¿Intentas conectar por Escritorio remoto y el PC destino muestra la pantalla de inicio de sesión pero rechaza tus credenciales? Aquí te explico, paso a paso, cómo habilitar RDP correctamente, qué usuario escribir (local, Microsoft o Azure AD) y cómo resolver el clásico “Estas credenciales no funcionaron”.
Resumen del caso
Dos equipos Windows en la misma red. Al iniciar sesión por RDP aparece la pantalla de credenciales, pero el sistema rechaza usuario/contraseña. La duda principal: ¿qué nombre de usuario hay que escribir —el nombre mostrado, el correo de Microsoft o un alias abreviado?
Lo esencial: contraseña, no PIN
RDP no acepta PIN ni Windows Hello (huella, rostro, llave FIDO) para autenticarse. Para entrar por remoto debes usar la contraseña de la cuenta que existe en el PC de destino. Si normalmente entras con PIN/Hello, crea o recuerda la contraseña de esa misma cuenta antes de intentar RDP.
Comprobaciones básicas en el PC de destino
Edición de Windows compatible
Solo ciertas ediciones reciben conexiones RDP entrantes. (Cualquier edición puede iniciar la conexión, pero no todas pueden recibirla.)
| Edición | ¿Recibe RDP? | Dónde verlo |
|---|---|---|
| Windows 11/10 Pro | Sí | Configuración → Sistema → Acerca de |
| Enterprise / Education | Sí | Configuración → Sistema → Acerca de |
| Home | No (no puede recibir) | Configuración → Sistema → Acerca de |
Activar Escritorio remoto
- Abrir Configuración → Sistema → Escritorio remoto.
- Activar Escritorio remoto.
- Opcional (para pruebas): desmarcar Permitir solo conexiones desde equipos con Autenticación a nivel de red (NLA). (Hazlo solo temporalmente para descartar problemas de credenciales/credssp.)
- Pulsa en Usuarios de escritorio remoto y añade la(s) cuenta(s) permitidas (si ya eres Administrador, también vale).
Firewall de Windows
Asegúrate de que las reglas Escritorio remoto (TCP 3389 entrante) estén habilitadas:
- Panel de control → Firewall de Windows Defender → Permitir una aplicación: marca “Escritorio remoto”.
- O desde PowerShell (administrador):
Set-NetFirewallRule -DisplayGroup "Remote Desktop" -Enabled True
Servicios necesarios
- Remote Desktop Services (
TermService) debe estar en ejecución. - Compruébalo en services.msc o con PowerShell:
Get-Service TermService.
Identifica el usuario correcto y el formato exacto
En el equipo de destino, abre CMD y ejecuta:
whoami
Esto te muestra el inicio de sesión efectivo. Según el tipo de cuenta, escribe el usuario en RDP de esta forma:
| Tipo de cuenta | Cómo reconocerla | Qué escribir en “Usuario” (RDP) | Ejemplo | Notas útiles |
|---|---|---|---|---|
| Local (sin Microsoft/Azure) | En whoami verás NOMBREPC\usuario | .\usuario o NOMBREPC\usuario | .\Alex | Usa la contraseña local (no PIN). No permite contraseña en blanco. |
| Cuenta Microsoft (Outlook/Hotmail) | En la pantalla de inicio ves tu correo; el perfil local suele ser abreviado (ej. alexp) | Correo completo (p.ej. usuario@outlook.com); si falla, prueba MicrosoftAccount\correo@dominio.com | usuario@outlook.com | La contraseña es la de tu cuenta Microsoft (no el PIN). El “usuario abreviado” del perfil no siempre funciona por RDP. |
| Azure AD (laboral/educativa) | Equipo “Unido a Azure AD”. En dsregcmd /status aparece AzureAdJoined : YES | AzureAD\usuario@dominio.com | AzureAD\j.soto@empresa.com | Escribe el UPN completo. Asegúrate de que el usuario esté agregado a “Remote Desktop Users”. |
| Dominio on‑prem (AD clásico) | En whoami verás DOMINIO\usuario | DOMINIO\usuario o UPN usuario@dominio.com | CONTOSO\maria | La hora entre cliente/servidor debe estar sincronizada para Kerberos. |
Claves rápidas
- Si normalmente entras con Microsoft, escribe el correo completo. Si el cuadro de RDP insiste en “dominio\usuario”, introduce
MicrosoftAccount\correo@dominio.com. - Para cuentas locales, prefijo
.\fuerza el inicio de sesión local y evita colisiones con otros dominios o Azure AD. - El alias abreviado del perfil (p.ej., alexp) no siempre es válido en RDP cuando la sesión es Microsoft; prioriza el correo.
Asegura que puedes usar contraseña (no solo PIN)
- En el PC destino: Configuración → Cuentas → Opciones de inicio de sesión.
- Crea o cambia la contraseña de la cuenta actual.
- Si tu cuenta es Microsoft y solo usabas PIN, restablece/define la contraseña desde tu cuenta de Microsoft (no el PIN). Después podrás usarla en RDP.
- En Windows 11, si está activado “Solo permitir Windows Hello para cuentas Microsoft”, desactívalo temporalmente para introducir contraseña localmente si lo necesitas.
Pruebas rápidas cuando sigue fallando
- Crea una cuenta local de prueba con contraseña y agrégala a Remote Desktop Users. Intenta entrar con
.\usuarioPrueba. Si funciona, el problema es de formato/contraseña de tu cuenta original. - Desactiva NLA temporalmente en el equipo destino para descartar errores de CredSSP/validez de credenciales. Vuelve a activarla al terminar.
- Conecta por IP del equipo (ej.
mstsc /v:192.168.1.50) para evitar problemas de resolución de nombres. - Comprueba que la cuenta tenga contraseña no vacía. Por política, Windows bloquea RDP si la contraseña está en blanco.
- Sincroniza la hora (especialmente en dominios/Azure):
w32tm /resync. - Borra credenciales guardadas en el equipo origen: Administrador de credenciales, o
cmdkey /listycmdkey /delete:TERMSRV/<PC>.
Diagnóstico profundo: políticas, eventos y puertos
Eventos de seguridad e inicio de sesión
En el PC destino, abre Visor de eventos y revisa:
- Registros de Windows → Seguridad: Evento 4625 (error de inicio de sesión). Observa:
- Tipo de inicio de sesión: 10 (interactivo remoto).
- Códigos comunes:
0xC0000064: el usuario no existe.0xC000006A: contraseña incorrecta.0xC0000234: cuenta bloqueada.0xC0000070: restricciones de cuenta.
- Aplicaciones y servicios → Microsoft → Windows → TerminalServices-LocalSessionManager y RemoteConnectionManager: errores de sesión, NLA o licenciamiento.
Directivas de seguridad relevantes
Abre secpol.msc (o gpedit.msc si procede) y revisa:
- Directiva de asignación de derechos de usuario:
- Permitir inicio de sesión a través de Servicios de Escritorio remoto: debe incluir Administradores y/o Remote Desktop Users.
- Denegar inicio de sesión a través de Servicios de Escritorio remoto: debe estar vacío o sin tu usuario.
- Cuentas: limitar el uso de cuentas locales con contraseñas en blanco: por defecto impide RDP sin contraseña. Usa una contraseña robusta.
- Seguridad de red: nivel de autenticación de LAN Manager: en entornos antiguos, niveles muy restrictivos pueden bloquear inicios de sesión; no cambies esto sin política clara.
Puerto y conectividad
- Puerto por defecto: TCP 3389. Prueba desde el origen:
Test-NetConnection -ComputerName NOMBREPC -Port 3389 - Si cambiaste el puerto RDP (registro
HKLM\...\RDP-Tcp\PortNumber), crea la regla de firewall correspondiente y usamstsc /v:NOMBREPC:PUERTO.
Errores típicos y cómo solucionarlos
| Mensaje común | Causa probable | Acción recomendada |
|---|---|---|
| “Estas credenciales no funcionaron.” | Usuario en formato incorrecto o contraseña mala. | Verifica tipo de cuenta y formato: .\usuario (local), correo completo (Microsoft), AzureAD\UPN (Azure). Restablece contraseña. |
| “El método de inicio de sesión no está permitido.” | Directiva que deniega RDP al usuario. | Agrega el usuario a “Remote Desktop Users” o corrige Permitir/Denegar inicio de sesión a través de Servicios de Escritorio remoto. |
| “Debe usar Autenticación a nivel de red.” | NLA activo y cliente antiguo o problema CredSSP. | Actualiza el cliente. Para descartar, desactiva NLA temporalmente y vuelve a activarlo después. |
| “No se puede conectar al equipo remoto.” | Firewall/puerto 3389 bloqueado o servicio detenido. | Habilita reglas de firewall, verifica TermService, prueba con Test-NetConnection y conecta por IP. |
| “Cuenta bloqueada” o muchos 4625 en Seguridad. | Demasiados intentos fallidos. | Espera el desbloqueo o desbloquea en AD; cambia la contraseña y limpia credenciales guardadas (cmdkey). |
Procedimiento paso a paso recomendado
- Valida la edición del PC destino (Pro/Enterprise/Education).
- Activa Escritorio remoto y agrega tu usuario a Remote Desktop Users.
- Habilita el firewall para RDP.
- Determina el tipo de cuenta:
- Local:
.\usuariooNOMBREPC\usuario. - Microsoft: correo completo (o
MicrosoftAccount\correosi hace falta). - Azure AD:
AzureAD\usuario@dominio.com.
- Local:
- Asegura que existe una contraseña (no PIN) y que la recuerdas.
- Conecta por IP desde el origen:
mstsc /v:IP. - Si falla, crea una cuenta local de prueba con contraseña y vuelve a intentar.
- Si aún falla, revisa eventos 4625 y directivas de inicio de sesión de RDP.
Comandos útiles (copiar/pegar)
:: Mostrar usuario efectivo
whoami
\:: Listar usuarios locales
net user
\:: Agregar usuario al grupo de RDP
net localgroup "Remote Desktop Users" usuario /add
\:: Probar conectividad al puerto 3389
powershell -Command "Test-NetConnection -ComputerName NOMBREPC -Port 3389"
\:: Ver servicios RDP
sc query TermService
\:: Listar y borrar credenciales RDP guardadas
cmdkey /list
cmdkey /delete\:TERMSRV/NOMBREPC
\:: Forzar resincronización de hora
w32tm /resync
\:: Ver estado de unión a Azure AD (ejecutar en PowerShell/CMD)
dsregcmd /status Escenarios prácticos
Escenario A: Cuenta local
El equipo destino muestra whoami como OFICINA-PC\alex. Para RDP escribe .\alex y la contraseña local. Si introduces solo alex sin .\ y tu equipo origen pertenece a un dominio, podría interpretarse mal; por eso el prefijo .\ es la forma más segura.
Escenario B: Cuenta Microsoft
En el equipo destino entras con PIN y en la pantalla ves alex@outlook.com. En RDP escribe alex@outlook.com con la contraseña de esa cuenta (no el PIN). Si RDP insiste en “dominio\usuario”, escribe MicrosoftAccount\alex@outlook.com.
Escenario C: Azure AD (trabajo/escuela)
El equipo aparece como Unido a Azure AD. Usa AzureAD\TU_USUARIO@empresa.com con tu contraseña corporativa. Asegúrate de que la cuenta esté en Remote Desktop Users o sea Administrador y que las políticas no la estén denegando.
Checklist de “Estas credenciales no funcionaron”
- ✔ El PC destino es Pro/Enterprise/Education.
- ✔ Escritorio remoto activado y usuario agregado.
- ✔ Regla de firewall de RDP habilitada.
- ✔ Usuario escrito en el formato correcto según su tipo.
- ✔ Contraseña establecida (no PIN/Hello) y probada localmente.
- ✔ Prueba por IP en vez de nombre.
- ✔ Credenciales guardadas borradas (
cmdkeyo Administrador de credenciales). - ✔ Hora sincronizada (
w32tm /resync). - ✔ Revisión de eventos 4625 y directivas de “Permitir/Denegar inicio de sesión por RDP”.
Buenas prácticas de seguridad al usar RDP
- Usa NLA (actívala tras las pruebas). Reduce el riesgo de ataques de fuerza bruta.
- Contraseñas robustas en todas las cuentas con permiso RDP. Evita cuentas sin contraseña.
- Limita usuarios en el grupo Remote Desktop Users al mínimo necesario.
- Actualiza Windows para tener correcciones de CredSSP/RDP.
- Auditoria: revisa periódicamente eventos 4624/4625 y alertas de intentos fallidos.
- Si expones RDP fuera de la red, no abras 3389 directamente en Internet; usa VPN o túneles seguros.
Resolución avanzada (si nada más funciona)
- Restablece la contraseña de la cuenta (local/Microsoft/Azure) y prueba de nuevo.
- Cambia el teclado del PC destino a la distribución que usas (p. ej., ES <> EN) para evitar contraseñas mal tecleadas. Revisa Bloq Mayús y Bloq Núm.
- Habilita el registro detallado en TerminalServices-LocalSessionManager para ver por qué se cierra la sesión.
- Comprueba que no haya software de seguridad bloqueando RDP (EDR/antivirus con reglas estrictas).
- Reinstala los componentes RDP (opción de características de Windows) o ejecuta
sfc /scannowyDISM /Online /Cleanup-Image /RestoreHealthsi sospechas de archivos dañados.
Preguntas frecuentes
¿Puedo entrar por RDP con PIN?
No. RDP requiere contraseña. El PIN/Hello es solo para inicio de sesión local.
¿El “usuario abreviado” que veo en C:\Users sirve para RDP?
A veces, pero con cuentas Microsoft es más fiable usar el correo completo. Si falla, MicrosoftAccount\correo@dominio.com.
¿Cómo entro con una cuenta local si el equipo también está en Azure AD?
Usa .\usuarioLocal. El prefijo .\ fuerza el contexto local.
¿Puedo RDP a Windows Home?
No puede recibir sesiones RDP. Necesitas Pro/Enterprise/Education.
¿Por qué conecta pero se cierra al instante?
Suele ser NLA/credenciales, políticas de usuario o perfiles corruptos. Revisa eventos 4625/LocalSessionManager y prueba una cuenta local nueva.
Resumen operativo
- Verifica edición Pro y que RDP + firewall + permisos estén bien configurados.
- Determina el tipo de cuenta: local →
.\usuario| Microsoft → correo completo | AzureAD →AzureAD\correo. - Inicia sesión con contraseña (no PIN). Si no la tienes, créala o restablécela.
- Si aún falla, crea una cuenta local de prueba, desactiva NLA momentáneamente y conecta por IP.
Apéndice: guías rápidas por interfaz
Cómo agregar un usuario a “Remote Desktop Users”
- En el PC destino, pulsa Win + R, escribe
lusrmgr.msc(en ediciones que lo soportan). - Grupos → Remote Desktop Users → Agregar → escribe el usuario (incluido el formato, p. ej.,
AzureAD\usuario@dominio.como.\usuario).
Alternativa por línea de comandos:
net localgroup "Remote Desktop Users" "AzureAD\usuario@dominio.com" /add
net localgroup "Remote Desktop Users" ".\usuario" /add
Cómo confirmar tu tipo de cuenta
:: ¿Qué usuario soy?
whoami
\:: ¿Estoy unido a Azure AD?
dsregcmd /status | more
\:: ¿Qué ediciones/versión tengo?
winver
systeminfo | findstr /i "OS Name OS Version" Cómo desactivar NLA temporalmente
- Configuración → Sistema → Escritorio remoto.
- Desmarca Permitir solo conexiones con Autenticación a nivel de red.
- Prueba la conexión. Luego vuelve a activarlo.
Conclusión
La mayoría de los rechazos de credenciales en RDP se deben a uno de tres factores: formato de usuario incorrecto, inexistencia de una contraseña (solo PIN/Hello) o permisos/políticas que impiden el inicio de sesión. Siguiendo el flujo de verificación de este artículo —edición compatible, RDP y firewall activos, usuario agregado, formato correcto del nombre y contraseña válida— podrás dejar funcionando el Escritorio remoto entre dos PCs Windows de forma rápida y segura.
Si te atoras, recuerda: prueba con una cuenta local de test y lee el evento 4625. Es la forma más corta de aislar dónde está la traba.