Credenciales compartidas con proveedores y freelancers: el acceso que nadie revoca
Todo proyecto con un externo empieza igual: hay que darle acceso rápido para que arranque. Y casi todos terminan igual: el proyecto se entrega, el freelancer o el proveedor sigue con las credenciales, y nadie se acuerda hasta que un incidente, una auditoría o un cambio de proveedor obliga a preguntar "¿quién más tiene acceso a esto?". El problema no es dar el acceso — es que la entrega se hace sin pensar en la revocación.
Por qué los accesos de externos son los que más duran
Los accesos de empleados tienen un ciclo de vida institucional: alta con el ingreso, baja con el egreso, y un área (RRHH, IT) que dispara ambos eventos. Los accesos de externos no tienen nada de eso: no hay un "egreso" formal que dispare la revocación, el fin del proyecto es difuso (siempre queda un ajuste, una garantía, un "por si acaso"), y la credencial compartida suele ser genérica — una key de servicio, un usuario compartido — que no está asociada a la persona en ningún sistema. El resultado predecible: los accesos de terceros sobreviven años a la relación que los justificó, y son exactamente los que aparecen en los hallazgos de cualquier revisión de accesos seria.
El agravante del canal de entrega
A la falta de revocación se le suma cómo se entregó la credencial: por email o WhatsApp, porque con un externo no compartís el Slack interno. Eso significa que, además del acceso vigente, el secreto quedó en texto plano en una casilla que no controlás, sujeta a las prácticas de seguridad de una persona que no auditaste. Si esa casilla se compromete — hoy o en tres años — tu credencial está en el botín. La combinación es el peor de los mundos: un secreto de larga vida, entregado por un canal persistente, a un perímetro externo, sin fecha de revocación. Cada una de esas cuatro condiciones es evitable.
Qué pedir del lado contractual
La gestión de accesos de terceros empieza antes de compartir nada: en el contrato o la orden de trabajo. Tres cláusulas que cambian el escenario: la obligación del externo de destruir credenciales y datos al finalizar el servicio, con confirmación escrita; la prohibición de reutilizar o transferir los accesos a subcontratistas sin aprobación; y la notificación inmediata si el externo sufre un incidente que pueda comprometer credenciales de clientes. Ninguna de estas cláusulas reemplaza los controles técnicos — el externo puede incumplirlas — pero establecen la responsabilidad, habilitan el reclamo y, sobre todo, fuerzan la conversación sobre el ciclo de vida del acceso en el momento correcto: el inicio.
El ciclo de vida completo: entrega, uso, revocación
El patrón operativo correcto trata cada acceso de externo como un préstamo con vencimiento, no como un regalo. En la entrega: credencial individual (no el usuario compartido del equipo), con los permisos mínimos para la tarea, transmitida por un canal seguro que no deje el secreto en un historial. Durante el uso: registro de qué credencial tiene cada externo y para qué proyecto — una planilla de "accesos otorgados a terceros" alcanza para empezar, con dueño y fecha de revisión. En el cierre: la revocación como tarea explícita del checklist de fin de proyecto, con la misma jerarquía que la factura final. Si la revocación depende de la memoria, no existe; si está en el proceso de cierre, ocurre.
La prueba de fuego: la pregunta del auditor
"¿Cómo gestionan los accesos de terceros?" es pregunta estándar en cualquier due diligence de seguridad, cuestionario de cliente enterprise o auditoría ISO 27001 — y es de las que más respuestas incómodas genera. Poder contestar con un inventario de accesos otorgados, un canal de entrega que no deja secretos en correos, y revocaciones documentadas al cierre de cada proyecto te pone por encima de la enorme mayoría de las empresas de tu tamaño. Y el beneficio no es solo pasar la auditoría: es que cuando un proveedor tuyo anuncie un incidente — que tarde o temprano pasa — sepas en minutos, y no en días, exactamente qué accesos tuyos están en juego.
Entregá accesos con vencimiento, no regalos
ShaSafSec te da un canal seguro para compartir credenciales con proveedores y freelancers sin dejarlas viviendo en correos ajenos — y con visibilidad de qué compartiste y con quién.
Conocer ShaSafSec →