Cómo cambiar la contraseña del usuario administrador de un equipo Windows 10 y Windows 11 cuando se nos ha olvidado o la desconocemos. Aprovecharemos una vulnerabilidad de Windows 10, Windows 11, que nos permitirá abrir una ventana de símbolo de sistema y cambiar la contraseña de cualquier usuario del equipo, sin conocerla previamente. Explicamos cómo mitigar esta vulnerabilidad para hacer nuestro equipo un poco más seguro. Con este método, no necesitaremos utilizar software ni herramientas de terceros, lo haremos con el CD/DVD/Pendrive de instalación de Windows.

Nota importante antes de continuar

El proceso que explicamos a continuación es con fines educativos y para solventar situaciones legítimas cuando, por ejemplo, hemos olvidado la contraseña del usuario administrador de nuestro equipo Windows.

Nunca se usará este método con fines ilícitos, por ello también explicamos algunos métodos para evitar que esta vulnerabilidad sea explotada por un usuario malintencionado.

Requisitos para cambiar la contraseña del usuario administrador en equipo Windows 10 y Windows 11

Únicamente necesitaremos disponer del CD/DVD o pendrive con el instalador de Windows 10/11, dado que arrancaremos el equipo desde el CD/DVD o USB con el pendrive.

Para este método, necesitaremos acceso físico (si es un equipo físico) o virtual (si es una máquina virtual) al equipo completo, desde su arranque.

Para el caso de una máquina virtual, agregaremos el ISO de instalación de Windows 10/11 como CD/DVD de arranque:

Requisitos para cambiar la contraseña del usuario administrador en equipo Windows 10 y Windows 11

Cambiar contraseña del usuario administrador en equipo Windows 10 o Windows 11

Arrancaremos el equipo con el CD/DVD o pendrive con Windows insertado y pulsaremos la tecla F12 que habitualmente suele servir para mostrar el menú de elección del método de arranque. Podría ser otra tecla. En caso de no funcionar, podremos entrar en la BIOS (habitualmente con la tecla F2 o bien con la tecla Del (Supr) y cambiar el orden de arranque al CD o al USB:

Cambiar contraseña del usuario administrador en equipo Windows 10 o Windows 11

Si ha detectado el CD o pendrive con Windows 10/11, nos mostrará el mensaje:

Pulsaremos cualquier tecla para iniciar Windows desde el CD/DVD.

Nos cargará el asistente para recuperar el equipo, pulsaremos en «Siguiente»:

Cambiar contraseña del usuario administrador en equipo Windows 10 o Windows 11

Pulsaremos en «Reparar equipo»:

Cambiar contraseña del usuario administrador en equipo Windows 10 o Windows 11

Pulsaremos en «Solucionar problemas»:

Cambiar contraseña del usuario administrador en equipo Windows 10 o Windows 11

Pulsaremos en «Símbolo del sistema»:

Cambiar contraseña del usuario administrador en equipo Windows 10 o Windows 11

Desde el símbolo del sistema, accederemos a la unidad donde tengamos instalado Windows. Al haber iniciado desde un CD/DVD, lo habitual es que el arranque haya asignado la letra X al CD/DVD y la letra D a la unidad del sistema (la de Windows), por ello accederemos a D con el comando:

Dentro de D:, accederemos a la carpeta de Windows\System32 con:

Una vez en esta carpeta, comprobaremos que existe el fichero osk.exe con:

Que nos devolverá el fichero. Ahora lo renombraremos con el comando:

Y copiaremos el fichero cmd.exe a osk.exe con:

Cerraremos la consola de símbolo de sistema con:

Cambiar contraseña del usuario administrador en equipo Windows 10 o Windows 11

Apagaremos el equipo pulsando en «Apagar el equipo»:

Cambiar contraseña del usuario administrador en equipo Windows 10 o Windows 11

Y lo encenderemos pulsando el botón de encender. Arrancaremos el equipo en modo normal (no desde el CD/DVD). En la ventana de bienvenida, pulsaremos el icono de accesibilidad:

Cambiar contraseña del usuario administrador en equipo Windows 10 o Windows 11

En el menú pulsaremos en «Teclado en pantalla»:

Cambiar contraseña del usuario administrador en equipo Windows 10 o Windows 11

Con el cambio de fichero que hemos hecho anteriormente, en lugar de mostrar el teclado táctil en pantalla, abrirá una ventana de símbolo de sistema, nos mostrará el mensaje:

El sistema no puede encontrar el texto del mensaje para el mensaje 0x2350 en el archivo de mensajes para Application.

Pero no importa, nos abrirá una ventana de MS-DOS (símbolo de sistema) que es lo que queremos.

Comprobaremos que nos muestra los usuarios del equipo Windows ejecutando el comando:

Vemos que nos muestra los usuarios locales del equipo:

Cambiar contraseña del usuario administrador en equipo Windows 10 o Windows 11

Para cambiar la contraseña de cualquier de los usuarios, por ejemplo del usuario Administrador, ejecutaremos el comando:

Nos solicitará la nueva contraseña y que la repitamos.

Una vez cambiada la contraseña, escribiremos el comando:

Y ya tendremos acceso al equipo con el usuario Administrador y la nueva contraseña:

Cambiar contraseña del usuario administrador en equipo Windows 10 o Windows 11

En caso de que el usuario esté deshabilitado, podremos cambiar la contraseña de otro usuario existente para intentar el acceso.

Por último, para dejar el equipo en perfectas condiciones de uso, volveremos a reiniciarlo y arrancarlo desde el CD/DVD o pendrive (para dejar el fichero osk.exe correcto). Volveremos a repetir los pasos anteriores para abrir una ventana de símbolo de sistema (desde el arranque del CD/DVD) y ejecutaremos los siguientes comandos para recuperar el archivo osk.exe:

Cambiar contraseña del usuario administrador en equipo Windows 10 o Windows 11

Apagaremos el equipo y volveremos a encenderlo, de forma normal, sin el CD/DVD o pendrive y ya lo tendremos listo para su funcionamiento.

Recomendaciones para mitigar esta vulnerabilidad y evitar que un usuario malintencionado la use

Securizar acceso a la BIOS y bloquear dispositivos USB y DVD en BIOS

La recomendación más importante es evitar que un usuario pueda entrar en la BIOS. Estableceremos una contraseña robusta para la entrada a la configuración de la BIOS y, además, quitaremos los posibles inicios desde otros medios diferentes al disco duro del equipo. Deshabilitaremos cualquier tipo de inicio salvo el del disco duro. De esta forma, un usuario no podrá entrar en la BIOS y no podrá tampoco establecer un método de arranque diferente del del disco duro. Con ello no podrá iniciar desde un CD/DVD o pendrive USB.

Otra recomendación es deshabilitar, en la medida de lo posible, el uso de las unidades de CD/DVD y de los puertos USB. Esto también se suele poder hacer desde la BIOS. Dado que si se hace con algún software antivirus o por directiva, no se impedirá que se puedan usar los puertos cargando otro sistema operativo antes de iniciar el principal.

Por ello, blindar el acceso a la BIOS hará más difícil que un usuario malintencionado pueda arrancar desde un CD o USB.

Deshabilitar usuarios innecesarios y dejar sólo un usuario administrador que no sea el de defecto si es estrictamente necesario

Otra de las recomendaciones para mitigar esta vulnerabilidad es tener siempre deshabilitados los usuarios que no se vayan a usar en el equipo. Sobre todo, el usuario «Administrador», que debería deshabilitarse y usar otro menos conocido y objetivo de ataque. En equipos pertenecientes a un dominio, lo ideal es deshabilitar todos los usuarios locales y dejar, como mucho, uno creado expresamente y sólo en casos necesarios.

Control de accesos físicos a los equipos y accesos virtuales

Para explotar esta vulnerabilidad, el posible atacante necesita acceso físico al equipo (o virtual si es una máquina virtual), por lo que en las organizaciones es recomendable tener controlados los accesos tanto físicos como virtuales de usuarios y personal.

Sí ha funcionado – Desactivar el botón de accesibilidad en la pantalla de bloqueo de Windows

Explicamos un método para desactivar el botón de accesibilidad en la pantalla de bloqueo de Windows. Con este método, aunque el botón de accesibilidad aparece en la pantalla de bloqueo, si se pulsa, no muestra ningún menú ni realiza ninguna acción. Con este método evitaremos la vulnerabilidad mencionada anteriormente, dado que el usuario malintencionado no podrá abrir el menú para elegir «Teclado en pantalla».

Para ello, en primer lugar, desde el Explorador de Windows, accederemos a la carpeta «C:\Windows\System32». Pulsaremos con el botón derecho del ratón sobre el fichero «Ultiman.exe» y elegiremos «Propiedades»:

Sí ha funcionado - Desactivar el botón de accesibilidad en la pantalla de bloqueo de Windows

En la pestaña «Seguridad» pulsaremos en «Opciones avanzadas»:

Sí ha funcionado - Desactivar el botón de accesibilidad en la pantalla de bloqueo de Windows

En «Propietario» pulsaremos en «Cambiar»:

Sí ha funcionado - Desactivar el botón de accesibilidad en la pantalla de bloqueo de Windows

Elegiremos el grupo de administradores (o bien del equipo local o bien del dominio si el equipo está agregado a uno):

Sí ha funcionado - Desactivar el botón de accesibilidad en la pantalla de bloqueo de Windows

Aceptaremos en todas las ventanas para que se aplique el cambio de propietario y volveremos a entrar en las opciones avanzadas de seguridad (como hemos hecho anteriormente). Ahora el propietario pasa de ser TrustedInstaller a ser el grupo de administradores. De esta forma nos dejará cambiar permisos. Pulsaremos en «Agregar»:

Sí ha funcionado - Desactivar el botón de accesibilidad en la pantalla de bloqueo de Windows

Pulsaremos en «Seleccionar una entidad de seguridad»:

Sí ha funcionado - Desactivar el botón de accesibilidad en la pantalla de bloqueo de Windows

Escribiremos «Todos» y pulsaremos «Aceptar».

Sí ha funcionado - Desactivar el botón de accesibilidad en la pantalla de bloqueo de Windows

En «Tipo» elegiremos «Bloquear» y marcaremos «Control total», de forma que quedará Tipo = Bloquear y todos los permisos marcados «Control total», «Modificar», «Lectura y ejecución», «Lectura», «Escritura».

Sí ha funcionado - Desactivar el botón de accesibilidad en la pantalla de bloqueo de Windows

Aceptaremos todos los cambios y reiniciaremos el equipo. A partir de ahora el icono de accesibilidad seguirá apareciendo en la pantalla de bloqueo de Windows, pero si el usuario lo pulsa no tendrá ningún efecto, no mostrará el menú de accesibilidad ni hará nada, que es lo que pretendemos.

No ha funcionado – Desactivar (ocultar) icono de accesibilidad en la pantalla de bienvenida de Windows

NOTA: ninguno de los procedimientos explicados a continuación ha funcionado para ocultar el icono de accesibilidad en la pantalla de bloqueo de Windows. Los dejamos indicados por si sirven para algo en algún caso.

Y por último, y quizá el más importante, para evitar por completo esta vulnerabilidad, lo más efectivo es deshabilitar u ocultar el icono de Accesibilidad en el inicio del equipo (en la pantalla de bloqueo o bienvenida). Esto, lógicamente, podremos hacerlo si en nuestra organización no hay usuarios con discapacidad que pudieran necesitarlo. En ese caso, se activaría la accesibilidad únicamente en los equipos que realmente puedan necesitarla, reduciendo así el vector de ataque.

Para desactivar el icono de Accesibilidad en el arranque lo haremos desde «Panel de control» – «Centro de accesibilidad», pulsando en «Usar el equipo sin un mouse o teclado»:

Recomendaciones para mitigar esta vulnerabilidad y evitar que un usuario malintencionado la use

Si está marcada la opción «Usar Teclado en pantalla», la desmarcaremos:

Por otro lado, detendremos el servicio «Servicio de Panel de escritura a mano y teclado táctil» (TabletInputService) y lo deshabilitaremos, para que no se inicie automáticamente. Si no nos deja detenerlo desde el modo gráfico:

Recomendaciones para mitigar esta vulnerabilidad y evitar que un usuario malintencionado la use

Podremos hacerlo siguiendo estas instrucciones. En primer lugar, desde la ventana anterior de services.msc, haciendo doble clic sobre el servicio y eligiendo «Deshabilitado» y pulsando Aceptar. En este caso el servicio quedará iniciado pero deshabilitado para que no se vuelva a iniciar. A continuación abriremos una ventana de MS-DOS (Símbolo de sistema), como administrador. Ejecutaremos el siguiente comando para obtener información del servicio y su PID (identificador de proceso):

Nos mostrará que el servicio está en RUNNING y el PID. Ahora ejecutaremos este otro comando (indicando el PID obtenido), para detenerlo:

Donde cambiaremos 32988 por el PID que nos haya devuelto el comando anterior. El servicio se detendrá sin reiniciar el equipo.

Recomendaciones para mitigar esta vulnerabilidad y evitar que un usuario malintencionado la use

Hemos comprobado que con esta opción sigue apareciendo el icono de accesibilidad y el menú «Teclado en pantalla», por lo que parece que con esto no se evita la vulnerabilidad.

Si lo anterior no funciona, podremos agregar una clave al Registro de configuraciones de Windows, para que no muestre este botón de accesibilidad. Para ello, abriremos el Editor del Registro:

Recomendaciones para mitigar esta vulnerabilidad y evitar que un usuario malintencionado la use

Y accedemos a la clave de tipo DWORD 32 bits «BrandingNeutral» con valor 8 en la clave «EmbeddedLogon«, dentro de:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Embedded

Si no existe la clave «EmbeddedLogon» la crearemos.

Recomendaciones para mitigar esta vulnerabilidad y evitar que un usuario malintencionado la use

Reiniciaremos el equipo para que se apliquen los cambios y ya no debería aparecer el icono de accesibilidad.

Nota: posibles valores para la clave «BrandingNeutral»:

1Deshabilita todos los botones de la ventana de bienvenida de Windows
2Deshabilita el botón de apagado de la ventana de bienvenida de Windows
4Deshabilita el botón de idioma de la ventana de bienvenida de Windows
8Deshabilita el botón de accesibilidad de la ventana de bienvenida de Windows
16Deshabilita el botón de cambio de usuario de la ventana de bienvenida de Windows