¿Qué es WDAGUtilityAccount en Windows 10 y Windows 11?
WDAGUtilityAccount es una cuenta local predefinida que Microsoft Windows crea y administra. Su nombre procede de Windows Defender Application Guard, una función de seguridad que utilizaba aislamiento basado en hardware para abrir sitios web y archivos no confiables dentro de un contenedor protegido.
Windows utiliza esta cuenta dentro del entorno aislado de Application Guard. No está diseñada para ser tu cuenta de usuario habitual, no debe utilizarse para iniciar sesión normalmente y no sustituye a tu cuenta personal de administrador ni a tu cuenta de Microsoft.
net user, en Usuarios y grupos locales o en otra herramienta de administración de cuentas no significa que tu equipo haya sido atacado.
Administrada por Windows
El sistema operativo crea y controla la cuenta como parte de su arquitectura de aislamiento de aplicaciones.
Desactivada de forma predeterminada
En una instalación normal, la cuenta permanece desactivada salvo que una configuración compatible de Application Guard la necesite.
Contexto de usuario estándar
Está diseñada para ejecutarse dentro de un contenedor aislado con permisos limitados, no como tu cuenta principal de administrador.
No es malware
La cuenta integrada auténtica es un componente normal de Windows y, por regla general, debe dejarse sin cambios.
¿Para qué se utiliza WDAGUtilityAccount?
Application Guard crea un entorno virtualizado separado entre el contenido potencialmente peligroso y la instalación principal de Windows. WDAGUtilityAccount proporciona una identidad de usuario restringida dentro de ese contenedor, de modo que las aplicaciones aisladas no se ejecuten con la identidad y los permisos de tu sesión habitual.
Cuando Application Guard está activo en una versión compatible de Windows, la cuenta puede utilizarse para iniciar sesión en el contenedor como usuario estándar. Windows asigna y administra automáticamente una contraseña aleatoria. No necesitas conocer esa contraseña ni utilizar la cuenta manualmente.
| Propiedad de la cuenta | Comportamiento esperado |
|---|---|
| Tipo de cuenta | Cuenta local predefinida de Windows |
| Finalidad principal | Proporcionar una identidad restringida dentro de un contenedor de Application Guard |
| Estado predeterminado | Desactivada salvo que la función de aislamiento relacionada la necesite |
| Contraseña | Aleatoria y administrada automáticamente por Windows |
| Cuenta normal de inicio de sesión | No |
| Maliciosa de forma predeterminada | No |
¿Por qué aparece WDAGUtilityAccount en mi equipo?
Muchas herramientas de administración de cuentas de Windows muestran todas las cuentas locales, incluidas las ocultas, desactivadas y administradas por el sistema. Por este motivo, comandos como net user pueden mostrar WDAGUtilityAccount junto a tu cuenta real, la cuenta integrada Administrator, Guest y DefaultAccount.
Puedes encontrar WDAGUtilityAccount en cualquiera de los siguientes lugares:
- La salida del comando
net user - La salida de PowerShell producida por
Get-LocalUser - Administración de equipos, dentro de Usuarios y grupos locales
- Cuadros de diálogo avanzados de permisos o seguridad
- Utilidades de terceros para información del sistema o auditoría de cuentas
net user muestra las cuentas que existen en el equipo. No indica qué cuenta tiene la sesión iniciada ni significa que todas las cuentas mostradas tengan derechos de administrador.
Comprueba qué cuenta estás utilizando
Abre el Símbolo del sistema y ejecuta:
Símbolo del sistemawhoami
Para mostrar el nombre del usuario actual sin el prefijo del equipo o del dominio, ejecuta:
Símbolo del sistemaecho %USERNAME%
¿WDAGUtilityAccount es segura o es un virus?
La cuenta WDAGUtilityAccount auténtica es segura. Microsoft la documenta como una cuenta local predefinida de Windows asociada con Windows Defender Application Guard. Su mera presencia no demuestra la existencia de malware, acceso remoto ni que otra persona esté utilizando tu PC en secreto.
Sin embargo, en teoría, un atacante o programa no deseado podría crear otra cuenta local con un nombre parecido. Por ello, conviene comprobar el estado de la cuenta y su identificador de seguridad si observas un comportamiento inusual.
✓ Señales normales
- El nombre exacto es
WDAGUtilityAccount - La cuenta está desactivada
- Su SID termina en
-504 - No pertenece al grupo Administrators
- No aparece como una opción normal de inicio de sesión
✗ Señales de advertencia
- Una cuenta con nombre similar tiene un SID diferente
- La cuenta está activada sin un motivo conocido
- Pertenece a Administrators o a otro grupo con privilegios
- Existen inicios de sesión recientes desconocidos asociados con ella
- El software de seguridad informa de otra actividad sospechosa
504, por lo que su SID local completo suele terminar en -504.
Cómo verificar que WDAGUtilityAccount es auténtica
Método 1: comprobar la cuenta con el Símbolo del sistema
- Abre el Símbolo del sistema o Terminal de Windows.
- Ejecuta el siguiente comando:
Símbolo del sistemanet user WDAGUtilityAccount
Busca la línea Cuenta activa. En un PC típico donde Application Guard no está activo, debería indicar No. El comando también puede mostrar que Windows administra los ajustes relacionados con la contraseña de la cuenta.
Método 2: comprobar el SID y el estado de activación con PowerShell
Abre PowerShell y ejecuta:
PowerShellGet-LocalUser -Name "WDAGUtilityAccount" |
Select-Object Name, Enabled, SID, PasswordRequired, UserMayChangePassword
El resultado esperado debe mostrar el nombre exacto de la cuenta y un SID que termine en -504.
Método 3: confirmar que no es una cuenta de administrador
Ejecuta este comando en el Símbolo del sistema:
Símbolo del sistemanet localgroup Administrators
WDAGUtilityAccount normalmente no debe aparecer en el grupo Administrators. En las ediciones de Windows que no están en inglés, el nombre del grupo local se traduce, por lo que puede ser más sencillo utilizar PowerShell:
PowerShellGet-LocalGroupMember -Group "Administrators"
Get-LocalUser y Get-LocalGroupMember forman parte del módulo Microsoft.PowerShell.LocalAccounts. Es posible que no estén disponibles en PowerShell de 32 bits en una instalación de Windows de 64 bits.
¿WDAGUtilityAccount es una cuenta de administrador?
No, de forma predeterminada no lo es. WDAGUtilityAccount está diseñada como una identidad de usuario estándar restringida para un contenedor aislado. Microsoft indica que la cuenta predefinida no pertenece a ningún grupo local de forma predeterminada.
Ver la cuenta en la salida de net user no significa que sea la administradora de tu PC. El comando enumera todas las cuentas locales en columnas; no muestra las funciones de las cuentas ni indica qué cuenta controla Windows.
| Pregunta | Respuesta |
|---|---|
| ¿WDAGUtilityAccount es mi cuenta actual? | No. Utiliza whoami para identificar la cuenta con la sesión iniciada. |
| ¿Es la propietaria de mi equipo? | No. Es una cuenta local administrada por el sistema para tareas de aislamiento. |
| ¿Pertenece a Administrators? | No debería pertenecer a ese grupo de forma predeterminada. |
| ¿Puedo utilizarla para iniciar sesión normalmente? | No. No está diseñada para un uso interactivo cotidiano. |
| ¿Debo convertirla en administradora? | No. Hacerlo debilitaría el modelo de seguridad previsto. |
¿Conviene desactivar o eliminar WDAGUtilityAccount?
En circunstancias normales, debes dejar WDAGUtilityAccount sin cambios. Es una cuenta predefinida del sistema, y eliminarla, cambiarle el nombre, activarla manualmente, modificar su contraseña o alterar su pertenencia a grupos puede interferir con las funciones de seguridad de Windows o provocar problemas de permisos inesperados.
Dejar la cuenta tal como está
Si está desactivada y tiene el SID esperado, no es necesario hacer nada.
Opción más seguraVolver a desactivar la cuenta
Después de comprobar que Application Guard no está en uso, desactiva la cuenta e investiga por qué cambió su estado.
Solución de problemasEliminar o cambiar el nombre de la cuenta
Esto puede romper supuestos internos del sistema y no aporta ninguna mejora significativa de rendimiento o seguridad.
EvitarCómo desactivarla si se activó inesperadamente
Primero asegúrate de que no estás utilizando Application Guard en una compilación antigua y compatible de Windows. Después, abre el Símbolo del sistema como administrador y ejecuta:
Símbolo del sistema — Administradornet user WDAGUtilityAccount /active:no
Alternativa con PowerShell:
PowerShell — AdministradorDisable-LocalUser -Name "WDAGUtilityAccount"
net user WDAGUtilityAccount /delete. Eliminar una cuenta predefinida no es una operación compatible, no es necesario y puede fallar porque Windows protege o vuelve a crear componentes administrados por el sistema.
WDAGUtilityAccount en Windows 11 versión 24H2 y posteriores
Microsoft Defender Application Guard quedó obsoleto y ya no está disponible a partir de Windows 11, versión 24H2. Por lo tanto, los usuarios de versiones actuales de Windows 11 no pueden activar la antigua función Application Guard del mismo modo que en las versiones compatibles anteriores.
Aun así, WDAGUtilityAccount puede seguir apareciendo en las listas de cuentas locales porque es una cuenta predefinida de Windows y puede permanecer registrada aunque la función original no esté disponible o se encuentre inactiva. La presencia de la cuenta no demuestra que Application Guard esté instalado o ejecutándose en ese momento.
| Versión de Windows | Estado de Application Guard | Qué significa WDAGUtilityAccount |
|---|---|---|
| Windows 10 | Disponible en ediciones y hardware compatibles, pero obsoleto | Puede utilizarse cuando Application Guard está activado |
| Windows 11 23H2 y anteriores | Disponible en configuraciones compatibles, pero obsoleto | Puede ser utilizada por el contenedor de aislamiento |
| Windows 11 24H2 y posteriores | Ya no está disponible | Puede seguir visible como cuenta predefinida desactivada |
Win + R, escribe winver y pulsa Intro para ver la versión de Windows y la compilación del sistema operativo.
Qué hacer si WDAGUtilityAccount está activada o parece sospechosa
Si la cuenta se activa inesperadamente, pertenece a un grupo con privilegios o aparece como cuenta seleccionable en la pantalla de inicio de sesión, no la elimines de inmediato. Utiliza la siguiente lista para determinar si el problema se debe a un cambio de configuración, daños en el sistema o una cuenta maliciosa diferente con un nombre parecido.
- Verifica el SID. Utiliza PowerShell y confirma que el SID de la cuenta auténtica termina en
-504. - Comprueba si la cuenta está activada. Ejecuta
net user WDAGUtilityAccounty revisa el campo Cuenta activa. - Revisa la pertenencia a grupos locales. Confirma que la cuenta no esté en Administrators, Remote Desktop Users ni en otro grupo con privilegios.
- Desactívala si ninguna función de aislamiento compatible la necesita. Utiliza
net user WDAGUtilityAccount /active:nodesde un Símbolo del sistema elevado. - Ejecuta un análisis completo con Microsoft Defender. Abre Seguridad de Windows, selecciona Protección contra virus y amenazas y ejecuta un Análisis completo o un análisis de Microsoft Defender sin conexión.
- Comprueba las cuentas creadas recientemente. Revisa el historial de creación y modificación de usuarios locales desconocidos en el Visor de eventos o en tus herramientas de auditoría de seguridad.
- Repara los archivos del sistema de Windows. Ejecuta SFC y DISM si la configuración de las cuentas o los componentes de seguridad de Windows parecen dañados.
Símbolo del sistema — Administradorsfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth
Comprobar eventos de cuentas locales en el Visor de eventos
- Pulsa
Win + R, escribeeventvwr.mscy pulsa Intro. - Abre Registros de Windows → Seguridad.
- Busca eventos de administración de cuentas, como creación, activación, desactivación o cambios en la pertenencia a grupos.
- Comprueba la fecha, la cuenta que inició la acción y el nombre del usuario afectado.
-504, posee privilegios de administrador, permite el inicio de sesión interactivo o apareció junto con otros indicios de compromiso.
Preguntas frecuentes sobre WDAGUtilityAccount
P ¿Por qué WDAGUtilityAccount apareció de repente después de una actualización de Windows? ▼
Las actualizaciones de Windows pueden registrar, restaurar o mostrar información de cuentas integradas que ya formaban parte del sistema operativo. La cuenta también puede hacerse visible porque utilizaste un comando o una herramienta de administración que enumera usuarios ocultos y desactivados. Su aparición no significa necesariamente que la cuenta se haya creado o activado recientemente.
P ¿WDAGUtilityAccount está vinculada con otra persona que utilizó el PC? ▼
No. La cuenta auténtica la crea Windows, no un propietario anterior. En un equipo usado, sigue siendo recomendable realizar una instalación limpia de Windows o un restablecimiento completo si no confías en la configuración anterior, pero WDAGUtilityAccount por sí sola no demuestra que otra persona tenga acceso.
P ¿Por qué WDAGUtilityAccount aparece junto a mi nombre de usuario en net user? ▼
El comando net user organiza en columnas los nombres de todas las cuentas locales. Las cuentas que aparecen en la misma fila no están vinculadas ni comparten permisos. Utiliza whoami para identificar tu cuenta actual y net localgroup Administrators para comprobar qué usuarios tienen realmente derechos de administrador.
P ¿Puede WDAGUtilityAccount acceder a mis archivos personales? ▼
La cuenta está diseñada para un entorno aislado y restringido, y no funciona como un usuario interactivo normal. No debe utilizarse para explorar tu perfil de escritorio. Las directivas de Application Guard podían permitir un intercambio de datos limitado y controlado con el sistema anfitrión, pero eso es distinto de la propiedad normal de archivos locales y no convierte la cuenta en administradora.
P ¿Puedo cambiar la contraseña de WDAGUtilityAccount? ▼
No deberías cambiarla. Windows genera y administra automáticamente la contraseña para el entorno aislado. Restablecerla manualmente no aporta ninguna ventaja práctica y puede interferir con la función en los sistemas donde Application Guard todavía es compatible.
P ¿Por qué la cuenta no aparece en la pantalla de inicio de sesión de Windows? ▼
WDAGUtilityAccount es una cuenta administrada por el sistema y destinada al uso dentro de un contenedor, no al inicio de sesión interactivo normal. Windows suele mantenerla desactivada y oculta en la interfaz de inicio de sesión.
P ¿Eliminar WDAGUtilityAccount hace que Windows sea más rápido o más seguro? ▼
No. Una cuenta desactivada no consume una cantidad significativa de CPU ni memoria, y eliminar una cuenta predefinida de Windows no mejora el rendimiento. Mantenerla desactivada y con sus permisos predeterminados es más seguro que intentar eliminarla o modificarla.
P ¿Windows Sandbox utiliza WDAGUtilityAccount? ▼
La documentación de cuentas de Microsoft identifica específicamente WDAGUtilityAccount como la cuenta predefinida de Windows Defender Application Guard. Aunque Application Guard y Windows Sandbox utilizan tecnologías de aislamiento basadas en virtualización, no debes suponer que la presencia de esta cuenta demuestra que Windows Sandbox esté instalado o en ejecución.
Conclusión
WDAGUtilityAccount es una cuenta legítima y predefinida de Windows asociada con Windows Defender Application Guard. Normalmente permanece desactivada, utiliza una contraseña aleatoria administrada por Windows, no pertenece a ningún grupo de forma predeterminada y no está diseñada para el inicio de sesión cotidiano.
Si la cuenta está desactivada y su SID termina en -504, puedes dejarla sin cambios con total tranquilidad. No la elimines, no le cambies el nombre, no restablezcas su contraseña ni le concedas derechos de administrador. Investiga únicamente cuando su estado, SID, pertenencia a grupos o comportamiento de inicio de sesión difieran de los valores esperados.