Saltar al contenido principal
Este artículo explica cómo identificar la causa de un problema de inicio de sesión relacionado con una contraseña, resolver la situación (de forma remota o local) y prevenir incidentes futuros.

Identificar causas comunes

Los problemas de inicio de sesión pueden deberse a:
  • Una contraseña olvidada después de un período de inactividad o un cambio reciente.
  • Un error de escritura relacionado con la distribución del teclado (por ejemplo, cambiar de AZERTY a QWERTY).
  • Un cambio en las políticas de seguridad (requisitos de complejidad, duración o rotación).
  • Un problema de SecureToken en macOS: algunas solicitudes de contraseña en la pantalla de inicio de sesión en realidad solicitan una cuenta habilitada para SecureToken, no la contraseña de inicio de sesión habitual del usuario.

Diagnosticar y asegurar

Evite repetidos intentos de inicio de sesión

Importante: Pídale al usuario que no intente iniciar sesión incorrectamente varias veces. En macOS, varios intentos fallidos pueden activar Recovery OS, lo que hace que la recuperación de contraseña sea más compleja.

Verificar el ingreso de contraseña con el usuario

  1. Pídale al usuario que escriba la contraseña en un campo visible (por ejemplo, “Nombre de usuario”) para verificar los caracteres ingresados.
  2. Verifique la distribución del teclado y el idioma de entrada:
    • macOS: Configuración del sistema → Idioma y región → Método de entrada
    • Windows: Configuración → Hora e idioma → Idioma y región

Consulta la política de contraseñas aplicada

Los administradores pueden definir políticas de seguridad (complejidad, frecuencia de renovación, rotación, etc.). En Primo, vaya a Configuración → Seguridad → Políticas de contraseña y confirme la regla aplicada al dispositivo del usuario. Es posible que una política reciente haya requerido un cambio de contraseña.

Verificar el estado de SecureToken (solo macOS)

En macOS, algunas solicitudes de inicio de sesión, particularmente al desbloquear FileVault, al usar funciones de nivel de administrador o después de un cambio de política, en realidad solicitan una cuenta habilitada para SecureToken, no la contraseña de inicio de sesión normal. Un usuario puede tener la contraseña correcta pero aún así estar bloqueado si su cuenta no tiene un SecureToken o si se le solicita una cuenta diferente (administrador) que contenga el token. Para comprobar el estado de SecureToken en el dispositivo:
  1. Abra Terminal en Mac.
  2. Ejecutar: 
    sysadminctl -secureTokenStatus <username>
  3. El resultado mostrará SecureToken is ENABLED o SecureToken is DISABLED para ese usuario.
Si SecureToken está deshabilitado:
  • Un usuario administrador con SecureToken puede concedérselo a otro usuario: 
    sysadminctl -secureTokenOn <target_username> -password <target_password> -adminUser <admin_username> -adminPassword <admin_password>
  • Alternativamente, puede usar MDM → Perfiles → Administración de usuarios administradores para garantizar que exista una cuenta de administrador de arranque con SecureToken en todos los dispositivos.
Se requiere SecureToken para desbloquear FileVault y para otorgar permiso a otros usuarios para desbloquear volúmenes cifrados. Si un usuario no puede desbloquear FileVault incluso con la contraseña correcta, SecureToken es la causa más probable.

Restablecer la contraseña

Elija la opción adecuada según el estado del dispositivo.

Opción 1: renovar la contraseña de forma remota desde Primo

Requisitos:
  • Eres administrador del espacio de tu empresa.
  • El dispositivo está registrado en MDM.
  • El dispositivo está encendido y conectado a Internet (en línea).
  • Existe una sesión de administrador en el dispositivo.

Opción 2: utilizar la cuenta de Apple o Microsoft vinculada

Si una cuenta está vinculada al dispositivo, siga el procedimiento del proveedor:
  • macOS: Inicie sesión con la cuenta de iCloud (consulte la guía de Apple)
  • Windows: Inicie sesión con la cuenta de Microsoft (consulte la guía de Microsoft)

Opción 3: desbloquear con la clave de recuperación (FileVault/BitLocker)

Requisitos:
  • El dispositivo está registrado en MDM.
  • El dispositivo no está conectado a Internet o no se comunica con el MDM.
  • El cifrado está habilitado (FileVault en macOS/BitLocker en Windows).
  • La clave de recuperación está sincronizada.
Acciones:
  1. Recupere la clave de recuperación del registro del dispositivo en Primo → Información → Clave de recuperación.
  2. Desbloquee la sesión localmente usando esta clave.
  3. Establezca una nueva contraseña.

Opción 4: restablecer completamente el dispositivo

Si ninguna de las opciones anteriores funciona, la única solución es restablecer completamente el dispositivo. Advertencia: este proceso borrará todos los datos locales.

Prevenir incidentes futuros

Para evitar futuros problemas de inicio de sesión relacionados con la contraseña, implemente las siguientes acciones:
  • Habilite el cifrado del dispositivo y asegúrese de que cada clave de recuperación esté almacenada correctamente.
  • Cree automáticamente una sesión de administrador en dispositivos a través de MDM → Perfiles → Administración de usuarios.
  • Planifique y comunique los cambios en las políticas de seguridad a sus equipos (fecha de entrada en vigor, requisitos de complejidad).
  • Informar a los usuarios antes de cualquier renovación global de contraseña.

Resumen

Si un usuario experimenta un problema de inicio de sesión relacionado con la contraseña:
  1. Verifique la entrada de contraseña y la distribución del teclado.
  2. Verifique la política de contraseñas aplicada.
  3. Elija la opción correcta: renovación remota, clave de recuperación o cuenta vinculada.
  4. Implementar medidas preventivas (cifrado, sesión de administración, comunicación de políticas).
El problema de inicio de sesión relacionado con la contraseña ya está resuelto.