Suscríbete!

Permanece al día de todas las noticias importantes del sector tecnológico y de la ciberseguridad

Suscribirme
Logo RedesZone

El truco de Windows para identificar accesos no autorizados en tu ordenador

Cuando compartes tu hogar con otras personas, utilizas un portátil que no es solo tuyo o simplemente mantienes encendido tu ordenador mientras estás ausente, puede surgir la inquietud: ¿Alguien ha accedido a mi ordenador sin mi consentimiento? Eso me sucedió a mí. Y, sorprendentemente, no necesité cámaras ni software especial de vigilancia: un simple comando de Windows fue suficiente para despejar mis dudas.

¿Te has sentido alguna vez inseguro sobre si alguien ha manipulado tu ordenador en tu ausencia? A mí me ocurrió, y me quedé con esa incómoda incertidumbre. Pero descubrí que Windows almacena más información de la que parece. Si sabes dónde buscar, puedes averiguar si alguien ha estado curioseando sin tu permiso. En este artículo, te mostraré el comando que utilicé y todo lo que aprendí para proteger mejor mi privacidad. Te sorprenderá la cantidad de datos que tu sistema registra y lo fácil que es acceder a ellos.

Lo que revela el Visor de eventos

En Windows, existe una herramienta bastante oculta que registra todas las actividades del sistema. Se llama Visor de eventos y, aunque parece diseñada solo para técnicos, cualquier persona puede usarla con un poco de orientación. En mi caso, fue fundamental para detectar accesos no autorizados a mi computadora.

El proceso es muy sencillo. Pulsé la tecla Windows, escribí “Visor de eventos” y lo abrí como administrador. Luego, seguí la ruta: Registros de Windows > Sistema > Filtrar registro actual > ID del evento 6005 o 6006.

  • 6005 indica que el servicio de registro de eventos ha comenzado (generalmente coincide con el arranque del sistema).

  • 6006 señala que el sistema se ha apagado.


El Visor de Eventos de Windows registra cada inicio y apagado, permitiendo identificar actividad en momentos en que no estabas presente. Fuente: Unsplash


Gracias a esto, pude ver qué días y a qué horas se encendió y apagó mi ordenador. En mi caso, descubrí que se encendió a las 02:14 de la madrugada en un día que estaba seguro de haberlo apagado. Alguien lo había utilizado sin mi autorización.

Para monitorear los inicios de sesión locales y remotos en sistemas Windows, es fundamental configurar la auditoría de eventos de seguridad y familiarizarse con los identificadores de eventos (Event IDs) relevantes. A continuación, se presentan los pasos para habilitar la auditoría de inicio de sesión y las mejores prácticas para la retención y envío de registros.

  1. Presiona «Win + R».

  2. Escribe «secpol.msc» y presiona Enter para abrir la Política de Seguridad Local.

  3. Navega a Configuración de seguridad > Políticas locales > Política de auditoría.

  4. Haz doble clic en «Auditar eventos de inicio de sesión» en el panel derecho.

  5. Selecciona las casillas de «Éxito» y «Error» para auditar tanto los intentos de inicio de sesión exitosos como los fallidos.

  6. Haz clic en «Aplicar» y luego en «Aceptar» para guardar los cambios.

  7. Para aplicar la configuración, abre una ventana de comandos con privilegios elevados y ejecuta «gpupdate /force».

Otros IDs que deberías revisar incluyen:

  • 4648: Intento de inicio de sesión utilizando credenciales explícitas. Común en configuraciones por lotes como tareas programadas o al usar el comando RunAs.

  • 4675: Identificadores de seguridad (SIDs) filtrados. Este evento indica que se han filtrado SIDs durante un intento de inicio de sesión, lo que puede ser relevante para detectar accesos no autorizados.

  • 4779: Un usuario desconectó una sesión de Terminal Server sin cerrar sesión. Este evento es útil para rastrear sesiones desconectadas que podrían representar un riesgo de seguridad si no se gestionan adecuadamente.

En la página oficial de Microsoft puedes encontrar todos estos IDs explicados y algunos adicionales para que los revises bien.

Referencia rápida de eventos de arranque y apagado en el Visor de eventos

Event IDAcción registradaLo que indica realmenteFuente Oficial
6005Inicio del servicio de registro de eventosSuele coincidir con el arranque del sistema, pero también con la recuperación tras un fallo.Microsoft Learn
6006Detención del servicio de registro de eventosApagado limpio del sistema (manual o programado).Microsoft Learn
41 (Kernel-Power)El sistema se ha reiniciado sin apagarse limpiamenteCrítico: Indica un apagado inesperado (corte de luz, ‘pantallazo azul’, reinicio forzado).Microsoft Learn
6008El apagado anterior fue inesperadoSimilar al ID 41, confirma un apagado anormal. Muy útil para detectar reinicios forzados.Microsoft Learn

Otros comandos útiles para verificar actividad

Además del Visor de eventos, existen otros comandos simples que pueden ofrecerte pistas sobre si alguien ha utilizado tu ordenador:

  • net user: Muestra las cuentas de usuario activas. Si encuentras una cuenta que no reconoces, podría ser una señal de alerta.

  • whoami: Indica qué usuario está actualmente activo. No es útil si no estás presente durante el uso sospechoso, pero es valioso en equipos compartidos.

  • powercfg /lastwake: Este comando revela qué causó el último encendido del sistema. Si no coincide con tus acciones, algo inusual está ocurriendo.

Estos comandos se introducen desde el Símbolo del sistema (CMD) con permisos de administrador.


Comandos como `powercfg /lastwake` son herramientas nativas de Windows para auditar la actividad del sistema sin la necesidad de instalar software adicional. Fuente: Unsplash

Cómo proteger tu equipo a partir de ahora

Saber si alguien ha encendido tu ordenador es útil, pero lo más crucial es evitar que vuelva a suceder. Aquí te dejo algunas medidas que implementé tras esa experiencia:

  • Contraseña en el arranque y bloqueo automático de pantalla: Aunque parezca básico, esta configuración se suele pasar por alto. Asegurarte de que está activa es el primer paso vital para proteger el acceso físico a tu computadora.

  • Desactivar el encendido rápido: En ciertos portátiles, permite iniciar sesión casi sin controles.

  • Cifrado del disco con BitLocker: Si manejas información sensible, esto añade una capa adicional de seguridad.

Desde entonces, cada vez que sospecho algo extraño, revisar el Visor de eventos me toma menos de un minuto y me aclara las dudas. Es un truco simple, gratuito y que Windows ya incluye por defecto.

Otras pistas que también puedes revisar en Windows

Además del comando para verificar el historial de inicio de sesión, hay más maneras de comprobar si alguien ha utilizado tu PC sin tu conocimiento. Por ejemplo, puedes revisar los archivos recientes abiertos desde el explorador, el historial de actividad del navegador o verificar si se ha conectado algún dispositivo USB sin tu autorización. Estos pequeños detalles pueden confirmar o descartar tus sospechas.

Preguntas Frecuentes

¿Qué es el Visor de eventos de Windows y para qué sirve?

Es una herramienta del sistema que registra eventos importantes, como encendidos, apagados y errores, permitiendo comprobar actividad sospechosa en el ordenador.

¿Cómo puedo saber si mi PC se ha encendido sin mi consentimiento?

Filtrando los registros del Visor de eventos por los ID 6005 (inicio) y 6006 (apagado), puedes identificar cuándo se ha encendido o apagado el equipo, incluso en tu ausencia.

¿Qué otros métodos existen para detectar uso no autorizado de mi ordenador?

Puedes revisar cuentas de usuario activas con ‘net user’, comprobar qué usuario está activo con ‘whoami’, y ver qué causó el último arranque con ‘powercfg /lastwake’.

¿Cómo puedo mejorar la protección de mi ordenador frente a accesos no deseados?

Activa contraseña al inicio, el bloqueo automático de pantalla y el cifrado de disco con BitLocker. Desactiva el encendido rápido si compartes equipo o buscas mayor seguridad.

¿Qué debo hacer si detecto algún acceso sospechoso?

Consulta las recomendaciones oficiales de Microsoft y considera cambiar tus contraseñas y revisar los permisos de usuario.

Noticias relacionadas

Scroll al inicio