vale considerar que tras el anuncio de Windows 11 aparecieron especuladores que dispararon el precio de este componente. Por dicho motivo es importante tener precaución y no dejarse llevar por los aprovechadores que están siempre a la orden del día en la web.
Conclusión
TPM 2.0 es una barrera de seguridad extra que Microsoft convierte en obligatoria para Windows 11, y no está mal que sea de esa manera. El problema es la falta de consistencia en los anuncios con respecto a los requisitos de hardware, y la confusión que eso conlleva cuando la información no es clara.
Con el lanzamiento de la primera versión del nuevo sistema operativo, seguramente tendremos más datos que nos ayuden a comprender cómo funciona y si es posible llevarlo fuera de los límites establecidos por su desarrollador.