🧱 Protege las cuentas de Windows contra fuerza bruta con PowerShell (CIS + NIST)
hace 4 meses
Hardening de Cuentas Windows con PowerShell: 8 medidas de seguridad en una sola ejecución
Las credenciales comprometidas son el vector de ataque número uno en incidentes de seguridad, por delante de exploits y malware, y la mayoría de sistemas Windows funcionan sin ningún hardening de cuentas aplicado. La configuración por defecto no impone restricción de intentos, no exige longitud mínima de contraseña y mantiene cuentas innecesarias activas, lo que convierte el hardening de cuentas Windows en una de las medidas defensivas más urgentes y rentables de aplicar contra credential stuffing, password spraying, Pass-the-Hash y Kerberoasting.
En este hub editorial de ciberseguridad documentamos cómo un único script de PowerShell aplica 8 medidas de hardening en segundos, alineadas con el CIS Benchmark nivel 1 para Windows y el estándar NIST SP 800-63B de gestión de credenciales digitales, sin instalar ningún software adicional. Todas las guías técnicas de protección del sistema operativo están recogidas en el núcleo técnico de Windows seguro: hardening, red, navegador, servicios y mitigación de Mimikatz en 2026.
net accounts /minpwlen:12), bloqueo automático tras 5 intentos fallidos (net accounts /lockoutthreshold:5), desactivación de cuentas Invitado y Administrador integrada, eliminación del autologon y activación de la política de auditoría completa (auditpol /set /category:* /success:enable /failure:enable). Siete tareas programadas reaplican el hardening automáticamente y detectan en tiempo real la creación de cuentas nuevas (evento 4720) y elevaciones al grupo Administrators (eventos 4728/4732).💡 Resumen rápido
🔒 Hardening de cuentas Windows: 8 medidas con PowerShell paso a paso
El hardening de cuentas Windows consiste en reforzar la seguridad de usuarios y credenciales para evitar accesos no autorizados, ataques de fuerza bruta, password spraying y credential stuffing. Según el informe DBIR de Verizon, las credenciales comprometidas son el vector de ataque número uno por delante de exploits y malware.
- ✅ 8 medidas automatizadas: política de contraseñas robusta, bloqueo por intentos, cuentas Invitado y Admin, autologon y auditoría
- ✅ Script PowerShell alineado con CIS Benchmark L1 y NIST SP 800-63B
- ✅ 7 tareas programadas: inicio, logon, horaria, desbloqueo, creación de cuentas, elevación y semanal
- ✅ Detección reactiva de creación de cuentas (evento 4720) y elevación a Administrators (4728/4732)
- ✅ Bloqueo automático tras 5 intentos fallidos para frenar fuerza bruta y credential stuffing
📅 2026 · 🕐 10 minutos de lectura
📌 ¿Qué es el hardening de cuentas Windows?
El hardening de cuentas Windows refuerza la seguridad de usuarios y credenciales configurando la política de seguridad local. Windows instala con una configuración permisiva por defecto que el hardening corrige en cinco dimensiones:
- Fuerza bruta y password spraying: política de bloqueo automático tras 5 intentos fallidos
- Cuentas innecesarias: desactiva Invitado y Administrador predecible para reducir la superficie
- Auditoría: registra todos los eventos de acceso para detectar intrusiones
- Acceso físico sin autenticación: desactiva el autologon (credenciales en el registro)
- Pass-the-Hash y Kerberoasting: limita las cuentas con privilegios elevados
Estándares de referencia: CIS Benchmark L1 para Windows 11 y NIST SP 800-63B.
El hardening de cuentas Windows protege credenciales, evita accesos no autorizados y reduce la superficie de ataque configurando la política de seguridad local del sistema operativo.
- ✔ Protege credenciales frente a ataques de fuerza bruta, diccionario y password spraying mediante política de bloqueo de cuentas.
- ✔ Elimina cuentas innecesarias (Invitado, Administrador predecible) que amplían la superficie de ataque.
- ✔ Activa la política de auditoría para detectar intentos de acceso sospechosos en el registro de eventos de Windows.
- ✔ Bloquea el acceso físico sin autenticación desactivando el inicio de sesión automático (autologon).
- ✔ Reduce el riesgo de Pass-the-Hash, Pass-the-Ticket y Kerberoasting al limitar las cuentas con privilegios elevados.
Complementa este hardening con la guía completa para crear contraseñas seguras y difíciles de hackear en 2026 — las políticas de contraseñas del script solo son eficaces si los usuarios generan claves que resistan los ataques de diccionario y fuerza bruta actuales.
🚨 ¿Por qué es importante el hardening de cuentas Windows?
Según el informe DBIR de Verizon, el uso de credenciales comprometidas es el vector de ataque número uno en incidentes de seguridad. Sin hardening de cuentas Windows, los riesgos críticos son:
- Sin política de bloqueo: password spraying ilimitado — el atacante prueba contraseñas comunes contra todas las cuentas sin restricción
- Sin longitud mínima: contraseñas vacías o triviales rompibles en milisegundos (MITRE T1110)
- Cuenta Invitado activa: acceso anónimo sin autenticación (T1078)
- Autologon activo: credenciales en texto claro en el registro — acceso físico inmediato (T1552)
- Sin auditoría: las intrusiones no dejan ningún rastro en el registro de eventos (T1562)
| Riesgo sin hardening | Descripción | Consecuencia | MITRE | Nivel |
|---|---|---|---|---|
| Sin política de contraseñas | Windows permite contraseñas vacías por defecto | Contraseñas débiles trivialmente rompibles | T1110 | 🔴 Crítico |
| Sin política de bloqueo | Sin límite de intentos fallidos | Password spraying ilimitado | T1110 | 🔴 Crítico |
| Cuenta Invitado activa | Cuenta sin contraseña disponible | Acceso anónimo sin autenticación | T1078 | 🟠 Alto |
| Cuenta Administrator predecible | Nombre conocido por todos los atacantes | Objetivo prioritario de credential stuffing | T1078 | 🟠 Alto |
| Autologon activo | Credenciales en el registro en texto claro | Acceso físico sin autenticación | T1552 | 🟠 Alto |
| Sin política de auditoría | Eventos de login no registrados | Intrusiones sin dejar rastro | T1562 | 🟠 Alto |
⚙️ Las 8 medidas del hardening de cuentas Windows
El script aplica 8 medidas de seguridad alineadas con CIS Benchmark L1 y NIST SP 800-63B:
- Política de contraseñas robusta: mínimo 12 caracteres, historial de 5, caducidad 90 días
- Bloqueo de cuentas: bloqueo automático a los 5 intentos durante 30 minutos (T1110)
- Desactivar cuenta Invitado: elimina el acceso anónimo sin contraseña (T1078)
- Desactivar cuenta Administrador integrada: elimina el objetivo predecible de credential stuffing (T1078)
- Desactivar autologon: evita credenciales en texto claro en el registro (T1552)
- Auditoría completa: registra todos los eventos de acceso con auditpol
- Detección de cuentas nuevas (evento 4720): alerta inmediata si se crea una cuenta
- Detección de elevación (eventos 4728/4732): alerta si alguien se añade a Administrators
- 🔒 Política de contraseñas robusta: mínimo 12 caracteres, historial de 5, caducidad 90 días (NIST SP 800-63B + CIS L1).
- ⏱️ Política de bloqueo de cuentas: bloqueo automático a los 5 intentos durante 30 minutos (MITRE T1110).
- 🚫 Desactivar cuenta Invitado: elimina el acceso anónimo al sistema sin contraseña (T1078).
- 🔑 Desactivar cuenta Administrador integrada: elimina el objetivo predecible de los atacantes (T1078).
- 🛑 Desactivar inicio de sesión automático (autologon): evita el acceso físico sin autenticación (T1552).
- 🔐 Activar política de auditoría completa: registra todos los eventos de acceso (auditpol).
- 🆕 Detección de cuentas nuevas (evento 4720): alerta inmediata si se crea una cuenta.
- ⬆️ Detección de elevación (eventos 4728/4732): alerta si alguien se añade a Administrators.
Esta metodología de hardening por script con tareas programadas reactivas es la misma que aplicamos en el script completo para endurecer Windows 11 con 7 tareas programadas en 2026 — ambos scripts son complementarios y pueden ejecutarse juntos para un hardening integral del sistema.
⚙️ Script completo: Hardening de cuentas Windows con 7 tareas programadas
net localgroup administrators). El script crea log en C:\Logs\hardening-cuentas.log y CSV en C:\Logs\hardening-cuentas-historico.csv.📋 Checklist previo a la ejecución
Antes de ejecutar, verifica estos puntos:
- ☑ Al menos 2 cuentas administradoras activas:
net localgroup administrators - ☑ Contraseña actual documentada en un gestor de contraseñas
- ☑ Punto de restauración creado (Win+R →
rstrui.exe→ Crear) - ☑ Sin GPO corporativas que conflictúen con la política local
- ☑ Autologon documentado si lo usabas para servicios autónomos
📅 Las 7 tareas programadas del script
| Nombre | Disparador | Frecuencia | Propósito |
|---|---|---|---|
Hardening-Cuentas-Inicio | Al iniciar Windows | Cada arranque | Reaplica el hardening tras cada reboot |
Hardening-Cuentas-Logon | Al iniciar sesión | Cada login | Verifica el hardening en cada inicio de sesión |
Hardening-Cuentas-Horaria | Cada hora | 24 veces/día | Vigilancia continua: detecta y corrige desviaciones |
Hardening-Cuentas-Desbloqueo | Evento 4801 | Cada desbloqueo | Verifica al volver al PC tras bloqueo de pantalla |
Hardening-Cuentas-NuevaCuenta | Evento 4720 | Reactiva | Alerta inmediata si se crea una cuenta nueva |
Hardening-Cuentas-Elevacion | Eventos 4728/4732 | Reactiva | Alerta si alguien se añade a Administrators |
Hardening-Cuentas-Auditoria | Domingo 3:00 AM | Semanal | Snapshot completo en el CSV histórico |
📥 Cómo instalar el script — un solo comando
Abre PowerShell como administrador y pega este comando. El script se descarga, instala y ejecuta automáticamente:
⚙️ Pega este comando en PowerShell como administrador:
👉 Pulsa Windows → escribe PowerShell → clic derecho → Ejecutar como administrador
Invoke-WebRequest -Uri "https://seguridadenmipc.com/wp-content/uploads/2026/06/Hardening-Cuentas.txt" -OutFile "$HOME\hardening-cuentas.ps1" -UseBasicParsing; Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass -Force; & "$HOME\hardening-cuentas.ps1"
↩️ Script de reversión
Si necesitas deshacer el hardening, ejecuta este script. Elimina primero las 7 tareas programadas para que el hardening no se reaplique en el siguiente disparador.
# ============================================================
# Revertir Hardening de cuentas Windows
# ============================================================
# 1. ELIMINAR PRIMERO las 7 tareas programadas
$tareas = @(
"Hardening-Cuentas-Inicio",
"Hardening-Cuentas-Logon",
"Hardening-Cuentas-Horaria",
"Hardening-Cuentas-Desbloqueo",
"Hardening-Cuentas-NuevaCuenta",
"Hardening-Cuentas-Elevacion",
"Hardening-Cuentas-Auditoria"
)
foreach ($t in $tareas) {
if (Get-ScheduledTask -TaskName $t -ErrorAction SilentlyContinue) {
Unregister-ScheduledTask -TaskName $t -Confirm:$false
Write-Host "[OK] Tarea $t eliminada." -ForegroundColor Green
}
}
# 2. Restaurar politica de contrasenas por defecto
net accounts /minpwlen:0 | Out-Null
net accounts /maxpwage:unlimited | Out-Null
net accounts /uniquepw:0 | Out-Null
# 3. Restaurar politica de bloqueo por defecto
net accounts /lockoutthreshold:0 | Out-Null
# 4. Reactivar cuenta Administrador integrada
net user administrator /active:yes | Out-Null
# 5. Desactivar politica de auditoria
auditpol /set /category:* /success:disable /failure:disable | Out-Null
Write-Host ""
Write-Host "[OK] Hardening revertido. Reinicia el equipo." -ForegroundColor Green🔎 Cómo comprobar que el hardening está activo
Cinco comprobaciones para confirmar que el hardening está aplicado:
- Log sin errores:
Get-Content C:\Logs\hardening-cuentas.log -Tail 30debe mostrar[OK] Hardening de cuentas aplicado - 7 tareas en estado Ready:
Get-ScheduledTask -TaskName "Hardening-Cuentas-*" - Política de contraseñas:
net accountsdebe mostrar longitud mínima 12, umbral de bloqueo 5, duración 30 min - Cuentas desactivadas:
net user guestynet user administratordeben mostrar cuenta inactiva - Auditoría activa:
auditpol /get /category:*debe mostrar Success and Failure en todas las categorías
💡 Ejecuta en PowerShell como administrador:
Get-Content C:\Logs\hardening-cuentas.log -Tail 30
Las 7 tareas deben estar en estado Ready con LastTaskResult = 0. net accounts debe mostrar longitud mínima 12, bloqueo a 5 intentos y duración 30 min.
✅ Checklist post-instalación
Verifica estos 11 puntos para confirmar que el hardening está aplicado:
- ☑ 7 tareas en estado Ready en
taskschd.msc - ☑
net accountsmuestra longitud mínima: 12 - ☑
net accountsmuestra umbral de bloqueo: 5 - ☑
net accountsmuestra duración del bloqueo: 30 minutos - ☑
net accountsmuestra historial de contraseñas: 5 - ☑
net user guestmuestra cuenta inactiva - ☑
net user administratormuestra cuenta inactiva (si se desactivó) - ☑
auditpol /get /category:*muestra Success and Failure - ☑ Log en
C:\Logs\hardening-cuentas.logcon[OK] Hardening de cuentas aplicado - ☑ CSV en
C:\Logs\hardening-cuentas-historico.csv - ☑ Al menos una cuenta de administrador alternativa activa
✔ 11/11 = hardening completo · ✘ menos de 8 = revisar log e instalación
🆚 Sistema sin hardening vs con hardening de cuentas Windows
| Característica | Sin hardening | Con hardening |
|---|---|---|
| Resistencia a fuerza bruta | 🔴 Ninguna; intentos ilimitados | 🟢 Bloqueo automático tras 5 intentos fallidos |
| Resistencia a password spraying | 🔴 Ninguna | 🟢 Política de bloqueo corta la ventana de ataque |
| Cuentas innecesarias activas | 🔴 Invitado y Administrator predecible activos | 🟢 Desactivadas; superficie reducida |
| Política de contraseñas | 🔴 Sin longitud mínima | 🟢 Mínimo 12 chars, caducidad 90 días, historial 5 |
| Autologon | 🔴 Posible; credenciales en el registro | 🟢 Desactivado |
| Política de auditoría | 🔴 Sin registro de eventos | 🟢 Todos los eventos registrados |
| Detección cuenta nueva (4720) | 🔴 Ninguna | 🟢 Alerta inmediata en el CSV |
| Detección elevación (4728/4732) | 🔴 Ninguna | 🟢 Alerta reactiva |
| Persistencia tras actualizaciones | 🔴 La configuración puede perderse | 🟢 7 tareas reaplican el hardening |
Para completar el hardening del sistema, combina este script con el manual técnico de Windows Defender: detección de malware y acceso controlado a carpetas en 2026 — las 8 reglas ASR de Defender bloquean los vectores de ejecución de malware que explotan las cuentas comprometidas para escalar privilegios.
🏁 Conclusión
El hardening de cuentas Windows con PowerShell permite aplicar ocho medidas de la política de seguridad local en segundos, reduciendo drásticamente el riesgo de accesos no autorizados por fuerza bruta, password spraying o credential stuffing. Las 7 tareas programadas garantizan que el endurecimiento se mantenga activo de forma permanente, y las tareas reactivas por eventos 4720 y 4728/4732 convierten este script en una solución de detección temprana ante creación de cuentas no autorizadas o escalaciones sospechosas.
🔐 Resumen de acciones recomendadas
- ✅ Verifica que tienes al menos 2 cuentas admin antes de ejecutar
- ✅ Ejecuta el comando de instalación en PowerShell como administrador
- ✅ Verifica con
Get-Content C:\Logs\hardening-cuentas.log -Tail 30 - ✅ Confirma las 7 tareas con
Get-ScheduledTask -TaskName "Hardening-Cuentas-*" - ✅ Comprueba
net accountsyauditpol /get /category:* - ✅ Revisa el CSV histórico semanalmente
- ✅ Reinicia el equipo tras la instalación
❓ Preguntas frecuentes
¿Es seguro ejecutar este script?
👉 Sí, si se ejecuta como administrador siguiendo las recomendaciones previas. Todos los comandos usan herramientas nativas de Windows documentadas oficialmente y son completamente reversibles mediante el script de reversión incluido.
¿Puede bloquearse mi acceso al sistema?
👉 No de forma accidental. El script comprueba automáticamente cuántas cuentas de administrador activas hay antes de desactivar la cuenta Administrator integrada. Si solo hay una, omite ese paso y muestra un aviso.
¿Por qué 7 tareas programadas y no solo una?
👉 Cada tarea cubre un vector distinto. Las tareas reactivas por eventos 4720 y 4728/4732 se disparan en el mismo instante en que ocurren esas acciones y dejan rastro inmediato en el CSV, algo que hasta ahora solo ofrecían soluciones EDR empresariales.
¿Las 7 tareas ralentizan el equipo?
👉 No. Cada ejecución dura menos de 5 segundos en background como SYSTEM en modo oculto. La carga combinada suma menos de 2 minutos de CPU al día.
¿Qué hago si el CSV muestra una cuenta nueva que no reconozco?
👉 Señal potencial de compromiso. Verifica con net user, desactiva la cuenta sospechosa con net user NOMBRE /active:no, cambia las contraseñas de todas las cuentas admin, desconecta el equipo de la red y ejecuta un análisis completo con el manual técnico de Windows Defender: detección de malware y acceso controlado a carpetas en 2026.
¿Cómo desactivo el hardening si quiero revertirlo?
👉 Ejecuta el script de reversión incluido en esta guía: elimina las siete tareas y revierte todos los cambios en un solo paso.
Deja una respuesta