Comprueba si alguien inició sesión en tu PC

Comprueba si alguien inició sesión en tu PC

Fran Castañeda

Por lo general para poder utilizar nuestro ordenador cada día debemos de iniciar sesión una vez hemos arrancado Windows. Dee esta forma podemos usar los programas instalados, trabajar con los archivos, jugar o disfrutar de nuestro contenido multimedia. Cada vez que apagamos el PC e iniciamos una nueva sesión, el sistema se encargará de realizar un registro de este proceso, ya sea por temas de administración o seguridad. Por ello, hoy vamos a ver cómo verificar el historial de inicio de sesión de un usuario.

Si tenemos sospechas de que terceras personas hayan podido acceder a nuestro ordenador sin nuestro permiso, podemos averiguarlo a través de la herramienta del Visor de eventos. Y es que, por lo general, aunque no hayan dejado evidencias físicas, es posible que haber dejado huella a través de los registros de Windows 10 y Windows 11, por lo que podemos comprobarlo.

Y es que el sistema operativo de Microsoft cuenta con una serie de funciones que permiten monitorizar las auditorias que registran todo lo que sucede en el equipo, como errores, problemas de seguridad o los inicios de sesión que se realizan en él. Por ello, podremos tener acceso a un historial donde poder consultar con certeza las fechas, hora y usuario en la que un usuario ha accedido iniciando sesión.

Si, finalmente se confirma que alguien más que nosotros ha podido acceder al equipo, lo primero que debemos hacer es cambiar el PIN que da acceso a nuestra cuenta de usuarios de Windows. Aunque desde nuestra cuenta de usuario se puede acceder a nuestra cuenta de correo, si la tenemos configurada en la aplicación Mail, también es recomendable comprobar si la persona que ha accedido a nuestro equipo se ha podido enviar cualquier tipo de archivo de nuestro equipo utilizando el correo electrónico.

Cómo habilitar el seguimiento del historial

Por lo general esta directiva debe encontrare habilitada de manera predeterminada en nuestro ordenador con Windows 10 o Windows 11, si bien puede que haya casos donde no sea posible ver el historial de inicio se sesión de usuarios debido a que esta política se encuentra desactivada. Este problema se da especialmente en las versiones Pro de Windows, por lo que será necesario habilitarlo de manera manual.

Esta tarea debemos de llevarla a cabo desde el Editor de directivas de grupo local, a la cual podemos hacer pulsando el atajo de teclado Windows + R y escribiendo gpedit.msc. Por último, pulsamos Enter o el botón de Aceptar para confirmar la acción. Una vez nos aparezca en pantalla, de navegar hasta la siguiente ubicación

Configuración del equipo / Configuración de Windows / Configuración de seguridad / Directivas locales / Directiva de auditoría

Auditar eventos de inicio de sesión

Posteriormente hacemos doble clic sobre la entrada «Auditar eventos de inicio se sesión«. En la nueva ventana, dentro del apartado de Configuración de seguridad local debemos de marcar las casillas de «Correcto» y «Erróneo». Por último, hacemos clic en Aplicar y posteriormente Aceptar para guardar los cambios introducidos. Una vez hecho esto, reiniciamos el sistema y ya podremos realizar un seguimiento del historial de inicio de sesión del usuario. Eso sí, para todo lo que os vamos a contar a continuación, es recomendable que lo hagamos desde la cuenta de administrador del sistema operativo. El resto de las cuentas de usuario están un tanto limitadas en cuanto al acceso y control de ciertas funciones, como es el caso.

Propiedades de Auditar eventos de inicio de sesión

Comprueba el historial de inicio de sesión

La herramienta que utilizaremos para verificar el historial de inicio de sesión es el Visor de eventos, que se encuentra incluida de forma predeterminada en el sistema operativo de Microsoft. En ella se muestra un registro de mensajes del sistema y de la aplicación, incluidos, errores, mensajes de información y advertencias. Para acceder a ella, pulsamos el atajo de teclado «Windows + R» y se lanzará el comando Ejecutar. Aquí escribimos eventvwr.msc y hacemos clic en Aceptar.

Visor de eventos

Una vez hemos accedido debemos fijarnos en la columna de la izquierda donde debemos de expandir la opción de «Registros de Windows». Dentro de las opciones que aparecen seleccionaremos «Seguridad», de esta forma accederemos al «Historial de inicio de sesión». Aquí veremos una lista de eventos en la parte superior. Estos se encuentran ordenador por fecha y hora. Vemos que también hay otras columnas como «Origen», «Id. del evento» y «Categoría de la tarea».

Localizar el evento

El apartado que nos interesa es del «Id. del evento», en donde debemos de buscar las entradas con el número 4624 que corresponde con el inicio de sesión del usuario. También podemos utilizar el número 6005. Este id de evento nos informará de la hora a la que se ha iniciado el equipo, pero no cuando nos hemos logueado en el equipo, por lo que también nos puede servir para conocer cuando se ha iniciado el equipo, aunque no se haya utilizado a través de nuestra cuenta, si el equipo está configurado con varias cuentas de usuarios. Mientras que el evento 4624 únicamente muestra la hora de inicio de sesión de esa cuenta de usuario (no del resto de cuentas instaladas en el equipo), el id de evento 6005, nos muestra la hora en la que se ha iniciado el equipo. Aquí todo depende de qué tipo de información estemos buscando, ya que ambos nos ofrecen información diferente.

En el caso de que veamos varios eventos con esa numeración quiere decir que se han producido diferentes inicios. Podemos conocer todo lo relativo a esta información haciendo clic en la pestaña de «Detalles» que encontramos en la parte inferior. Desde aquí podemos ver toda la información recogida sobre el inicio de sesión del usuario.

Hay que tener en cuenta que en este apartado en concreto se registran una buena cantidad de eventos que se han venido produciendo a lo largo de nuestras sesiones. La mayoría de ellos no tendrán relevancia alguna para nosotros, al menos en un principio. Es precisamente por esta razón por la que quizá en un principio nos cueste localizar las entradas pertenecientes al inicio de sesión. Sin embargo, teniendo en consideración que aparece tanto la fecha como la hora de todos estos eventos almacenados, podemos localizar el arranque, que es lo que nos interesa, si tenemos la sospecha de que se ha producido en alguna hora en concreto.

Visor de eventos id 4624

Este evento se va a encargar de registrar cada intento exitoso de inicio de sesión que se haya realizado en nuestro ordenador. En él, se incluye información crítica sobre el tipo de inicio de sesión (interactivo, por lotes, red o servicio), SID, nombre de usuario, información de red, entre otros detalles. Por ello, monitorizar este evento es fundamental, pues toda la información sobre el tipo de inicio de sesión no se encuentra en los controladores de dominio.

Es posible que mucha información relativa a la puesta en marcha del sistema nos resulte prácticamente inútil. Sin embargo, sí que puede ser de enorme utilidad para los más entendidos o para los administradores del sistema operativo. A su vez todo ello sirve en gran medida para controlar las diferentes cuentas de usuario que se han dado de alta en Windows, y los inicios de sesión de estas.

Aplicar filtros para los detalles

Es posible que si no estamos familiarizados con el visor de efectos nos encontremos con que existe demasiada información redundante, difícil de entender o simplemente nos colapse y nos sobrepase. Para evitar que esto nos ocurra, es posible poder aplicar filtros. De esta forma, como estamos interesados en el Id. 4624 relacionado con los inicios de sesión, podemos aplicar filtros de manera que podamos seguir de forma más cómoda la información que nos interesa.

Visor de eventos crear vistas personalizadas

Esto es algo que podemos realizar de forma sencilla desde el propio «Visor de eventos». Para ello, nos fijamos en la columna de la derecha, denominada «Acciones». Aquí, dentro del apartado de «Seguridad», pulsamos sobre la opción «Crear vista personalizada». Una vez hecho esto nos aparecerá una nueva ventana, donde debemos de marcar la casilla de «Por registro». Justo al lado, en «Registros de eventos», debemos dejar seleccionado «Seguridad».

Justo debajo, debemos de sustituir la etiqueta de «Todos los id. de evento», por el que nos interesa actualmente, que es el 4624. En la parte superior donde pone «Registrado», podemos indicar el tiempo desde el que queremos realizar el filtrado. Puede ser en cualquier momento, o bien sustituirlo por la última hora, últimas 12 horas, últimas 24 horas, últimos 7 días o últimos 30 días. Incluso podremos establecer un intervalo personalizado, desde el primer evento al último, con el rango de fecha y hora que necesitemos. De esta forma podemos realizar una búsqueda más personalizada en una franja horaria y días.

Crear vista personalizada para la id 4624

Una vez terminado pulsamos el botón de «Aceptar», lo cual provocará que aparezca una nueva ventana donde poder dar un nombre y una descripción para que podamos localizarla posteriormente sin dificultad. También podemos seleccionar dónde queremos que se guarde la vista personalizable, ya sea dentro del carpeta «Vistas personalizadas» o bien otra alternativa que nosotros creemos. Por último, pulsamos en Aceptar para guardar los cambios con el nuevo filtro creado.

Guardar filtro en vistas personalizadas

A continuación, nos aparece el historial de registro con toda la información que hemos filtrado correspondiente a la id de evento que hemos seleccionado. Comprobamos que podemos ver todas las fechas y hora acerca de inicios de sesión producidos en el periodo seleccionado.

Con aplicaciones de terceros

No solo podemos acceder al historial de inicio de sesión de Windows a través del sistema, un proceso que puede llegar a ser algo complicado para usuarios novatos. También podemos hacer uso de aplicaciones de terceros para acceder a esta información de una forma más sencilla sin tener que utilizar códigos para encontrar la información que estamos buscando.

TurnedOnTimesView

Con la aplicación TurnedOnTimesView podemos acceder a la información de inicio de sesión de Windows con tan solo abrir la aplicación.

Esta aplicación analiza el registro de eventos del sistema para detectar los intervalos de tiempo en los que el equipo ha estado encendido, mostrando la fecha de inicio y apagado, la duración de la sesión, el motivo del apagado, el proceso y el código. Esta función puede ser de vital importancia su al iniciar nuevamente el equipo se muestra algún tipo de error que no nos deje iniciar sesión correctamente

TurnedOnTimesView

TurnedOnTimesView es compatible con equipos gestionados por Windows en versiones de 32 y 64 bits. Es compatible a partir de Windows 2000 y funciona sin ningún tipo de limitación en Windows 11. Dependiendo de la versión de Windows, es probable que sean necesarios permisos de administrador para poder ejecutar esta aplicación y conocer todos los detalles del apagado del equipo.

Esta aplicación está disponible para su descarga de forma totalmente gratuita a través de la web del desarrollador, quien también nos ofrece un gran número de utilidades para Windows de las que hablamos habitualmente en Softzone. La aplicación se encuentra en inglés, sin embargo, podemos descargar la traducción al español para que todos los textos se muestren en nuestro idioma. El archivo con los textos en español, debemos copiarlo en el mismo directorio donde descomprimamos la aplicación.

Lo mejor

Aquí nos vamos a encontrar con algunos interesantes datos que nos van a ayudar a conocer más detalles del inicio y apagado de nuestra sesión en Windows. todo ello a través de una sencilla interfaz de usuario que muestra todos los eventos almacenados y sucedidos en las últimas horas en nuestro equipo.

Lo peor

Para usuarios poco experimentados en la utilización del sistema operativo de Microsoft, buena parte de las informaciones que se muestran aquí serán más confusas que otra cosa

LastActivityView

Otra interesante aplicación del mismo desarrollador que también nos permite conocer la información de todos los eventos que se registran en Windows es LastActivityView, una aplicación que realiza un registro todas las aplicaciones y eventos que se ejecutan en Windows en cada cuenta de usuario. Entre las acciones que registra la aplicación se encuentran los archivos .exe ejecutados, los cuadros de diálogo de abrir y guardar y que aplicaciones, donde se han almacenado los archivos, la instalación de aplicaciones, el inicio y apagado del sistema, la conexión y desconexión de red entre otros.

LastActivityView

Esta aplicación nos permite, demás exportar un registro fácilmente de toda la actividad que se ha realizado en el equipo en formato .html o bien copiarla al portapapeles del equipo para, posteriormente pegarla en un documento de Excel y otra aplicación de hojas de cálculo para analizar los resultados. Esta aplicación funciona a paritr de Windows 2000 sin problema y es compatible con Windows 10 en versiones de 32 y 64 bits además de con Windows 11, aunque la última actualización que recibió la aplicación es de 2019. La información recopilada corresponde a cada cuenta de usuario donde se ha iniciado sesión y se extrae del visor de eventos.

Podemos descargar esta aplicación de forma totalmente gratuita a través del siguiente enlace.

Pros

Además de todos los registros en forma de datos que aquí vamos a obtener de manera directa acerca del inicio y cierre de sesión de Windows, podremos exportar todo ello a un fichero para utilizarlo más adelante.

Contras

El programa necesita una actualización para así adaptar la interfaz de usuario que nos encontramos a los tiempos que corren.

¡Sé el primero en comentar!