Una auditoría de accesos en 60 min: quién entra a qué (y por qué)

Si me pides una medida de seguridad con mejor retorno para una pyme, casi nunca empiezo por firewalls ni por cosas “de película”. Empiezo por una pregunta incómoda: ¿quién tiene acceso a qué?. Porque la mayoría de líos serios que veo vienen de accesos mal gestionados: cuentas compartidas, ex empleados que siguen dentro, permisos de administrador regalados y herramientas conectadas que nadie revisa.

Esta auditoría es deliberadamente simple. No requiere conocimientos técnicos y la puedes hacer en 60–90 minutos si tu stack no es enorme. Lo importante es acabar con una lista clara y decisiones tomadas, no con un documento bonito.

Paso 1 (10–15 min): haz un inventario corto de herramientas “críticas”. Apunta en una hoja: correo (Google/Microsoft), gestor de contraseñas (si lo hay), facturación, banco, CRM, e-commerce, web/hosting, analítica y publicidad. No metas “todo”: mete lo que, si alguien entra, te puede costar dinero o datos.

Paso 2 (15–20 min): lista usuarios y roles en cada herramienta. En cada una, abre “Usuarios/Equipo” y anota: quién está, qué rol tiene (admin/gestor/lector) y si sigue en la empresa. Aquí suelo encontrar el primer fallo: usuarios que ya no deberían existir. Si no puedes identificar a alguien, es una señal roja.

Paso 3 (10–15 min): elimina cuentas huérfanas y corta accesos antiguos. Baja o desactiva usuarios que no pintan nada. Si te da miedo “romper algo”, el trade-off es este: desactivar puede causar una incidencia puntual, pero dejar accesos abiertos es una incidencia esperando a ocurrir. Si hay dudas, desactiva y revisa en 24–48h si alguien se queja (mejor eso que un fraude).

Paso 4 (10–15 min): revisa administradores y reduce privilegios. Regla práctica: administrador solo quien lo necesita de verdad. En pymes se regala el rol “admin” para ahorrar tiempo y luego nadie se acuerda de quitarlo. Deja dos administradores como máximo (por resiliencia), y el resto con permisos ajustados. Esto reduce el “radio de explosión” si una cuenta se compromete.

Paso 5 (10–15 min): obliga a doble verificación en lo crítico. No voy a abusar de acrónimos: doble verificación es el segundo paso al entrar (código en app, llave, etc.). Actívala en correo, banco, gestor de contraseñas, CRM y publicidad. Si alguna herramienta no lo soporta, anótala como riesgo y plantéate si merece seguir siendo “crítica”.

Errores comunes (y cómo detectarlos): 1) Cuenta compartida tipo “info@”, “admin@” o “marketing@”. Lo detectas porque varias personas “entran con lo mismo” y no hay trazabilidad de quién hizo qué. 2) Ex empleados con acceso. Lo detectas comparando la lista de usuarios con la realidad del equipo (y suele doler). 3) Demasiados administradores. Lo detectas cuando hay 4–6 admins “por si acaso”. Ese “por si acaso” suele ser falta de proceso, no una necesidad real.

Cómo medir si ha valido la pena: (1) número de usuarios eliminados o degradados de admin a rol normal, (2) porcentaje de herramientas críticas con doble verificación activada, y (3) reducción de incidencias de “no sé quién tocó esto” (trazabilidad). Si además documentas el inventario, también ahorras tiempo en altas/bajas y en onboarding.

Cuándo compensa delegar: si tenéis muchas herramientas, varios dominios, proveedores externos (agencia de marketing, soporte, desarrollo) o una rotación alta, merece la pena que alguien os deje un proceso de altas/bajas y un sistema de permisos coherente (idealmente con un gestor de contraseñas y accesos por rol). El punto no es “ser más seguro”, es no depender de memoria y favores.