Cómo rastrear quién apagó un PC en Windows

¿Por qué registrar apagados puede importar?

Rastrear apagados es útil para administradores de redes y responsables de TI que necesitan estadísticas de uso, auditoría o pistas de incidentes. Para usuarios domésticos suele ser menos relevante, pero en entornos empresariales aporta transparencia y ayuda a detectar problemas de software, apagados forzosos o fallos de hardware.

Opciones principales

A continuación se describen tres formas de obtener registros de apagado en Windows, desde la nativa hasta herramientas de terceros.

1. Usar el Visor de eventos de Windows

El Visor de eventos (Event Viewer) es la herramienta incluida en Windows que registra eventos del sistema, incluyendo apagados.

Pasos rápidos:

1. Presiona Windows + X y luego V para abrir el Visor de eventos.
2. En el panel izquierdo, selecciona “Registros de Windows”.
3. Haz clic en “Sistema”.
4. En el panel derecho, elige “Filtrar registro actual”.
5. En la línea “ID de evento” o “Fuentes de eventos” escribe 6006 y guarda la selección.

¿Qué verás?

• El evento 6006 indica que el servicio de registro de eventos se detuvo, lo que implica un apagado ordenado.
• La lista mostrará las fechas y horas de los apagados recientes.

Consejo rápido: también puedes comprobar el tiempo de actividad (Up Time) desde el Administrador de tareas. Haz clic derecho en la barra de tareas, abre el Administrador de tareas y revisa el tiempo de actividad en la esquina inferior derecha.

2. Usar Shutdown Logger

Shutdown Logger es una herramienta dedicada (servicio) que registra exclusivamente los apagados en archivos de texto, lo que facilita revisarlos en lote o automatizar su análisis.

Cómo funciona:

• Instalas el servicio, lo ejecutas y el servicio empieza a crear logs en C:\ShutdownLoggerSvc\Logs.
• Registra solo apagados (no estados de suspensión), por lo que la salida es clara y orientada a auditoría.

Nota: busca el instalador en el sitio oficial del desarrollador. Si la máquina es parte de un dominio o tiene políticas de seguridad, consulta con el equipo de TI antes de instalar servicios.

3. Usar TurnedOnTimesView

TurnedOnTimesView es una herramienta portable que no requiere instalación ni ejecución continua en segundo plano. Proporciona un historial de encendidos y apagados —incluye suspensión e hibernación— y presenta el registro en una tabla fácil de filtrar.

Ventajas:

• Portable: descarga y ejecuta sin instalar.
• Muestra semanas de historial según los registros del sistema.
• Incluye pistas adicionales que ayudan a diagnosticar causas de errores.

Dónde descargar: busca el ejecutable en la web oficial del autor o en repositorios confiables de utilidades Sysinternals/ NirSoft (si aplica).

Comparación rápida

• Visor de eventos: integrado, detallado, requiere conocimiento de IDs y filtros.
• Shutdown Logger: registro claro y dedicado a apagados, ideal para auditoría continua.
• TurnedOnTimesView: portable y cómodo para inspecciones puntuales con más tipos de eventos.

Importante: ninguna herramienta sustituye a las políticas de seguridad y auditoría de una empresa; úsalas conforme a normativas internas.

Mini-metodología: cómo elegir la solución adecuada

1. Define el propósito: auditoría continua, investigación puntual, o diagnóstico de fallos.
2. Determina permisos: ¿puedes instalar software o solo ejecutar portables?
3. Prioriza: facilidad de uso vs. detalle vs. impacto en el sistema.
4. Verifica cumplimiento: privacidad, protección de datos y normas internas.
5. Implementa y prueba: revisa logs durante una semana y valida que los eventos sean coherentes.

Checklist por rol

Administrador de red

• Acceso a Visor de eventos en todas las máquinas críticas
• Políticas para instalación de agentes (Shutdown Logger) aprobadas
• Centralizar logs si es necesario (SIEM)

Responsable de soporte/Helpdesk

• Saber filtrar ID 6006 en el Visor de eventos
• Mantener copia de herramientas portables para inspección rápida
• Documentar hallazgos y comunicación con usuario final

Usuario final

• Informar al responsable antes de instalar herramientas
• Proveer detalles del incidente (hora aproximada, acciones previas)

Criterios de aceptación (qué comprobar tras implementar)

• Se registran eventos de apagado con fecha y hora correctas.
• Los datos son accesibles sin corrupción durante al menos 30 días (o según política).
• El sistema no muestra impactos perceptibles en rendimiento.
• El uso de la herramienta cumple con la política de la organización.

¿Cuándo pueden fallar estos métodos?

• Apagados forzosos por fallo de hardware pueden no registrar un evento 6006 (registro incompleto).
• Si los registros del sistema están dañados o truncados, las herramientas mostrarán datos incompletos.
• Herramientas de terceros requieren permisos; en entornos muy restringidos no podrás instalarlas.

Alternativas y complementos

• Auditoría centralizada (SIEM): recopila logs de varios equipos en un solo lugar y facilita alertas y correlación.
• Scripts PowerShell: para exportar eventos 6006 periódicamente y almacenarlos en una ubicación central.
• Políticas de grupo (GPO): forzar la captura o envío de eventos a un servidor de logs.

Notas sobre seguridad y privacidad

• Registros de apagado pueden considerarse datos operativos; evita exponerlos públicamente.
• Cumple la normativa local sobre protección de datos (por ejemplo, GDPR aplicable si hay datos personales vinculados).
• Limita el acceso a los archivos y a las herramientas solo a personal autorizado.

Cuadro de datos clave

• Naturaleza del dato: marcas de tiempo y tipos de evento (apagado, suspensión, hibernación).
• Granularidad: desde la hora exacta hasta el historial por semanas.
• Requisitos: permisos de administrador para instalar servicios; usuario estándar para herramientas portables.

Pruebas y casos a verificar

• Caso A: Apagado ordenado — Visor de eventos debe registrar ID 6006.
• Caso B: Apagado por fallo eléctrico — puede faltar 6006, revisar eventos cercanos (batería/UPS).
• Caso C: Suspensión/hibernación — TurnedOnTimesView lo debe mostrar si el sistema registra el evento.

Resumen

• Para auditoría rápida: usa el Visor de eventos y filtra el ID 6006.
• Para registros automáticos y sencillos: considera Shutdown Logger (requiere instalación).
• Para inspección inmediata y portable: TurnedOnTimesView ofrece una vista clara de encendidos/apagados y hibernaciones.

Nota: descarga herramientas de fuentes oficiales y verifica políticas internas antes de instalarlas.

¿Qué herramientas usas para monitorizar y mantener equipos en tu organización? Cuéntanos en los comentarios.

Historias relacionadas que puedes leer:

• Cómo acceder a extensiones de archivo desconocidas en Windows 10/8/7
• Riesgos de usar Windows 10 pirateado
• Cómo desactivar una cuenta de Microsoft To-Do

Resumen final: rastrear apagados es sencillo con las herramientas adecuadas; elige según necesidades operativas, permisos y requisitos de cumplimiento.