Empresa de Mantenimiento Informático especializada en PYMES de 10-200 empleados en Madrid, Leganés y toda la Comunidad
914 024 471
914 024 471

La “amenaza interna” que muchas empresas en Madrid están pasando por alto: un offboarding de empleados bien gestionado

Tabla de contenidos

Un proceso de baja de empleados mal definido es una brecha crítica de seguridad. Cuando un profesional deja la empresa, sus accesos digitales no desaparecen automáticamente. No contar con un procedimiento formal de offboarding IT puede derivar en robo de información, sabotaje y graves problemas de cumplimiento normativo. Un offboarding proactivo no es una tarea administrativa más; es una capa esencial de ciberseguridad para empleados que protege la información empresarial incluso después de que la persona haya abandonado la organización.

Imagine por un momento a un exempleado que no salió en las mejores condiciones. Su usuario sigue activo, su correo corporativo continúa recibiendo mensajes y todavía puede acceder al ERP, al CRM, al almacenamiento en la nube o a la base de datos de clientes. No es una situación excepcional; es más habitual de lo que parece en pymes y empresas medianas que no cuentan con un servicio profesional de mantenimiento informático para empresas y tratan el offboarding como un simple trámite de RRHH.

Audita la ciberseguridad de tu empresa

¿hablamos?

Muchas organizaciones no son plenamente conscientes de la cantidad de accesos que conserva un empleado al marcharse. Cada cuenta, usuario, licencia y permiso debe revocarse de forma ordenada. Si este proceso es improvisado, se genera una “amenaza interna” que puede mantenerse activa durante semanas o meses. Y no siempre hablamos de mala fe: a menudo es una cuestión de descuido. Cuentas olvidadas se convierten en puertas traseras para ciberdelincuentes, licencias SaaS siguen generando costes innecesarios y datos sensibles permanecen en buzones personales.

No revocar los accesos de forma sistemática es una invitación abierta a problemas que pueden ir desde lo incómodo hasta lo crítico para la continuidad del negocio.

Los riesgos ocultos de una despedida informal

Un apretón de manos y la devolución del portátil no completan un proceso de baja. La identidad digital de un empleado es compleja y crece con el tiempo: correo electrónico, CRM, herramientas de colaboración como Microsoft 365 o Google Workspace, software contable, plataformas de marketing, servidores internos y accesos remotos.

Sin un checklist claro, algo se pasará por alto. Y esas cuentas antiguas son especialmente atractivas para atacantes. Si una credencial personal filtrada coincide con una contraseña antigua del entorno corporativo, un ciberdelincuente podría obtener acceso “legítimo” a sus sistemas. La asociación ISACA (Information Systems Audit and Control Association) señala que los accesos no eliminados tras la salida de empleados son una vulnerabilidad relevante y frecuentemente ignorada.

Además del riesgo técnico, existe un impacto directo en el cumplimiento normativo. En España, el RGPD y la LOPDGDD obligan a proteger adecuadamente los datos personales. Mantener accesos activos sin justificación puede derivar en sanciones y en un serio daño reputacional.

Claves de un proceso sólido de offboarding IT en su empresa

Un proceso de baja gestionado por el departamento de sistemas o por su proveedor de mantenimiento informático no es solo una tarea administrativa; es una medida estratégica de seguridad. Debe ser ágil, exhaustivo y aplicarse siempre, tanto en salidas voluntarias como en despidos.

El objetivo es eliminar de forma sistemática la huella digital del usuario en la organización. Y este trabajo comienza antes incluso de la entrevista de salida. La coordinación entre RRHH, Dirección y el equipo IT (interno o externo) es esencial.

El primer paso es disponer de un inventario centralizado de activos y accesos: dispositivos asignados, licencias de software, cuentas en la nube, permisos especiales y accesos remotos. No se puede proteger lo que no se tiene identificado.

Checklist imprescindible para la baja segura de un empleado

Un checklist convierte una intención genérica en acciones concretas y verificables. Este es un marco de referencia que puede adaptarse a su empresa:

  • Desactivar inmediatamente los accesos principales: anular el usuario del dominio, el acceso al correo, la VPN y cualquier conexión remota.
  • Cambiar contraseñas de cuentas compartidas: redes sociales corporativas, buzones genéricos (info@, ventas@), carpetas compartidas y herramientas departamentales.
  • Revocar permisos en la nube: retirar accesos a Microsoft 365, Google Workspace, Teams, Slack, herramientas de gestión de proyectos y cualquier otra plataforma SaaS. Implantar un sistema de inicio de sesión único (SSO) facilita esta gestión centralizada.
  • Recuperar todos los dispositivos corporativos: portátiles, móviles, tablets y dispositivos de almacenamiento. Realizar un borrado seguro de la información antes de su reasignación. Utilizar soluciones de gestión de dispositivos móviles (MDM) para borrar en remoto si es necesario.
  • Redirigir y gestionar el correo electrónico: durante 30 a 90 días, redirigir el correo al responsable o sustituto y configurar una respuesta automática informando del nuevo contacto. Posteriormente, archivar o eliminar el buzón según la política interna.
  • Revisar y transferir activos digitales: asegurar que archivos críticos no estén almacenados únicamente en dispositivos personales y transferir la propiedad de documentos y proyectos en la nube.
  • Analizar los registros de acceso: revisar la actividad en los días previos a la salida, especialmente descargas masivas de datos sensibles o accesos inusuales.

Consecuencias reales de un offboarding mal gestionado

Las consecuencias no son teóricas. La extracción indebida de datos puede suponer incumplimientos graves y pérdidas económicas. Un comercial podría llevarse la base de datos completa de clientes; un desarrollador descontento podría eliminar o modificar repositorios críticos.

Incluso la retención accidental de datos en dispositivos o cuentas personales puede vulnerar el RGPD, con multas que afectan directamente a la cuenta de resultados. Para un CEO o CFO, esto no es solo un problema técnico, sino un riesgo financiero y legal.

Además, existe el impacto económico derivado de la mala gestión de licencias. Las suscripciones a herramientas como Microsoft 365, antivirus gestionados o software de gestión pueden seguir facturándose tras la salida del empleado. Este fenómeno, conocido como proliferación descontrolada de aplicaciones SaaS, erosiona el margen y refleja una gobernanza tecnológica deficiente.

Fomentar una cultura de transiciones seguras

La ciberseguridad también se demuestra en cómo se gestionan las salidas. Desde el primer día, debe quedar claro que los accesos son un privilegio vinculado al puesto y al tiempo de permanencia en la empresa.

Documentar cada paso del proceso es clave. Genera trazabilidad para auditorías, aporta evidencias ante posibles conflictos y garantiza que el procedimiento sea repetible y escalable a medida que la empresa crece, algo especialmente relevante para compañías en expansión en Madrid.

Convertir cada salida en una mejora de su seguridad

Cada baja puede ser una oportunidad para revisar accesos, eliminar cuentas obsoletas y reforzar las políticas de gobierno del dato. El objetivo es cerrar brechas antes de que puedan ser explotadas.

No permita que antiguos empleados permanezcan activos en sus sistemas. Un proceso proactivo, documentado y gestionado por especialistas en mantenimiento informático para empresas es la mejor defensa frente a esta amenaza interna habitual, protegiendo sus activos, su reputación y su tranquilidad.

En Libertia IT ayudamos a empresas de Madrid a diseñar, implantar y automatizar protocolos completos de offboarding, integrados dentro de su estrategia global de ciberseguridad y cumplimiento normativo. Contacte con nosotros si desea revisar y fortalecer su proceso de baja de empleados antes de que se convierta en un problema.

Preguntas frecuentes

¿Cuál es el error más común durante el proceso de baja?

El mayor error es la demora. No desactivar de inmediato los accesos a red, correo y sistemas crea una ventana de vulnerabilidad para el uso indebido o la sustracción de información.

¿Es realmente necesario un proceso formal si el empleado se va en buenos términos?

Sí. Incluso en salidas amistosas existe riesgo. Las cuentas pueden ser comprometidas, las credenciales filtradas o los datos conservarse por descuido. El procedimiento debe prevalecer sobre la confianza.

¿Cuál es el primer paso desde el punto de vista IT cuando un empleado comunica su salida?

El primer paso es inventariar junto con RRHH todos sus accesos, permisos, dispositivos y licencias. Este listado guiará todo el proceso de retirada de accesos y evitará olvidos.

¿Cómo gestionar el offboarding cuando utilizamos muchas aplicaciones en la empresa?

Implantar una solución de inicio de sesión único (SSO) permite centralizar los accesos. Al desactivar una cuenta principal, se revoca automáticamente el acceso a todas las aplicaciones y servicios conectados.

¿Quieres que te ayudemos en tu proceso de transformación digital?

¿hablamos?

Luis Morcillo

CEO & Funder

Linkedin Twitter

Soy un emprendedor que siempre ha estado enamorado del mundo de la tecnología.

Después de acabar mis estudios de economía💸, tuve la suerte de poder seguir estudiando y llegar a ser formador de los certificados MCSE de Microsoft 👨‍🏫

Mas tarde fundé Libertia IT, una gran familia de profesionales dedicados a ayudar a empresas de cualquier tamaño a mejorar su entorno tecnológico y su postura en ciberseguridad. Descubrí el modelo Europeo de servicios gestionados, a años luz del típico «mantenimiento informático» que funciona mas como un seguro.

¡Nunca pagues por horas el soporte IT! es malo para todas las partes. Reserva 30 min y te cuento por qué.

Reservar una Cita