Recuperación de contraseña — Windows 11

Antes de intentar cualquier técnica para recuperar o restablecer una contraseña en Windows 11, dedica unos minutos a estas comprobaciones. Muchas pérdidas de datos o bloqueos evitables se producen por no verificar si el equipo está cifrado, si existe otra cuenta administradora o si se usa una cuenta Microsoft.

Objetivo de esta sección

Te ayudará a decidir el camino más seguro: restablecimiento online (cuenta Microsoft), uso de otra cuenta admin, o proceder a métodos avanzados (Recovery / USB). Sigue siempre la opción menos intrusiva posible.

Flujo de decisión rápido

1. ¿Tu sesión es con Cuenta Microsoft?
   → Intenta restablecer online en: account.live.com/password/reset. (Menos riesgo, recomendado).
2. Si no, ¿existe otra cuenta con permisos de administrador?
   → Inicia sesión con ella y cambia la contraseña desde el Panel de control o con net user.
3. Si no hay otra cuenta:
   → Comprueba si la unidad está cifrada con BitLocker. Si lo está, localiza la clave de recuperación ANTES de hacer cambios. Sin ella puedes dejar la unidad inaccesible.
4. Si no hay BitLocker y no hay EFS crítico:
   → Puedes recurrir a Entorno de recuperación (Recovery) o a medios externos (USB, Hiren's, ntpasswd). Prioriza crear una imagen del disco antes de modificar la SAM.

Resumen rápido de prioridad

• Primero: restablecimiento online (cuenta Microsoft).
• Segundo: usar otra cuenta administradora.
• Tercero: comprobar BitLocker / EFS y recopilar claves/backup.
• Cuarto: métodos avanzados (Recovery / herramientas externas) — solo si tienes autorización y copia del disco.

Lee y realiza cada punto. Si respondes "sí" a alguno de los ítems, sigue la recomendación asociada antes de continuar con métodos avanzados.

1. ¿Usas cuenta Microsoft para iniciar sesión?

   Si sí → intenta el restablecimiento online en: account.live.com/password/reset. Evita cambios locales si puedes.

2. ¿Hay otra cuenta con permisos de administrador?

   Si existe → inicia sesión con esa cuenta y cambia la contraseña del usuario bloqueado (Panel de control o net user "NombreCuenta" "NuevaContraseña").

3. ¿BitLocker está activo en el disco?

   Si sí → localiza la clave de recuperación ANTES de tocar la unidad. Comprueba en tu cuenta Microsoft (account.microsoft.com/devices), en impresiones/USB o con tu administrador TI. Sin la clave, no modifiques archivos del sistema.

4. ¿Tienes archivos cifrados con EFS?

   Si sí → exporta el certificado y la clave privada (PFX) con certmgr.msc → Carpeta Personal → Certificados → Exportar (incluye clave privada). Sin esta exportación, perderás acceso a archivos cifrados si borras/reescribes la contraseña.

5. ¿El equipo pertenece a una organización (AD / Intune)?

   Si sí → contacta con TI. Muchas empresas centralizan/restablecen credenciales y tienen políticas que impiden estas técnicas.

6. ¿Has hecho copia o imagen del disco?

   Si no, y vas a usar herramientas externas (ntpasswd, Hiren's), crea una imagen (Clonezilla, dd) para poder recuperar el estado anterior si algo falla.

Comprobaciones rápidas desde Recovery (si ya estás en modo reparación)

rem Buscar Windows (la letra puede no ser C:)
dir c:\Windows
if not exist c:\Windows dir d:\Windows

rem Ver volúmenes con diskpart
diskpart
list vol
exit

Estos comandos te ayudan a identificar la letra correcta del sistema y los volúmenes antes de ejecutar operaciones sobre ficheros del sistema.

La ventaja de usar una cuenta Microsoft es que la contraseña se gestiona fuera del equipo. Si puedes restablecerla desde la web oficial, es siempre la opción menos riesgosa.

Paso a paso

1. Desde otro dispositivo abre: https://account.live.com/password/reset.
2. Introduce el email o teléfono asociado y sigue el asistente: selecciona el método de verificación (correo alternativo, SMS o app autenticadora).
3. Si no tienes acceso a los métodos configurados, usa la opción “no puedo usar ninguno de estos” y sigue los pasos alternativos, que pueden incluir verificación adicional por Microsoft.
4. Elige una contraseña nueva robusta (12+ caracteres, mezcla de mayúsculas/minúsculas, números y símbolos). Guarda la contraseña en un gestor de contraseñas.
5. Vuelve al PC y prueba el inicio de sesión. Si el equipo no está conectado a Internet, conéctalo y vuelve a intentarlo; la nueva credencial debe sincronizarse.

Consejos

• Activa la verificación en dos pasos (MFA) para esa cuenta.
• Si la cuenta pertenece a Azure AD o a una organización, el restablecimiento puede estar gestionado por TI.
• Revisa en account.microsoft.com/devices si tienes claves de BitLocker asociadas a tu cuenta.

Si hay otra cuenta con privilegios administrativos en el mismo equipo, utilízala: evita manipular archivos del sistema y reduce el riesgo de dañar perfiles o cifrados.

Opciones

1. Panel de control: Accede a Panel de control → Cuentas de usuario → Administrar otra cuenta → Cambiar contraseña, selecciona el usuario y asigna una nueva contraseña.
2. CMD (rápido): abre Símbolo del sistema como administrador y ejecuta:
   

   net user "NombreCuenta" "NuevaContraseña"

   Donde NombreCuenta es el identificador exacto (usa comillas si contiene espacios).
3. Activar cuenta Administrador integrada: si necesitas, puedes habilitarla temporalmente:
   

   net user Administrador /active:yes

Notas

• Si la máquina es parte de un dominio (AD), los cambios varían: este método se aplica a cuentas locales.
• Tras recuperar acceso, elimina contraseñas temporales y desactiva la cuenta Administrador integrada si la activaste.

El método de reemplazar utilman.exe por cmd.exe se aprovecha de la posibilidad de ejecutar utilidades de accesibilidad desde la pantalla de login. Es potente pero intrusivo: úsalo solo si no hay otras opciones y eres el propietario del equipo.

Flujo seguro y recomendaciones

1. Arranca en Recovery: en pantalla de login mantén Shift + Reiniciar → Solucionar problemas → Opciones avanzadas → Símbolo del sistema, o bien arranca desde un USB de instalación y elige \"Reparar tu equipo\" → Símbolo del sistema.
2. Localiza la letra donde está Windows (puede no ser C:), por ejemplo:
   

   dir c:\\Windows
   if not exist c:\\Windows dir d:\\Windows

   o con DiskPart (diskpart → list vol).
3. Haz copia de seguridad de utilman.exe y reemplázalo por cmd.exe (ajusta la letra de unidad):
   

   copy D:\\windows\\system32\\utilman.exe D:\\
   copy D:\\windows\\system32\\cmd.exe D:\\windows\\system32\\utilman.exe

4. Reinicia, pulsa el icono de accesibilidad en la pantalla de login; se abrirá CMD con permisos SYSTEM. Cambia la contraseña con:
   

   net user "NombreCuenta" "NuevaContraseña"

5. Vuelve a Recovery y restaura utilman.exe desde la copia que guardaste:
   

   copy D:\\utilman.exe D:\\windows\\system32\\utilman.exe
   del D:\\utilman.exe

Riesgos

• Si BitLocker está activo, la unidad puede pedir la clave de recuperación y permanecer inaccesible hasta introducirla.
• Si el usuario tiene EFS, cambiar/borrar contraseña sin exportar certificados puede impedir el acceso a archivos cifrados.
• Restaurar utilman.exe es obligatorio: no dejes el sistema con cmd abierto como accesibilidad.

En el Entorno de recuperación (WinRE) las letras de unidad cambian: lo que normalmente es C:\ puede aparecer como D:\ o con otra letra. DiskPart (y las alternativas en PowerShell) te permiten identificar discos/volúmenes con seguridad y asignar letras temporales para trabajar sin equivocarte.

Objetivo

Identificar la partición donde está instalado Windows, asignarle una letra temporal para acceder a archivos, y desmontarla/restaurar después. Evita ejecutar comandos destructivos (como clean o format) a menos que sepas exactamente lo que haces.

Paso a paso seguro con diskpart

1. Abrir DiskPart (desde WinRE: Símbolo del sistema / CMD):
   

   diskpart

2. Listar discos físicos y escoger el disco correcto (normalmente Disk 0):
   

   list disk
   select disk 0
   detail disk

   Busca el tamaño y la descripción para confirmar que seleccionas el disco correcto.

3. Listar volúmenes para ver letras y etiquetas (útil para localizar la partición Windows por etiqueta, tamaño o tipo):
   

   list volume
   detail volume <número>

   Fíjate en la columna Label, Fs (NTFS) y Size. La partición Windows suele ser NTFS y tener tamaño grande.

4. Asignar una letra temporal (por ejemplo, Z:) al volumen seleccionado para poder usarlo desde CMD:
   

   select volume <número_de_volumen>
   assign letter=Z

   Ahora en CMD puedes usar dir Z:\Windows para confirmar que es la instalación de Windows.

5. Trabaja con la letra asignada: copia, inspecciona o modifica archivos (por ejemplo copiar utilman.exe, editar archivos de registro, exportar claves, etc.).
6. Eliminar la letra temporal cuando termines (muy importante):
   

   select volume <número_de_volumen>
   remove letter=Z

7. Salir de DiskPart:

exit

Ejemplo práctico (en WinRE): localizar Windows si no es C:

diskpart
list volume
select volume 3
assign letter=Z
exit

rem comprobar desde CMD
dir Z:\Windows

Comandos útiles en PowerShell (alternativa moderna)

Si tienes PowerShell (por ejemplo en un entorno PE), puedes usar cmdlets más descriptivos:

Get-Disk
Get-Partition
Get-Volume

# Asignar letra (ejemplo):
Get-Partition -DiskNumber 0 -PartitionNumber 3 | Set-Partition -NewDriveLetter Z

# Quitar letra:
Get-Partition -DriveLetter Z | Remove-PartitionAccessPath -AccessPath "Z:\"

Montar un VHD (útil si trabajas con imágenes)

Si tienes una imagen VHD/VHDX y quieres montarla desde WinRE/PowerShell para inspeccionar archivos:

rem PowerShell
Mount-VHD -Path "E:\backups\image.vhdx" -ReadOnly

# luego listar volúmenes para asignar letra
Get-Disk | Where-Object IsOffline -Eq $false
# al terminar:
Dismount-VHD -Path "E:\backups\image.vhdx"

Cómo identificar la partición Windows con pistas rápidas

• Busca la carpeta \Windows (por ejemplo dir D:\Windows).
• Comprueba si existe \Program Files y \Users.
• El volumen del sistema EFI suele ser pequeño (~100–500 MB) y tiene formato FAT32; la partición Windows es NTFS y mucho mayor.

Verificar cifrado (BitLocker) antes de montar

Si la partición está cifrada con BitLocker, no podrás acceder a su contenido hasta desbloquearla (usa manage-bde -status Z: o consulta la sección BitLocker de la guía). No fuerces operaciones sobre una unidad cifrada.

Advertencias — comandos peligrosos que NUNCA usar sin confirmar

• clean (DiskPart): borra la tabla de particiones — destruye datos. No lo ejecutes a menos que quieras formatear el disco por completo.
• format: formatea una partición y borra datos.
• convert (MBR/GPT) sin backups: puede hacer que el disco sea inservible si se hace mal.
• Evita any operación que cambie el tamaño o elimine particiones si no tienes una imagen previa.

Flujo recomendado antes de cualquier cambio

1. Documenta el estado actual: anota números de disco/volumen y letras actuales.
2. Si es posible, crea una imagen del disco (Clonezilla, dd) o copia los archivos críticos a otro soporte.
3. Asigna letras temporales en vez de modificar particiones.
4. Cuando termines, elimina las letras temporales y cierra DiskPart.

BitLocker cifra todo el disco. Si la unidad está protegida con BitLocker, no podrás modificar ficheros del sistema ni reemplazar utilidades (por ejemplo utilman.exe) hasta que desbloquees la unidad con la clave de recuperación. Antes de intentar cualquier cambio, localiza y verifica la clave de recuperación.

¿Qué es la clave de recuperación (Recovery Key)?

Es un número largo (48 dígitos) que sirve para desbloquear una unidad cifrada cuando Windows solicita recuperación. Normalmente se muestra en grupos, por ejemplo:

Ejemplo: 111111-222222-333333-444444-555555-666666-777777-888888

Dónde buscar la clave — opciones personales

1. Cuenta Microsoft (usuario particular): Inicia sesión en account.microsoft.com/devices, busca el dispositivo y revisa la sección de claves de BitLocker / recuperación. Si la clave fue guardada allí, la verás listada junto al dispositivo.
2. Impresión o copia física / USB: Revisa documentos impresos, notas o memorias USB donde pudieras haber guardado la clave.
3. En la sesión del usuario: Si aún puedes entrar con otra cuenta con permisos, abre Panel de control → Sistema y seguridad → Cifrado de unidad BitLocker y selecciona la opción para ver / guardar la clave.

Dónde buscar la clave — entornos corporativos

1. Active Directory (on-prem): Muchas empresas configuran BitLocker para que guarde automáticamente las claves en Active Directory. Pregunta al departamento de TI; ellos pueden consultar el objeto de equipo (o usar las herramientas administrativas) y recuperar la clave.
2. Intune / Azure AD / Endpoint Manager: En entornos gestionados la clave suele estar disponible desde el portal de Microsoft Endpoint Manager / Azure. El administrador busca el dispositivo y visualiza la sección de claves de recuperación.

Cómo identificar la clave correcta: Key ID / Identificador

Cuando Windows solicita la clave de recuperación te mostrará un Key ID (identificador). Debes localizar la clave que tenga el mismo Key ID en tu cuenta Microsoft, Active Directory o Intune — solo esa será la correcta.

Comandos útiles (para usar en Recovery Environment o CMD con privilegios)

Ejecuta estos comandos desde el Recovery Command Prompt o CMD elevado para comprobar estado y protectores:

rem Ver estado de BitLocker en la unidad C:
manage-bde -status C:

rem Mostrar los protectores y los Key IDs de la unidad C:
manage-bde -protectors -get C:

Si ya tienes la clave de recuperación (48 dígitos), puedes desbloquear la unidad con:

rem Desbloquear la unidad C: usando la Recovery Password
manage-bde -unlock C: -RecoveryPassword 111111-222222-333333-444444-555555-666666-777777-888888

rem Una vez desbloqueada, si necesitas desactivar temporalmente la protección:
manage-bde -protectors -disable C:

Si no encuentras la clave — opciones y límites

• Entorno personal: busca en tu cuenta Microsoft, copias impresas/USB o en la documentación donde la guardaste. Si no está, lamentablemente no hay forma técnica de forzar el descifrado sin la clave: los datos permanecerán inaccesibles.
• Entorno corporativo: contacta urgentemente con el administrador TI — si la clave fue almacenada en AD/Intune pueden proporcionártela.
• Si no existe copia de la clave: la única alternativa será formatear/volver a instalar el sistema (pérdida de datos). Por eso es crítico hacer backups e imágenes del disco antes de experimentar con la SAM o utilidades externas.

Buenas prácticas — evitar problemas con BitLocker

• Al activar BitLocker, guarda la Recovery Key en al menos dos lugares seguros (cuenta Microsoft / impresión física / USB cifrado).
• Antes de usar métodos que toquen el sistema (reemplazar utilman, editar SAM), confirma que puedes desbloquear la unidad con la Recovery Key.
• Si gestionas equipos en empresa, verifica que las políticas de BitLocker están correctamente configuradas para almacenar claves en AD o Intune.
• Si vas a probar herramientas externas, primero crea una imagen del disco (Clonezilla, dd) para poder restaurar en caso de problema.

EFS (Encrypting File System) cifra archivos a nivel de usuario usando certificados/clave privada asociada al perfil. Si pierdes el acceso a la cuenta o borras la contraseña sin haber exportado las claves EFS, podrías perder el acceso a los archivos cifrados. Por eso la prioridad es exportar la clave antes de cualquier acción invasiva.

1) ¿Cómo comprobar si hay archivos cifrados en el equipo?

Desde un símbolo del sistema puedes listar todos los archivos cifrados en las unidades locales con el comando cipher. Este comando recorre los volúmenes y muestra los ficheros EFS encontrados:

cipher /u /n /h

Explicación: /u busca archivos cifrados en los discos; /n evita actualizar las claves; /h incluye ficheros ocultos. Útil para estimar alcance del cifrado antes de actuar. :contentReference[oaicite:0]{index=0}

2) Exportar (backup) del certificado EFS — método GUI (recomendado)

1. Inicia sesión con la cuenta que tiene los archivos cifrados.
2. Pulsa Win+R, escribe certmgr.msc y pulsa Enter (Administrador de certificados - Usuario actual).
3. Ve a Personal → Certificados. Localiza el certificado que se utilizó para EFS (mira la columna Propósito o el nombre que coincida con tu perfil).
4. Haz clic derecho sobre el certificado → All Tasks → Export. En el asistente: elige Yes, export the private key, selecciona formato Personal Information Exchange (PKCS #12 .PFX), marca Include all certificates in the certification path si está disponible y establece una contraseña fuerte para proteger el PFX.
5. Guarda el archivo .pfx en un medio seguro (USB cifrado, disco externo) y anota la contraseña en tu gestor seguro. :contentReference[oaicite:1]{index=1}

3) Exportar / importar con PowerShell (ejemplo)

Si prefieres línea de comandos (PowerShell), este ejemplo exporta el certificado seleccionado por thumbprint a un PFX protegido por contraseña:

# establecer contraseña para el PFX (cámbiala por una segura)
$pwd = ConvertTo-SecureString -String 'TuPasswordFuerte' -Force -AsPlainText

# exportar por thumbprint (reemplaza THUMBPRINT y la ruta)
Get-ChildItem -Path Cert:\CurrentUser\My\ |
  Export-PfxCertificate -FilePath C:\backups\efs-backup.pfx -Password $pwd

Para importar el PFX en otro equipo o tras reinstalar:

$pwd = ConvertTo-SecureString -String 'TuPasswordFuerte' -Force -AsPlainText
Import-PfxCertificate -FilePath C:\backups\efs-backup.pfx -CertStoreLocation Cert:\CurrentUser\My -Password $pwd

Nota: si el certificado en origen está marcado como non-exportable, el export fallará. En ese caso busca una copia de seguridad previa o contacta con el administrador. :contentReference[oaicite:2]{index=2}

4) ¿Qué pasa si la clave privada NO es exportable?

• Si el certificado fue marcado como non-exportable al generarlo, Windows impedirá extraer la clave privada con el wizard o con PowerShell. No podrás crear un PFX desde ese certificado.
• En entornos de dominio (AD) suele existir un EFS Data Recovery Agent o copias de la clave guardadas por la organización; contacta con TI para recuperar archivos.
• Si no hay copia y la clave no es exportable, la opción realista es restaurar archivos desde tus copias de seguridad o imagen del disco; de lo contrario los archivos cifrados serán inaccesibles. :contentReference[oaicite:3]{index=3}

5) Transferir el PFX a otro equipo — buenas prácticas

1. Protege el archivo .pfx con una contraseña fuerte y guárdalo en un medio seguro (USB cifrado o almacenamiento seguro).
2. Cuando importes el PFX en el otro equipo, usa la cuenta de usuario que accederá a los archivos (Import-PfxCertificate o doble clic en el PFX e import wizard).
3. Tras importar la clave, intenta abrir/copiar los archivos cifrados: una vez que el certificado y su clave privada estén presentes en el almacén de CurrentUser, Windows debería descifrarlos automáticamente al acceder. :contentReference[oaicite:4]{index=4}

6) Buenas prácticas y checklist antes de restablecer contraseñas o usar ntpasswd / herramientas externas

• Si hay archivos EFS, exporta PFX (o confirma que existe una copia) antes de cambiar/borrar credenciales locales.
• Haz una imagen completa del disco (Clonezilla, dd) para poder restaurar el estado si algo sale mal.
• No uses herramientas que afirmen “forzar” descifrado de EFS: en la práctica EFS sólo se puede descifrar con la clave privada original o con una clave de recuperación válida.
• Guarda las copias PFX bajo contraseña y elimina cualquier PFX temporal cuando ya no sea necesario; considera almacenarlas en un gestor o hardware seguro (YubiKey/HSM) si es crítico. :contentReference[oaicite:5]{index=5}

7) Si ya perdiste el acceso a archivos EFS

1. Detén cualquier operación destructiva.
2. Busca backups o imágenes del disco previas al problema y restaura desde ahí si están disponibles.
3. Si estás en una empresa, contacta con TI; pueden tener agentes de recuperación EFS en AD/Intune.
4. Como último recurso, servicios profesionales de recuperación pueden intentar análisis avanzados, pero la probabilidad de recuperar datos sin la clave privada es baja y costosa.

Las herramientas de arranque externas (USB) y entornos de rescate son útiles cuando no puedes acceder al sistema por los métodos estándar. Sin embargo, son potentes y pueden causar pérdida irreversible de datos si se usan sin precaución. Esta sección explica qué hace cada herramienta, sus ventajas y riesgos, y un flujo de trabajo seguro para utilizarlas.

Resumen rápido (qué hace cada herramienta)

Checklist obligatorio antes de usar cualquier herramienta externa

• Confirmar autorización: actúa solo sobre equipos tuyos o con permiso explícito.
• Buscar BitLocker: si la unidad está cifrada, localiza la Recovery Key ANTES de cualquier intento. Sin ella no podrás montar/modificar la partición.
• Revisar EFS: si hay archivos cifrados con EFS, exporta los certificados y la clave privada (PFX) antes de tocar la SAM.
• Crear una imagen del disco: usa Clonezilla o dd para crear una imagen completa y almacenarla en otra unidad. Esto es la red de seguridad más importante.
• Descargar solo desde fuentes oficiales: obtén ISOs de las webs oficiales del proyecto y verifica sumas SHA256/PGP antes de grabar el USB.

Flujo de trabajo seguro (alta prioridad — seguir en este orden)

1. Documenta el estado actual: toma nota de la configuración (tipo de cuenta, presencia de BitLocker, estado de red, nombre de equipo).
2. Haz una imagen completa del disco y guarda la imagen en un dispositivo externo seguro.
3. Verifica la integridad de la ISO/archivo descargado (SHA256/PGP) antes de crear el USB booteable.
4. Arranca desde el USB en modo lectura donde sea posible —primero intenta montar la partición como solo-lectura para recuperar archivos si ese es el objetivo.
5. Recuperación de archivos primero: si el objetivo es recuperar datos, prioriza copiar archivos a otra unidad antes de modificar la SAM o las cuentas.
6. Si vas a modificar cuentas, preferir métodos que no borren certificados/credenciales. Si una herramienta indica que borrará la contraseña (como ntpasswd), considera crear una imagen adicional y confirmar que no hay EFS en uso.
7. Restaurar utilman/archivo original si tocaste ficheros del sistema; acepta siempre volver al estado original tras terminar.

Cómo verificar descargas (práctico)

Siempre que descargues una ISO o herramienta, busca el SHA256 o la firma PGP ofrecida por el proyecto y verifica en tu máquina local antes de crear el USB. Esto evita ISOs manipuladas o infectadas.

Consejos concretos por herramienta (sin pasos peligrosos)

• USB de instalación Windows: Úsalo para acceder a Recovery y CMD oficial. Ideal si no necesitas edición directa de la SAM.
• Hiren's BootCD PE: Ideal para recuperar archivos con GUI; monta la partición Windows y copia datos a otra unidad antes de tocar cuentas.
• ntpasswd: Úsalo solamente si no hay alternativa y tras crear imagen del disco. Ten en cuenta que suele borrar la contraseña (no establecer una nueva) y esto puede destruir acceso a archivos EFS.
• SystemRescue / Trinity: Muy buenos para crear imágenes y recuperar datos. Prioriza su uso para salvaguardar información antes de manipular cuentas.
• Clonezilla / dd: No modifiques la imagen; úsala como punto de restauración si algo falla.

Qué hacer si algo falla

1. Detén más cambios inmediatamente y documenta los pasos realizados.
2. Si tienes la imagen del disco: restaura la imagen y vuelve al punto anterior.
3. Si la unidad está cifrada y no puedes montar: no intentes forzar herramientas que prometan 'hackear' el cifrado — contacta con el administrador TI o servicio profesional de recuperación.

Recuperar la cuenta es solo el primer paso. Tras recuperar acceso, aplica un plan de limpieza, verificación y endurecimiento para reducir el riesgo futuro. Sigue los pasos por orden: contención → verificación → endurecimiento → documentación.

1) Contención inmediata

• Cambia la contraseña de la cuenta recuperada y de cualquier otra cuenta con privilegios (local y nube). Usa contraseñas largas o generadas por un gestor.
• Si usas cuenta Microsoft o Azure AD, fuerza el cambio desde el portal y revisa sesiones iniciadas (revoca sesiones si procede).
• Si activaste cuentas temporales (p. ej. administrador integrado), desactívalas o elimina cuentas temporales.

2) Revisión de indicios de compromiso (comprobaciones rápidas)

Estas comprobaciones te ayudan a detectar persistencia o actividad sospechosa. Ejecuta con privilegios administrativos.

REM Listar usuarios locales y miembros del grupo Administrators (CMD)
net user
net localgroup Administrators

REM Listar usuarios (PowerShell)
Get-LocalUser
Get-LocalGroupMember -Group "Administrators"

REM Tareas programadas (CMD)
schtasks /Query /FO LIST /V

REM Tareas programadas (PowerShell)
Get-ScheduledTask | Where-Object {$_.State -ne 'Disabled'} | Format-Table TaskName, TaskPath, State

REM Servicios sospechosos (PowerShell)
Get-Service | Where-Object {$_.Status -eq 'Running'} | Sort-Object -Property Name

REM Revisar eventos recientes (PowerShell)
Get-WinEvent -MaxEvents 200 | Where-Object { $_.LevelDisplayName -in @('Warning','Error') } | Select-Object TimeCreated, Id, ProviderName, LevelDisplayName -First 100

REM Comprobar integridad de sistema
sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth

REM Conexiones de red activas (CMD)
netstat -ano | findstr ESTABLISHED

REM Lista de programas instalados (PowerShell)
Get-WmiObject -Class Win32_Product | Select-Object Name, Version

3) Limpieza y eliminación de persistencia

• Revisa cuentas nuevas o inesperadas en el grupo Administrators y desactívalas/elimínalas si no son legítimas.
• Revisa tareas programadas y arranques (carpetas de inicio, claves Run/RunOnce en registro, servicios nuevos). Usa Autoruns (Sysinternals) para un análisis exhaustivo.
• Desactiva o elimina servicios sospechosos y quita tareas programadas maliciosas tras verificar su origen.

4) Escaneo y saneamiento

• Ejecuta un análisis completo con Windows Defender y, si es posible, con una segunda solución (Malwarebytes, ESET, etc.).
• Realiza un análisis offline desde un medio de rescate (arranque desde USB) para detectar rootkits o malware persistente.
• Aplica sfc /scannow y Dism /Online /Cleanup-Image /RestoreHealth para detectar/recuperar ficheros del sistema.

5) Endurecimiento y rotación

• Habilita MFA para todas las cuentas Microsoft y cuentas corporativas (Azure AD / Intune).
• Configura Windows Hello (PIN/biometría) como segundo factor local y revisa políticas de contraseñas.
• Rota claves de cifrado y contraseñas importantes: BitLocker, cuentas de correo, gestores de contraseñas y accesos administrativos.
• Si exportaste PFX/EFS, guarda la copia en almacenamiento seguro y revoca claves antiguas si fuera necesario.

6) Backups y puntos de recuperación

• Crea una imagen del disco una vez el sistema esté limpio y estable; etiquétala con fecha y detalle de acciones realizadas.
• Configura copias regulares y verifica que las restauraciones funcionan (prueba periódica de recuperación).

7) Auditoría y seguimiento

• Habilita el registro avanzado y retención de eventos relevantes (autenticación, elevación de privilegios, cambios en cuentas, accesos remotos).
• Configura alertas: alertas de creación de cuenta admin, cambios en políticas, nuevos servicios instalados.
• Revisa los logs durante varios días (Event Viewer: Security, System, Application) para detectar actividad anómala previo al incidente.

8) Acciones específicas (si sospechas intrusión)

• Preserva evidencias: no apagues el equipo si sospechas actividad maliciosa; imágenes completas del disco son esenciales para análisis forense.
• Si el equipo es corporativo, notifícalo inmediatamente al departamento de seguridad / TI y sigue el procedimiento de respuesta a incidentes.
• Considera la reinstalación completa si no puedes garantizar la limpieza o si se detectan backdoors/rootkits; documenta todo antes de reinstalar.

Comprobaciones y comandos rápidos resumen

• net localgroup Administrators — ver miembros admin.
• schtasks /Query /FO LIST /V — listar tareas programadas.
• Get-WinEvent / Get-EventLog — revisar eventos de seguridad.
• sfc /scannow y Dism /Online /Cleanup-Image /RestoreHealth — integridad del sistema.
• netstat -ano — conexiones de red activas; correlaciona PID con procesos.