Guía de seguridad de Windows

Cómo ver el historial de inicios de sesión en Windows
en Windows 10 y 11

Guía práctica para ver inicios de sesión correctos, intentos de acceso fallidos, eventos de bloqueo y desbloqueo, sesiones de Escritorio remoto y actividad de cuenta en un PC con Windows.

⊞ Windows 10 ⊞ Windows 11 🔐 Registro de seguridad 📋 Visor de eventos ⏱ Lectura de 7 min
Resumen

Cómo saber quién inició sesión en Windows 10 o Windows 11

Windows registra muchos eventos relacionados con la autenticación en el registro integrado de Seguridad. Al revisar estos eventos, puedes saber cuándo alguien inició sesión, si el acceso fue local o remoto, qué cuenta se utilizó y si hubo intentos fallidos de contraseña.

La herramienta integrada más útil para esta tarea es el Visor de eventos. También puedes usar PowerShell para filtrar más rápido, el Símbolo del sistema para obtener información básica de cuentas y la página de seguridad de la cuenta Microsoft si inicias sesión con una cuenta Microsoft.

ℹ️
Conviene saberlo Normalmente necesitas derechos de administrador para ver el registro de Seguridad completo. Los usuarios estándar pueden no ver todos los eventos de auditoría de inicio de sesión.

Qué puedes encontrar

Referencia

ID de eventos de inicio de sesión en Windows que debes conocer

Antes de revisar los registros, conviene conocer los ID de eventos más comunes. Windows utiliza estos números para identificar eventos concretos de inicio de sesión y de cuentas.

4624 Inicio de sesión correcto en una cuenta. Es el evento principal para encontrar accesos exitosos.
4625 Intento de inicio de sesión fallido. Útil para comprobar contraseñas incorrectas o intentos de acceso no autorizados.
4634 Cierre de sesión de cuenta. Muestra cuándo terminó una sesión iniciada.
4647 Cierre de sesión iniciado por el usuario. Indica que el usuario cerró sesión de forma activa.
4800 Estación de trabajo bloqueada. Aparece cuando se bloquea el equipo.
4801 Estación de trabajo desbloqueada. Aparece cuando se desbloquea el equipo.

Tipos de inicio de sesión comunes

Tipo de inicio de sesión Significado Ejemplo
2 Inicio de sesión interactivo Alguien inició sesión usando el teclado y la pantalla.
3 Inicio de sesión de red Acceso a una carpeta compartida o a un recurso de red.
7 Desbloqueo El usuario desbloqueó una sesión previamente bloqueada.
10 Inicio de sesión interactivo remoto Conexión mediante Escritorio remoto.
11 Inicio de sesión interactivo en caché Un usuario de dominio inició sesión con credenciales almacenadas en caché.
Método 1

Consultar el historial de inicios de sesión de Windows con el Visor de eventos

El Visor de eventos es el método gráfico más sencillo para revisar el historial de inicios de sesión en Windows. Funciona tanto en Windows 10 como en Windows 11.

  1. Presiona Win + R.
  2. Escribe eventvwr.msc y presiona Enter.
  3. En el panel izquierdo, abre Registros de Windows.
  4. Selecciona Seguridad.
  5. Busca eventos con el ID 4624 para inicios correctos y 4625 para inicios fallidos.
Visor de eventos → Registros de Windows → Seguridad

Haz clic en un evento y abre la pestaña General. Busca campos como Nombre de cuenta, Tipo de inicio de sesión, Nombre de estación de trabajo, Dirección de red de origen y Motivo del error.

⚠️
Importante Un solo inicio de sesión real puede generar varios eventos. Windows también registra procesos en segundo plano, servicios, acceso de red y eventos de autenticación del sistema. Comprueba siempre el Tipo de inicio de sesión antes de sacar conclusiones.
Método 2

Filtrar intentos de inicio de sesión correctos y fallidos en el Visor de eventos

El registro de Seguridad puede contener miles de eventos. Filtrar por ID de evento facilita mucho encontrar solo los registros de inicio de sesión que necesitas.

Filtrar inicios de sesión correctos

  1. Abre el Visor de eventos.
  2. Ve a Registros de Windows → Seguridad.
  3. Haz clic en Filtrar registro actual en el panel derecho.
  4. En el campo <Todos los ID de evento>, escribe 4624.
  5. Haz clic en Aceptar.

Filtrar intentos de inicio de sesión fallidos

  1. Abre la misma ventana Filtrar registro actual.
  2. Escribe 4625 en el campo de ID de evento.
  3. Haz clic en Aceptar.
  4. Abre un evento y revisa Motivo del error y Nombre de cuenta.

Para comprobar varios tipos de eventos a la vez, introdúcelos separados por comas:

4624,4625,4634,4647,4800,4801
Método 3

Usar PowerShell para consultar el historial de inicios de sesión en Windows

PowerShell es más rápido cuando quieres buscar eventos recientes de inicio de sesión sin navegar manualmente por el Visor de eventos. Abre Windows Terminal o PowerShell como administrador y ejecuta los comandos siguientes.

Mostrar inicios de sesión correctos recientes

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} -MaxEvents 20 |
Select-Object TimeCreated, Id, ProviderName, Message

Mostrar intentos de inicio de sesión fallidos recientes

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625} -MaxEvents 20 |
Select-Object TimeCreated, Id, ProviderName, Message

Mostrar juntos eventos de inicio, cierre, bloqueo y desbloqueo de sesión

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625,4634,4647,4800,4801} -MaxEvents 50 |
Select-Object TimeCreated, Id, Message
💡
Consejo La salida de PowerShell puede ser muy larga porque el campo Message contiene el texto completo del evento. Usa el Visor de eventos si prefieres una interfaz visual.
Método 4

Consultar información básica de inicio de sesión de usuarios con el Símbolo del sistema

El Símbolo del sistema no muestra el registro de Seguridad completo con tanta claridad como el Visor de eventos o PowerShell, pero puede mostrar datos útiles de las cuentas.

Comprobar el último inicio de sesión de un usuario local

net user username

Sustituye username por el nombre real de la cuenta de Windows. Busca la línea Último inicio de sesión.

Mostrar usuarios conectados actualmente

query user

En algunos sistemas también funciona el comando abreviado quser.

Mostrar el usuario actual

whoami
⚠️
Limitación El comando net user es útil para comprobaciones rápidas de cuentas, pero no es un historial completo de auditoría de inicios de sesión. Para un historial detallado, usa el registro de Seguridad.
Método 5

Comprobar el historial de inicios de sesión por Escritorio remoto en Windows

Si quieres saber si alguien se conectó mediante Escritorio remoto, busca el tipo de inicio de sesión 10 en el evento ID 4624. Este valor indica un inicio de sesión interactivo remoto.

  1. Abre el Visor de eventos.
  2. Ve a Registros de Windows → Seguridad.
  3. Filtra por el ID de evento 4624.
  4. Abre un evento y comprueba el campo Tipo de inicio de sesión.
  5. Si el valor es 10, el acceso se realizó mediante Escritorio remoto.

También puedes revisar este registro para ver actividad de sesiones de Escritorio remoto:

Registros de aplicaciones y servicios → Microsoft → Windows → TerminalServices-LocalSessionManager → Operational
Método 6

Revisar la actividad de inicio de sesión de la cuenta Microsoft

Si usas una cuenta Microsoft para iniciar sesión en Windows, el Visor de eventos local registra la actividad de inicio de sesión en Windows, pero la actividad de seguridad de la cuenta Microsoft se consulta en línea.

  1. Abre el navegador.
  2. Ve a la página de seguridad de la cuenta Microsoft.
  3. Abre Actividad de inicio de sesión o Actividad reciente.
  4. Revisa inicios de sesión correctos, intentos fallidos, ubicaciones, dispositivos e información relacionada con IP.

Esto es especialmente útil si sospechas que alguien intentó acceder a tu cuenta Microsoft desde otro dispositivo o ubicación.

Configuración de auditoría

Cómo activar la auditoría de inicios de sesión en Windows

La mayoría de las instalaciones de Windows ya registran los eventos importantes de inicio de sesión, pero si el registro de Seguridad no contiene los registros esperados, revisa la directiva de auditoría.

Activar la auditoría de eventos de inicio de sesión en la Directiva de seguridad local

  1. Presiona Win + R.
  2. Escribe secpol.msc y presiona Enter.
  3. Abre Directivas locales → Directiva de auditoría.
  4. Haz doble clic en Auditar eventos de inicio de sesión.
  5. Activa Correcto y Error.
  6. Haz clic en Aceptar.
ℹ️
Nota para Windows Home Algunas ediciones de Windows no incluyen la consola Directiva de seguridad local. En ese caso, usa el Símbolo del sistema o PowerShell con derechos de administrador.

Activar la auditoría de inicio de sesión desde el Símbolo del sistema

auditpol /set /subcategory:"Logon" /success:enable /failure:enable

Comprobar la directiva de auditoría actual

auditpol /get /subcategory:"Logon"
Solución de problemas

Por qué puede faltar el historial de inicios de sesión en Windows

Si no encuentras eventos de inicio de sesión, normalmente se debe a una de estas causas:

Aumentar el tamaño del registro de Seguridad

  1. Abre el Visor de eventos.
  2. Haz clic derecho en Registros de Windows → Seguridad.
  3. Selecciona Propiedades.
  4. Aumenta el Tamaño máximo del registro.
  5. Elige si Windows debe sobrescribir eventos antiguos o archivar el registro.
FAQ

Preguntas frecuentes sobre el historial de inicios de sesión en Windows

¿Puedo ver la contraseña exacta usada en un intento de inicio de sesión fallido?

No. Windows no guarda ni muestra las contraseñas introducidas en el Visor de eventos. Puedes ver que un inicio de sesión falló, qué cuenta fue objetivo y, a veces, el motivo del error, pero no la contraseña.

¿Cómo puedo saber si alguien inició sesión en mi PC mientras no estaba?

Revisa el evento ID 4624 en el registro de Seguridad y busca el tipo de inicio de sesión 2, 7 o 10. También revisa los eventos de bloqueo y desbloqueo 4800 y 4801.

¿Windows conserva el historial de inicios de sesión para siempre?

No. Los eventos permanecen solo mientras sigan dentro del registro de Seguridad. Si el registro alcanza su límite de tamaño, los registros antiguos pueden sobrescribirse según la configuración del registro.

¿Puedo consultar el historial de inicios de sesión sin derechos de administrador?

En la mayoría de los casos, no. Ver el registro de Seguridad completo requiere privilegios de administrador.

¿Cuál es la mejor forma de comprobar intentos fallidos de contraseña?

Usa el Visor de eventos y filtra el registro de Seguridad por el ID de evento 4625. Abre cada evento y revisa Nombre de cuenta, Motivo del error e información de origen.

Resumen

Resumen: mejores formas de ver el historial de inicios de sesión de Windows

La forma más completa de revisar el historial de inicios de sesión en Windows es abrir Visor de eventos → Registros de Windows → Seguridad y filtrar por ID de eventos como 4624 para inicios correctos y 4625 para intentos fallidos. Para búsquedas más rápidas, usa PowerShell. Para información rápida de cuentas, usa net user, query user y whoami.

Si necesitas registros fiables en el futuro, asegúrate de que la auditoría de inicios de sesión esté activada y aumenta el tamaño del registro de Seguridad para que los eventos antiguos no se sobrescriban demasiado pronto.