En pymes, la mayoría de problemas de seguridad no empiezan por un ataque sofisticado. Empiezan por algo mucho más mundano: una contraseña compartida que sigue igual desde hace tres años, un ex colaborador que aún podría entrar, o una integración que está conectada con una cuenta personal “porque era más rápido”.

En el blog ya tengo una auditoría de accesos: saber quién entra a qué. Eso te da visibilidad. Pero si no rotas credenciales, sigues viviendo con puertas viejas. Esta guía es un plan operativo para rotar lo importante en 60–90 minutos, sin bloquear al equipo y sin meterte en un proyecto infinito.

Paso 1 (10–15 min): elige el “top 8–12” de servicios críticos. No intentes rotar todo. Elige los que, si se comprometen, te duelen de verdad: correo (Google/Microsoft), registrador de dominio/DNS, hosting, CMS (WordPress o panel), CRM, facturación/pagos (Stripe/TPV), publicidad (Google Ads/Meta), redes sociales, gestor de contraseñas (si lo tienes) y tu herramienta de automatización (n8n/Make). La regla: si desde ahí se puede mover dinero, datos o reputación, entra.

Paso 2 (10 min): decide el método “seguro pero usable”. Para cada servicio, define: 1) contraseña nueva (única), 2) 2FA (doble verificación, es decir, un segundo paso además de la contraseña) activada, y 3) correo/teléfono de recuperación que sea corporativo, no personal. Trade-off: el 2FA añade fricción el primer día; a cambio, reduce muchísimo el riesgo de acceso indebido.

Paso 3 (20–25 min): rota empezando por el correo y el dominio. Si no sé por dónde empezar, empiezo por ahí porque son la llave maestra de casi todo. Cambia la contraseña, revisa sesiones activas (muchas herramientas te dejan “cerrar sesión en otros dispositivos”) y comprueba que el equipo que lo necesita puede seguir trabajando. Si el dominio/DNS está a nombre de una cuenta personal, deja apuntado el cambio de titularidad como tarea prioritaria.

Paso 4 (15–20 min): elimina accesos antiguos en vez de “confiar”. Aquí es donde se gana el tiempo a futuro: revisa usuarios y roles. Quita ex empleados y colaboradores, y evita cuentas genéricas tipo “info@” como usuario administrador. Señal práctica: si no puedes decir quién es el dueño de una cuenta, esa cuenta sobra o hay que reasignarla.

Paso 5 (10–15 min): revisa integraciones conectadas. Este punto da sustos: a veces una integración (por ejemplo, un conector de email marketing o un conector del CRM) depende de la cuenta cuya contraseña estás rotando. Antes de tocar, apunta qué integraciones existen y, después, valida que siguen funcionando con una prueba real (un lead de test, un email de test, una automatización que corra). Si usas n8n/Make, deja un “workflow de test” que puedas ejecutar cada vez que cambies credenciales.

Errores comunes (y cómo detectarlos): 1) Rotar sin avisar. Se detecta porque de repente alguien “no puede entrar” en mitad de una tarea crítica. Solución: ventana de cambio y aviso corto. 2) Guardar la nueva contraseña en un sitio inseguro (WhatsApp, notas). Se detecta porque vuelve el caos de contraseñas compartidas. 3) Olvidar recuperación/2FA. Se detecta cuando cambias de móvil y te quedas fuera. Solución: deja un método de recuperación corporativo y un segundo administrador.

Cómo medir resultado: mide dos cosas: (1) porcentaje de servicios críticos con 2FA activado (objetivo: 100%) y (2) número de cuentas “sin dueño” o “compartidas” (objetivo: bajar cada trimestre). Si además llevas un registro de incidencias, verás que bajan las recuperaciones de cuenta y los accesos “raros”.

Cuándo compensa delegar: si tienes muchos accesos compartidos, varias sedes/equipos, o servicios sensibles (pagos, datos de salud, etc.), compensa que alguien te ayude a diseñar roles y a profesionalizar el sistema (gestor de contraseñas, cuentas administrativas separadas, procedimiento de alta/baja). Cuando el negocio depende del acceso diario, hacerlo “a mano y sin método” sale caro.