Jump List Parser
Volver al blog

Cómo borrar o eliminar las Jump Lists de Windows

2026-05-254 min de lectura

Tres formas de hacerlo: el interruptor en Configuración, eliminar los archivos directamente, o desactivar la función mediante directiva. Las tres eliminan lo que el usuario ve en la barra de tareas. Ninguna elimina el rastro. Si has llegado aquí para borrar tu historial antes de devolver un portátil, lee primero la última sección.

Borrar mediante Configuración (Win 10 / 11)

Configuración → Personalización → Inicio → desactiva "Mostrar elementos abiertos recientemente en Jump Lists en Inicio, Jump Lists y Explorador de archivos". Windows oculta los elementos recientes en la barra de tareas y en el menú Inicio. En la mayoría de las versiones también elimina los archivos existentes *.automaticDestinations-ms y *.customDestinations-ms en AppData\Roaming\Microsoft\Windows\Recent\. En algunas versiones antiguas solo los oculta. Confirma listando la carpeta después.

Para una sola entrada, haz clic derecho en el elemento dentro de la Jump List de la aplicación y selecciona "Quitar de esta lista". Eso reescribe el archivo anfitrión in situ: el flujo LNK numerado se elimina del contenedor OLE, la fila correspondiente de DestList se descarta, y el recuento de entradas y el número de revisión del encabezado se incrementan.

Eliminar los archivos directamente

Las dos carpetas son:

  • %AppData%\Microsoft\Windows\Recent\AutomaticDestinations\
  • %AppData%\Microsoft\Windows\Recent\CustomDestinations\

Cada nombre de archivo es <AppID>.automaticDestinations-ms o <AppID>.customDestinations-ms. La AppID es una cadena hexadecimal en minúsculas de 16 caracteres derivada de un CRC64 truncado de la ruta del ejecutable. El mismo binario en la misma ruta produce la misma AppID en todas las máquinas, por eso funciona la lista de AppID que viene con JLECmd de Eric Zimmerman.

El problema: mientras explorer.exe está en ejecución, la shell mantiene abiertos los handles sobre las AppIDs de cualquier aplicación actualmente anclada o usada recientemente. Una eliminación simple falla con una violación de uso compartido. Tres opciones que sí funcionan:

  1. Cerrar sesión del usuario (libera los handles), volver a iniciar sesión, eliminar desde otra cuenta o desde una shell de administrador.
  2. Matar y reiniciar explorer.exe. Tosco, pero funciona.
  3. Montar el volumen desde WinPE o desde otro sistema operativo y eliminar desde allí.

Desactivar mediante directiva de grupo o registro

Para evitar que Windows escriba nuevas entradas en absoluto:

Configuración de usuario → Plantillas administrativas → Menú Inicio y barra de tareas → "No mantener historial de documentos abiertos recientemente".

Valor de registro equivalente:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    NoRecentDocsHistory  REG_DWORD  = 1

Con esa directiva activada, la shell deja de escribir nuevas entradas en AutomaticDestinations y deja de actualizar las marcas temporales de DestList. Los archivos existentes se dejan intactos hasta que algo los borre. La directiva en sí misma es un hallazgo, deja una huella en el registro que un examinador competente detectará antes incluso de mirar Recent\.

Qué significa realmente "borrado" en términos forenses

Esta es la parte que la mayoría de los artículos "cómo borrar tus huellas" se saltan. Eliminar los archivos de Jump List activos elimina un artefacto. Un examinador competente no solo mira el sistema de archivos en vivo.

Residuos que sobreviven a un borrado:

  • Volume Shadow Copies, los snapshots más antiguos todavía contienen los archivos .automaticDestinations-ms previos a la eliminación, a menudo de meses atrás. vssadmin list shadows los enumera; mklink /d monta cada uno.
  • Diario USN, $UsnJrnl:$J registra la creación, eliminación y renombrado de cada archivo de Jump List con códigos de razón y marcas temporales. La eliminación misma queda registrada.
  • Registros $MFT, las entradas para archivos de Jump List eliminados persisten hasta ser sobrescritas. Los archivos pequeños (de menos de ~700 bytes) pueden residir dentro del propio registro MFT y ser recuperables íntegramente.
  • Artefactos hermanos, archivos LNK en Recent\, Prefetch, ShellBags, RecentDocs en NTUSER.DAT, y historial del navegador corroboran la misma actividad del usuario desde ángulos diferentes. Borrar solo las Jump Lists deja todos ellos intactos.
  • ShimCache y AmCache, registran la ejecución de programas a nivel de máquina, intactos por el borrado de los MRUs en modo usuario.
  • SRUM, el uso de recursos de aplicaciones sigue registrando actividad de red y CPU por ejecutable.

También está el indicio que nadie planifica: en el momento en que el usuario abre el siguiente elemento rastreado, Windows escribe un nuevo archivo AutomaticDestinations para esa AppID y comienza una nueva DestList. Un directorio Recent\ cuyas marcas temporales y versiones de DestList se agrupan en torno a la misma fecha reciente, sin contenido más antiguo, es en sí mismo el hallazgo. Los examinadores leen la ausencia como evidencia.

Si tienes un caso del tipo "borraron sus huellas" que trabajar, la guía DFIR es la siguiente lectura.

Lecturas adicionales