Según un reporte de Ars Technica, AMD eliminó en silencio una función crítica de seguridad de sus CPUs de gama media y baja, dejando a usuarios desprevenidos potencialmente expuestos a ataques físicos. Tras una investigación de varios meses publicada en GitHub, Ben Kilpatrick confirmó que la función Transparent Secure Memory Encryption (TSME), que protege a los procesadores de exploits físicos capaces de extraer datos directamente desde los chips de memoria, dejó repentinamente de estar disponible en CPUs AMD fuera de la línea Pro.
Mientras la pesquisa entraba en su fase final (con conversaciones cruzadas con ingenieros de AMD, fabricantes de placas y otros usuarios) un ingeniero de AMD cortó abruptamente el intercambio diciendo "Disculpas, no tengo más información que compartir sobre este tema". Al cierre del reporte, AMD no había reconocido oficialmente ni explicado la desaparición de la función.
¿Qué es TSME y por qué importa?
TSME es una protección que encripta los datos guardados en la memoria, dejándolos inservibles para un atacante físico. AMD la añadió primero a sus CPUs de gama alta y luego la extendió a procesadores de gama baja. Con los años, la función se volvió un estándar de hecho, y los usuarios de chips económicos asumían que venía incluida. Sin previo aviso, AMD parece haberla retirado de esos procesadores.
Según Ars, la única reacción oficial de la compañía (sin contar las discusiones en GitHub) es una respuesta por correo electrónico afirmando que TSME "es una función de seguridad sólo aplicada a CPUs PRO como parte de las AMD PRO Technologies", la primera vez que la empresa declara públicamente esta restricción pese a que la función operó durante años en chips de consumo. Sigue sin estar claro si la desaparición es una decisión deliberada de AMD para reservar TSME a los chips Pro o una regresión no intencional introducida en el firmware AGESA 1.2.7.0.
Otro aspecto preocupante es que la retirada es completamente indetectable en máquinas Windows y requiere trabajo técnico significativo para identificarse en Linux. Es decir: la función se removió y los usuarios no tenían manera de notarlo.
¿Cómo se descubrió?
Kilpatrick, un autodescrito "hobbyista de Linux con conciencia de privacidad", estaba instalando un sistema operativo nuevo en su máquina con un Ryzen 7 9700X de la arquitectura Zen 5. Para confirmar que todas sus protecciones estaban activadas, corrió Host Security ID (HSI), una herramienta de auditoría que evalúa la configuración de seguridad de firmware y hardware. Para su sorpresa, HSI reportó que TSME ya no estaba soportado, aunque él lo había habilitado en BIOS desde siempre. La contradicción lo empujó a buscar respuestas.
Su primer instinto fue revisar si el problema venía de un cambio en la firmware. Tras downgradear varias versiones de AGESA y observar dónde reaparecía y desaparecía el soporte de TSME, llegó a la conclusión de que la regresión ocurre en AGESA 1.2.7.0 y posteriores.
¿Qué CPUs están afectadas?
El reporte apunta principalmente a los Ryzen de consumo de las series 7000 y 9000 (Zen 4 y Zen 5) en configuraciones donde el TSME venía exponiéndose vía BIOS. Los EPYC, Threadripper y Ryzen Pro mantienen TSME (y en algunos casos versiones más avanzadas como SEV-SNP). El punto sensible no es sólo el listado de modelos sino que el cambio ocurre vía actualización de firmware, no de hardware: una placa con un Ryzen 9700X que hace seis meses tenía TSME activo, hoy puede no tenerlo después de actualizar la BIOS.
¿Cómo verificar si tu equipo está expuesto?
En Linux puedes correr la utilidad fwupdmgr security o el binario de HSI mencionado en el reporte, y revisar la línea correspondiente a AMD SME/TSME. En Windows no hay método directo: el sistema simplemente no reporta el estado de TSME, lo que confirma el hallazgo de Kilpatrick. Para un usuario de escritorio promedio, la mitigación práctica pasa por mantener el equipo en un entorno físicamente seguro (cold-boot attacks requieren acceso físico a la máquina mientras está encendida o recién apagada).
¿Es esto realmente grave?
El propio reporte y la discusión técnica subsiguiente reconocen que TSME no es la primera línea de defensa para un PC doméstico estándar. Está pensada para escenarios como infraestructura de nube donde un admin del hipervisor podría leer la RAM de máquinas virtuales, o equipos portátiles con datos sensibles en entornos no controlados. Aun así, el patrón ("cortar features enterprise en chips de consumo sin avisar") preocupa al mismo nivel que la histórica fragmentación del soporte ECC en APUs Ryzen.
