El truco de Windows para detectar accesos no autorizados en tu ordenador

Cuando uno vive con más personas en casa, trabaja desde un portátil compartido o simplemente deja el ordenador encendido mientras está fuera, puede surgir la duda: ¿Alguien ha tocado mi ordenador sin decirme nada? Eso fue exactamente lo que me pasó. Y lo cierto es que no necesitaba cámaras ni software de vigilancia: bastó con un simple comando de Windows para salir de dudas.

¿Alguna vez has sentido que alguien ha tocado tu ordenador mientras no estabas? A mí me pasó, y me quedé con esa duda incómoda de no saberlo con certeza. Pero resulta que Windows guarda más información de la que parece… y si sabes dónde mirar, puedes descubrir si alguien ha estado husmeando sin tu permiso. En este artículo te voy a enseñar el comando que yo usé y todo lo que aprendí para proteger mejor mi privacidad. Te sorprenderá la cantidad de información que tu propio sistema registra y lo sencillo que es acceder a ella.

 

Lo que revela el Visor de eventos

En Windows hay una herramienta bastante escondida que registra todo lo que ocurre en el sistema. Se llama Visor de eventos y, aunque a simple vista parece hecha solo para técnicos, lo cierto es que cualquiera puede usarla con un poco de guía. En mi caso, fue la clave para detectar accesos no autorizados a mi equipo.

El paso a paso es sencillo. Pulsé la tecla Windows, escribí “Visor de eventos” y lo abrí como administrador. Luego seguí esta ruta: Registros de Windows > Sistema > Filtrar registro actual > ID del evento 6005 o 6006.

  • 6005 indica el inicio del servicio de registro de eventos (suele coincidir con el arranque del sistema).
  • 6006 indica el apagado.
Portátil Microsoft Surface con la pantalla de inicio de sesión de Windows, preparado para comprobar los registros de eventos.
El Visor de Eventos de Windows registra cada arranque y apagado, permitiendo detectar actividad en las horas que no estabas presente. Fuente: Unsplash

Gracias a eso, pude ver qué días y a qué horas se había encendido y apagado mi ordenador. En mi caso, me encontré con un encendido a las 02:14 de la madrugada un día que juraría haberlo apagado completamente. Alguien lo había usado sin mi permiso.

Para monitorizar los inicios de sesión locales y remotos en sistemas Windows, es esencial configurar la auditoría de eventos de seguridad y comprender los identificadores de eventos (Event IDs) relevantes. A continuación, se detallan los pasos para habilitar la auditoría de inicio de sesión y las mejores prácticas para la retención y reenvío de registros.

  1. Presiona «Win + R»
  2. Escribe «secpol.msc» y presiona Enter para abrir la Política de Seguridad Local.
  3. Navega a Configuración de seguridad > Políticas locales > Política de auditoría.
  4. En el panel derecho, haga doble clic en «Auditar eventos de inicio de sesión».
  5. Seleccione las casillas de «Éxito» y «Error» para auditar tanto los intentos de inicio de sesión exitosos como los fallidos.
  6. Haga clic en «Aplicar» y luego en «Aceptar» para guardar los cambios.
  7. Para aplicar la configuración, abra una ventana de comandos con privilegios elevados y ejecute «gpupdate /force».

Otros IDs adicionales que deberías revisar son los siguientes:

  • 4648: Se intentó un inicio de sesión utilizando credenciales explícitas. Es común en configuraciones por lotes como tareas programadas o al usar el comando RunAs.
  • 4675: Se filtraron identificadores de seguridad (SIDs). Este evento indica que se han filtrado SIDs durante un intento de inicio de sesión, lo que puede ser relevante para detectar intentos de acceso no autorizados.
  • 4779: Un usuario desconectó una sesión de Terminal Server sin cerrar sesión. Este evento es útil para rastrear sesiones desconectadas que podrían representar un riesgo de seguridad si no se gestionan adecuadamente.

En la web oficial de Microsoft tenéis todos estos IDs perfectamente explicados, y también alguno adicional para que miréis bien todos.

Referencia rápida de eventos de arranque y apagado en el Visor de eventos

Event ID Acción registrada Lo que indica realmente Fuente Oficial
6005 Inicio del servicio de registro de eventos Suele coincidir con el arranque del sistema, pero también con la recuperación tras un fallo. Microsoft Learn
6006 Detención del servicio de registro de eventos Apagado limpio del sistema (manual o programado). Microsoft Learn
41 (Kernel-Power) El sistema se ha reiniciado sin apagarse limpiamente Crítico: Indica un apagado inesperado (corte de luz, ‘pantallazo azul’, reinicio forzado). Microsoft Learn
6008 El apagado anterior fue inesperado Similar al ID 41, confirma un apagado anormal. Muy útil para detectar reinicios forzados. Microsoft Learn

 

Otros comandos útiles para verificar actividad

Además del Visor de eventos, hay otros comandos sencillos que pueden darte pistas sobre si alguien ha usado tu ordenador:

  • net user: Muestra las cuentas de usuario activas. Si ves una cuenta que no reconoces, puede ser una señal.
  • whoami: Indica qué usuario está activo en ese momento. No sirve si no estás frente al uso sospechoso, pero es útil en equipos compartidos.
  • powercfg /lastwake: Este comando te dice qué causó el último encendido del sistema. Si no coincide con una acción tuya, algo raro pasa.

Estos comandos se introducen desde el Símbolo del sistema (CMD) con permisos de administrador.

Logotipo de Windows 11 iluminado durante el arranque del sistema operativo.
Comandos como `powercfg /lastwake` son herramientas nativas de Windows para auditar la actividad del sistema sin instalar software adicional. Fuente: Unsplash

 

Cómo proteger tu equipo a partir de ahora

Saber si alguien ha encendido tu ordenador es útil, pero lo más importante es evitar que vuelva a ocurrir. Aquí van algunas medidas que adopté después de esa experiencia:

  • Contraseña en el arranque y bloqueo automático de pantalla: Aunque pueda parecer una medida fundamental, es una configuración que a menudo se pasa por alto. Asegurarse de que está activa es el primer paso esencial para proteger el acceso físico a tu equipo.
  • Desactivar el encendido rápido: En algunos portátiles, permite iniciar sesión casi sin control.
  • Cifrado del disco con BitLocker: Si tienes información sensible, es una capa de seguridad adicional.

Desde entonces, cada vez que sospecho algo raro, reviso el Visor de eventos en menos de un minuto y salgo de dudas. Es un truco sencillo, gratuito y que Windows ya trae de serie.

 

Otras pistas que también puedes revisar en Windows

Además del comando para ver el historial de inicio de sesión, hay más formas de comprobar si alguien ha usado tu PC sin que lo sepas. Por ejemplo, puedes echar un vistazo a los archivos recientes que se han abierto desde el explorador, revisar el historial de actividad del navegador o comprobar si se ha conectado algún dispositivo USB sin tu permiso. Estos pequeños detalles pueden ayudarte a confirmar tus sospechas o a descartarlas por completo.

Preguntas Frecuentes

¿Qué es el Visor de eventos de Windows y para qué sirve?
Es una herramienta del sistema que registra eventos importantes, como encendidos, apagados y errores, permitiendo comprobar actividad sospechosa en el ordenador.
¿Cómo puedo saber si mi PC se ha encendido sin mi consentimiento?
Filtrando los registros del Visor de eventos por los ID 6005 (inicio) y 6006 (apagado), puedes identificar cuándo se ha encendido o apagado el equipo, incluso en tu ausencia.
¿Qué otros métodos existen para detectar uso no autorizado de mi ordenador?
Puedes revisar cuentas de usuario activas con ‘net user’, comprobar qué usuario está activo con ‘whoami’, y ver qué causó el último arranque con ‘powercfg /lastwake’.
¿Cómo puedo mejorar la protección de mi ordenador frente a accesos no deseados?
Activa contraseña al inicio, el bloqueo automático de pantalla y el cifrado de disco con BitLocker. Desactiva el encendido rápido si compartes equipo o buscas mayor seguridad.
¿Qué debo hacer si detecto algún acceso sospechoso?
Consulta las recomendaciones oficiales de Microsoft y considera cambiar tus contraseñas y revisar los permisos de usuario.

RELATED ARTICLESMORE FROM AUTHOR