He visto empresas pararse en seco por una tontería: el único que podía entrar a la banca estaba de vacaciones, el móvil que recibía los códigos se perdió, o el acceso a Stripe estaba en un email antiguo. No es un ataque de película: es operación diaria mal cerrada.

En RSS aparecía una idea que me parece buen recordatorio: las big tech pueden ser una amenaza para parte de los ingresos de la banca. No voy a sacar conclusiones macro con eso. Mi opinión práctica es otra: te da igual lo que haga el mercado si tú no puedes entrar a tu banca o cobrar. Y eso depende de tus accesos y de tus procedimientos.

Este ejercicio se parece a una auditoría de accesos, pero es más concreto: solo banca y pagos. La ventaja es que es rápido, duele donde duele (dinero) y se puede hacer sin conocimientos técnicos.

Paso 1 (10–15 min): lista “sistemas de dinero”. Incluye: banca online principal, banca secundaria si existe, TPV físico/virtual, Stripe/PayPal (o equivalente), proveedor de facturación si puede emitir cargos, y cualquier wallet/tarjeta corporativa. Si dudas, mételo: es mejor recortar luego que olvidar algo crítico.

Paso 2 (15–20 min): inventario de accesos y roles. Para cada sistema apunta: quién es administrador, quién es usuario operativo, y qué permisos tiene cada uno (ver, emitir, devolver, cambiar datos). Error típico: todo el mundo con permisos de admin “por si acaso”. Se detecta porque nadie sabe quién cambió un dato o porque da miedo tocar nada.

Paso 3 (10–15 min): mapa de 2FA y dispositivos. 2FA es el “doble factor”: el código del móvil/app que te piden al entrar. Apunta qué número/móvil recibe SMS, qué app genera códigos, y si hay llaves físicas. Si el 2FA depende de un móvil personal, ya tienes un riesgo claro. Trade-off: centralizar reduce riesgo, pero hay que hacerlo sin bloquear al equipo.

Paso 4 (10–15 min): límites, alertas y registro mínimo. Revisa si hay límites de transferencia/pago y quién los puede cambiar. Activa alertas básicas por email/SMS para movimientos grandes y cambios de datos sensibles (si la plataforma lo permite). Y deja un registro simple: cuándo se revisó, quién lo revisó y qué se cambió. Esto evita el “no sé si lo hicimos”.

Paso 5 (10–15 min): protocolo de recuperación. Escribe en una página: qué hacer si se pierde el móvil del 2FA, si un admin se va, si se bloquea una cuenta, y quién llama a quién (banco, soporte del proveedor). No tiene que ser perfecto: tiene que existir. El día del problema, tu equipo no va a improvisar bien.

Errores comunes (y cómo detectarlos): 1) Un único administrador. Se detecta porque “solo entra X”. 2) 2FA atado a un móvil personal. Se detecta porque el número no es de empresa o nadie más puede recuperarlo. 3) Credenciales compartidas. Se detecta porque no hay usuarios individuales; eso impide revocar y auditar.

Cómo medir resultado: dos pruebas rápidas: (1) ¿podrías dar acceso operativo a una persona nueva en 30 minutos sin pedirle contraseñas a nadie? y (2) ¿podrías recuperar acceso si hoy se pierde el móvil del admin? Si la respuesta es “no”, el inventario te habrá señalado exactamente qué corregir.

Cuándo compensa delegar: si hay varias sociedades, varias cuentas bancarias, pasarelas de pago integradas con e-commerce y además equipo con rotación, compensa que alguien diseñe roles, gobierno y monitorización de movimientos. También si necesitas integrar alertas con Slack/email y un registro automático (n8n/Make) para que no dependa de la memoria del equipo.