Quitar o restablecer contraseñas de archivos en Office 2013

 

Se aplica a: Office 2013, Office 365 ProPlus

Última modificación del tema: 2016-12-16

Resumen: explica cómo usar la herramienta DocRecrypt de Office 2013 para desbloquear archivos de Word, Excel y PowerPoint con formato OOXML protegidos por contraseña.

Audiencia: profesionales de TI

Use la directiva de grupo para insertar cambios en el Registro que asocian un certificado con documentos protegidos por contraseña. Esta información del certificado se inserta en el encabezado del archivo. Más tarde, si olvida o pierde la contraseña, use la herramienta de la línea de comandos DocRecrypt y la clave privada para desbloquear el archivo y, de manera opcional, asignar una nueva contraseña.

	Si quiere información sobre contraseñas en una copia personal de Office 2013, consulte en su lugar Proteger documentos, libros o presentaciones con contraseñas, permisos y otras restricciones. Consulte Quitar una contraseña de un documento para ver otro ejemplo.
	Si usted es un profesional de TI que quiere quitar o restablecer contraseñas en archivos de Office 2013 dentro de su organización, por ejemplo, si un empleado ha abandonado la organización y no conoce la contraseña, está en el lugar indicado, siga leyendo.

Importante:
Este artículo forma parte de la Guía básica de identidad, autenticación y autorización de Office 2013 para profesionales de TI. Use esta guía como punto de partida para acceder a artículos, descargas, pósteres y vídeos para evaluar la identidad de Office 2013.

En este artículo

• Información general

• Configurar equipos cliente para la eliminación de la protección con contraseña

• Configurar el equipo del administrador de TI que tiene la clave y la herramienta DocRecrypt

• Usar la herramienta DocRecrypt de Office

• Archivos de Office 2010 y 2007

Información general: quitar o restablecer la contraseña de un archivo en Office 2013 mediante la herramienta DocRecrypt

Hay varias razones por las que un usuario puede querer o necesitar proteger un documento de Word, Excel o PowerPoint con contraseña. Por ejemplo:

• Varias personas de parte de una organización quieren crear un presupuesto de grupo, pero no desean que el resto de la organización conozca los números hasta que hayan terminado.

• Los consultores trabajan con clientes que requieren, a través de un contrato de nivel de servicio, que sus datos confidenciales permanezcan protegidos cuando ya no estén bajo el control del cliente.

• Los profesores necesitan asegurarse de que nadie tenga acceso a los exámenes que crean en Word.

• Los profesionales de los medios de comunicación, así como los científicos que trabajan en presentaciones sobre investigaciones importantes en sus campos, necesitan asegurarse de que sus descubrimientos no se filtrarán al público antes de que ellos decidan revelar la gran noticia.

Anteriormente, si el creador original de la contraseña de un archivo la olvidaba o abandonaba la organización, el archivo no se podía recuperar. Con Office 2013 y una clave de custodia, generada desde el almacén de certificados de clave privada de la organización o empresa, los administradores de TI pueden “desbloquear” el archivo para un usuario y luego quitar la protección con contraseña del archivo o asignarle a este una contraseña nueva. El administrador de TI es el guardián de la clave de custodia que se genera desde el almacén de certificados de clave privada de la organización o empresa. Puede insertar en modo silencioso la información de la clave pública en los equipos cliente uno por uno mediante una configuración de clave del Registro que se crea de forma manual, o bien puede crearla a través de un script de directiva de grupo. Más adelante, cuando un usuario cree un archivo de Office 2013Word, Excel o PowerPoint protegido por contraseña, esta clave pública se incluirá en el encabezado del archivo. Luego, un profesional de TI puede usar la herramienta DocRecrypt de Office para quitar la contraseña adjunta al archivo y, de manera opcional, proteger el archivo con una contraseña nueva. Para ello, debe contar con todo lo que se indica a continuación:

• La nueva herramienta DocRecrypt de Office

• El archivo de Word, Excel o PowerPoint que tiene una clave pública insertada

• Permiso y acceso a las claves públicas y privadas asociadas con el certificado

Proteger la clave privada

Esta característica no prescribe un proceso corporativo para la administración y distribución de una clave privada, el lugar en el que se debe almacenar dicha clave, los permisos y la autorización necesarios para solicitar el restablecimiento o la descodificación de una contraseña ni el lugar en el que debe encontrarse el archivo una vez restaurado. Estas decisiones dependen de los procesos y estándares de su organización.

Dicho esto, para mantener un alto nivel de seguridad de los archivos protegidos con contraseña, se recomienda que la organización adopte estas directivas:

• Nunca inserte la clave privada en un equipo cliente. Esta es nuestra recomendación más importante.

• Bloquee el almacén de certificados que tiene la clave privada y el certificado que se utilizó para generar la clave de custodia y las claves públicas.

• Asegúrese de que ningún individuo pueda poner en peligro los servicios de infraestructura de clave pública (PKI). Además, se recomienda distribuir los roles de administración de certificados a diferentes personas de la organización.

Si no sigue estas recomendaciones de forma coherente, puede verse afectada la seguridad de todos los archivos protegidos con contraseña nuevos. Su empresa u organización ya debe contar con un modelo de administración de Servicios de certificados de Active Directory (AD CS) bien definido y una estrategia de infraestructura de entidad de certificación (CA) que incluya, por ejemplo, almacenamiento externo de certificados y claves privadas. Para obtener más información, vea el tema sobre la implementación de la administración basada en roles.

Nota

El certificado usado para DocRecrypt puede ser un certificado de usuario normal con la autenticación de usuario como finalidad prevista. El principal objetivo del certificado es cifrar el documento.

¿Cómo se encuentra el certificado correcto?

Como puede haber muchos certificados de clave privada en un equipo de TI, es razonable preguntarse cómo se puede hallar el certificado correcto. En el administrador de certificados (certmgr.msc), la herramienta DocRecrypt de Office 2013 primero busca en el almacén lógico y, luego, en el del usuario actual. En cada uno de estos almacenes, busca en primer lugar los certificados que no requieren un PIN de cumplimiento del sistema de Windows. Luego busca los que sí requieren uno.

Consideraciones especiales

Solo archivos Office Open XML   La herramienta DocRecrypt de Office solo funciona en documentos con formato Office Open XML, como archivos docx, pptx y xlsx.

Archivos cifrados anteriormente   La herramienta DocRecrypt de Office no se puede usar para recuperar los archivos que se protegieron con contraseña antes de implementar la clave de custodia y el certificado. Pero una vez implementados estos elementos, si un usuario abre un archivo protegido por contraseña con anterioridad en Office 2013 y lo guarda, la clave de custodia se agrega al archivo y, a partir de ese momento, podrá quitar o restablecer la contraseña del archivo con la herramienta DocRecrypt de Office.

Otras formas de proteger archivos de Word, Excel y PowerPoint   Para conocer otros modos de proteger archivos de Word, Excel y PowerPoint, vea el tema sobre cómo proteger documentos, libros o presentaciones con contraseñas, permisos y otras restricciones.

Tenga en cuenta que los usuarios pueden aplicar cualquiera de estos métodos de protección de forma independiente. Si un administrador de TI quita una contraseña, se seguirá aplicando cualquier otra configuración de protección. La eliminación de la contraseña no afecta al resto de las configuraciones.

Hay algunos factores que pueden impedirle quitar la contraseña de un archivo. Para obtener información detallada y consejos, consulte la tabla siguiente.

Consideraciones al quitar la contraseña de un archivo

Problema	Consejo
El archivo está marcado como de solo lectura o está oculto.	La herramienta DocRecrypt de Office no funciona en archivos marcados como de solo lectura u ocultos. Pero puede quitar la configuración, descifrar el archivo y luego volver a ocultarlo o establecerlo como de solo lectura después de la búsqueda.
El archivo está almacenado en varios lugares.	La herramienta DocRecrypt de Office solo quita la protección con contraseña en la instancia específica del archivo a la que se hace referencia. Pero también debe quitarla en los archivos a los que se hace referencia en RAID o en otras configuraciones de disco duro.
El archivo se encuentra en un libro compartido.	La herramienta DocRecrypt de Office no funciona en archivos con co-autoría que contienen archivos insertados.
El archivo está firmado digitalmente.	Quitar la protección con contraseña de un archivo firmado digitalmente no afecta a la validez de la firma digital.
El nombre del archivo comienza con un guión ("-").	Si el nombre del archivo que desea buscar con la herramienta DocRecrypt de Office contiene un guión, escríbalo entre comillas.
El solicitante no tiene permisos para abrir el archivo.	El administrador de TI determina si la persona que solicita el descifrado de un archivo está realmente autorizada para ver su contenido cuando la contraseña se quita o se reasigna. De forma similar, si un archivo protegido por contraseña tiene asociada una lista de control de acceso, el proceso de descifrado quita la asociación. Debe restablecerla posteriormente.
El archivo o la ubicación de destino son de solo lectura.	Asegúrese de que tanto el archivo protegido con contraseña como la ubicación de destino sean de lectura y escritura.
El certificado se ha revocado o ha expirado.	El departamento de TI debe asegurarse de que los certificados de clave privada sean válidos y estén actualizados. Además, tenga en cuenta que la herramienta DocRecrypt de Office no comprueba el estado de revocación del certificado de clave privada.
El archivo protegido con contraseña se encuentra en la nube.	El archivo debe copiarse a un disco duro o un recurso compartido UNC de lectura y escritura para poder descifrarlo.

Configurar equipos cliente para la eliminación de la protección con contraseña

Para permitir que el departamento de TI elimine una contraseña de un archivo de Word, PowerPoint o Excel protegido con contraseña, al implementar Office 2013 en la organización, primero debe insertar las claves públicas del certificado y llevar a cabo algunas acciones en el Registro de los equipos cliente. Hay dos formas de hacerlo:

• A través de una plantilla administrativa de directiva de grupo, que es la mejor opción para equipos cliente empresariales o para varios equipos.

• Modificando manualmente el Registro de un equipo cliente, que es la mejor opción para unos pocos equipos cliente o para un único equipo.

Nota

Puede completar las tareas en todo Conjuntos de aplicaciones de Office 2013 con un mouse, los métodos abreviados de teclado o el modo táctil. Para información sobre cómo usar los métodos abreviados y el modo táctil con los productos y servicios de Office, consulte Métodos abreviados de teclado y Guía de tecnología táctil de Office.

Para configurar varios equipos cliente para la protección con contraseña con un objeto de directiva de grupo

1. Descargue la plantilla administrativa de directiva de grupo (ADMX/ADML), que está disponible en el tema sobre los archivos de plantilla administrativa (ADMX/ADML) de Office 2013 y la Herramienta de personalización de Office

2. Abra la plantilla en el Editor de directivas de grupo local y desplácese a la configuración de clave de custodia. Abra la rama Configuración de usuario y elija Plantillas administrativas, Microsoft Office 2013, Configuración de seguridad y Certificados de custodia.

   Hay disponibles 20 claves de custodia para configurar, cada una de las cuales se denomina Clave de custodia n.º n.

3. Seleccione una clave de custodia y, luego, en el menú contextual (clic con el botón secundario), elija Editar para configurarla.

   Aparece el cuadro de diálogo Clave de custodia n.º n.

4. Para configurar y habilitar esta clave, seleccione el botón Habilitada. Si más adelante quiere deshabilitarla, vuelva al cuadro de diálogo Clave de custodia n.º n y seleccione el botón Deshabilitada.

5. En el cuadro Hash del certificado, escriba el hash del certificado que se utiliza como identificador único del certificado, también conocido como “huella digital”. Por ejemplo, si la huella digital del certificado es 9131517191121d94d143117fc126213c1781d21c, configure el valor del hash del certificado en ese número. Este hash puede incluir espacios para que sea más fácil de leer.

6. Escriba un comentario para proporcionar más detalles acerca de este certificado en concreto, si es necesario. Esto es opcional.

7. Elija Aceptar.

Para más información acerca de las plantillas, la Herramienta de personalización de Office, la directiva de grupo y los scripts de inicio de la directiva de grupo, vea los siguientes temas:

• Archivos de plantilla administrativa (ADMX/ADML) de Office 2013 y Herramienta de personalización de Office

• Exigir una configuración usando la directiva de grupo en Office 2010

• Implementar Office 2010 con scripts de inicio del equipo de la directiva de grupo

Para configurar un único equipo cliente para la protección con contraseña con la nueva configuración del Registro

Para poder eliminar una contraseña de un archivo de Word, PowerPoint o Excel, debe crear una clave del Registro para indicar los certificados de clave pública que quiere poner a disposición para la protección de archivos con contraseña.

Nota

Para obtener instrucciones específicas acerca de cómo crear una clave del Registro, consulte la ayuda disponible desde el menú Ayuda del Editor del Registro (regedit.exe).

1. En el Editor del Registro, cree una clave en el Registro del equipo cliente en la siguiente ruta del Registro:

   Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0 \common\Security\Crypto\EscrowCerts

   Cree esta nueva clave manualmente o mediante un archivo por lotes reg. Para crear un archivo .reg con regedit.exe, vea el tema sobre cómo crear un archivo .reg.

   Crear una clave en el Registro del equipo cliente

   Elemento del Registro	Descripción
   Nombre de la clave	Debe ser EscrowCerts.
   Tipo de datos	clave
   Elemento primario	Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\ common\Security\Crypto\

2. En la nueva clave que creó en el paso 1, agregue la información del certificado de clave pública, como se muestra en la siguiente tabla. Cree una entrada para cada certificado de clave pública que desee poner a disposición para la protección de archivos con contraseña.

   Agregar información del certificado de clave pública

   Elemento del Registro	Descripción
   Nombre de la clave	Nombre único definido por el usuario que describe el certificado de clave pública. Por ejemplo, EscrowCert01, EscrowCert02, etc.
   Tipo	STRING
   Valor	El hash que se utiliza como identificador único del certificado, también conocido como “huella digital” en el cuadro de diálogo de certificados de Windows. Por ejemplo, si la huella digital del certificado es 9131517191121d94d143117fc126213c1781d21c, configure el valor en ese número. Este hash puede incluir espacios para que sea más fácil de leer.

3. Cuando las entradas del Registro estén en su lugar, inserte el certificado en el equipo cliente. El certificado de clave pública debe almacenarse en el Administrador de certificados de Windows (certmgr.msc) en el almacén de certificados (lógico, del usuario actual o personal). Para obtener información detallada sobre la inserción de certificados de clave pública en equipos cliente mediante la directiva de grupo, vea Distribuir certificados en los equipos cliente mediante la directiva de grupo.

   Importante:
   El administrador de TI debe asegurarse de que el certificado que se utilizó para este proceso es válido y no ha expirado.

Cuando los usuarios deciden proteger con contraseña los archivos que crean en Word, PowerPoint o Excel de Office 2013, se guarda en el encabezado del archivo la información de la clave pública correspondiente. Más adelante, el administrador puede usar esta clave pública y la clave privada coincidente si se le pide que elimine la protección con contraseña.

Configurar el equipo del administrador de TI que tiene la clave y la herramienta DocRecrypt

No es necesario que el equipo del administrador de TI tenga la clave y la subclave en el Registro, ni una copia del certificado de clave pública. Pero sí necesita lo siguiente:

• El certificado y la clave privada coincidente

• La herramienta DocRecrypt de Office

Para configurar el equipo de TI

1. Use al Asistente para importación de certificados para importar la clave privada correspondiente al certificado en el Administrador de certificados de Windows.

2. Descargue e instale la herramienta DocRecrypt de Office. Esta herramienta está disponible en el Centro de descarga de Microsoft.

   Al instalar la herramienta DocRecrypt de Office en un equipo de 64 bits, se instala en la siguiente ubicación:

   • %programfiles(x86)%\Microsoft Office\DOCRECRYPT

   Al instalar la herramienta DocRecrypt de Office en un equipo de 32 bits, se instala en la siguiente ubicación:

   • %programfiles%\Microsoft Office\DOCRECRYPT

Eso es todo. Ya se encuentra cada pieza en su lugar y está listo para quitar la contraseña de un archivo de Word, Excel o PowerPoint la próxima vez que un usuario se lo pida.

Usar la herramienta DocRecrypt de Office

Use la herramienta DocRecrypt, que ya está instalada en el equipo del administrador de TI, para quitar la contraseña del archivo y asignar una nueva.

Para usar la herramienta DocRecrypt

Siga estas instrucciones para usar la herramienta DocRecrypt desde la línea de comandos. También puede ejecutar los comandos de DocRecrypt en modo silencioso desde un archivo por lotes o un script.

• Desplácese hasta la línea de comandos de la herramienta DocRecrypt de Office y ábrala utilizando la sintaxis siguiente:

  DocRecrypt [-p <new_password>] -i <inputfile_or_folder> [-o <outputfile_or_folder>] [-q]

  En la siguiente tabla, se describen las opciones de la herramienta DocRecrypt.

  Opciones de la herramienta DocRecrypt

  Parámetro	Descripción
  -p <nueva_contraseña>	(Opcional) Esta es la nueva contraseña que se asignará al archivo de entrada, o bien al archivo de salida si se proporciona un nombre de archivo de salida.
  -i <carpeta_o_archivodeentrada>	Este es el archivo o la carpeta que contiene los archivos que están bloqueados porque no se conoce la contraseña. Si especifica una carpeta, la herramienta DocRecrypt de Office pasará por alto los archivos que no tengan formato Office Open XML.
  -o <carpeta_o_archivodesalida>	(Opcional) Este es el nombre de un nuevo archivo o carpeta de salida para los archivos que se crearán a partir de los archivos de entrada. Como se mencionó anteriormente, se pasarán por alto los archivos que no tengan formato Office Open XML.
  -q	(Opcional) Indica que desea ejecutar la herramienta DocRecrypt de Office en modo silencioso, por lo general, en un script. El modo silencioso no muestra una interfaz de usuario y produce un error si un certificado requiere que el administrador de TI escriba un PIN. Si el certificado requiere un PIN, no use el modo silencioso.

  Por ejemplo:

  Para quitar la contraseña de un archivo, use este código:

  DocRecrypt -i lockedfile

  Para quitar la contraseña y asignar una nueva, 12345, use este código:

  DocRecrypt -p 12345 -i lockedfile

  Para quitar la contraseña, crear un nuevo archivo y asignarle una nueva contraseña, 12345, use este código:

  DocRecrypt -p 12345 -i lockedfile -o newfile

Cuando los archivos se hayan protegidos con contraseña usando Office 2013, las contraseñas no se quitarán.

Archivos de Office 2010 y 2007

Cuando los equipos cliente de la organización se hayan configurado usando la herramienta Office DocRecrypt (individualmente o con una directiva de grupo), los archivos futuros de Word 2013, Excel 2013 o PowerPoint 2013 (archivos docx, xlsx y pptx), así como los archivos de Office Word 2007, Word 2010, Office Excel 2007, Excel 2010, Office PowerPoint 2007 o PowerPoint 2010 protegidos por contraseña que los usuarios editen en Office 2013, se pueden desbloquear o su contraseña restablecer con la herramienta DocRecrypt. Cuando se agrega una clave de custodia a un archivo protegido por contraseña, se puede desbloquear o restablecer aunque se haya editado en Office 2007 o en Office 2010.

Consulte también

Guía básica de identidad, autenticación y autorización de Office 2013

Herramienta DocRecrypt en el Centro de descarga de Microsoft