AMD se enfrenta a una polémica incómoda por una función de seguridad que muchos usuarios avanzados daban por disponible en procesadores Ryzen de consumo. La característica se llama Transparent Secure Memory Encryption, o TSME, y permite cifrar de forma transparente toda la memoria RAM desde el firmware, sin intervención directa del sistema operativo. Su objetivo es reducir el riesgo de ataques físicos contra la memoria, como cold boot, extracción de módulos o escucha de señales en la interfaz DRAM.
El problema no es solo que TSME parezca haber desaparecido en determinados Ryzen no profesionales tras actualizaciones de firmware con AGESA 1.2.7.0. Lo más delicado es que el cambio habría ocurrido sin una explicación pública clara por parte de AMD, con BIOS que siguen mostrando la opción activada aunque el sistema ya no informe de memoria cifrada. En Windows, además, el usuario medio no tiene una forma sencilla de comprobarlo.
La investigación, iniciada por Ben Kilpatrick y seguida durante meses en GitHub, apunta a que el soporte de TSME dejó de funcionar en procesadores Ryzen de consumo mientras se mantiene activo en modelos Ryzen Pro. AMD, según las respuestas conocidas hasta ahora, ha indicado por correo que TSME es una función de seguridad aplicada solo a CPU Pro dentro de AMD PRO Technologies. La duda es si estamos ante una regresión introducida por firmware o ante una decisión de segmentación de producto que no se comunicó con la transparencia necesaria.
Qué es TSME y por qué importa
TSME es una variante transparente del cifrado de memoria de AMD. A diferencia de SME, que puede permitir al sistema operativo marcar páginas concretas de memoria como cifradas, TSME funciona desde el firmware y cifra toda la RAM con una única clave generada al arrancar por el AMD Secure Processor. Cuando está habilitado en BIOS y operativo, el sistema puede ejecutarse sin que el usuario o el sistema operativo tengan que gestionar manualmente qué páginas se cifran.
Su utilidad principal está en escenarios donde un atacante puede tener acceso físico al equipo o a sus módulos de memoria. No protege contra todos los ataques, ni sustituye al cifrado de disco, al arranque seguro o a una buena autenticación. Pero añade una capa importante: si alguien intenta extraer datos de la RAM fuera del flujo normal del sistema, esos datos deberían resultar mucho menos útiles.
| Tecnología | Qué hace | Quién la gestiona |
|---|---|---|
| SME | Permite cifrar páginas concretas de memoria | Sistema operativo o hipervisor |
| TSME | Cifra toda la memoria de forma transparente | Firmware/BIOS |
| SEV | Cifra memoria de máquinas virtuales | Plataforma de virtualización y hardware |
| AMD Memory Guard | Cifrado de memoria orientado a equipos AMD Pro | Plataforma Pro |
| Cifrado de disco | Protege datos almacenados en SSD/HDD | Sistema operativo y TPM |
El matiz es importante porque TSME se percibía como una capa práctica para usuarios que no querían complicarse con configuración del kernel, opciones de arranque o soporte específico del sistema operativo. Bastaba con que la BIOS expusiera la opción y el firmware la activara correctamente.
El hallazgo: la opción estaba en BIOS, pero no funcionaba
El caso empezó cuando Ben Kilpatrick, usuario de Linux preocupado por la privacidad, instaló un sistema operativo nuevo en un equipo con Ryzen 7 9700X y revisó el estado de seguridad de la máquina con Host Security ID, la auditoría de seguridad integrada en fwupd. El resultado le sorprendió: “Encrypted RAM” aparecía como no soportado, aunque TSME estaba habilitado en la BIOS.
Ese detalle abrió una investigación técnica que involucró a usuarios, ingenieros de AMD y el fabricante de placas MSI. Las pruebas compararon versiones de firmware y procesadores. Según los resultados comunicados, ciertos Ryzen de consumo mostraban TSME activo con firmware anterior, pero pasaban a “no soportado” con AGESA 1.2.7.0. En cambio, los Ryzen Pro mantenían el soporte.
| Elemento observado | Resultado |
|---|---|
| Ryzen de consumo con firmware anterior | TSME podía aparecer activo |
| Ryzen de consumo con AGESA 1.2.7.0 | TSME aparece como no soportado |
| Ryzen Pro | TSME sigue funcionando |
| Opción en BIOS | Puede seguir visible |
| Detección en Windows | No hay comprobación sencilla para el usuario |
| Detección en Linux | Requiere herramientas y conocimiento técnico |
La parte más preocupante no es que una función cambie de disponibilidad. Eso puede ocurrir por decisiones comerciales, requisitos de certificación, errores de firmware o limitaciones de soporte. Lo grave es que una opción de seguridad pueda aparecer activada en BIOS sin estar realmente operativa.
Bug de firmware o segmentación de producto
La gran pregunta sigue sin respuesta clara: ¿AMD ha desactivado TSME por error en Ryzen de consumo o ha decidido reservarlo para Ryzen Pro y EPYC? La diferencia es enorme. Si es un bug, debería corregirse. Si es una decisión comercial, debería comunicarse de forma explícita, porque afecta a la expectativa de seguridad de usuarios que ya habían comprado el producto.
El caso se complica porque hay antecedentes públicos en los que ingenieros de AMD habían tratado TSME como disponible o esperable en procesadores Ryzen no Pro, siempre que la BIOS de la placa lo expusiera. Esa memoria histórica choca con la nueva posición atribuida a AMD, donde TSME quedaría limitado a CPU Pro como parte de AMD PRO Technologies.
| Posible explicación | Implicación |
|---|---|
| Regresión en AGESA | AMD podría restaurar el soporte con nuevo firmware |
| Segmentación comercial | TSME quedaría reservado a Ryzen Pro y EPYC |
| Cambio de política no comunicado | Problema de transparencia con usuarios y fabricantes |
| Limitación de validación | AMD podría preferir soportarlo solo donde lo certifica |
| Error de exposición en BIOS | Los fabricantes de placas deberían retirar o aclarar la opción |
El silencio posterior de AMD no ayuda. Un ingeniero acabó respondiendo que no tenía más información que compartir. Puede ser una limitación comprensible en un repositorio técnico, pero deja sin respuesta a usuarios que intentaban saber si su equipo había perdido una protección real o si nunca debieron contar con ella.
Por qué no afecta igual a todos los usuarios
Para la mayoría de usuarios domésticos, la pérdida de TSME no cambia el riesgo diario de forma drástica. Los ataques contra RAM requieren acceso físico o escenarios muy concretos de hardware. No es una vulnerabilidad remota que permita entrar desde Internet, ni un fallo que convierta automáticamente a todos los Ryzen en sistemas inseguros.
El problema es más serio para portátiles, equipos que viajan, profesionales con información sensible, periodistas, abogados, activistas, investigadores, administradores de sistemas, usuarios que dependen de cifrado de disco y organizaciones donde el robo o incautación física de equipos sea un escenario realista. En esos casos, el cifrado de memoria añade una capa útil porque las claves de cifrado, sesiones abiertas, tokens y otros secretos pueden vivir temporalmente en RAM.
| Perfil de usuario | Impacto probable |
|---|---|
| Usuario doméstico de sobremesa | Bajo en la mayoría de casos |
| Gamer o PC de ocio | Bajo |
| Portátil personal que viaja | Medio, según datos manejados |
| Profesional con información sensible | Medio o alto |
| Empresa con políticas de seguridad física | Alto si contaba con cifrado de memoria |
| Activistas, periodistas o perfiles de riesgo | Alto en escenarios de incautación o robo |
| Infraestructura crítica | Debería usar hardware validado y gestionado |
La lectura correcta no es alarmista. Pero tampoco conviene minimizarlo. La seguridad física existe precisamente para proteger cuando las barreras lógicas ya no bastan.
TSME no sustituye al cifrado de disco
Un error habitual es confundir cifrado de memoria con cifrado de disco. Son capas distintas. BitLocker, LUKS, FileVault o soluciones similares protegen los datos almacenados cuando el equipo está apagado o bloqueado correctamente. TSME protege el contenido de la RAM frente a ciertos ataques físicos mientras el sistema está encendido, suspendido o en condiciones donde la memoria puede contener secretos.
Si un portátil cifrado está apagado, el cifrado de disco es la defensa principal. Si está encendido, desbloqueado o suspendido con claves cargadas en memoria, un atacante con capacidades físicas puede intentar extraer información de la RAM. Ahí es donde tecnologías como TSME o AMD Memory Guard tienen sentido.
| Capa | Protege frente a |
|---|---|
| Cifrado de disco | Robo de SSD/HDD o equipo apagado |
| TPM | Protección y sellado de claves |
| Secure Boot | Arranque de firmware/software no autorizado |
| Bloqueo de sesión | Acceso casual al equipo |
| TSME | Lectura física de DRAM en ciertos escenarios |
| MFA | Robo de credenciales de acceso |
| Apagado completo | Reduce exposición de secretos en RAM |
Para usuarios con amenaza física real, la recomendación sigue siendo apagar completamente el equipo al transportarlo, no solo suspenderlo, y combinar cifrado de disco, TPM, Secure Boot, contraseña fuerte y políticas de bloqueo.
El problema de fondo: una función invisible para el usuario
La parte más preocupante del caso es la falta de visibilidad. Una función de seguridad que se activa en BIOS, pero cuyo estado real no aparece claramente en Windows ni en herramientas normales, crea una falsa sensación de protección. El usuario cree tener una defensa que quizá ya no existe.
En Linux se puede investigar con fwupd, HSI, registros y comprobaciones técnicas más avanzadas. Pero incluso ahí no es algo evidente para la mayoría. En Windows, el problema es aún mayor porque no hay una herramienta integrada de uso común que diga claramente si la RAM está cifrada mediante TSME.
| Problema | Consecuencia |
|---|---|
| Opción visible en BIOS | El usuario cree que la función está activa |
| Firmware la desactiva internamente | La protección no existe |
| Windows no lo muestra fácilmente | La mayoría no detecta el cambio |
| Linux requiere auditoría técnica | Solo usuarios avanzados lo descubren |
| Falta de aviso oficial | No hay expectativa clara de soporte |
| Fabricantes de placas quedan en medio | BIOS puede prometer algo que el CPU/AGESA no activa |
En seguridad, la transparencia importa tanto como la función. Una protección que desaparece sin aviso puede ser peor que una protección nunca ofrecida, porque los usuarios toman decisiones confiando en ella.
AMD Pro, EPYC y el valor comercial de la seguridad
La posición atribuida a AMD encaja con una lógica habitual del mercado: reservar determinadas funciones de gestión, seguridad y administración para gamas profesionales. AMD Pro y EPYC están pensados para empresas, flotas gestionadas, estaciones de trabajo, servidores y entornos donde la seguridad forma parte del argumento de compra.
El problema es que TSME no era una función completamente ajena al mundo Ryzen de consumo. Había BIOS que la exponían, usuarios que la activaban y sistemas donde parecía funcionar. Si AMD quería acotarla a la línea Pro, la transición necesitaba una comunicación más clara.
| Gama | Enfoque |
|---|---|
| Ryzen de consumo | PC doméstico, gaming, estaciones personales |
| Ryzen Pro | Empresas, gestión remota, seguridad y flotas |
| Threadripper Pro | Workstations profesionales |
| EPYC | Servidores, cloud y confidential computing |
| AMD Pro Technologies | Seguridad, gestión y funciones empresariales |
La segmentación no es ilegítima por sí misma. Las empresas diferencian productos todo el tiempo. Lo discutible es retirar o bloquear una capacidad funcional en silicio mediante firmware sin una explicación pública suficiente, especialmente cuando afecta a seguridad.
Qué pueden hacer ahora los usuarios
Los usuarios que necesiten cifrado de memoria deberían primero comprobar si su caso de riesgo lo justifica. Para un PC fijo en casa, quizá no sea prioritario. Para un portátil con información sensible, sí puede serlo.
En equipos Linux, conviene revisar el estado con herramientas de auditoría como fwupdmgr security y comprobar si aparece “Encrypted RAM” como activo, no soportado o fallido. También puede ser útil revisar foros del fabricante de la placa, versiones de BIOS y changelogs de AGESA. En Windows, la comprobación es más difícil, por lo que la recomendación práctica es no asumir que TSME está funcionando en un Ryzen no Pro salvo confirmación técnica fiable.
| Medida | Recomendación |
|---|---|
| Revisar BIOS | Comprobar si TSME aparece, pero no confiar solo en eso |
| Auditar en Linux | Usar herramientas como fwupd/HSI cuando sea posible |
| Consultar firmware | Revisar versión AGESA y changelogs de la placa |
| Evitar suspensión en riesgo físico | Apagar completamente equipos sensibles |
| Usar cifrado de disco | BitLocker, LUKS o FileVault según sistema |
| Activar TPM y Secure Boot | Refuerza cadena de arranque y protección de claves |
| Evaluar Ryzen Pro o EPYC | Si el cifrado de memoria es requisito real |
| Pedir claridad al fabricante | AMD y vendors deberían documentar soporte real |
Para empresas, la recomendación es más directa: si TSME o cifrado de memoria era parte de una política de seguridad, hay que revisar inventario de hardware, versiones de firmware, estado real de la función y requisitos de compra futura. No basta con que una opción exista en BIOS.
Una crisis pequeña, pero simbólica
El impacto técnico inmediato puede ser limitado para la mayoría de usuarios, pero el impacto simbólico es mayor. AMD ha ganado durante años buena reputación entre entusiastas, desarrolladores y usuarios de Linux por ofrecer CPUs competitivas y, en muchos casos, funciones avanzadas que parecían abiertas más allá de gamas empresariales. Que una característica de seguridad desaparezca de forma poco visible erosiona esa confianza.
También recuerda una realidad incómoda: el hardware moderno depende mucho del firmware. Una CPU puede tener capacidad física para hacer algo, pero el firmware decide si se expone, se activa o se bloquea. El comprador no siempre controla lo que su hardware puede hacer después de una actualización.
Esta dependencia será cada vez más importante. Seguridad, virtualización, arranque, gestión energética, mitigaciones, aceleradores y funciones empresariales viven en una zona donde silicio, firmware, BIOS y sistema operativo negocian constantemente. Si una de esas capas cambia sin explicarlo, el usuario queda a oscuras.
AMD debe explicar qué ha ocurrido
AMD aún puede cerrar la polémica de forma razonable. Si se trata de una regresión, debería reconocerla y corregirla. Si se trata de una decisión de producto, debería documentar qué CPUs soportan TSME, desde qué versiones de firmware, bajo qué condiciones y qué deben hacer los usuarios que tenían la opción activada. Si la función nunca estuvo validada oficialmente para Ryzen de consumo, también debería decirlo con claridad.
La peor salida es dejar el asunto en una zona gris. En seguridad, la ambigüedad cuesta confianza. Los usuarios avanzados pueden aceptar que ciertas funciones queden reservadas a hardware profesional, pero no que desaparezcan sin aviso mientras la BIOS sigue sugiriendo lo contrario.
El caso no convierte a los Ryzen de consumo en procesadores inseguros para todo el mundo. Pero sí plantea una pregunta legítima: cuando una función de seguridad depende de firmware y política comercial, ¿cómo sabe el usuario qué protección tiene realmente?
Esa es la lección principal. El cifrado de memoria no es solo una casilla técnica. Es una promesa de protección. Y si esa promesa cambia, el fabricante debe decirlo de forma clara.
Preguntas frecuentes
¿Qué ha ocurrido con TSME en Ryzen de consumo?
Usuarios e investigadores han observado que TSME dejó de aparecer como soportado en ciertos Ryzen de consumo tras firmware con AGESA 1.2.7.0, mientras sigue funcionando en modelos Ryzen Pro.
¿Qué es TSME?
TSME, Transparent Secure Memory Encryption, es una función que cifra de forma transparente toda la memoria RAM mediante una clave generada al arrancar por el AMD Secure Processor.
¿Es una vulnerabilidad remota?
No. El riesgo principal afecta a ataques físicos contra la memoria, como cold boot, extracción de módulos o escucha de la interfaz DRAM. No permite por sí mismo atacar un equipo desde Internet.
¿A quién afecta más?
A usuarios con portátiles sensibles, profesionales con datos confidenciales, periodistas, activistas, empresas con riesgo físico y organizaciones que dependían de cifrado de memoria como requisito.
¿AMD lo ha explicado oficialmente?
AMD no ha publicado una explicación técnica detallada. La respuesta conocida hasta ahora indica que TSME forma parte de AMD PRO Technologies y se aplica a CPU Pro, pero no aclara del todo si el cambio fue bug, política o falta de validación.
¿Cómo puedo saber si tengo TSME activo?
En Linux puede comprobarse con herramientas de auditoría como fwupd/HSI, aunque requiere conocimiento técnico. En Windows no hay una comprobación sencilla para el usuario medio.
¿Qué debo hacer si necesito cifrado de memoria?
Conviene usar hardware que lo soporte oficialmente, como Ryzen Pro o EPYC, mantener firmware actualizado, activar cifrado de disco, TPM y Secure Boot, y apagar completamente el equipo en escenarios de riesgo físico.
Fuentes:
Ars Technica
Tom’s Hardware
AMD Developer Documentation
AMD Memory Encryption White Paper
AMD Memory Guard White Paper
Linux Kernel Documentation
fwupd
GitHub AMDESE
MSI
TechSpot
PC Perspective
vía: tomshardware
