{"id":175151,"date":"2025-09-14T17:01:36","date_gmt":"2025-09-14T17:01:36","guid":{"rendered":"https:\/\/www.redeszone.net\/noticias\/seguridad\/comando-windows-permitio-saber-alguien-habia-usado-pc\/"},"modified":"2025-09-14T17:01:36","modified_gmt":"2025-09-14T17:01:36","slug":"el-truco-de-windows-para-detectar-accesos-no-autorizados-en-tu-ordenador","status":"publish","type":"post","link":"http:\/\/cordobadirecto.com\/index.php\/2025\/09\/14\/el-truco-de-windows-para-detectar-accesos-no-autorizados-en-tu-ordenador\/","title":{"rendered":"El truco de Windows para detectar accesos no autorizados en tu ordenador"},"content":{"rendered":"<div data-v-e0040dc1 readability=\"37\">\n<p>Cuando uno vive con m\u00e1s personas en casa, trabaja desde un port\u00e1til compartido o simplemente deja el ordenador encendido mientras est\u00e1 fuera, puede surgir la duda: <em>\u00bfAlguien ha tocado mi ordenador sin decirme nada?<\/em> Eso fue exactamente lo que me pas\u00f3. Y lo cierto es que no necesitaba c\u00e1maras ni software de vigilancia: <strong>bast\u00f3 con un simple comando de Windows<\/strong> para salir de dudas.<\/p>\n<\/div>\n<div data-v-e0040dc1 readability=\"59.451594090202\"><span data-v-e0040dc1 readability=\"17.827997489014\"><\/p>\n<p>\u00bfAlguna vez has sentido que alguien ha tocado tu ordenador mientras no estabas? A m\u00ed me pas\u00f3, y me qued\u00e9 con esa duda inc\u00f3moda de no saberlo con certeza. Pero resulta que Windows guarda m\u00e1s informaci\u00f3n de la que parece\u2026 y si sabes d\u00f3nde mirar, puedes descubrir si alguien ha estado husmeando sin tu permiso. En este art\u00edculo te voy a ense\u00f1ar el comando que yo us\u00e9 y todo lo que aprend\u00ed para proteger mejor mi privacidad. Te sorprender\u00e1 la cantidad de informaci\u00f3n que tu propio sistema registra y lo sencillo que es acceder a ella.<\/p>\n<p><span class=\"space_toc\" id=\"927343-lo-que-revela-el-visor-de-eventos\">&nbsp;<\/span><\/p>\n<h2>Lo que revela el Visor de eventos<\/h2>\n<p>En Windows hay una herramienta bastante escondida que registra todo lo que ocurre en el sistema. Se llama <em>Visor de eventos<\/em> y, aunque a simple vista parece hecha solo para t\u00e9cnicos, lo cierto es que cualquiera puede usarla con un poco de gu\u00eda. En mi caso, fue la clave para detectar accesos no autorizados a mi equipo.<\/p>\n<p>El paso a paso es sencillo. Puls\u00e9 la tecla Windows, escrib\u00ed \u201cVisor de eventos\u201d y lo abr\u00ed como administrador. Luego segu\u00ed esta ruta: <strong>Registros de Windows &gt; Sistema &gt; Filtrar registro actual &gt; ID del evento 6005 o 6006.<\/strong><\/p>\n<ul>\n<li><strong>6005<\/strong> indica el inicio del servicio de registro de eventos (suele coincidir con el arranque del sistema).<\/li>\n<li><strong>6006<\/strong> indica el apagado.<\/li>\n<\/ul>\n<figure class=\"post-article__content-img\"><picture><source media=\"(max-width: 480px)\" srcset=\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2025\/09\/el-truco-de-windows-para-detectar-accesos-no-autorizados-en-tu-ordenador.jpg?x=480&amp;quality=80\"><img decoding=\"async\" loading=\"lazy\" width=\"1280\" height=\"720\" src=\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2025\/09\/el-truco-de-windows-para-detectar-accesos-no-autorizados-en-tu-ordenador.jpg\" alt=\"Port\u00e1til Microsoft Surface con la pantalla de inicio de sesi\u00f3n de Windows, preparado para comprobar los registros de eventos.\">\n<\/picture><figcaption>El Visor de Eventos de Windows registra cada arranque y apagado, permitiendo detectar actividad en las horas que no estabas presente. Fuente: Unsplash<\/figcaption><\/figure>\n<p><\/span><span data-v-e0040dc1 readability=\"42.409996733094\"><\/p>\n<p>Gracias a eso, pude ver <strong>qu\u00e9 d\u00edas y a qu\u00e9 horas se hab\u00eda encendido y apagado mi ordenador<\/strong>. En mi caso, me encontr\u00e9 con un encendido a las 02:14 de la madrugada un d\u00eda que jurar\u00eda haberlo apagado completamente. Alguien lo hab\u00eda usado sin mi permiso.<\/p>\n<p>Para monitorizar los inicios de sesi\u00f3n locales y remotos en sistemas Windows, es esencial configurar la auditor\u00eda de eventos de seguridad y comprender los identificadores de eventos (<strong>Event IDs<\/strong>) relevantes. A continuaci\u00f3n, se detallan los pasos para habilitar la auditor\u00eda de inicio de sesi\u00f3n y las mejores pr\u00e1cticas para la retenci\u00f3n y reenv\u00edo de registros.<\/p>\n<ol>\n<li>Presiona \u00abWin + R\u00bb<\/li>\n<li>Escribe \u00absecpol.msc\u00bb y presiona Enter para abrir la Pol\u00edtica de Seguridad Local.<\/li>\n<li>Navega a Configuraci\u00f3n de seguridad &gt; Pol\u00edticas locales &gt; Pol\u00edtica de auditor\u00eda.<\/li>\n<li>En el panel derecho, haga doble clic en \u00abAuditar eventos de inicio de sesi\u00f3n\u00bb.<\/li>\n<li>Seleccione las casillas de \u00ab\u00c9xito\u00bb y \u00abError\u00bb para auditar tanto los intentos de inicio de sesi\u00f3n exitosos como los fallidos.<\/li>\n<li>Haga clic en \u00abAplicar\u00bb y luego en \u00abAceptar\u00bb para guardar los cambios.<\/li>\n<li>Para aplicar la configuraci\u00f3n, abra una ventana de comandos con privilegios elevados y ejecute \u00abgpupdate \/force\u00bb.<\/li>\n<\/ol>\n<p>Otros IDs adicionales que deber\u00edas revisar son los siguientes:<\/p>\n<ul>\n<li><strong>4648<\/strong>: Se intent\u00f3 un inicio de sesi\u00f3n utilizando credenciales expl\u00edcitas. Es com\u00fan en configuraciones por lotes como tareas programadas o al usar el comando RunAs.<\/li>\n<li><strong>4675<\/strong>: Se filtraron identificadores de seguridad (SIDs). Este evento indica que se han filtrado SIDs durante un intento de inicio de sesi\u00f3n, lo que puede ser relevante para detectar intentos de acceso no autorizados.<\/li>\n<li><strong>4779<\/strong>: Un usuario desconect\u00f3 una sesi\u00f3n de Terminal Server sin cerrar sesi\u00f3n. Este evento es \u00fatil para rastrear sesiones desconectadas que podr\u00edan representar un riesgo de seguridad si no se gestionan adecuadamente.<\/li>\n<\/ul>\n<p>En la <a href=\"https:\/\/learn.microsoft.com\/en-us\/previous-versions\/windows\/it-pro\/windows-10\/security\/threat-protection\/auditing\/audit-logon\" target=\"_blank\" rel=\"noopener nofollow noreferrer\"><strong>web oficial de Microsoft<\/strong><\/a> ten\u00e9is todos estos IDs perfectamente explicados, y tambi\u00e9n alguno adicional para que mir\u00e9is bien todos.<\/p>\n<div class=\"gaz-tablepress \" readability=\"5.5061728395062\">\n<div class=\"child-table\" readability=\"6.4238683127572\">\n<p><b>Referencia r\u00e1pida de eventos de arranque y apagado en el Visor de eventos<\/b><\/p>\n<table id=\"tablepress-739-no-3\" class=\"tablepress table-block block-collapse-amp tablepress-id-739\">\n<thead>\n<tr class=\"row-1 odd\">\n<th class=\"column-1\">Event ID<\/th>\n<th class=\"column-2\">Acci\u00f3n registrada<\/th>\n<th class=\"column-3\">Lo que indica realmente<\/th>\n<th class=\"column-4\">Fuente Oficial<\/th>\n<\/tr>\n<\/thead>\n<tbody class=\"row-hover\" readability=\"8.9830508474576\">\n<tr class=\"row-2 even\" readability=\"4.5161290322581\">\n<td class=\"column-1\">6005<\/td>\n<td class=\"column-2\">Inicio del servicio de registro de eventos<\/td>\n<td class=\"column-3\">Suele coincidir con el arranque del sistema, pero tambi\u00e9n con la recuperaci\u00f3n tras un fallo.<\/td>\n<td class=\"column-4\"><a href=\"https:\/\/learn.microsoft.com\/en-us\/troubleshoot\/windows-server\/performance\/troubleshoot-unexpected-reboots-system-event-logs\" target=\"_blank\" rel=\"noopener\">Microsoft Learn<\/a><\/td>\n<\/tr>\n<tr class=\"row-3 odd\" readability=\"3.4736842105263\">\n<td class=\"column-1\">6006<\/td>\n<td class=\"column-2\">Detenci\u00f3n del servicio de registro de eventos<\/td>\n<td class=\"column-3\">Apagado limpio del sistema (manual o programado).<\/td>\n<td class=\"column-4\"><a href=\"https:\/\/learn.microsoft.com\/en-us\/troubleshoot\/windows-server\/performance\/troubleshoot-unexpected-reboots-system-event-logs\" target=\"_blank\" rel=\"noopener\">Microsoft Learn<\/a><\/td>\n<\/tr>\n<tr class=\"row-4 even\" readability=\"5.4857142857143\">\n<td class=\"column-1\"><strong>41 (Kernel-Power)<\/strong><\/td>\n<td class=\"column-2\">El sistema se ha reiniciado sin apagarse limpiamente<\/td>\n<td class=\"column-3\"><strong>Cr\u00edtico:<\/strong> Indica un apagado inesperado (corte de luz, &#8216;pantallazo azul&#8217;, reinicio forzado).<\/td>\n<td class=\"column-4\"><a href=\"https:\/\/learn.microsoft.com\/en-us\/troubleshoot\/windows-server\/performance\/troubleshoot-unexpected-reboots-system-event-logs\" target=\"_blank\" rel=\"noopener\">Microsoft Learn<\/a><\/td>\n<\/tr>\n<tr class=\"row-5 odd\" readability=\"4.4755244755245\">\n<td class=\"column-1\"><strong>6008<\/strong><\/td>\n<td class=\"column-2\">El apagado anterior fue inesperado<\/td>\n<td class=\"column-3\">Similar al ID 41, confirma un apagado anormal. Muy \u00fatil para detectar reinicios forzados.<\/td>\n<td class=\"column-4\"><a href=\"https:\/\/learn.microsoft.com\/en-us\/troubleshoot\/windows-server\/performance\/troubleshoot-unexpected-reboots-system-event-logs\" target=\"_blank\" rel=\"noopener\">Microsoft Learn<\/a><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<\/div>\n<p><span class=\"space_toc\" id=\"927343-otros-comandos-utiles-para-verificar-actividad\">&nbsp;<\/span><\/p>\n<h2>Otros comandos \u00fatiles para verificar actividad<\/h2>\n<p>Adem\u00e1s del Visor de eventos, hay otros comandos sencillos que pueden darte pistas sobre si alguien ha usado tu ordenador:<\/p>\n<ul>\n<li><strong>net user<\/strong>: Muestra las cuentas de usuario activas. Si ves una cuenta que no reconoces, puede ser una se\u00f1al.<\/li>\n<li><strong>whoami<\/strong>: Indica qu\u00e9 usuario est\u00e1 activo en ese momento. No sirve si no est\u00e1s frente al uso sospechoso, pero es \u00fatil en equipos compartidos.<\/li>\n<li><strong>powercfg \/lastwake<\/strong>: Este comando te dice qu\u00e9 caus\u00f3 el \u00faltimo encendido del sistema. Si no coincide con una acci\u00f3n tuya, algo raro pasa.<\/li>\n<\/ul>\n<p>Estos comandos se introducen desde el <strong>S\u00edmbolo del sistema<\/strong> (CMD) con permisos de administrador.<\/p>\n<figure class=\"post-article__content-img\"><picture><source media=\"(max-width: 480px)\" srcset=\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2025\/09\/el-truco-de-windows-para-detectar-accesos-no-autorizados-en-tu-ordenador-1.jpg?x=480&amp;quality=80\"><img decoding=\"async\" loading=\"lazy\" width=\"1280\" height=\"720\" src=\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2025\/09\/el-truco-de-windows-para-detectar-accesos-no-autorizados-en-tu-ordenador-1.jpg\" alt=\"Logotipo de Windows 11 iluminado durante el arranque del sistema operativo.\">\n<\/picture><figcaption>Comandos como `powercfg \/lastwake` son herramientas nativas de Windows para auditar la actividad del sistema sin instalar software adicional. Fuente: Unsplash<\/figcaption><\/figure>\n<p><span class=\"space_toc\" id=\"927343-como-proteger-tu-equipo-a-partir-de-ahora\">&nbsp;<\/span><\/p>\n<h2>C\u00f3mo proteger tu equipo a partir de ahora<\/h2>\n<p>Saber si alguien ha encendido tu ordenador es \u00fatil, pero lo m\u00e1s importante es evitar que vuelva a ocurrir. Aqu\u00ed van algunas medidas que adopt\u00e9 despu\u00e9s de esa experiencia:<\/p>\n<ul>\n<li><strong>Contrase\u00f1a en el arranque y bloqueo autom\u00e1tico de pantalla<\/strong>: Aunque pueda parecer una medida fundamental, es una configuraci\u00f3n que a menudo se pasa por alto. Asegurarse de que est\u00e1 activa es el primer paso esencial para proteger el acceso f\u00edsico a tu equipo.<\/li>\n<li><strong>Desactivar el encendido r\u00e1pido<\/strong>: En algunos port\u00e1tiles, permite iniciar sesi\u00f3n casi sin control.<\/li>\n<li><strong>Cifrado del disco con BitLocker<\/strong>: Si tienes informaci\u00f3n sensible, es una capa de seguridad adicional.<\/li>\n<\/ul>\n<p>Desde entonces, cada vez que sospecho algo raro, <strong>reviso el Visor de eventos en menos de un minuto y salgo de dudas<\/strong>. Es un truco sencillo, gratuito y que Windows ya trae de serie.<\/p>\n<p><span class=\"space_toc\" id=\"927343-otras-pistas-que-tambien-puedes-revisar-en-windows\">&nbsp;<\/span><\/p>\n<h2>Otras pistas que tambi\u00e9n puedes revisar en Windows<\/h2>\n<p>Adem\u00e1s del comando para ver el historial de inicio de sesi\u00f3n, hay m\u00e1s formas de comprobar si alguien ha usado tu PC sin que lo sepas. Por ejemplo, puedes echar un vistazo a los archivos recientes que se han abierto desde el explorador, revisar el historial de actividad del navegador o comprobar si se ha conectado alg\u00fan dispositivo USB sin tu permiso. Estos peque\u00f1os detalles pueden ayudarte a confirmar tus sospechas o a descartarlas por completo.<\/p>\n<section class=\"post-faq\" data-mrf-recirculation=\"article-faq-module\">\n<h2 class=\"post-faq__title\"> Preguntas Frecuentes <\/h2>\n<details class=\"post-faq__item\" readability=\"28\">\n<summary class=\"post-faq__question\"> <span class=\"post-faq__question-text\">\u00bfQu\u00e9 es el Visor de eventos de Windows y para qu\u00e9 sirve?<\/span> <\/summary>\n<div class=\"post-faq__answer\" readability=\"36\"> Es una herramienta del sistema que registra eventos importantes, como encendidos, apagados y errores, permitiendo comprobar actividad sospechosa en el ordenador.<\/div>\n<\/details>\n<details class=\"post-faq__item\" readability=\"27.5\">\n<summary class=\"post-faq__question\"> <span class=\"post-faq__question-text\">\u00bfC\u00f3mo puedo saber si mi PC se ha encendido sin mi consentimiento?<\/span> <\/summary>\n<div class=\"post-faq__answer\" readability=\"35\"> Filtrando los registros del Visor de eventos por los ID 6005 (inicio) y 6006 (apagado), puedes identificar cu\u00e1ndo se ha encendido o apagado el equipo, incluso en tu ausencia.<\/div>\n<\/details>\n<details class=\"post-faq__item\" readability=\"27.5\">\n<summary class=\"post-faq__question\"> <span class=\"post-faq__question-text\">\u00bfQu\u00e9 otros m\u00e9todos existen para detectar uso no autorizado de mi ordenador?<\/span> <\/summary>\n<div class=\"post-faq__answer\" readability=\"35\"> Puedes revisar cuentas de usuario activas con &#8216;net user&#8217;, comprobar qu\u00e9 usuario est\u00e1 activo con &#8216;whoami&#8217;, y ver qu\u00e9 caus\u00f3 el \u00faltimo arranque con &#8216;powercfg \/lastwake&#8217;.<\/div>\n<\/details>\n<details class=\"post-faq__item\" readability=\"27\">\n<summary class=\"post-faq__question\"> <span class=\"post-faq__question-text\">\u00bfC\u00f3mo puedo mejorar la protecci\u00f3n de mi ordenador frente a accesos no deseados?<\/span> <\/summary>\n<div class=\"post-faq__answer\" readability=\"34\"> Activa contrase\u00f1a al inicio, el bloqueo autom\u00e1tico de pantalla y el cifrado de disco con BitLocker. Desactiva el encendido r\u00e1pido si compartes equipo o buscas mayor seguridad.<\/div>\n<\/details>\n<details class=\"post-faq__item\" readability=\"26.5\">\n<summary class=\"post-faq__question\"> <span class=\"post-faq__question-text\">\u00bfQu\u00e9 debo hacer si detecto alg\u00fan acceso sospechoso?<\/span> <\/summary>\n<div class=\"post-faq__answer\" readability=\"33\"> Consulta las recomendaciones oficiales de Microsoft y considera cambiar tus contrase\u00f1as y revisar los permisos de usuario.<\/div>\n<\/details>\n<\/section>\n<p> <\/span><!----><!----><\/div>\n","protected":false},"excerpt":{"rendered":"<p>Cuando uno vive con m\u00e1s personas en casa, trabaja desde un port\u00e1til compartido o simplemente deja el ordenador encendido mientras est\u00e1 fuera, puede surgir la duda: \u00bfAlguien ha tocado mi ordenador sin decirme nada? Eso fue exactamente lo que me pas\u00f3. Y lo cierto es que no necesitaba c\u00e1maras ni software de vigilancia: bast\u00f3 con [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":175152,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[42],"tags":[],"_links":{"self":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/posts\/175151"}],"collection":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/comments?post=175151"}],"version-history":[{"count":0,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/posts\/175151\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/media\/175152"}],"wp:attachment":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/media?parent=175151"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/categories?post=175151"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/tags?post=175151"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}