En muchas empresas, los problemas de ciberseguridad no empiezan con un gran ataque sofisticado.
A veces empiezan con algo mucho más cotidiano: una contraseña compartida, un usuario antiguo que sigue activo, un empleado que conserva permisos que ya no necesita o una cuenta genérica que utilizan varias personas.
Las cuentas compartidas y permisos olvidados pueden parecer detalles menores, pero con el tiempo se convierten en un riesgo importante para la empresa.
El problema no es solo que alguien pueda acceder a información que no debería. También es que, si ocurre una incidencia, puede ser muy difícil saber quién hizo qué, cuándo y desde dónde.
INCIBE recomienda que los usuarios tengan únicamente acceso a la información y herramientas necesarias para desarrollar su actividad, ya que conceder demasiados permisos aumenta el riesgo para la empresa.
Por qué las cuentas compartidas son un problema
Una cuenta compartida es aquella que utilizan varias personas con el mismo usuario y contraseña.
Puede ser una cuenta de correo genérica, un acceso a una aplicación interna, un usuario de administración, una cuenta de proveedor o un perfil compartido para entrar en una herramienta de trabajo.
A simple vista puede parecer cómodo, pero genera varios problemas:
- no se sabe qué persona ha realizado cada acción
- es más difícil retirar el acceso cuando alguien deja la empresa
- la contraseña suele compartirse por canales inseguros
- aumenta el riesgo de que se use fuera del entorno autorizado
- dificulta aplicar doble factor de autenticación
- complica las auditorías y revisiones de seguridad
En ciberseguridad, la comodidad mal gestionada puede convertirse en una debilidad.
Mini diagnóstico: ¿cómo están los accesos en tu empresa?
Marca las opciones que se parezcan a tu situación actual:
El riesgo de no saber quién tiene acceso a qué
En una empresa, cada usuario debería tener acceso solo a la información que necesita para trabajar.
Sin embargo, con el paso del tiempo es frecuente que los permisos se acumulen.
Una persona entra en un proyecto, recibe acceso a una carpeta, cambia de departamento, asume una tarea temporal o cubre a otro compañero. Después, esos permisos muchas veces no se eliminan.
El resultado es que hay usuarios con acceso a información que ya no necesitan.
Esto puede afectar a:
- carpetas compartidas
- correo corporativo
- ERP
- CRM
- herramientas cloud
- documentos internos
- sistemas de facturación
- aplicaciones de clientes
- paneles de administración
- servidores o equipos críticos
El problema no siempre es intencionado. Muchas veces es simplemente falta de revisión.
Pero en seguridad, lo que no se revisa se acaba convirtiendo en un punto débil.
Dato clave
El uso de credenciales robadas sigue apareciendo entre los patrones habituales en brechas de seguridad.
Por eso es tan importante controlar usuarios, permisos, contraseñas y cuentas compartidas dentro de la empresa.
Permisos olvidados: el riesgo silencioso
Los permisos olvidados son accesos que siguen activos aunque ya no sean necesarios.
Pueden aparecer en situaciones muy habituales:
- una persona cambia de departamento
- un empleado deja la empresa
- un proveedor termina un proyecto
- se crea una cuenta temporal y nunca se elimina
- se da acceso de administrador para resolver una urgencia
- se comparten carpetas durante una campaña o proyecto
- se crean usuarios de prueba que quedan activos
Al principio parecen detalles sin importancia. Pero si un atacante consigue acceder a una cuenta antigua o con permisos excesivos, puede moverse con más facilidad por los sistemas de la empresa.
Por eso es tan importante aplicar el principio de mínimo privilegio: cada usuario debe tener solo los permisos necesarios para realizar su trabajo.
INCIBE también explica que el control de acceso permite asignar permisos para que cada usuario o grupo pueda realizar solo las acciones oportunas sobre la información que le corresponde.
| Situación habitual | Riesgo para la empresa | Qué hacer |
|---|---|---|
| Cuenta compartida entre varias personas | No se puede identificar quién realizó cada acción | Crear usuarios individuales y registrar actividad |
| Empleado que cambia de puesto | Puede conservar permisos que ya no necesita | Revisar permisos en cada cambio de rol |
| Proveedor con acceso antiguo | Puede seguir entrando a sistemas internos | Definir fecha de caducidad y retirar accesos al finalizar el servicio |
| Usuario con permisos de administrador | Un error o robo de credenciales puede tener gran impacto | Limitar privilegios y usar doble factor de autenticación |
| Carpetas compartidas sin revisión | Exposición de información interna o confidencial | Auditar permisos y eliminar accesos innecesarios |
Señales de que tu empresa necesita revisar los accesos
No hace falta esperar a sufrir un incidente para revisar permisos.
Hay señales muy claras que indican que una empresa debería hacer una revisión cuanto antes.
1. Nadie sabe cuántas cuentas activas existen
Si la empresa no tiene un listado actualizado de usuarios, cuentas de correo, accesos a aplicaciones y permisos críticos, es difícil controlar la seguridad.
Lo que no está inventariado no se puede proteger bien.
2. Hay usuarios genéricos o cuentas tipo “admin”
Las cuentas genéricas pueden ser cómodas, pero reducen la trazabilidad.
Si varias personas usan el mismo acceso, la empresa pierde visibilidad sobre las acciones realizadas.
3. Los cambios de personal no incluyen revisión de permisos
Cuando alguien cambia de puesto o deja la empresa, debería existir un proceso claro para modificar o retirar accesos.
Si esto se hace manualmente y sin checklist, es fácil que queden permisos activos.
4. Revisar siempre los resultados
Los proveedores externos pueden necesitar acceso a determinados sistemas, pero esos accesos deben estar controlados.
Lo recomendable es que sean limitados, revisables y retirados cuando ya no sean necesarios.
5. Hay demasiados administradores
No todas las personas necesitan permisos elevados.
Cuantos más usuarios tengan privilegios de administrador, mayor será el riesgo si una cuenta se ve comprometida.
Cómo revisar cuentas compartidas y permisos olvidados
1. Crear un inventario de usuarios
Haz un listado de todas las cuentas activas: empleados, proveedores, cuentas genéricas, administradores y usuarios temporales.
2. Identificar cuentas compartidas
Localiza accesos utilizados por varias personas y valora sustituirlos por usuarios individuales con permisos controlados.
3. Revisar permisos por departamento
Comprueba si cada persona tiene acceso solo a las carpetas, aplicaciones y datos necesarios para su trabajo actual.
4. Controlar cuentas de administrador
Reduce el número de usuarios con privilegios elevados y aplica medidas adicionales como doble factor de autenticación.
5. Definir revisiones periódicas
Programa revisiones cada cierto tiempo para detectar permisos antiguos, accesos innecesarios o cuentas que deberían eliminarse.
Qué permisos conviene revisar primero
Si una empresa nunca ha revisado sus accesos, puede parecer una tarea grande. Por eso conviene empezar por las áreas con mayor riesgo.
Permisos de administrador
Son los más importantes. Un usuario administrador puede instalar software, cambiar configuraciones, acceder a sistemas críticos o modificar permisos de otros usuarios.
Estos accesos deben estar muy controlados.
Correo corporativo
El correo es una de las puertas de entrada más habituales para fraudes, suplantaciones y ataques de phishing.
Conviene revisar usuarios activos, reenvíos automáticos, reglas sospechosas y permisos delegados.
Carpetas compartidas
Muchas empresas acumulan documentos durante años en carpetas compartidas. Con el tiempo, es fácil que demasiadas personas tengan acceso a información que ya no necesitan.
ERP y CRM
Estos sistemas suelen contener información sensible: clientes, facturación, oportunidades comerciales, proveedores, pedidos o datos financieros.
No todos los usuarios necesitan acceso a todo.
Accesos remotos
VPN, escritorios remotos, paneles cloud o herramientas de administración deben revisarse con especial cuidado.
Si un acceso remoto está mal protegido, puede convertirse en una puerta de entrada.
Importante
Si varias personas usan la misma cuenta, la empresa pierde trazabilidad.
En caso de error, fuga de información o acceso sospechoso, será mucho más difícil saber qué persona realizó cada acción.
Cómo reducir riesgos sin complicar el trabajo diario
Mejorar el control de accesos no significa dificultar el trabajo del equipo.
El objetivo es que cada persona pueda acceder a lo que necesita, pero sin abrir más puertas de las necesarias.
Algunas medidas sencillas pueden marcar una gran diferencia:
- crear usuarios individuales
- eliminar cuentas que ya no se usan
- revisar permisos cuando alguien cambia de puesto
- limitar los accesos de administrador
- activar doble factor de autenticación
- documentar altas y bajas de usuarios
- revisar accesos de proveedores
- evitar compartir contraseñas por correo o documentos
- usar gestores de contraseñas cuando sea necesario
- registrar cambios importantes en permisos
La seguridad debe integrarse en el funcionamiento diario de la empresa, no aparecer solo cuando hay un problema.
Checklist de revisión de accesos
- Revisar usuarios que ya no deberían estar activos
- Comprobar cuentas compartidas o genéricas
- Eliminar permisos temporales que ya no son necesarios
- Revisar quién tiene permisos de administrador
- Comprobar accesos de proveedores externos
- Verificar que las cuentas críticas tienen doble factor
- Revisar carpetas compartidas con información sensible
- Documentar cambios de permisos realizados
Errores comunes en la gestión de permisos
Uno de los errores más habituales es dar permisos “por si acaso”. Puede parecer práctico, pero con el tiempo genera usuarios con más acceso del necesario.
Otro error frecuente es no retirar permisos temporales. Una persona puede necesitar acceso a una carpeta durante un proyecto, pero ese acceso no debería mantenerse indefinidamente.
También es común mantener cuentas antiguas porque “quizá hagan falta”. En realidad, esas cuentas pueden convertirse en un riesgo si nadie las revisa.
Otro fallo habitual es compartir contraseñas en documentos internos. Aunque parezca cómodo, aumenta la exposición si ese archivo acaba en manos equivocadas.
Por último, muchas empresas revisan permisos solo cuando ocurre un problema. Lo recomendable es convertirlo en una tarea periódica.
Cuándo pedir ayuda para revisar cuentas y permisos
Una empresa debería valorar una revisión técnica si:
- no sabe cuántos usuarios activos tiene
- utiliza muchas cuentas compartidas
- ha tenido cambios recientes de personal
- trabaja con varios proveedores externos
- tiene carpetas compartidas sin control
- no tiene doble factor en cuentas críticas
- no sabe quién tiene permisos de administrador
- quiere mejorar su seguridad sin cambiar toda su infraestructura
Una revisión de accesos puede ayudar a detectar riesgos antes de que se conviertan en incidentes.
Ibis Computer: control de accesos y ciberseguridad para empresas
En Ibis Computer ayudamos a las empresas a mejorar su seguridad revisando usuarios, permisos, accesos, configuraciones y herramientas críticas.
Las cuentas compartidas y permisos olvidados pueden parecer un problema pequeño, pero pueden abrir la puerta a errores, accesos indebidos o incidentes de ciberseguridad.
Si tu empresa quiere revisar quién tiene acceso a qué, eliminar cuentas innecesarias y mejorar el control de permisos, podemos ayudarte a hacerlo de forma ordenada y adaptada a tu realidad.