sábado, 28 de febrero de 2026

Cómo saber QUIÉN hizo QUÉ en tu PC

 

¿Alguna vez has necesitado saber quién intentó entrar en tu ordenador sin permiso? ¿O qué archivo borró un usuario por error? Windows tiene una "caja negra" superpotente llamada Directivas de Auditoría Avanzada, y hoy vamos a desglosarla para que dejes de adivinar y empieces a auditar.


 

Para acceder a este menú, busca "Directiva de seguridad local" (secpol.msc) y navega hasta: Configuración de seguridad -> Configuración de directiva de auditoría avanzada.

Para que tu auditoría funcione, recuerda que en cada una de estas opciones debes marcar las casillas de "Correcto" (para ver lo que sí pasó) o "Error" (para ver lo que se intentó pero falló).

1. Inicio de sesión de cuentas

Aquí auditamos el proceso de "chequeo de identidad".

 


  • Auditar validación de credenciales: Es cuando el PC comprueba si tu contraseña es correcta.

    • Ejemplo: Alguien intenta entrar a una carpeta compartida de tu PC desde otro equipo y falla la contraseña.

  • Auditar servicio de autenticación Kerberos: Kerberos es el protocolo de seguridad "VIP" de Windows en redes.

    • Ejemplo: En una oficina, cuando un usuario pide permiso al servidor para usar la impresora.

  • Auditar operaciones de vales de servicio Kerberos: Es el papeleo interno que hace Windows tras validar la contraseña.

    • Ejemplo: Útil para detectar ataques de "Silver Ticket" donde alguien intenta falsificar permisos de administrador.

  • Auditar otros eventos de inicio de sesión de cuentas: Todo lo que no encaje en lo anterior.

    • Ejemplo: Cuando una cuenta se bloquea por rebasar el número de intentos fallidos.

2. Administración de cuentas

Vigilamos quién gestiona a los usuarios y grupos.


 

  • Auditar administración de grupos de aplicaciones: Grupos creados para apps específicas.

    • Ejemplo: Si una app de base de datos crea un grupo de usuarios propio.

  • Auditar administración de cuentas de equipo: Cuando un ordenador se une o sale de una red (dominio).

    • Ejemplo: Ver cuándo se cambió el nombre de un PC de la oficina.

  • Auditar administración de grupos de distribución: Grupos de correos (principalmente en servidores Exchange).

    • Ejemplo: Alguien añade un usuario a una lista de spam interno.

  • Auditar otros eventos de administración de cuentas: Cambios menores en la configuración de seguridad del usuario.

    • Ejemplo: Cuando alguien cambia la "pista" de la contraseña.

  • Auditar administración de grupos de seguridad: Cuando alguien se hace Admin o sale de un grupo con permisos.

    • Ejemplo: Alguien añade a "Juan" al grupo de "Administradores" para que pueda instalar juegos.

  • Auditar administración de cuentas de usuario: Creación, borrado o cambio de contraseña de personas.

    • Ejemplo: Ver exactamente a qué hora cambiaste tu contraseña de Windows.

3. Seguimiento detallado

El nivel forense: qué hacen los programas por dentro.


 

  • Auditar actividad DPAPI: Protección de datos (contraseñas guardadas en Chrome, por ejemplo).

    • Ejemplo: Un virus intenta robar tus contraseñas guardadas en el navegador.

  • Auditoría de la actividad PNP: Dispositivos Plug & Play.

    • Ejemplo: Alguien conecta un USB o una cámara nueva al equipo.

  • Auditar creación de procesos: Cada vez que se abre un programa.

    • Ejemplo: Ver si se abrió cmd.exe (consola) de forma sospechosa.

  • Auditar finalización de procesos: Cuando un programa se cierra.

    • Ejemplo: Ver si un antivirus se cerró "misteriosamente" (posible ataque).

  • Auditar eventos de RPC: Comunicación entre programas de distintos PCs.

    • Ejemplo: Un programa de soporte técnico remoto intentando conectar con tu PC.

  • Auditoría de ajuste de derecho de token: Cuando un proceso cambia sus propios privilegios.

    • Ejemplo: Un proceso normal intentando "elevarse" para actuar como sistema.

4. Acceso DS

Solo para empresas con Directorio Activo.


 

  • Auditar replicación de servicio de directorio detallada: Copia de datos entre servidores.

    • Ejemplo: Diagnosticar por qué un usuario nuevo no aparece en el PC del segundo piso.

  • Auditar acceso del servicio de directorio: Ver quién "lee" la lista de usuarios.

    • Ejemplo: Un empleado curioso mirando el sueldo o datos privados de otros en la red.

  • Auditar cambios de servicio de directorio: Modificar datos de la red.

    • Ejemplo: Alguien borra accidentalmente a toda la unidad de "Ventas" del servidor.

  • Auditar replicación de servicio de directorio: Copia básica de datos de seguridad.

    • Ejemplo: Asegurarse de que todos los servidores de la empresa tienen las mismas contraseñas actualizadas.

5. Inicio y cierre de sesión

Rastreamos la presencia física o remota.


 

  • Audit Access Rights: Qué permisos se presentaron al entrar.

    • Ejemplo: Comprobar si al entrar tenías permisos de "Usuario" o de "Admin".

  • Auditar bloqueo de cuentas: Cuando fallas la clave muchas veces.

    • Ejemplo: Saber si un hacker está intentando entrar por fuerza bruta a tu cuenta.

  • Notificaciones de usuario o dispositivo de auditoría: Alertas de seguridad.

    • Ejemplo: Ver si un dispositivo de confianza (smartcard) fue rechazado.

  • Auditoría de pertenencia a grupos: Qué grupos tenías al momento de entrar.

    • Ejemplo: Confirmar que entraste con permiso de "Contabilidad".

  • Auditar modo extendido/principal/rápido de IPsec: Conexiones seguras de red (VPNs).

    • Ejemplo: Verificar si tu conexión VPN es segura y está encriptada.

  • Auditar cierre de sesión: Cuándo te fuiste.

    • Ejemplo: Comprobar si un empleado se fue a su hora o dejó el PC encendido.

  • Auditar inicio de sesión: Cuándo llegaste.

    • Ejemplo: Ver si alguien encendió tu PC a las 3 AM.

  • Auditar Servidor de directivas de redes: Control de acceso a la red (NAC).

    • Ejemplo: Un PC infectado intenta conectarse y el sistema lo bloquea.

  • Auditar otros eventos de inicio y cierre de sesión: Desconexiones por tiempo de inactividad.

    • Ejemplo: Tu PC te sacó de la sesión porque te fuiste a comer.

  • Auditar inicio de sesión especial: Cuando entra alguien con privilegios máximos.

    • Ejemplo: El administrador del sistema entra para hacer mantenimiento.

6. Acceso a objetos

¿Quién tocó mis cosas?


 

  • Auditar aplicación generada: Logs creados por apps externas.

    • Ejemplo: Una app de diseño que registra quién abrió un plano.

  • Auditar servicios de certificación: Creación de firmas digitales.

    • Ejemplo: Ver quién emitió un certificado de seguridad en la empresa.

  • Auditar recurso compartido de archivos detallado: Ver archivo por archivo en red.

    • Ejemplo: Saber quién leyó el PDF "Sueldos.pdf" en la carpeta compartida.

  • Auditar recurso compartido de archivos: Ver acceso general a la carpeta.

    • Ejemplo: Ver quién entró a la carpeta \\SERVIDOR\FOTOS.

  • Auditar sistema de archivos: Archivos en el disco local.

    • Ejemplo: Ver quién borró una foto de tu Escritorio.

  • Auditar conexión de Plataforma de filtrado: Tráfico de red bloqueado.

    • Ejemplo: Ver si el firewall bloqueó una conexión sospechosa de una app.

  • Auditar colocación de paquetes de Plataforma de filtrado: Nivel técnico de red.

    • Ejemplo: Analizar por qué no funciona el streaming en un PC.

  • Auditar manipulación de identificadores: Cómo los programas "sujetan" archivos.

    • Ejemplo: Forense para saber qué proceso bloqueó un archivo y no deja borrarlo.

  • Auditar objeto de kernel: Partes internas del sistema operativo.

    • Ejemplo: Un programador depurando por qué Windows da un pantallazo azul.

  • Auditar otros eventos de acceso a objetos: Acceso a tareas programadas.

    • Ejemplo: Ver quién modificó la tarea que hace la copia de seguridad.

  • Auditar Registro: Base de datos de configuración de Windows.

    • Ejemplo: Saber quién cambió el fondo de pantalla o desactivó el antivirus vía registro.

  • Auditar almacenamiento extraíble: USBs y Discos externos.

    • Ejemplo: Ver quién copió archivos de la empresa a un Pendrive personal.

  • Auditar SAM: Acceso a la base de datos de contraseñas locales.

    • Ejemplo: Detectar si un programa intentó leer las claves guardadas del PC.

7. Cambio en directivas

Vigilando al que cambia las reglas.


 

  • Auditar cambio de directiva de auditoría: Alguien apaga los registros.

    • Ejemplo: Un atacante desactiva la auditoría para no dejar rastro (aquí lo pillas).

  • Auditar cambio de directiva de autenticación: Cambios en cómo se pide la clave.

    • Ejemplo: Alguien permite contraseñas más débiles en el sistema.

  • Auditar cambio de directiva de autorización: Permisos de carpetas o recursos.

    • Ejemplo: Alguien da permiso de "Lectura" a todo internet sobre tus archivos.

  • Auditar cambio de directiva de Plataforma de filtrado: Cambios en el firewall.

    • Ejemplo: Alguien abre un puerto para que entre un troyano.

  • Auditar cambio de directiva de nivel de reglas de MPSSVC: Reglas del servicio de Firewall de Windows.

    • Ejemplo: Se permite que una app sospechosa salte el cortafuegos.

  • Auditar otros eventos de cambio de directiva: Cambios en la confianza de dominios.

8. Uso de privilegios

Acciones "superpoderosas".


 

  • Auditar uso de privilegios no confidenciales: Acciones comunes de admin.

    • Ejemplo: Cambiar la zona horaria o cargar un driver de impresora.

  • Auditar otros eventos de uso de privilegios: Casos raros de permisos.

  • Auditar uso de privilegios confidenciales: ¡Acciones peligrosas!

    • Ejemplo: Tomar posesión de archivos ajenos o hacer un backup de todo el sistema.

9. Sistema

El corazón del PC.


 

  • Auditar controlador IPsec: Seguridad de la red a bajo nivel.

  • Auditar otros eventos del sistema: Fallos de componentes.

  • Auditar cambio de estado de seguridad: El PC se enciende, se apaga o entra en suspensión.

    • Ejemplo: Ver si alguien reinició el servidor a mitad de la noche.

  • Auditar extensión del sistema de seguridad: Carga de módulos de seguridad externos.

  • Auditar integridad del sistema: ¿Alguien ha modificado archivos vitales de Windows?

    • Ejemplo: Detectar un rootkit que intenta suplantar archivos del sistema.

10. Auditoría de acceso a objetos global (Imagen audit 12)

La red de arrastre.


 

  • Sistema de archivos / Registro: En lugar de ir archivo por archivo, pones una regla para todo el PC.

    • Ejemplo: "Quiero que Windows me avise si alguien toca CUALQUIER clave del registro de mi PC". (Prepárate para miles de mensajes, es muy ruidoso).

Conclusión de IT: El poder conlleva responsabilidad

La Auditoría Avanzada es el microscopio de seguridad de Windows. Te permite ver lo invisible. Sin embargo, recuerda la regla de oro: "Audita solo lo que necesites".

Activar todas estas directivas para "Correcto y Error" ralentizará tu PC y hará que encontrar un evento importante sea como buscar una aguja en un pajar. Empieza por lo básico (Inicio de sesión y Administración de cuentas) y expande según tus necesidades.

¡Esperamos que esta guía te ayude a tomar el control de la seguridad de tus sistemas Windows! Dejanos tus dudas en los comentarios.

 

Saludos DevicePC 


Publicado por en
Etiquetas: , , , , , , , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)