AMD quitó —y después restauró— el cifrado de memoria en sus Ryzen de consumo. El 18 de junio de 2026 se hizo público que un firmware reciente, el AGESA 1.2.7.0, deshabilitaba en silencio TSME (Transparent Secure Memory Encryption) en chips Ryzen 9000 no-PRO, sin anuncio, sin nota en el changelog y sin forma de detectarlo desde Windows. La función llevaba años funcionando en placas de consumo. Días después, el 19 de junio, tras el reclamo de la comunidad, AMD anunció que la trae de vuelta vía una actualización de BIOS en julio. Te cuento el arco completo, porque toca un tema que muchos damos por sentado: que la RAM de tu máquina está cifrada.
Qué es TSME y por qué importa
TSME es una variante de SME (Secure Memory Encryption): el procesador genera una clave en el AMD Secure Processor durante el arranque y cifra de forma transparente todo lo que se escribe en la RAM, sin que el sistema operativo tenga que hacer nada. ¿Para qué sirve? Es una defensa contra ataques físicos: principalmente los cold boot attacks, donde un atacante con acceso a la máquina enfría los módulos de RAM, corta la energía y lee lo que quedó en los chips antes de que se borre —claves de cifrado, tokens de sesión, credenciales—. También protege contra el espionaje del bus de memoria y el robo físico de los módulos. Sin TSME, ese contenido queda en texto plano. AMD había confirmado soporte de TSME en CPUs de consumo desde 2020, allá por el Ryzen 7 3700X.
La remoción silenciosa: un flag en FALSE
Lo más inquietante es cómo se descubrió. Ben Kilpatrick, un usuario de Linux con foco en privacidad, notó en su Ryzen 7 9700X que la auditoría de Host Security ID (HSI) de fwupd pasó a reportar el cifrado de RAM como «not supported», sin que él hubiera tocado nada. Investigando, se llegó al origen: a partir de AGESA 1.2.7.0, un flag interno llamado DfIsTsmeEnabled devuelve FALSE en los chips de consumo —sin importar lo que diga el toggle del BIOS— y sigue en TRUE en las variantes PRO y EPYC. El silicio es idéntico y físicamente capaz de cifrar; la restricción es puramente de firmware. Y acá está la trampa: la opción de «habilitar TSME» seguía apareciendo en el BIOS, así que el usuario creía que estaba protegido cuando no lo estaba.
El golpe de confianza fue doble: no hubo aviso en las notas de versión, y cuando se les preguntó por el cambio en los hilos de GitHub, los ingenieros de AMD se quedaron en silencio. La única respuesta oficial llegó por email: TSME «es una función de seguridad aplicada únicamente a las CPU PRO como parte de AMD PRO Technologies». Era la primera vez que la empresa declaraba públicamente esa restricción, a pesar de que la función venía andando en chips de consumo desde hacía años.
La lectura de la comunidad: empujar a los SKU premium
La interpretación que circuló fue bastante directa: diferenciación por gama. TSME es una feature típica de equipos corporativos, y AMD la mantiene activa en EPYC y en las versiones PRO de Ryzen. Quitarla de los chips de consumo se leyó como un empujón hacia hardware más caro para quien necesite cifrado de memoria. Sumó leña que el marketing de «Memory Guard» —con el que AMD supo promocionar esta capacidad— desapareció de sus páginas. Más allá de la intención, el problema de fondo es de transparencia: degradar una función de seguridad sin avisar, y dejando en el BIOS una opción que ya no hace nada, es exactamente el tipo de cambio que erosiona la confianza.
La marcha atrás: TSME vuelve en julio
La presión funcionó rápido. El 19 de junio de 2026, AMD le confirmó a la prensa que va a restaurar TSME en los Ryzen 9000 de escritorio no-PRO mediante una actualización de BIOS en julio, una decisión tomada «en base a valiosos comentarios de la comunidad». Es decir: la capacidad nunca se fue del silicio, fue una decisión de firmware, y otra decisión de firmware la trae de vuelta. La restauración apunta a las placas AM5 con Ryzen 9000 serie no-PRO; habrá que ver si los reportes posteriores confirman el alcance exacto a otras familias afectadas.
Qué hacer si tenés un Ryzen
Si trabajás con datos sensibles en una máquina Ryzen de consumo, vale la pena revisar el estado real del cifrado en vez de confiar en el toggle del BIOS. En Linux, la herramienta más directa es fwupdmgr security (el audit de HSI de fwupd), que te dice si la RAM está cifrada de verdad. En Windows no hay un método integrado para verificarlo, lo cual es parte del problema. Si actualizaste a un BIOS con AGESA 1.2.7.0 y dependés de esta protección, conviene esperar el BIOS de julio que reactiva TSME y volver a chequear el estado después de aplicarlo. Para los que armamos equipos en la región y los usamos para laburar, este episodio deja una lección clara: las features de seguridad pueden cambiar por debajo en un update de firmware, y no siempre te enterás. ¿Vos verificás el estado de seguridad de tu hardware después de cada update de BIOS, o también lo dabas por sentado? Te leemos en los comentarios.
Fuentes
- Tom’s Hardware — AMD silently removes memory encryption from consumer Ryzen CPUs
- Tom’s Hardware — AMD will reinstate memory encryption on Ryzen 9000 CPUs through a BIOS update in July
- TechSpot — AMD quietly disabled RAM encryption on some Ryzen CPUs and users want to know why
- heise online — Linux user annoyed by AMD disabling TSME RAM encryption
