Por lo general para poder utilizar nuestro ordenador cada día debemos de iniciar sesión una vez hemos arrancado Windows. Dee esta forma podemos usar los programas instalados, trabajar con los archivos, jugar o disfrutar de nuestro contenido multimedia. Cada vez que apagamos el PC e iniciamos una nueva sesión, el sistema se encargará de realizar un registro de este proceso, ya sea por temas de administración o seguridad. Por ello, hoy vamos a ver cómo verificar el historial de inicio de sesión de un usuario.
Si tenemos sospechas de que terceras personas hayan podido acceder a nuestro ordenador sin nuestro permiso, podemos averiguarlo a través de la herramienta del Visor de eventos. Y es que, por lo general, aunque no hayan dejado evidencias físicas, es posible que haber dejado huella a través de los registros de Windows 10 y Windows 11, por lo que podemos comprobarlo.
Y es que el sistema operativo de Microsoft cuenta con una serie de funciones que permiten monitorizar las auditorias que registran todo lo que sucede en el equipo, como errores, problemas de seguridad o los inicios de sesión que se realizan en él. Por ello, podremos tener acceso a un historial donde poder consultar con certeza las fechas, hora y usuario en la que un usuario ha accedido iniciando sesión.
Si, finalmente se confirma que alguien más que nosotros ha podido acceder al equipo, lo primero que debemos hacer es cambiar el PIN que da acceso a nuestra cuenta de usuarios de Windows. Aunque desde nuestra cuenta de usuario se puede acceder a nuestra cuenta de correo, si la tenemos configurada en la aplicación Mail, también es recomendable comprobar si la persona que ha accedido a nuestro equipo se ha podido enviar cualquier tipo de archivo de nuestro equipo utilizando el correo electrónico.
Cómo habilitar el seguimiento del historial
Por lo general esta directiva debe encontrare habilitada de manera predeterminada en nuestro ordenador con Windows 10 o Windows 11, si bien puede que haya casos donde no sea posible ver el historial de inicio se sesión de usuarios debido a que esta política se encuentra desactivada. Este problema se da especialmente en las versiones Pro de Windows, por lo que será necesario habilitarlo de manera manual.
Esta tarea debemos de llevarla a cabo desde el Editor de directivas de grupo local, a la cual podemos hacer pulsando el atajo de teclado Windows + R y escribiendo gpedit.msc. Por último, pulsamos Enter o el botón de Aceptar para confirmar la acción. Una vez nos aparezca en pantalla, de navegar hasta la siguiente ubicación
Configuración del equipo / Configuración de Windows / Configuración de seguridad / Directivas locales / Directiva de auditoría
Posteriormente hacemos doble clic sobre la entrada «Auditar eventos de inicio se sesión». En la nueva ventana, dentro del apartado de Configuración de seguridad local debemos de marcar las casillas de «Correcto» y «Erróneo». Por último, hacemos clic en Aplicar y posteriormente Aceptar para guardar los cambios introducidos. Una vez hecho esto, reiniciamos el sistema y ya podremos realizar un seguimiento del historial de inicio de sesión del usuario. Eso sí, para todo lo que os vamos a contar a continuación, es recomendable que lo hagamos desde la cuenta de administrador del sistema operativo. El resto de las cuentas de usuario están un tanto limitadas en cuanto al acceso y control de ciertas funciones, como es el caso.
Y es que debemos tener en consideración que para llevar a cabo estas tareas de comprobación de inicios de sesión casi siempre es recomendable ejecutar Windows con permisos de administrador. Todo ello nos permitirá acceder a las opciones más avanzadas del sistema operativo, como es el caso que nos ocupa. Además en la mayoría de las ocasiones lo que necesitamos es realmente es conocer cuando han arrancado nuestro pc basado en Windows el resto de cuentas que tenemos dadas de alta como administradores.
Comprueba el historial de inicio de sesión
La herramienta que utilizaremos para verificar el historial de inicio de sesión es el Visor de eventos, que se encuentra incluida de forma predeterminada en el sistema operativo de Microsoft. En ella se muestra un registro de mensajes del sistema y de la aplicación, incluidos, errores, mensajes de información y advertencias. Para acceder a ella, pulsamos el atajo de teclado «Windows + R» y se lanzará el comando Ejecutar. Aquí escribimos eventvwr.msc y hacemos clic en Aceptar.
Una vez hemos accedido debemos fijarnos en la columna de la izquierda donde debemos de expandir la opción de «Registros de Windows». Dentro de las opciones que aparecen seleccionaremos «Seguridad», de esta forma accederemos al «Historial de inicio de sesión». Aquí veremos una lista de eventos en la parte superior. Estos se encuentran ordenador por fecha y hora. Vemos que también hay otras columnas como «Origen», «Id. del evento» y «Categoría de la tarea».
Localizar el evento
El apartado que nos interesa es del «Id. del evento». Cada tipo de evento que ocurre en el PC tiene asignado un ID único. A la hora de ver los inicios de sesión o arranques del PC, tenemos que fijarnos concretamente en dos:
- Evento 4624: Indica la hora exacta en que un usuario inició sesión en su cuenta específica.
- Evento 6005: Muestra la hora en que se encendió el equipo, independientemente de quién haya iniciado sesión.
En el caso de que veamos varios eventos con esa numeración quiere decir que se han producido diferentes inicios. Podemos conocer todo lo relativo a esta información haciendo clic en la pestaña de «Detalles» que encontramos en la parte inferior. Desde aquí podemos ver toda la información recogida sobre el inicio de sesión del usuario.
Hay que tener en cuenta que en este apartado en concreto se registran una buena cantidad de eventos que se han venido produciendo a lo largo de nuestras sesiones. La mayoría de ellos no tendrán relevancia alguna para nosotros, al menos en un principio. Es precisamente por esta razón por la que quizá en un principio nos cueste localizar las entradas pertenecientes al inicio de sesión. Sin embargo, teniendo en consideración que aparece tanto la fecha como la hora de todos estos eventos almacenados, podemos localizar el arranque, que es lo que nos interesa, si tenemos la sospecha de que se ha producido en alguna hora en concreto.
Este evento se va a encargar de registrar cada intento exitoso de inicio de sesión que se haya realizado en nuestro ordenador. En él, se incluye información crítica sobre el tipo de inicio de sesión (interactivo, por lotes, red o servicio), SID, nombre de usuario, información de red, entre otros detalles. Por ello, monitorizar este evento es fundamental, pues toda la información sobre el tipo de inicio de sesión no se encuentra en los controladores de dominio.
Es posible que mucha información relativa a la puesta en marcha del sistema nos resulte prácticamente inútil. Sin embargo, sí que puede ser de enorme utilidad para los más entendidos o para los administradores del sistema operativo. A su vez todo ello sirve en gran medida para controlar las diferentes cuentas de usuario que se han dado de alta en Windows, y los inicios de sesión de estas.
Aplicar filtros para los detalles
Es posible que si no estamos familiarizados con el visor de efectos nos encontremos con que existe demasiada información redundante, difícil de entender o simplemente nos colapse y nos sobrepase. Para evitar que esto nos ocurra, es posible poder aplicar filtros. De esta forma, como estamos interesados en el Id. 4624 relacionado con los inicios de sesión, podemos aplicar filtros de manera que podamos seguir de forma más cómoda la información que nos interesa.
Esto es algo que podemos realizar de forma sencilla desde el propio «Visor de eventos». Para ello, nos fijamos en la columna de la derecha, denominada «Acciones». Aquí, dentro del apartado de «Seguridad», pulsamos sobre la opción «Crear vista personalizada». Una vez hecho esto nos aparecerá una nueva ventana, donde debemos de marcar la casilla de «Por registro». Justo al lado, en «Registros de eventos», debemos dejar seleccionado «Seguridad».
Justo debajo, debemos de sustituir la etiqueta de «Todos los id. de evento», por el que nos interesa actualmente, que es el 4624. En la parte superior donde pone «Registrado», podemos indicar el tiempo desde el que queremos realizar el filtrado. Puede ser en cualquier momento, o bien sustituirlo por la última hora, últimas 12 horas, últimas 24 horas, últimos 7 días o últimos 30 días. Incluso podremos establecer un intervalo personalizado, desde el primer evento al último, con el rango de fecha y hora que necesitemos. De esta forma podemos realizar una búsqueda más personalizada en una franja horaria y días.
Una vez terminado pulsamos el botón de «Aceptar», lo cual provocará que aparezca una nueva ventana donde poder dar un nombre y una descripción para que podamos localizarla posteriormente sin dificultad. También podemos seleccionar dónde queremos que se guarde la vista personalizable, ya sea dentro del carpeta «Vistas personalizadas» o bien otra alternativa que nosotros creemos. Por último, pulsamos en Aceptar para guardar los cambios con el nuevo filtro creado.
La aplicación de estos filtros los comentamos nos ayudará en gran medida a encontrar los servicios que realmente nos interesan en este caso de una manera mucho más rápida y efectiva.
A continuación, nos aparece el historial de registro con toda la información que hemos filtrado correspondiente a la id de evento que hemos seleccionado. Comprobamos que podemos ver todas las fechas y hora acerca de inicios de sesión producidos en el periodo seleccionado.
Usar PowerShell
Además de las formas anteriores, otro truco muy interesante que nos ayuda a ver todos los inicios de sesión que han tenido lugar en el ordenador es usar un simple comando de PowerShell. A grandes rasgos, este comando lo que hace es filtrar de todos los eventos del sistema los que tienen un determinado ID (de los que hemos visto en los puntos anteriores), y mostrarlos en pantalla.
Para usarlo, lo primero será ejecutar una ventana de PowerShell, o de Terminal, con permisos de Administrador en Windows. Y una vez dentro, ejecutar este comando:
Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4624}
Podemos ver una lista con todos los inicios de sesión que han tenido lugar en el sistema, así como la fecha y la hora en la que han ocurrido. Si queremos, podemos cambiar el ID por otro para filtrar por otra información, como, por ejemplo, por el ID 6005 para ver los encendidos del equipo.
Con aplicaciones de terceros
No solo podemos acceder al historial de inicio de sesión de Windows a través del sistema, un proceso que puede llegar a ser algo complicado para usuarios novatos. También podemos hacer uso de aplicaciones de terceros para acceder a esta información de una forma más sencilla sin tener que utilizar códigos para encontrar la información que estamos buscando.
TurnedOnTimesView
Con la aplicación TurnedOnTimesView podemos acceder a la información de inicio de sesión de Windows con tan solo abrir la aplicación. Esta aplicación analiza el registro de eventos del sistema para detectar los intervalos de tiempo en los que el equipo ha estado encendido, mostrando la fecha de inicio y apagado, la duración de la sesión, el motivo del apagado, el proceso y el código. Esta función puede ser de vital importancia su al iniciar nuevamente el equipo se muestra algún tipo de error que no nos deje iniciar sesión correctamente
TurnedOnTimesView es compatible con equipos gestionados por Windows en versiones de 32 y 64 bits. Es compatible a partir de Windows 2000 y funciona sin ningún tipo de limitación en Windows 11. Dependiendo de la versión de Windows, es probable que sean necesarios permisos de administrador para poder ejecutar esta aplicación y conocer todos los detalles del apagado del equipo.
Esta aplicación está disponible para su descarga de forma totalmente gratuita a través de la web del desarrollador, quien también nos ofrece un gran número de utilidades para Windows de las que hablamos habitualmente en Softzone. La aplicación se encuentra en inglés, sin embargo, podemos descargar la traducción al español para que todos los textos se muestren en nuestro idioma. El archivo con los textos en español, debemos copiarlo en el mismo directorio donde descomprimamos la aplicación.
LastActivityView
Otra interesante aplicación del mismo desarrollador que también nos permite conocer la información de todos los eventos que se registran en Windows es LastActivityView, una aplicación que realiza un registro todas las aplicaciones y eventos que se ejecutan en Windows en cada cuenta de usuario. Entre las acciones que registra la aplicación se encuentran los archivos .exe ejecutados, los cuadros de diálogo de abrir y guardar y que aplicaciones, donde se han almacenado los archivos, la instalación de aplicaciones, el inicio y apagado del sistema, la conexión y desconexión de red entre otros.
Esta aplicación nos permite, demás exportar un registro fácilmente de toda la actividad que se ha realizado en el equipo en formato .html o bien copiarla al portapapeles del equipo para, posteriormente pegarla en un documento de Excel y otra aplicación de hojas de cálculo para analizar los resultados. Esta aplicación funciona a partir de Windows 2000 sin problema y es compatible con Windows 10 en versiones de 32 y 64 bits además de con Windows 11, aunque la última actualización que recibió la aplicación es de 2019. La información recopilada corresponde a cada cuenta de usuario donde se ha iniciado sesión y se extrae del visor de eventos.
Podemos descargar esta aplicación de forma totalmente gratuita a través del siguiente enlace.
Cómo evitar que inicien sesión en el PC
A la mayoría no nos gusta lo más mínimo que usuarios no autorizados a los que no hemos dado permiso, accedan a nuestro ordenador y naveguen por las carpetas y archivos que aquí tenemos guardados. Esto es algo que se puede hacer de manera más habitual de la que nos gustaría tanto en entornos profesionales como si vivimos con otros en casa. Ya os hemos mostrado diferentes métodos para echar un vistazo si alguien ha iniciado sesión en nuestro equipo basado en Windows sin que nos hayamos dado cuenta.
Proteger con PIN, contraseña o Windows Hello
Pero al mismo tiempo tenemos la oportunidad de tomar algunas precauciones previas para evitar todo ello y así asegurarnos de que nadie puede entrar en nuestro ordenador. En primer lugar resulta casi obligatorio establecer una contraseña de acceso a nuestro sistema operativo. También podemos configurar algún sistema de autenticación biométrico como por ejemplo mediante la huella o nuestro iris. Para acceder más rápidamente incluso podemos establecer un PIN de acceso de cuatro dígitos, lo que complica que otros puedan abrir nuestro PC.
Pero no solamente vale con establecer alguna de estas medidas de seguridad para evitar el acceso de cualquier otro usuario a Windows. Es importante que establezcamos una contraseña o un código pin lo más complejo posible para que así no sea fácil hackear esta medida de verificación. Evidentemente esto es algo que se hace especialmente patente en el caso de que nos decantemos por utilizar una contraseña compuesta por todo tipo de caracteres.
Usar protección de la edición Pro
Incluso si queremos ir un paso más allá en todo aquello referente a la seguridad de nuestro ordenador, podemos hacernos con la edición Pro de Windows. Os decimos esto porque así tendremos al alcance de la mano la aplicación de cifrado BitLocker que el propio sistema operativo pondrá a nuestra disposición para añadir un plus de privacidad. Además de tener que disponer de la contraseña maestra para acceder al contenido de nuestro ordenador, el mismo se cifra de forma automática para que nadie pueda ver estos archivos y carpetas aunque extraigan el disco duro del equipo.
De hecho en el caso de que tengamos esta edición de Windows que os comentamos enfocada hacia un uso más profesional, os recomendamos encarecidamente utilizar este método de seguridad en la mayoría de los casos. Esto es algo que se hace especialmente patente en el caso de que trabajemos con un ordenador portátil y estemos de un lado para otro con el mismo de manera habitual. Así, en caso de robo o pérdida del equipo como tal, nadie más podrá acceder a todos nuestros datos almacenados con tan solo extraer la unidad de almacenamiento del ordenador portátil.
Proteger la BIOS del PC
Por último cabe reseñar que también tenemos la posibilidad de establecer una contraseña directamente en la BIOS del PC para así añadir otro método de seguridad más. Para ello no tenemos más que acceder a este elemento en el arranque del equipo para establecer una password de acceso que bloqueará la carga del sistema operativo desde que alguien pulse el botón de arranque del ordenador.
Cabe mencionar que echar mano de este sistema de seguridad estaba bastante de moda hace unos años cuando el sistema operativo Windows no era tan seguro como lo es ahora. Para proteger el equipo en su totalidad multitud de usuarios, tanto finales como de empresas, establecían una contraseña en la bios del ordenador para que así nadie pudiese encender y utilizar sus equipos sin su permiso. Sin embargo este es un modo de uso que con el tiempo ha ido decayendo a medida que aumentaban las medidas de seguridad de los sistemas operativos.