Volver al blog
Gestión de Identidades (IAM): El empleado que se fue pero sigue adentro
Estrategia

Gestión de Identidades (IAM): El empleado que se fue pero sigue adentro

Cuando un empleado renuncia o es despedido, ¿cuántas cuentas activas quedan abiertas con su nombre? La gestión de identidades y accesos (IAM) es la disciplina que cierra esas puertas antes de que alguien las use para entrar sin invitación.

Equipo Cibershield8 May, 202610 min de lectura

Las llaves de la oficina que nunca recuperaste

Pensá en esa oficina donde trabajaste hace tres años. Cuando renunciaste, ¿tu jefe te pidió que devolveras el carnet de acceso? ¿Te quitaron la llave de la bodega? ¿Cambiaron el código del cuarto de servidores? Ahora pensá: ¿te revocaron el acceso al correo corporativo, al sistema de facturación, al CRM, al repositorio de documentos, al canal de Slack, a la cuenta de AWS, al panel de Google Analytics? Probablemente no. Y si no lo hicieron contigo, tampoco lo hacen con los demás.

Este escenario silencioso se repite miles de veces en empresas de toda Centroamérica. No hace falta un hacker sofisticado ni un ataque elaborado. A veces, la amenaza más seria tiene nombre y apellido: un ex empleado con acceso activo, ya sea por descuido, por falta de procesos, o simplemente porque nadie en la empresa sabe con exactitud a qué sistemas tenía acceso.

La Gestión de Identidades y Accesos, conocida en inglés como IAM (Identity and Access Management), es el conjunto de políticas, procesos y herramientas que responde a una pregunta fundamental: ¿quién tiene acceso a qué, desde dónde, y con qué nivel de privilegio? Dominar esta disciplina no es un lujo para grandes corporaciones. Es una necesidad básica para cualquier empresa que tenga más de cinco empleados y use más de un sistema de software.

El problema de las cuentas huérfanas

Una cuenta huérfana es cualquier cuenta de usuario activa que ya no pertenece a nadie con una razón legítima para usarla. Son de varios tipos:

Cuentas de exempleados:: La María que trabajó en ventas hasta enero y cuyo usuario de Office 365 sigue activo porque nadie pensó en desactivarlo.
Cuentas de proveedores externos:: El consultor de TI que configuró el servidor el año pasado y cuyas credenciales siguen funcionando.
Cuentas genéricas compartidas:: El usuario "admin" con contraseña "empresa2020" que todos en el departamento de TI conocen.
Cuentas de prueba:: Los usuarios "test1", "demo_user", "temporal" que alguien creó para una demostración y nunca eliminó.
Cuentas de bots y aplicaciones desactivadas:: Integraciones con servicios externos que ya no se usan, pero cuyas credenciales siguen activas en los sistemas.

Según datos del informe Identity Security Threat Landscape de CyberArk (2024), el 40% de las organizaciones tienen accesos de exempleados activos durante más de 30 días después del despido. Y según Verizon DBIR, el 74% de las brechas de seguridad involucran acceso a credenciales, legítimas o robadas.

En Centroamérica, el escenario es particularmente común en empresas con alta rotación, como call centers, restaurantes de franquicia, y PYMEs de servicios donde nadie tiene un proceso formal de offboarding de TI.

Un caso que podría ser el tuyo

Una empresa distribuidora de alimentos en Honduras con 80 empleados. En 2023 despidieron a su administrador de sistemas por desempeño. Se hizo la liquidación, se devolvieron los equipos, y se dio por terminado el proceso. Lo que nadie hizo fue revocar su acceso al panel de administración del ERP, al servidor de correo, ni al sistema de backups en la nube.

Seis meses después, alguien accedió al sistema de backups con esas credenciales y eliminó tres meses de respaldos. No hubo evidencia de que se robara información, pero la empresa pasó dos semanas sin poder recuperar datos históricos de clientes y tuvo que reconstruir registros manualmente.

Costo estimado: $18,000 en horas de trabajo y pérdida de productividad. Sin contar el daño a la reputación con clientes que notaron inconsistencias en sus historiales de pedidos.

Principio de mínimo privilegio: no le des la llave maestra al mensajero

El principio de mínimo privilegio (Principle of Least Privilege, o PoLP) es uno de los fundamentos de IAM y dice algo simple: cada usuario, aplicación y proceso debe tener acceso únicamente a los recursos que necesita para hacer su trabajo, y nada más.

Suena obvio. En la práctica, la mayoría de las empresas hace exactamente lo contrario, porque dar acceso a todo desde el primer día es más rápido y fácil que definir qué necesita cada persona.

El resultado típico sin PoLP:

El asistente de marketing tiene acceso de escritura a la base de datos de clientes.
El vendedor puede ver los estados de cuenta bancarios en el ERP.
El técnico de soporte puede eliminar usuarios de Active Directory.
Todos los gerentes tienen contraseña de administrador del servidor porque "alguna vez la necesitaron".

Esto no solo aumenta el riesgo en caso de que una cuenta sea comprometida; también amplifica el daño potencial de un error humano. Si el asistente de marketing borra accidentalmente 500 registros porque tenía permisos de escritura que no necesitaba, ese es un IAM fallido, aunque nadie haya sido hackeado.

Cómo aplicar PoLP sin volverse loco

Mapeo de roles:: Definí entre 5 y 15 roles típicos en tu empresa (administrador, contador, vendedor, operador de bodega, gerente, etc.) y establecé qué accesos corresponden a cada rol.
Asignación por rol, no por persona:: Cuando ingresa un empleado nuevo, asignale el rol que corresponde a su puesto, no vayas definiendo permisos uno por uno.
Revisión trimestral:: Cada tres meses, revisá si los accesos siguen siendo apropiados. Alguien que cambió de puesto probablemente no necesita los accesos del puesto anterior.
Acceso temporal para tareas especiales:: Si alguien necesita acceso elevado para un proyecto específico, dáselo con una fecha de vencimiento automática, no permanentemente.

El ciclo de vida de una identidad digital

IAM no es solo tecnología; es gestión del ciclo de vida completo de cada identidad dentro de la organización. Ese ciclo tiene cuatro fases:

1. Aprovisionamiento (Onboarding)

Cuando un empleado entra, se crea su identidad digital con los accesos mínimos necesarios para su rol. Idealmente, esto es automático: el departamento de RRHH registra al empleado en el sistema, y ese registro activa automáticamente la creación de cuentas en los sistemas relevantes.

2. Gestión activa

Durante el tiempo que trabaja en la empresa, su identidad evoluciona. Cambió de puesto, entró a un proyecto especial, necesita acceso temporal a un sistema externo. Cada uno de estos cambios debe quedar registrado y aprobado.

3. Revisión y auditoría

Periódicamente, se auditan los accesos de todos los usuarios. Se eliminan los permisos que ya no corresponden. Se detectan cuentas dormidas que nadie usa. Se revisan quién tiene privilegios elevados y si esos privilegios siguen siendo necesarios.

4. Desaprovisionamiento (Offboarding)

Cuando un empleado sale, ya sea por renuncia, despido o jubilación, su identidad digital se desactiva de forma ordenada y completa. Todas las cuentas en todos los sistemas. Esta fase es la que la mayoría de las empresas hace mal o no hace.

Herramientas IAM: de lo simple a lo sofisticado

Buenas noticias: no necesitás gastar una fortuna para implementar IAM básico. El nivel de herramienta que necesitás depende del tamaño y complejidad de tu empresa.

Para PYMEs pequeñas (5-30 empleados)

Google Workspace o Microsoft 365: ya incluyen gestión básica de identidades. Podés definir grupos, asignar permisos y desactivar cuentas desde la consola de administración.
Un checklist de offboarding: en Google Sheets o Notion con todos los sistemas donde se debe revocar acceso, como mínimo.
Contraseñas únicas por sistema: gestionadas con un password manager empresarial (Bitwarden Teams, 1Password Business) para eliminar las cuentas compartidas.

Para PYMEs medianas (30-200 empleados)

Azure Active Directory (Microsoft Entra ID): o **Google Cloud Identity** para gestión centralizada de identidades con Single Sign-On (SSO).
Herramientas SCIM: (System for Cross-domain Identity Management) que sincronizan automáticamente la base de usuarios entre RRHH y TI.
Jumpcloud, Okta Workforce Identity: o **OneLogin** como plataformas IAM dedicadas con flujos de aprovisionamiento automatizados.

Para empresas grandes (200+ empleados)

Plataformas completas de IAM como SailPoint, Saviynt o CyberArk que incluyen revisión de accesos automatizada, detección de cuentas huérfanas y reportes de cumplimiento.
PAM (Privileged Access Management): para gestionar específicamente las cuentas con acceso privilegiado (administradores de sistemas, bases de datos, servidores).

El offboarding de TI: una checklist mínima

Si tu empresa no tiene un proceso formal, comenzá con esta lista mínima que debe completarse el mismo día que un empleado sale:

Accesos inmediatos a revocar (en las primeras 2 horas):

Correo electrónico corporativo
VPN y acceso remoto
Sistemas críticos (ERP, CRM, sistema contable)
Repositorios de código (GitHub, GitLab)
Herramientas de colaboración (Slack, Teams, Notion)

Accesos a revocar en las primeras 24 horas:

Paneles de administración de servicios en la nube (AWS, Azure, GCP)
Herramientas de marketing digital (Google Ads, Meta Business, Mailchimp)
Accesos a proveedores externos
Suscripciones de software donde está registrado su correo

Acciones adicionales:

Transferir la propiedad de documentos y carpetas compartidas
Redirigir el correo del exempleado por 30-90 días
Revocar certificados digitales y tokens de hardware
Documentar qué cuentas existían para el historial de auditoría

IAM y su relación con Zero Trust y MFA

IAM no vive en un silo. Es el pilar central sobre el que se construyen otras estrategias de seguridad:

Zero Trust: dice "nunca confíes, siempre verifica". Pero para verificar, necesitás saber quién es la persona que está intentando acceder. Sin IAM sólido, Zero Trust no puede funcionar.
MFA (Autenticación Multifactor): agrega una capa de seguridad al proceso de autenticación, pero es IAM quien decide a qué sistemas aplica el MFA y quiénes deben usarlo obligatoriamente.
DLP (Data Loss Prevention): controla qué información puede salir de la organización, pero para hacerlo necesita saber qué roles tienen acceso a qué datos. Esa información viene de IAM.

Dicho de otra forma: IAM es el sistema nervioso central de la seguridad empresarial. Todo lo demás depende de que funcione correctamente.

Señales de que tu IAM está fallando

Si alguna de estas situaciones te resulta familiar, tu gestión de identidades necesita atención urgente:

Nadie sabe con certeza: a cuántos sistemas tiene acceso un empleado al momento de renunciar.
Hay cuentas genéricas compartidas: como "admin@empresa.com" o "soporte@empresa.com" que usan múltiples personas.
Los permisos se asignan ad hoc: según quien pide acceso, sin un proceso de aprobación formal.
Nunca se ha hecho una auditoría: de cuentas activas en todos los sistemas.
Exempleados todavía reciben correos: redirigidos porque nadie cerró sus cuentas completas.
Los proveedores externos tienen acceso permanente: en lugar de acceso temporal revocado al terminar el proyecto.

Ninguna de estas situaciones requiere un hacker para convertirse en un problema. Basta con un exempleado molesto, una brecha en un sistema externo que reutiliza credenciales, o simplemente una auditoría de cumplimiento que expone estas debilidades.

Por dónde empezar hoy

No es necesario implementar una plataforma IAM completa de golpe. Un plan progresivo en 90 días:

Semana 1-2 (Diagnóstico): Haz un inventario de todos los sistemas de la empresa y quién tiene acceso a cada uno. Una hoja de cálculo es suficiente para empezar.

Semana 3-4 (Limpieza): Revisa la lista e identifica cuentas de exempleados, cuentas genéricas y accesos que no corresponden al rol actual del empleado. Desactivalos.

Mes 2 (Proceso): Diseñá un checklist de offboarding y un proceso de aprobación para nuevos accesos. Implementá un gestor de contraseñas empresarial.

Mes 3 (Herramienta): Evaluá si el tamaño de tu empresa justifica una herramienta IAM dedicada. Incluso el nivel gratuito de plataformas como Jumpcloud cubre necesidades básicas para empresas pequeñas.

La puerta que cerraste hace tres años todavía puede estar abierta

La gestión de identidades es, en esencia, un problema de orden y proceso. No requiere tecnología extraordinaria; requiere disciplina organizacional. Saber quién tiene acceso a qué, actualizar esa información cuando algo cambia, y asegurarte de cerrar todas las puertas cuando alguien se va.

En empresas centroamericanas donde la rotación de personal es alta, donde los equipos de TI son pequeños y donde los sistemas se acumulan sin un inventario centralizado, el IAM deficiente es una de las vulnerabilidades más comunes y menos atendidas.

En CiberShield ayudamos a empresas de toda la región a auditar sus identidades digitales, implementar procesos de offboarding seguros y configurar plataformas IAM proporcionales a su tamaño y presupuesto. Si no sabés con certeza a cuántos sistemas tiene acceso un empleado hoy, ese es el punto de partida. Escribinos y empezamos por ahí.

¿Necesita ayuda con su ciberseguridad?

Nuestro equipo está listo para ayudarle a proteger su empresa.

Artículos relacionados

Amenazas

Dark Web Monitoring: Lo que los ciberdelincuentes ya saben sobre tu empresa

En foros oscuros de internet se venden credenciales corporativas, listas de clientes y datos de empleados por unos pocos dólares. La pregunta no es si los datos de tu empresa están ahí afuera, sino cuándo te vas a enterar y qué vas a hacer al respecto.

Mejores Prácticas

VPN y Acceso Remoto Seguro: Cuando tu empresa trabaja desde el sofá

El trabajo remoto e híbrido llegó para quedarse, pero con él llegaron riesgos que muchas empresas nunca consideraron. Entendé la diferencia entre una VPN tradicional, ZTNA y SD-WAN, y qué necesita tu empresa para que el trabajo desde cualquier lugar no se convierta en una puerta trasera.