← Volver al blog
ciberseguridadoffboardingaccesos

Un empleado se va: los 10 accesos que debes revocar HOY (checklist real)

Francisco Deza·

El error que le cuesta el negocio a muchos emprendedores

Un empleado renuncia el viernes. El lunes ya no está. Y sus accesos siguen activos: correo, WhatsApp Business, panel de la web, Google Drive, cuenta bancaria compartida, sistema de facturación.

Suena exagerado, pero es lo más común que veo en pequeñas y medianas empresas de LATAM y España. El dueño confía, el empleado se va en buenos términos, y nadie revoca nada. Hasta que pasa algo.

Puede ser un ex-empleado descontento que borra archivos. Puede ser que su cuenta personal fue hackeada meses después y el atacante use ese acceso residual. Puede ser competencia desleal con tu base de clientes. Lo he visto los tres.

Este es el checklist que uso con clientes y que deberías tener imprimido.

Los 10 accesos que debes revocar (en orden de riesgo)

1. Correo corporativo

Es el más crítico porque desde ahí se puede recuperar CUALQUIER otra contraseña. Cambia contraseña, activa auto-reply informativo y redirige mensajes a otra cuenta interna. No lo elimines de inmediato: guárdalo 30-90 días para responder consultas de clientes.

2. Autenticación en dos pasos (2FA)

Si el ex-empleado tenía 2FA vinculado a su celular personal, elimina ese método y agrega uno nuevo controlado por la empresa. Esto aplica para correo, banca, redes sociales y sistemas críticos.

3. WhatsApp Business

Si atendía clientes desde WhatsApp Business con su número personal, tienes un problema serio. Los clientes le seguirán escribiendo a él. Ideal: migrar a un número de empresa desde antes. Si ya pasó, envía comunicación oficial a clientes con el nuevo canal.

4. Acceso al panel de la web y hosting

WordPress, Cloudflare, Shopify, el CMS que sea. Revoca usuario o cambia contraseña de la cuenta compartida. Si tenía FTP o SSH al servidor, roten llaves. Esto lo olvida el 90% de los negocios.

5. Google Workspace o Microsoft 365

Suspende la cuenta (no la borres). Transfiere ownership de documentos importantes de Drive/OneDrive a otro usuario. Revisa qué aplicaciones tenía conectadas con OAuth. Si compartió carpetas con su cuenta personal, revoca esos permisos.

6. Sistemas contables, ERP y facturación

Concar, SAP Business One, Odoo, sistema de facturación electrónica. Desactiva su usuario, no lo elimines para mantener trazabilidad de las operaciones que hizo. Revisa que no tenga rol de administrador residual.

7. Redes sociales y anunciantes

Facebook Business Manager, Instagram, LinkedIn de la empresa, TikTok Ads, Google Ads. Quítalo como administrador. Este es el que más se olvida y el que más daño causa: alguien con acceso a Ads puede quemar tu presupuesto en horas.

8. Herramientas de diseño, IA y productividad

Canva, Figma, ChatGPT Team, Claude, Notion, Trello, Asana. Cada una es una puerta abierta. Además, si tienes chats con IA con datos sensibles del negocio, esos historiales siguen ahí.

9. Repositorios de código y herramientas técnicas

Si es perfil técnico: GitHub, GitLab, servidores VPS, bases de datos, paneles de proveedores como AWS, Cloudflare, Hetzner. Roten SSH keys, API tokens, y contraseñas de servicios. Esto es de vida o muerte para negocios digitales.

10. Accesos físicos y financieros

Tarjeta de acceso a la oficina, llaves, firma en cuentas bancarias, POS, cuentas de billetera digital. Y muy importante: revocación formal en tu registro de firmas ante la SUNAT o el ente equivalente en tu país.

Los plazos reales que debes cumplir

  • Mismo día del cese: puntos 1, 2, 3, 4 y 7. No hay excusa.
  • En las primeras 48 horas: puntos 5, 6, 8 y 10.
  • En la primera semana: punto 9 (auditoría técnica completa) y confirmación de que nada quedó activo.

Documenta todo lo que revocaste con fecha y hora. Si más adelante hay un incidente, esa bitácora te protege legalmente.

Errores comunes que debes evitar

"Confío en él, no hace falta"

La confianza no es un control. El 60% de los incidentes de seguridad involucran a alguien de dentro, actual o ex. No es paranoia, es proceso.

Eliminar cuentas de inmediato

Suspenderlas es mejor que borrarlas. Necesitas los logs y correos para investigar si aparece algo raro.

Olvidar los accesos indirectos

Un empleado puede haber configurado reenvíos automáticos de correo, permisos delegados en calendarios, integraciones con Zapier o Make. Revisa cada sistema en profundidad.

No comunicar al equipo

El resto del equipo debe saber que esa persona ya no está autorizada. Un atacante que llame por teléfono haciéndose pasar por el ex-empleado puede lograr acceso por ingeniería social si nadie sabe.

Cómo prevenir el problema antes de que ocurra

Empieza a hacer bien las cosas desde la contratación, no desde la salida:

  • Cuentas empresariales, nunca personales: WhatsApp Business con número de empresa, correo corporativo, no mezclar.
  • Gestor de contraseñas centralizado: 1Password Business, Bitwarden Teams. Cuando alguien se va, se quita del grupo y listo.
  • Principio de mínimo privilegio: cada persona solo tiene los accesos que necesita. Ni uno más.
  • Revisión trimestral de accesos: audita quién tiene acceso a qué cada 3 meses. Muchas veces descubres accesos zombis de personas que ya se fueron.
  • Contrato con cláusula de confidencialidad: dejar por escrito qué información no puede llevarse ni usar después.

Preguntas frecuentes

¿Qué hago si el empleado se fue en malos términos y sospecho robo de información?

Actúa rápido y documenta todo. Revoca en el orden del checklist, revisa logs de acceso de los últimos 30 días, cambia contraseñas de sistemas críticos aunque él no las tuviera directamente. Si hay indicios de robo, consulta con un abogado antes de tomar acción legal.

¿Cuánto tiempo debo conservar su correo activo?

Recomendado: 30 a 90 días con auto-respuesta. Después archivar por al menos 2 años por si hay reclamos de clientes o requerimientos legales.

¿Cuánto cuesta hacer esto bien?

Con herramientas gratuitas y proceso claro, muy poco. Con gestor de contraseñas empresarial y auditoría periódica, entre 5 y 10 dólares por usuario al mes.

¿Debo notificar a mis clientes que esa persona ya no trabaja conmigo?

Sí, especialmente si era el punto de contacto directo. Un correo o mensaje corto evita que caigan en estafas donde alguien se hace pasar por el ex-empleado.

Conclusión

El offboarding seguro no es opcional en 2026. Un ex-empleado con accesos residuales es una bomba de tiempo, incluso si se fue en buenos términos. La mayoría de brechas de seguridad en empresas pequeñas no vienen de hackers sofisticados, vienen de accesos olvidados.

En FDev ayudamos a emprendedores y empresas a implementar procesos de gestión de accesos que no dependan de la memoria del dueño. Si quieres una revisión de tu situación actual, escríbenos por WhatsApp y conversamos.

Compartir este artículo

¿Tu empresa está protegida?

Escanea tu dominio gratis en 30 segundos

🔍 Escanear gratis