AMD desactiva silenciosamente cifrado de memoria en Ryzen

¿Qué ha ocurrido?

AMD ha desactivado de forma silenciosa la función Transparent Secure Memory Encryption (TSME) en sus procesadores Ryzen para consumo. Según reporta The Next Web, esta característica, que cifraba toda la RAM con una clave generada por hardware que cambiaba en cada arranque, ha sido eliminada mediante una actualización de firmware (AGESA). La noticia ha sido confirmada por varios foros técnicos y entusiastas que notaron la ausencia de la opción en BIOS/UEFI tras actualizar a versiones recientes de AGESA, como la 1.2.0.8 o posteriores.

TSME no debe confundirse con SME (Secure Memory Encryption), presente en procesadores EPYC y Ryzen Pro. Mientras SME permite al sistema operativo decidir qué páginas de memoria cifrar, TSME lo hacía de forma transparente para todo el contenido de la RAM, sin intervención del software. Esta distinción es clave: TSME ofrecía una protección integral contra ataques físicos, pero con un posible impacto en el rendimiento.

La desactivación no fue anunciada en las notas de lanzamiento de las actualizaciones de firmware, lo que ha generado críticas por la falta de transparencia. AMD no ha emitido un comunicado oficial hasta el momento, aunque fuentes cercanas indican que la decisión se tomó para mejorar la compatibilidad con overclocking y memoria de alta velocidad, áreas donde TSME podía introducir latencias adicionales.

¿Por qué es importante?

TSME protegía contra ataques físicos a la memoria, como los ataques de cold boot, el espionaje del bus DRAM o la extracción de datos mediante sondas físicas. Sin este cifrado, cualquier persona con acceso físico al equipo podría leer el contenido de la RAM, incluyendo contraseñas, claves de cifrado y datos sensibles en claro. El ataque de cold boot, por ejemplo, consiste en enfriar los módulos de memoria para congelar los datos y luego extraerlos mediante un sistema externo. Este tipo de ataque fue demostrado con éxito en 2008 por investigadores de Princeton, y desde entonces se han desarrollado mitigaciones como el cifrado de memoria.

La decisión de AMD contrasta con su postura histórica de priorizar la seguridad. En el pasado, la compañía había promocionado TSME como una capa adicional de protección para usuarios avanzados y entornos empresariales. Sin embargo, en procesadores de consumo, la función no era conocida por el gran público y su desactivación no fue comunicada oficialmente. Este movimiento recuerda a la polémica de Intel en 2017 con la desactivación de mitigaciones de Spectre en algunos firmware por razones de rendimiento, aunque Intel sí lo anunció.

Es importante señalar que TSME no protegía contra ataques de software (como exploits de kernel), sino solo contra accesos físicos. Por tanto, su eliminación no afecta la seguridad frente a malware o vulnerabilidades de red, pero sí incrementa el riesgo en escenarios donde el atacante tiene acceso físico al dispositivo.

Consecuencias para los usuarios

• Mayor riesgo en portátiles y dispositivos móviles: Los equipos que pueden ser robados o perdidos son especialmente vulnerables a ataques físicos de memoria. Un portátil con Ryzen sin TSME podría exponer datos sensibles si el atacante extrae los módulos de RAM o utiliza un dispositivo de arranque frío.
• Impacto en la confianza: La falta de transparencia de AMD puede erosionar la confianza de los consumidores y empresas que dependen de sus productos, especialmente en sectores como la banca, salud o gobierno donde la seguridad física es crítica.
• Posible motivación técnica: Se especula que la desactivación podría deberse a problemas de rendimiento o compatibilidad, aunque AMD no ha dado explicaciones oficiales. Pruebas de rendimiento realizadas por entusiastas muestran una mejora de entre un 2% y un 5% en benchmarks de memoria y juegos tras desactivar TSME, lo que sugiere que la decisión pudo ser comercial para competir mejor con Intel en el segmento de consumo.
• Incertidumbre en la cadena de suministro: Los fabricantes de equipos originales (OEM) que integran Ryzen en portátiles empresariales podrían verse afectados si sus clientes exigían TSME. Algunas marcas como Lenovo y Dell ya han confirmado que están evaluando el impacto.

¿Qué deben saber los lectores?

Si posees un Ryzen de consumo (series 3000, 5000, 7000, etc.), tu sistema ya no cuenta con cifrado de memoria por hardware. Para protegerte, considera medidas adicionales como el cifrado completo del disco (BitLocker, LUKS), usar contraseñas seguras y habilitar el bloqueo de pantalla. En entornos de alta seguridad, se recomienda optar por procesadores de la serie AMD EPYC o Intel Xeon, que aún ofrecen cifrado de memoria (SME en EPYC, TME en Xeon). También es posible mitigar ataques de cold boot utilizando memoria soldada (como en algunos portátiles modernos) o habilitando el cifrado de memoria a nivel de software, aunque ninguna solución es tan eficaz como TSME.

Es importante destacar que los procesadores Ryzen Pro (diseñados para empresas) aún incluyen SME, pero no TSME. La diferencia es que SME requiere soporte del sistema operativo (por ejemplo, Linux con kernel 5.0+ o Windows con ciertas configuraciones), mientras que TSME funcionaba de forma transparente. Por tanto, los usuarios de Ryzen Pro deben asegurarse de que su SO esté configurado para usar SME.

“La eliminación silenciosa de TSME es un paso atrás en la seguridad de los procesadores de consumo. AMD debería haber comunicado este cambio y ofrecer alternativas.” — Analista de TheVortiq

En resumen, la desactivación de TSME reduce la seguridad física de los sistemas Ryzen de consumo. Aunque el impacto en el usuario medio puede ser limitado, aquellos que manejan datos sensibles o trabajan en entornos de alto riesgo deben tomar precauciones adicionales. La falta de comunicación de AMD es preocupante y sugiere que la compañía prioriza el rendimiento sobre la seguridad en el mercado de consumo. Se espera que AMD emita un comunicado oficial en las próximas semanas, pero mientras tanto, los usuarios deben ser conscientes de esta nueva vulnerabilidad.