Por qué usar cuentas de usuario restringidas en Windows

Todas las versiones modernas de Microsoft Windows permiten crear dos tipos de cuentas de usuario locales, Administrador y Estándar, y cada PC debería tener creada una cuenta de cada tipo… incluso si sólo una persona utiliza la PC. ¿Por qué? ¿Para qué?

Diferencias entre tipos de cuentas locales en Windows

Un rápido repaso a las diferencias entre los dos tipos de cuentas hará que se entienda fácilmente por qué siempre recomendamos las cuentas Estándar:

  1. Cuenta Administrador (todopoderosa) – Una cuenta Administrador en un PC con Windows es muy parecida a la cuenta raíz (root) en una máquina con Unix o Linux. Un usuario conectado a una cuenta con permisos de administración puede ver, renombrar o borrar todos los archivos del sistema que no estén en eso, cambiar todas las configuraciones del sistema, ejecutar todos los programas instalados, añadir o eliminar programas, instalar nuevo hardware, crear o borrar usuarios, y cambiar los nombres de usuario y las contraseñas de usuarios existentes impidiéndoles usar la computadora.
  2. Cuenta Estándar (limitada) – Una cuenta Estándar no puede cambiar la mayoría de las configuraciones del sistema, ejecutar software para el que no se le ha dado permiso, instalar nuevo software o hardware que afecte a todo el sistema o cambiar los nombres de usuario y las contraseñas de otros usuarios.
Pantalla de cambio de tipo de cuenta de usuario en el Panel de Control de Windows 10 (¿Cómo saber qué versión de Windows está instalada?)

Como puede ver, cuando inicia una sesión de Administrador tiene la capacidad de hacer casi todo lo que desee con su computadora.

Desgraciadamente, como Administrador también tiene la capacidad de hacer cosas que nunca querría hacer, ya que pueden causar problemas importantes en Windows. Es bastante fácil para un usuario de tipo administrador borrar accidentalmente un archivo importante del sistema o cambiar una configuración que hace que la PC sea inestable, insegura o que no pueda iniciarse.

También puede que alguien más que use el equipo circunstancialmente (con o sin su autorización y supervisión), por inexperiencia o malas intenciones, haga cambios peligrosos o instale software que no es necesario (pero que prefiere por comodidad o por desconocer que ya existe una alternativa instalada), que sea ilegal, que recarga al sistema o que contiene agregados invasivos, como adware molesto que no para de desplegar avisos publicitarios cuando menos lo espera o vulnera su privacidad de algún modo.

Sólo cambiar la fecha del sistema, por ejemplo, puede generar serios problemas con el antivirus y dejar inoperantes sistemas de firmas digitales, e incluso impedir el acceso a sitios web y servicios en línea.

Una cuenta Estándar ofrece tranquilidad ante errores humanos y una capa extra de ciberseguridad. Como restringe que el software –tanto bueno como malo– haga modificaciones en áreas sensibles de Windows, es más difícil que los programas maliciosos como virus, ransomware y programas espías, e incluso hackers, se apoderen de su computadora y se atrincheren.

Todo es vulnerable en mayor o menor medida; tanto los sistemas informáticos como los humanos que los usan. Por eso es que si a pesar de tener Windows y los programas actualizados, contar con cortafuegos (firewall) y antivirus activos, y ser prudente al momento de navegar por la Web y abrir adjuntos del correo eléctrico igual sucede lo peor, querrá que haya algún tipo de defensa restante que le proteja. Por lo explicado antes, esa última línea de defensa son las cuentas Estándar en Windows.

Un llamado de atención

Si sin aviso previo Windows le solicita la autorización de un administrador para una tarea, detenga lo que estaba haciendo, revise la causa y presione No si no le es totalmente clara.

Puede que la solicitud sea causada por un programa totalmente benigno, pero hay buenas posibilidades de que no sea así, y que software malicioso esté intentando acceder a una parte de Windows que normalmente le sería inaccesible.

Ante la menor duda, siempre debemos empezar por detenernos a pensar si lo que acabamos de hacer podría haber causado la advertencia y por qué. Luego consultar en Internet si le sucedió a alguien más, y/o consultar con una persona con los conocimientos adecuados.

No todo lo que pide privilegios de Administrador los necesita

Aplicaciones populares como Google Chrome, Mozilla Firefox o Dropbox, inicialmente le pedirán que les otorgue permisos de Administrador para su instalación, pero debe saber que estos permisos no son indispensables y pueden ser instaladas sin inconvenientes con una cuenta Estándar.

De hecho, negar permisos de Administrador a las aplicaciones cuando se instalan tiene ventajas: permite que los usuarios que no las necesitan o desean no vean recargado su Escritorio con íconos inútiles, inicien sesión más rápido y tengan la libertad de utilizar aplicaciones alternativas que les sean más útiles o familiares.

Además, si una de aplicación fallara, si no fue instalada con permisos de Administrador será más fácil y seguro eliminarla completamente para poder reinstalarla desde cero o sustituirla.

Esta posibilidad no existe en todos los casos. Los paquetes de oficina como Microsoft Office u OpenOffice, por ejemplo, requieren ser instalados con privilegios elevados desde una cuenta Administrador.

Computadoras con varios usuarios

Si más de una persona va a utilizar la misma computadora, cada usuario debería tener su propia cuenta de tipo estándar.

Este es el procedimiento para crear cuentas de usuario en Windows 10 (clic aquí para saber qué versión de Windows tiene):

  1. Inicie sesión con una cuenta de usuario que tenga privilegios de Administrador.
  2. Pulse la combinación de teclas Windows+S para abrir un cuadro de búsqueda.
  3. Escriba “usuario” en el cuadro de búsqueda y seleccione Añadir, editar o eliminar otros usuarios en la lista de resultados de la búsqueda.
  4. Haga clic en «Añadir otra persona a este PC».
  5. Ignore el cuadro de texto y haga clic en el enlace que dice «No tengo la información de inicio de sesión de esta persona».
  6. Ignore el formulario en la pantalla actual y haga clic en el enlace que dice «Agregar un usuario sin una cuenta de Microsoft».
  7. Rellene el formulario de esta página y haga clic en el botón «Siguiente» para crear la cuenta.

Eso es todo. Su equipo y su información estarán más protegidos de errores, virus e instalaciones de software «drive-by» (descargas automáticas de software en el dispositivo sin su conocimiento o consentimiento) ahora que lo utilizará con una cuenta de usuario limitada.

Cuentas restringidas para usuarios técnicos y no técnicos por igual

Tanto sea para personas con escasos conocimientos técnicos en informática como para personas que sí los posean, una cuenta Estándar es recomendada para el día a día.

Los conocimientos de ciberseguridad de una persona son inversamente proporcionales a las posibilidades de que esta use una cuenta Administrador.

Para la inmensa mayoría de las actividades cotidianas, iniciar aplicaciones, navegar por la Web e incluso mantener la computadora en estado óptimo, una cuenta Estándar es suficiente.

La cuenta de administrador sólo debe utilizarse en ocasiones especiales, cuando sea absolutamente necesario realizar una tarea que una cuenta de usuario estándar no puede hacer (lo que puede no ser requerido por meses).

Las organizaciones deben aplicar el principio de mínimo privilegio en todo su entorno de red y actualizar inmediatamente los privilegios cuando se produzcan cambios en las funciones administrativas. Sólo use cuentas con privilegios completos cuando sea estrictamente necesario, y considere el uso de privilegios basados en el tiempo para restringir aún más su uso.

Los proveedores de servicios gestionados (MSP) deben aplicar este principio tanto a los entornos internos como a los de los clientes, evitando los privilegios administrativos por defecto.

Agencia de Ciberseguridad y Seguridad de las Infraestructuras de los Estados Unidos (CISA): Protección contra las ciberamenazas para los proveedores de servicios gestionados y sus clientes

¿Respalda sus datos a diario?
¿Su red está segura?

Podemos asistirle para prevenir la pérdida de datos y asegurar su red.

Deja un comentario

Tu dirección de correo electrónico no será publicada.