Offboarding digital de verano en Tenerife: checklist para cerrar accesos sin perder reservas ni correo

En muchas pymes de Tenerife, junio marca un cambio operativo importante: refuerzos de temporada, sustituciones, colaboradores externos y cuentas que se crean deprisa para cubrir recepción, reservas, tienda online, administración o soporte. El problema no suele aparecer cuando se da el alta, sino cuando esa persona deja de trabajar, cambia de puesto o sigue teniendo acceso a herramientas que ya no necesita. Ahí nacen los riesgos silenciosos: reenvíos activos en el correo, sesiones abiertas en móviles personales, accesos a WordPress que nadie revisa, calendarios compartidos, archivos en Google Drive o OneDrive con permisos heredados y cuentas que siguen recibiendo avisos críticos.

Para hoteles pequeños, apartamentos vacacionales, clínicas, comercios y despachos en zonas como Los Cristianos, Costa Adeje, Arona, Santa Cruz o La Laguna, un mal offboarding no es solo un problema de ciberseguridad. También puede convertirse en pérdida de reservas, respuestas tardías a clientes, incidencias de facturación o bloqueo operativo en plena campaña. Por eso, el cierre correcto de accesos debe formar parte del cierre diario y del cierre de temporada.

Por qué el offboarding mal hecho sigue siendo un riesgo real

La guía de Microsoft Zero Trust insiste en una idea clave: no se debe confiar por defecto en ningún acceso, aunque el usuario ya haya trabajado antes en la empresa. Google también mantiene una lista de tareas de seguridad para Google Workspace que recomienda revisar autenticación, sesiones, dispositivos y privilegios. Y WordPress recuerda en su guía oficial de hardening que el principio de mínimos privilegios sigue siendo básico para reducir el impacto de una cuenta comprometida.

En Tenerife esto tiene una lectura muy práctica: si una cuenta temporal mantiene acceso al correo corporativo, a una web WordPress o a un almacenamiento compartido, esa cuenta puede seguir viendo datos, recibiendo formularios, cambiando contenidos o dejando abierta una puerta para un incidente posterior. A veces no hay mala intención; basta con un móvil perdido, una contraseña repetida o una sesión antigua sin cerrar.

Los 7 puntos que una pyme debería revisar antes de cerrar un acceso

1. Correo corporativo y reglas ocultas

Antes de desactivar una cuenta, revisa si tiene reenvíos automáticos, reglas de bandeja de entrada, respuestas automáticas, delegaciones y acceso a buzones compartidos. Este punto es especialmente importante en empresas con reservas, presupuestos o atención al cliente. Si quieres profundizar, en BGR Solutions ya explicamos cómo detectar reglas ocultas en el correo corporativo y por qué pueden pasar desapercibidas durante semanas.

2. Microsoft 365 y Google Workspace

No basta con cambiar la contraseña. Hay que cerrar sesiones, retirar licencias cuando proceda, revisar grupos, alias, calendarios compartidos, apps conectadas y métodos de recuperación. Si la persona usaba OneDrive, SharePoint, Google Drive o cuentas de equipo, conviene decidir quién pasa a ser propietario de la información para que los documentos no queden “huérfanos”.

3. WordPress, formularios y plugins críticos

En muchas pymes el usuario que gestionaba contenidos también recibía leads, formularios o avisos técnicos. Si ese acceso sigue activo en WordPress, el riesgo no es solo editorial: también afecta a notificaciones de la web. Revisa usuarios administradores, editores, cuentas de formularios, plugins SMTP y cualquier integración que envíe correos desde la web.

4. Dispositivos móviles y equipos sincronizados

Tablets, portátiles compartidos, teléfonos de empresa y perfiles de navegador pueden conservar sesiones abiertas aunque la cuenta principal ya se haya bloqueado. Si además hubo pruebas recientes con herramientas IA o extensiones, revisa el artículo de BGR Solutions sobre extensiones de navegador y herramientas IA, porque muchas guardan permisos persistentes sobre correo o documentos.

5. Enlaces y carpetas compartidas

Es habitual que al terminar una campaña o una sustitución sigan activos enlaces “para cualquiera con el enlace” o carpetas compartidas con personal externo. Esto afecta a presupuestos, contratos, datos de clientes y documentos internos. También conviene revisar accesos heredados en Drive y OneDrive; para ello puede servir nuestra guía sobre auditoría de enlaces y permisos.

6. Apps conectadas, OAuth y herramientas externas

Una cuenta puede dejar de usarse, pero seguir autorizando CRMs, herramientas de marketing, calendarios, apps de firma, automatizaciones o plataformas con acceso vía OAuth. BGR Solutions ya trató este punto en su artículo sobre apps conectadas y sesiones abiertas. En 2026 este punto es todavía más importante por la proliferación de copilotos, extensiones y servicios que piden acceso rápido a correo, archivos o agenda.

7. Copias de seguridad y continuidad

INCIBE recuerda en su guía sobre copias de seguridad para empresas que una copia solo sirve si realmente puede restaurarse. Antes de borrar accesos o retirar un dispositivo, comprueba dónde están las copias de la web, del correo y de los archivos críticos, quién puede restaurarlas y cómo se recuperaría la operativa si surge un error.

Checklist práctico de offboarding para empresas de Tenerife

• Inventariar cuentas: correo, Microsoft 365, Google Workspace, WordPress, herramientas de reservas, ecommerce y proveedores externos.
• Bloquear o limitar acceso según el caso: no todas las salidas requieren borrado inmediato, pero sí control.
• Revocar sesiones abiertas en móviles, navegadores y aplicaciones conectadas.
• Eliminar reenvíos, reglas ocultas y delegaciones que ya no tengan sentido.
• Transferir propiedad de correos, carpetas, documentos, formularios y calendarios.
• Revisar usuarios administradores y permisos altos en WordPress.
• Confirmar que reservas, formularios, avisos de la web y facturación siguen llegando al equipo correcto.
• Verificar copias de seguridad y documentar quién puede restaurar web, correo y archivos.
• Registrar el cambio: fecha, responsable y sistemas revisados.

Qué suele fallar en negocios con mucha rotación o personal externo

En Tenerife lo vemos sobre todo en negocios con recepciones, reservas, campañas comerciales, academias, despachos y ecommerce: cuentas compartidas sin dueño claro, usuarios que siguen como administradores “por si acaso”, proveedores con acceso que nadie recuerda, y buzones donde los avisos importantes dependen de una persona que ya no está. El resultado es una operativa frágil: si se pierde una reserva web, deja de entrar un lead o aparece una alerta de seguridad, nadie sabe quién era el responsable.

El error más caro no suele ser el hackeo espectacular, sino la suma de pequeños descuidos: una cuenta heredada, una carpeta expuesta, una web sin revisión de usuarios y una copia que nadie ha probado restaurar.

Plan mensual recomendado para pymes

Si tu empresa trabaja con turnos, campañas o colaboradores, conviene implantar una revisión mensual de 20 a 30 minutos:

• Usuarios activos en Microsoft 365 y Google Workspace.
• Usuarios y roles en WordPress.
• Reenvíos, delegaciones y reglas del correo.
• Apps conectadas y sesiones abiertas.
• Propiedad de carpetas críticas, hojas compartidas y accesos de proveedores.
• Estado de copias y prueba básica de restauración documental o web.

Este mantenimiento es especialmente útil antes del verano, tras cambios de personal, al cerrar una campaña o cuando entra una nueva agencia, asesoría o proveedor externo.

Cómo puede ayudarte BGR Solutions

En BGR Solutions ayudamos a empresas de Tenerife a revisar accesos, correo corporativo, Microsoft 365, Google Workspace, WordPress, copias de seguridad y continuidad operativa. Si tu negocio depende de reservas, formularios, correo comercial o trabajo compartido en la nube, podemos auditar qué cuentas siguen activas, qué permisos sobran y qué puntos críticos conviene dejar documentados antes de que aparezca una incidencia.

La mejor seguridad para una pyme no es tener más herramientas: es saber exactamente quién accede a qué, quién recibe cada aviso importante y cómo recuperar la operación si algo falla.

Preguntas frecuentes

¿Basta con cambiar la contraseña cuando un empleado deja la empresa?

No. También hay que revisar sesiones abiertas, reenvíos, apps conectadas, permisos compartidos y propietarios de documentos o formularios.

¿Qué pasa si borro una cuenta sin transferir documentos o correo?

Puedes perder acceso a archivos, históricos de conversación, calendarios o avisos críticos. Primero hay que reasignar propiedad y comprobar la continuidad.

¿WordPress también forma parte del offboarding?

Sí. Si la persona tenía acceso como editor o administrador, o recibía avisos desde formularios y plugins, hay que revisar ese usuario igual que el correo o la cuenta cloud.

¿Cada cuánto conviene revisar accesos?

Como mínimo, tras una baja, un cambio de funciones, la salida de un proveedor externo y antes de periodos de alta actividad. En muchas pymes funciona muy bien una revisión mensual.

Fuentes consultadas: Microsoft Zero Trust, Google Workspace Security Checklist, WordPress Hardening Guide, INCIBE Empresas.