¿Puedo eliminar los archivos de Jump List manualmente?

Sí — residen en %AppData%\Microsoft\Windows\Recent\AutomaticDestinations y CustomDestinations, pero la mayoría están bloqueados por explorer.exe mientras el shell está en ejecución, así que cierra Explorer o arranca desde otro SO primero.

¿Borrar las Jump Lists elimina toda la evidencia forense?

No. Los archivos eliminados pueden persistir en Volume Shadow Copies, el USN journal y los registros del $MFT, y artefactos relacionados como archivos LNK, Prefetch y ShellBags suelen sobrevivir.

¿Cómo desactivo las Jump Lists por completo?

Usa la directiva de grupo 'Do not keep history of recently opened documents' bajo User Configuration → Administrative Templates → Start Menu and Taskbar.

Cómo borrar o eliminar las Jump Lists de Windows

Q: ¿Cómo borro las Jump Lists en Windows 10 u 11?

Abre Settings, ve a Personalization y luego Start, y desactiva 'Show recently opened items in Jump Lists on Start, Jump Lists and File Explorer.'

Hay tres formas prácticas de borrar las Jump Lists de Windows: desactivarlas en la interfaz de Settings, eliminar los archivos subyacentes en %AppData%, o desactivarlas mediante Group Policy o el registro. Cada una elimina lo que el usuario ve en la barra de tareas y el menú Start, pero "borrado" no equivale a "desaparecido": los artefactos en disco y sus vecinos suelen sobrevivir al clic.

Borrar desde Settings (Win 10 / 11)

Abre Settings → Personalization → Start y desactiva "Show recently opened items in Jump Lists on Start, Jump Lists and File Explorer." Windows ocultará los recientes en la barra de tareas y el menú Start, y en la mayoría de las builds también elimina los archivos *.automaticDestinations-ms y *.customDestinations-ms existentes bajo Recent\.

Para una entrada concreta, haz clic derecho sobre el elemento en la Jump List de la aplicación y elige "Remove from this list." Eso reescribe el archivo anfitrión in situ: el flujo correspondiente se elimina del contenedor OLE y su entrada en DestList se quita.

Eliminar los archivos directamente

Los archivos residen en:

%AppData%\Microsoft\Windows\Recent\AutomaticDestinations\
%AppData%\Microsoft\Windows\Recent\CustomDestinations\

Cada nombre de archivo es el AppID de la aplicación seguido de la extensión correspondiente. Puedes eliminarlos como cualquier otro archivo, con un matiz: mientras explorer.exe está en ejecución, el shell mantiene handles abiertos sobre los AppIDs de aplicaciones actualmente ancladas o usadas recientemente, así que la eliminación fallará con un sharing violation. Las opciones pragmáticas son cerrar la sesión del usuario (lo que libera los handles), matar y reiniciar explorer.exe, o montar el volumen desde otro SO o un entorno WinPE y eliminar desde allí.

Desactivar mediante Group Policy / registro

Para que Windows deje de registrar entradas de Jump List desde el inicio, habilita:

User Configuration → Administrative Templates → Start Menu and Taskbar → "Do not keep history of recently opened documents."

El valor de registro equivalente es:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    NoRecentDocsHistory  REG_DWORD  = 1

Con la directiva activa, el shell deja de escribir nuevas entradas en AutomaticDestinations y deja de actualizar las marcas de tiempo de DestList. Los archivos existentes permanecen intactos hasta que el usuario los borre.

Qué significa realmente "borrado" a nivel forense

Eliminar los archivos de Jump List elimina los artefactos vivos, pero un examinador competente no mira solo el sistema de archivos vivo. Residuos habituales:

Volume Shadow Copies — las instantáneas más antiguas seguirán conteniendo los archivos .automaticDestinations-ms previos a la eliminación, a menudo con meses de antigüedad.
USN journal — $UsnJrnl:$J registra la creación/eliminación de cada archivo de Jump List, con marcas de tiempo.
Registros del $MFT — las entradas de los archivos de Jump List eliminados permanecen hasta que se sobrescriben, y los datos residentes en archivos pequeños pueden seguir siendo recuperables.
Artefactos relacionados — los archivos LNK en Recent\, Prefetch, ShellBags, las claves de registro RecentDocs y el historial del navegador corroboran la misma actividad del usuario desde distintos ángulos.

En el momento en que el usuario abre otro elemento rastreado, Windows escribe un nuevo archivo AutomaticDestinations para ese AppID y arranca un nuevo DestList. Un directorio Recent\ sospechosamente vacío es en sí mismo un hallazgo.

Para un analista trabajando un caso de "borraron sus huellas", consulta el recorrido DFIR.