Qué es el TPM 2.0 y por qué ahora es obligatorio en Windows 11

Informatec Digital » Recursos » Qué es el TPM 2.0 y por qué ahora es obligatorio en Windows 11

Si estás pensando en dar el salto a Windows 11, es muy posible que te hayas topado con el dichoso mensaje de que tu ordenador necesita TPM 2.0 activado para poder instalar el sistema. Y claro, lo normal es preguntarse: ¿qué es eso, por qué ahora es obligatorio y qué pasa si mi PC no lo tiene o no aparece por ningún lado?

En las últimas versiones de Windows, este pequeño componente ha pasado de ser algo casi desconocido a convertirse en una pieza clave para la seguridad y un requisito técnico imprescindible. Puede sonar muy técnico, pero la idea de fondo es bastante sencilla: es una especie de caja fuerte dentro de tu ordenador que guarda las llaves de todo lo importante.

Qué es TPM y qué papel juega en tu ordenador

Las siglas TPM vienen de Trusted Platform Module, que podríamos traducir como Módulo de Plataforma de Confianza integrado en la placa base. Se trata de un chip o de una funcionalidad integrada en el procesador que actúa como criptoprocesador seguro, es decir, un mini procesador dedicado exclusivamente a operaciones de seguridad y cifrado.

Este módulo se encarga de crear, almacenar y proteger claves criptográficas, contraseñas, certificados y otros datos sensibles que necesita el sistema operativo para garantizar que nadie pueda acceder a tu información sin permiso, incluso aunque tenga acceso físico al equipo.

El TPM no es un invento nuevo: lleva años utilizándose en entornos profesionales para reforzar la seguridad del hardware, sobre todo en empresas y administraciones públicas. Sin embargo, con la llegada de Windows 11 ha saltado al primer plano porque Microsoft lo ha convertido en un requisito obligatorio para poder instalar el sistema de forma oficial.

Desde el punto de vista físico, el TPM puede presentarse como un chip independiente soldado a la placa base o un módulo que se pincha en un conector específico. En muchos equipos modernos, sobre todo portátiles, la funcionalidad TPM ya viene integrada dentro de la CPU (Intel PTT, AMD fTPM), aunque a veces está desactivada de fábrica y hay que encenderla desde la UEFI/BIOS.

Qué hace realmente el TPM y por qué es tan importante

Lo más interesante del TPM es que actúa como un almacén seguro y aislado para las claves criptográficas y la información de autenticación. Las claves que se guardan en él no son accesibles directamente por el sistema operativo ni por las aplicaciones: sólo se pueden usar a través de comandos específicos del propio chip.

Cada TPM incorpora claves criptográficas propias, ligadas al dispositivo concreto. Una de ellas es la llamada Endorsement Key (EK), un par de claves RSA único que se genera en fábrica y que permanece dentro del chip, inaccesible para el software. A partir de esa EK se generan otras claves, como la llamada Storage Root Key, que se utiliza como base para cifrar el resto de claves que se almacenan en el módulo.

Además, el TPM puede generar una Attestation Identity Key (AIK), que sirve para comprobar de manera fiable el estado de arranque del sistema. El chip calcula hash o mediciones del firmware, la UEFI y partes críticas del sistema operativo durante el arranque, y puede enviar esas mediciones a un servidor que verifique si todo coincide con lo esperado. Si detecta cambios sospechosos, se considera que el dispositivo puede estar comprometido.

Gracias a este diseño, el TPM resulta muy útil para proteger frente a amenazas modernas como ataques de firmware, ransomware avanzado, manipulación del arranque o robo de datos mediante acceso físico. El atacante puede tener el disco duro en sus manos, pero sin las claves que están dentro del TPM, los datos cifrados seguirán siendo inservibles.

El estándar TPM no sólo define el chip, sino también todo un conjunto de especificaciones y comandos que mantiene el Trusted Computing Group (TCG), una organización sin ánimo de lucro encargada de actualizar y ampliar estas normas para adaptarlas a las nuevas necesidades de seguridad.

TPM 1.2 vs TPM 2.0: por qué Windows 11 exige la versión nueva

Durante muchos años, la versión más extendida fue TPM 1.2, estandarizada incluso como norma internacional ISO/IEC 11889. Esta versión ya permitía proteger claves, cifrar datos y verificar la integridad del sistema, pero estaba más limitada en los algoritmos de cifrado y en las funciones que podía ofrecer.

El salto a TPM 2.0 supuso una actualización importante de capacidades y flexibilidad. Entre otras mejoras, el nuevo estándar permite utilizar distintos algoritmos criptográficos de forma intercambiable, en lugar de estar prácticamente atado a SHA-1 como ocurría con TPM 1.2, lo que es fundamental para resistir mejor a ataques modernos.

TPM 2.0 incorpora también mejoras en la gestión de claves, en la protección de datos biométricos y en la verificación de firmas, y está diseñado para funcionar no sólo en PCs de sobremesa y portátiles, sino también en dispositivos con recursos más limitados, como tablets o equipos embebidos.

Por eso Microsoft decidió que, para Windows 11, el mínimo aceptable de seguridad a nivel de hardware sea TPM 2.0. Aunque Windows pueda funcionar técnicamente con un TPM 1.2, las funciones de seguridad más avanzadas y las futuras mejoras de la plataforma se apoyan ya en las capacidades extendidas de la versión 2.0.

En la práctica, esto significa que un equipo con TPM 1.2 puede ser capaz de mover Windows 11 desde el punto de vista de potencia, pero no cumplirá los requisitos oficiales de seguridad del sistema, y la instalación quedará fuera de las vías soportadas por Microsoft.

Para qué utiliza Windows el TPM en el día a día

En Windows 10 y, sobre todo, en Windows 11, el TPM se integra con un buen número de funciones de seguridad. No es algo que veas constantemente, pero está trabajando en segundo plano para proteger tus datos y tu identidad.

Una de las funciones más visibles es BitLocker, el sistema de cifrado de unidades de Windows. Cuando BitLocker está activado, el contenido del disco se cifra y la clave que permite descifrarlo se guarda (o se protege) mediante el TPM. De este modo, si alguien roba el disco o el portátil, sin las claves que residen en el módulo no podrá acceder a los datos aunque conecte la unidad a otro ordenador.

El TPM también se usa en Windows Hello, el sistema de inicio de sesión con reconocimiento facial, huella o PIN. Los datos biométricos y claves asociadas se vinculan al hardware de tu equipo gracias al chip, de forma que sean mucho más difíciles de robar o reutilizar en otro dispositivo.

Otra pieza clave es su relación con el Arranque seguro y el Arranque medido. Secure Boot se asegura de que sólo se cargue software firmado y de confianza durante las primeras fases del arranque, mientras que Measured Boot registra en el TPM las mediciones de cada componente que se va ejecutando. Esto permite detectar intentos de inyectar malware en el proceso de inicio del sistema.

Además, Windows puede combinar el TPM con tecnologías como Credential Guard o la protección de credenciales basada en virtualización. En este escenario, las contraseñas y tokens de acceso se aíslan en un entorno protegido y el TPM actúa como raíz de confianza criptográfica para que los atacantes lo tengan mucho más difícil a la hora de robar credenciales.

Otros usos habituales incluyen tarjetas inteligentes virtuales para autenticarse en recursos corporativos, protección frente a ataques de diccionario al intentar romper contraseñas, o almacenamiento seguro de certificados y claves para conexiones VPN, correo firmado digitalmente y navegación segura.

Diferentes tipos de implementación de TPM

Aunque siempre hablamos de “el TPM” como si fuese un único chip, en realidad existen varias formas de implementarlo, cada una con sus particularidades de seguridad. Todas ellas siguen las especificaciones del TCG, pero cambian a nivel físico o lógico.

Por un lado están los TPM discretos, que son chips dedicados y específicos soldados en la placa base. Son, en teoría, la opción más segura, ya que están diseñados para ser resistentes a manipulaciones físicas y se reducen las posibilidades de errores derivados de compartir espacio con otros componentes.

Otra opción muy extendida es el TPM integrado en la CPU principal, que incorpora mecanismos propios de seguridad y ofrece un nivel de protección cercano al del chip discreto, pero reduciendo costes y ganando comodidad para los fabricantes.

También existen TPM basados en firmware, que se ejecutan dentro del entorno de ejecución de confianza de la CPU. Siguen siendo bastante seguros y, para el usuario medio, ofrecen protección suficiente para el uso cotidiano y profesional.

En el extremo menos seguro se encuentran los TPM implementados únicamente por software, que básicamente emulan el comportamiento del módulo pero sin una raíz de confianza fuerte en el hardware, por lo que son susceptibles de ataques externos o vulnerabilidades del propio sistema operativo.

Por último, en entornos de virtualización es habitual usar TPM virtuales proporcionados por el hipervisor, que permiten que las máquinas virtuales dispongan de funciones similares sin necesitar un chip físico independiente para cada una.

Por qué Windows 11 hace obligatorio el TPM 2.0

El gran cambio con Windows 11 es que Microsoft deja de ver el TPM como un extra opcional y lo convierte en un requisito de seguridad de base. La idea es que todos los equipos que ejecuten el sistema cuenten con una raíz de confianza a nivel de hardware para resistir mejor el panorama actual de amenazas.

Hoy en día, los ataques no se limitan a virus sencillos; hablamos de ransomware sofisticado, malware que se engancha al firmware, intentos de robar credenciales y accesos remotos abusando de fallos de configuración. En este contexto, depender sólo del software de seguridad ya no es suficiente, y por eso Microsoft apuesta por integrar la protección directamente en el hardware.

Al exigir TPM 2.0, Windows 11 se asegura de poder habilitar de serie funciones como BitLocker, Windows Hello, Secure Boot, Arranque medido, Credential Guard y otras tecnologías basadas en virtualización, sin depender de que cada fabricante o usuario decida activarlas o no.

En muchos equipos fabricados a partir de 2016, sobre todo portátiles y PCs destinados a empresa, el TPM 2.0 ya venía incluido de fábrica, aunque a veces desactivado. En otros casos, especialmente en ordenadores montados por piezas o placas base de gama media y baja de hace unos años, el módulo no se integraba por defecto y había que añadirlo mediante un conector específico.

De ahí vienen muchas de las quejas de usuarios que tienen equipos muy potentes, perfectamente capaces de mover Windows 11, pero que se encuentran con que no pasan el filtro por carecer de TPM 2.0 o por tenerlo desactivado en la UEFI/BIOS.

Cómo saber si tu PC tiene TPM 2.0 desde Windows

Antes de dar por hecho que tu PC no sirve para Windows 11, conviene comprobar si realmente dispone de TPM 2.0 y, en caso afirmativo, qué versión está activa. Windows ofrece varias formas de hacerlo sin necesidad de instalar nada.

Una de las más sencillas es usar la Consola de administración de Microsoft para el TPM:

1. Pulsa la combinación de teclas Windows + R para abrir el cuadro “Ejecutar”.
2. Escribe tpm.msc (sin comillas) y pulsa Intro.
3. Se abrirá la ventana de administración del Módulo de plataforma segura.

Si en esa ventana aparece un mensaje del tipo “No se puede encontrar un TPM compatible” o “No se encuentra TPM compatible”, puede significar dos cosas: que tu equipo no dispone de este módulo o que está deshabilitado en la configuración de firmware. En el segundo caso, será necesario entrar en la UEFI/BIOS para activarlo.

Si, por el contrario, la consola indica que “TPM está listo para usarse” y muestra información del fabricante, tendrás que fijarte en el campo “Versión de especificación”. Si ahí aparece 2.0, tu PC cumple este requisito para Windows 11; si la cifra es inferior (por ejemplo, 1.2), el dispositivo no alcanzará el nivel exigido de seguridad.

Otra alternativa es recurrir a PowerShell con permisos de administrador. Abres PowerShell como administrador, escribes el comando get-tpm y pulsas Intro. Entre los datos mostrados, fíjate en el valor TpmPresent: si aparece en “False”, el módulo no está presente en la placa base; si es “True”, sí lo hay, y podrás comprobar también su estado y características.

También puedes consultar la aplicación Seguridad de Windows, en el apartado de “Seguridad del dispositivo” y “Procesador de seguridad”. Si no aparece esta sección, es probable que el TPM esté ausente o deshabilitado; si aparece, puedes entrar en “Detalles del procesador de seguridad” para ver la versión de la especificación.

Cómo activar el TPM 2.0 desde la UEFI/BIOS

Si tus comprobaciones indican que el TPM no está disponible pero sospechas que tu equipo es relativamente moderno, puede que el módulo esté simplemente desactivado en la configuración de firmware. En muchos PCs ensamblados por usuarios o en placas base de consumo, viene apagado por defecto.

Para cambiar esto tendrás que entrar en la UEFI/BIOS del equipo y localizar la opción relacionada con TPM o seguridad de plataforma. El camino exacto varía según el fabricante, pero en Windows puedes ir a Configuración > Actualización y seguridad > Recuperación y usar la opción “Reiniciar ahora” en Inicio avanzado.

Tras el reinicio, selecciona Solucionar problemas > Opciones avanzadas > Configuración de firmware UEFI > Reiniciar. Esto te llevará al menú de firmware, donde deberás buscar entre las opciones de seguridad, avanzado o similares. Cada fabricante usa nombres algo distintos, así que toca ir con calma.

En equipos con procesadores Intel, la función suele aparecer como “Intel PTT” o “Intel Platform Trust Technology”. En el caso de AMD, es frecuente encontrarla como “AMD fTPM” o “AMD PSP fTPM”. También puedes verla bajo etiquetas como “Dispositivo de seguridad”, “Soporte de dispositivo de seguridad”, “Estado del TPM” o “Trusted Computing”.

Una vez localizada la opción, tendrás que cambiar su estado a Enabled o Activado, guardar los cambios y reiniciar el equipo. Tras eso, al volver a Windows, deberías poder ver el TPM desde tpm.msc o desde la aplicación Seguridad de Windows y confirmar que cumple la especificación 2.0.

Ten en cuenta además que en muchos equipos el TPM trabaja de la mano del sistema de Secure Boot. Si este arranque seguro está desactivado, es posible que las opciones relacionadas con el módulo no se muestren o no se puedan usar correctamente. En esos casos, conviene activar primero Secure Boot y después comprobar de nuevo el estado del TPM.

Qué ordenadores suelen incluir TPM 2.0 y qué requisitos acompañan

En general, se considera que la mayoría de los ordenadores fabricados a partir de 2018 ya incorporan TPM 2.0 o su equivalente integrado. Si tu PC tiene menos de cinco o seis años, las probabilidades de que cuente con esta función, aunque esté apagada, son bastante altas.

Otra pista la dan los procesadores: los Intel de octava generación en adelante suelen venir preparados para usar TPM 2.0 a través de Intel PTT, mientras que en el ecosistema AMD lo habitual es que los Ryzen de segunda generación en adelante integren fTPM con soporte para esta versión.

De todas formas, el TPM no es el único requisito para Windows 11. El sistema también exige CPU de 64 bits con al menos dos núcleos a 1 GHz, 4 GB de RAM y 64 GB de almacenamiento. Aunque son especificaciones modestas para los estándares actuales, dejan fuera a una buena parte de equipos antiguos que aún siguen funcionando razonablemente bien con Windows 10.

En muchos PC de sobremesa montados por el propio usuario, las placas base de gama media y baja de hace unos años no incluían el módulo como estándar, sino únicamente un conector para añadirlo aparte. Esto ha generado una situación un tanto curiosa: máquinas muy potentes a nivel de CPU y gráfica, pero bloqueadas por la ausencia de un pequeño chip.

Quienes no quieran o no puedan instalar ese módulo adicional tienen que valorar si seguir con Windows 10 hasta el final de su soporte oficial o plantearse un cambio de hardware. El soporte de Windows 10 se extiende hasta octubre de 2025, así que aún hay cierto margen para tomar la decisión con calma.

Qué pasa si tu ordenador no tiene TPM 2.0

Si después de todas las comprobaciones confirmas que tu PC no dispone de TPM 2.0 ni posibilidad realista de añadirlo, las opciones se reducen. A nivel oficial, ese equipo no cumple los requisitos de Windows 11 y, por tanto, no podrás instalarlo a través de los canales estándar de Microsoft.

Existen métodos no oficiales para saltarse las comprobaciones de requisitos durante la instalación de Windows 11, modificando archivos de configuración o usando herramientas de terceros. Sin embargo, esto implica renunciar a parte del soporte y, sobre todo, asumir que estarás ejecutando el sistema sin el nivel de seguridad que Microsoft considera mínimo.

En dispositivos que no pueden montar un TPM 2.0, es importante valorar si compensa más apurar Windows 10 hasta el final de su ciclo, buscar alternativas como otros sistemas operativos o invertir en un equipo algo más moderno. Todo dependerá del uso que le des al ordenador y de la importancia que tenga para ti la seguridad integrada en el hardware.

Para muchos usuarios domésticos, puede ser una buena oportunidad para optar por equipos reacondicionados recientes que ya vienen con TPM 2.0 activado, capaces de ejecutar Windows 11 sin problemas y a un coste menor que un PC totalmente nuevo.

Aunque de primeras pueda parecer que el TPM es una imposición más, lo cierto es que su objetivo principal es proteger mejor tus datos, tus contraseñas y tus credenciales digitales. Puede que no interactúes con él directamente, pero está ahí como guardaespaldas silencioso de todo lo que importa en tu equipo.