Sign in

Accesos olvidados tras un proyecto

Accesos olvidados tras un proyecto

Cuando termina un proyecto, también deberían revocarse los accesos de terceros que ya no son necesarios.

En la vida universitaria hay proyectos que nacen, cambian y se cierran continuamente: grupos de investigación, proyectos IT, comisiones, colaboraciones con entidades externas, contratos temporales, prácticas, estudiantes colaboradores, personal vacante, proveedores o equipos mixtos entre departamentos. En medio de entregas, reuniones, cambios de calendario y nuevas prioridades, es fácil que los permisos digitales queden en segundo plano.

El problema aparece cuando una persona que ya no participa en un proyecto conserva acceso a carpetas, documentos, aplicaciones, listas de correo, repositorios, espacios colaborativos o información compartida. Muchas veces no ocurre por mala intención, sino porque nadie ha asociado el cierre administrativo o académico del proyecto con una revisión de accesos. Ese pequeño descuido puede dejar abierta una puerta durante semanas, meses o incluso más tiempo.

En la Universidad Pontificia Comillas, donde se trabaja con expedientes, actas, investigación, tutorías, convocatorias, movilidad, bibliotecas, correo institucional y documentación compartida, cerrar bien los accesos no es una tarea técnica aislada. Es una forma sencilla de cuidar la información, facilitar el trabajo ordenado y reducir problemas futuros.

Qué significa limpiar accesos y por qué importa

Limpiar accesos significa revisar quién puede entrar a qué recursos cuando cambia una situación: termina un proyecto, finaliza un contrato, se cierra una colaboración, una persona deja un grupo de trabajo, un estudiante colaborador acaba su participación, un proveedor concluye el servicio o un colega cambia de puesto en mitad del proyecto.

El principio de fondo es fácil de entender: cada persona debería tener acceso solo a lo que necesita, durante el tiempo que lo necesita. Cuando ese acceso deja de ser necesario, conviene retirarlo o ajustarlo. No es una cuestión de desconfianza hacia nadie. Es una práctica de orden, prudencia y protección.

Un permiso olvidado puede parecer inofensivo si la persona ya no entra en esa carpeta o si el proyecto está “prácticamente cerrado”. Pero los accesos tienen memoria. Una invitación antigua a una carpeta compartida, una cuenta de proveedor no desactivada, un grupo de correo que sigue incluyendo a personas externas o un enlace con permisos amplios pueden permitir que información sensible siga siendo visible fuera del equipo actual.

Además, los proyectos cambian. Un socio puede ser sustituido por otro, un investigador puede pasar a otro grupo, una persona de administración puede asumir nuevas funciones, un estudiante puede terminar sus horas de colaboración o una empresa externa puede dejar de prestar servicio. Si los permisos no acompañan esos cambios, la lista real de personas con acceso deja de coincidir con la realidad del proyecto.

Señales útiles y límites

Hay algunas señales que pueden indicar que los accesos necesitan una revisión. Por ejemplo, encontrar en una carpeta compartida a personas que ya no participan, ver cuentas genéricas que nadie sabe quién usa, recibir respuestas automáticas de antiguos miembros en listas del proyecto, mantener invitados externos en documentos ya cerrados o descubrir que un proveedor conserva permisos después de terminar el contrato.

También conviene prestar atención cuando una persona cambia de puesto en la Universidad. Puede seguir necesitando algunos accesos, pero no necesariamente todos los anteriores. Si antes participaba en un proyecto de investigación y ahora está en otra función, quizá deba conservar documentos finales, pero no permisos de edición sobre carpetas vivas, formularios, repositorios o espacios de coordinación.

Una señal aislada no confirma un problema de seguridad. Puede tratarse de una transición pendiente, una colaboración prorrogada o una necesidad justificada. Por eso la revisión debe hacerse con calma: preguntar, comprobar, documentar y ajustar. La meta no es cortar accesos de forma precipitada, sino evitar permisos que ya no tienen una razón clara.

Qué ocurre por dentro

Los accesos suelen organizarse mediante cuentas, grupos, permisos y sesiones. Aunque desde fuera parezca que “alguien tiene acceso a una carpeta”, por dentro puede haber varias capas: pertenencia a un grupo, permisos directos sobre un documento, autorización en una aplicación, invitación externa, acceso a un repositorio o sesión iniciada en un dispositivo.

Primera microexplicación: un grupo no siempre refleja el equipo actual. Si una carpeta se comparte con “Proyecto X”, cualquier persona que siga dentro de ese grupo puede conservar acceso aunque ya no participe. Por eso no basta con revisar documento por documento; también conviene revisar los grupos que dan acceso.

Segunda microexplicación: una sesión abierta puede sobrevivir a muchos cambios visibles. En algunos servicios, cerrar una cuenta o cambiar una contraseña no siempre equivale a revisar todos los tokens, permisos delegados o autorizaciones concedidas. Un token es una autorización digital que permite mantener una sesión o una conexión entre servicios sin pedir la contraseña cada vez.

Tercera microexplicación: los permisos heredados pueden pasar desapercibidos. Una persona puede tener acceso no porque alguien la haya invitado a un fichero concreto, sino porque pertenece a una unidad, lista o carpeta superior. Por eso, cuando un proyecto se cierra, revisar solo el último documento compartido puede dejar fuera parte del mapa real de accesos.

Qué está en juego en la Universidad

En un entorno universitario, los permisos no protegen solo “archivos”. Protegen contextos de trabajo. Una carpeta de investigación puede contener borradores, datos de trabajo, acuerdos de colaboración, presupuestos o resultados aún no publicados. Un espacio de gestión puede incluir convocatorias, listados, documentación administrativa o comunicaciones internas. Un proyecto IT puede tener información sobre configuraciones, pruebas, incidencias o planificación.

También hay información vinculada a personas: tutorías, expedientes, actas, solicitudes, datos de movilidad, documentación de prácticas, correspondencia institucional o ficheros compartidos para coordinación académica. Que alguien haya participado legítimamente en una fase del trabajo no significa que deba conservar acceso indefinido a todo lo que se produzca después.

El riesgo aumenta cuando intervienen personas externas: socios de investigación, consultoras, prestadores de servicio, colaboradores temporales o entidades con las que se comparte información. Si cambia el socio, termina el convenio operativo, se sustituye una empresa o se incorpora un nuevo equipo, los permisos antiguos deben revisarse con especial cuidado.

Cómo ayuda el STIC

El STIC puede orientar en la revisión de accesos, ayudar a identificar permisos que conviene ajustar, acompañar en la contención si se detecta un acceso indebido, revisar situaciones dudosas, facilitar recomendaciones y coordinar actuaciones cuando proceda. También puede ayudar a ordenar la conversación cuando no está claro si un acceso debe mantenerse, retirarse o cambiarse de nivel.

La ayuda es más eficaz cuando se avisa pronto y se aporta contexto: nombre del proyecto, recurso afectado, personas que deberían seguir, personas que ya no participan, fecha aproximada de cierre o cambio, y si hay colaboradores externos. No hace falta llegar con un diagnóstico técnico cerrado. Basta con explicar qué se ha observado y por qué genera dudas.

Lo que ha cambiado en 2026

En 2026 ha aumentado la atención sobre la identidad digital como punto de entrada a los servicios. Ya no se trata solo de proteger una contraseña. También importan las sesiones abiertas, los permisos acumulados, las autorizaciones entre aplicaciones, las cuentas externas y los accesos de terceros.

La IA generativa es tecnología capaz de crear texto, imágenes, audio o código a partir de instrucciones. En este contexto, puede facilitar mensajes más creíbles para pedir accesos, suplantar comunicaciones internas o acelerar tareas de engaño. MFA fatigue significa cansancio o saturación ante avisos repetidos de autenticación multifactor, hasta que una persona acepta uno por error. Robo de sesión es el uso indebido de una sesión ya iniciada, sin necesitar la contraseña en ese momento. Infostealer es un tipo de software malicioso diseñado para robar credenciales, cookies, tokens u otra información útil para acceder a servicios.

Esto afecta directamente a los proyectos. Un permiso antiguo puede convertirse en una vía de entrada si se combina con una cuenta comprometida, una sesión robada o una invitación externa olvidada. Por eso las revisiones periódicas de accesos han dejado de ser una tarea administrativa menor y se han convertido en una práctica básica de higiene digital.

Datos recientes en contexto

ENISA analizó 4.875 incidentes entre el 1 de julio de 2024 y el 30 de junio de 2025, y señaló que los infostealers siguieron facilitando el robo de credenciales, el secuestro de sesión y la compraventa de accesos [ENISA, 2025].

El informe DBIR 2025 de Verizon analizó más de 22.000 incidentes y 12.195 brechas confirmadas; en ese conjunto, el abuso de credenciales fue uno de los principales vectores iniciales, con un 22 %, y la participación de terceros en brechas se duplicó hasta el 30 % [Verizon, 2025].

IBM destacó en su informe de 2025 la necesidad de reforzar controles de identidad, aplicar autenticación resistente al phishing y gestionar identidades no humanas, como cuentas técnicas o integraciones entre servicios [IBM, 2025].

CISA y NSA recomiendan aplicar buenas prácticas de gestión de identidades y accesos, incluyendo mínimo privilegio, revisión del ciclo de vida de las cuentas y control de permisos para reducir accesos innecesarios [CISA y NSA, 2023].

Estos datos pueden variar por sector, muestra y metodología. Aun así, todos apuntan en la misma dirección: los accesos, especialmente cuando hay terceros o cambios organizativos, merecen una revisión cuidadosa.

Consejos prácticos para cerrar accesos sin complicarlo

  • Incluye la revisión de accesos en el cierre del proyecto. Cuando se preparen memorias, entregables o cierres administrativos, añade una tarea sencilla: revisar carpetas, grupos, listas, aplicaciones y cuentas asociadas. Ayuda a que el cierre digital no dependa de la memoria de una sola persona.
  • Nombra una persona responsable de validar quién debe seguir. No tiene que ser quien haga el cambio técnico, pero sí quien conozca el proyecto. Esta persona puede confirmar si un socio, proveedor, estudiante colaborador o colega que ha cambiado de puesto necesita conservar acceso.
  • Distingue entre leer, editar y administrar. A veces no hace falta retirar todo. Puede bastar con pasar de edición a lectura, retirar permisos de administración o limitar el acceso a una carpeta final. Ajustar el nivel evita interrupciones sin mantener privilegios excesivos.
  • Revisa accesos externos con más frecuencia. Invitaciones a personas de otras entidades, consultoras, prestadores de servicio o socios de investigación deben tener una fecha o hito de revisión. Al cambiar de partner, conviene revisar tanto al partner saliente como al entrante.
  • No uses cuentas compartidas para salir del paso. Aunque parezcan prácticas, dificultan saber quién hizo qué y complican la retirada de permisos. Siempre que sea posible, cada persona debe usar su cuenta nominal y sus propios permisos.
  • Evita enlaces abiertos o demasiado amplios. Un enlace compartido con permisos generosos puede circular más allá del equipo previsto. Para documentación sensible, es preferible compartir con personas o grupos concretos y revisar después quién sigue teniendo acceso.
  • Haz una pausa cuando alguien cambia de puesto. Un cambio interno no implica borrar todo, pero sí revisar. La pregunta útil es: “¿Qué necesita para su nueva función y qué permisos eran solo del proyecto anterior?”.
  • Documenta las decisiones básicas. Un pequeño registro con fecha, recurso revisado, responsable y decisión tomada evita dudas posteriores. No hace falta una burocracia pesada; basta con dejar constancia mínima y comprensible.
  • Revisa también listas de correo y espacios de reunión. Los accesos no están solo en carpetas. Listas, calendarios, canales de trabajo, repositorios, formularios y espacios de videoconferencia pueden seguir dando visibilidad a información del proyecto.
  • Consulta antes de retirar permisos dudosos. Si no está claro si una persona debe seguir, pregunta al responsable del proyecto o pide orientación. Cortar un acceso necesario puede bloquear trabajo; mantener uno innecesario puede exponer información.
  • Programa revisiones periódicas en proyectos largos. En proyectos de investigación o IT que duran meses o años, no esperes al cierre final. Revisa cuando entra o sale una persona, cambia un proveedor, se alcanza un hito o se modifica el alcance.
  • Avisa si detectas un acceso inesperado. Ver a una persona antigua en una carpeta no significa que haya ocurrido un incidente, pero sí merece revisión. Avisar pronto permite comprobar y corregir sin dramatizar.

Cuando cambia el partner o el equipo a mitad del proyecto

Los cambios de partner, proveedor o equipo son momentos especialmente sensibles. Puede haber prisa por incorporar a las nuevas personas y mantener la actividad, pero conviene reservar unos minutos para cerrar lo anterior. El alta del nuevo acceso debería ir acompañada de la baja o ajuste del acceso antiguo.

Una buena práctica es tratar el cambio como una “mini salida y entrada”: confirmar qué carpetas, documentos, aplicaciones y listas usaba el partner anterior; retirar lo que ya no proceda; conservar solo lo que esté justificado por contrato, auditoría o continuidad; y dar al nuevo partner únicamente los permisos necesarios para su parte del trabajo.

Con los colegas que cambian de puesto ocurre algo parecido. No se trata de perder conocimiento ni bloquear la transición. Se puede mantener acceso temporal y limitado a documentación de traspaso, pero conviene evitar que la persona conserve permisos completos sobre espacios que ya pertenecen a otro equipo.

Qué hacer si ya ha pasado

Si descubres que alguien conserva un acceso que quizá ya no debería tener, lo primero es dejar de ampliar el problema. No compartas más enlaces, no añadas a nuevas personas “por si acaso” y no borres evidencias útiles si puede evitarse. Puede ser útil conservar información básica: qué recurso es, quién aparece con acceso, desde cuándo se sospecha, si es una carpeta, una aplicación, una lista o un documento, y qué cambios recientes ha habido en el proyecto.

Si crees que tu cuenta puede estar afectada, cambia la contraseña desde un acceso legítimo y seguro, especialmente si has recibido avisos extraños, solicitudes de autenticación que no esperabas o señales de actividad no reconocida. Si hay dudas sobre sesiones abiertas, accesos externos o documentos sensibles, avisa pronto.

No conviene retrasar el aviso por vergüenza, por miedo a haber cometido un error o por pensar que “seguro que no es nada”. Muchos problemas se resuelven mejor cuando se comunican en una fase temprana. El canal para abrir una incidencia es Jira.

Privacidad y trato respetuoso

La revisión de accesos debe hacerse con proporcionalidad y respeto. No se trata de vigilar a personas ni de buscar culpables, sino de ajustar permisos a necesidades reales. En un proyecto pueden participar perfiles muy distintos, con cambios frecuentes y calendarios apretados. Es normal que haya desajustes.

También es importante cuidar la confidencialidad durante la revisión. Si se detecta un acceso que no encaja, la información debe compartirse solo con quienes necesiten gestionarla. El objetivo es reducir el impacto, aprender del caso y mejorar el proceso para la siguiente colaboración.

Una cultura sana de seguridad permite decir “creo que este permiso se nos ha quedado abierto” sin dramatizar. Esa frase, dicha a tiempo, puede evitar exposiciones innecesarias y ayuda a que los proyectos cierren mejor.

Un buen cierre también es digital

Los proyectos no terminan del todo cuando se entrega el informe final, se cierra la reunión o se archiva la documentación. También terminan cuando los accesos quedan ordenados. Revisar permisos al cerrar un grupo, contrato, práctica, colaboración o proyecto evita puertas abiertas por descuido y facilita que cada persona vea solo lo que necesita.

Ante un cambio de partner, de proveedor o de puesto, merece la pena reflexionar sobre los accesos que seguirán autorizados, verificar quién debe mantenerlos y pedir ayuda si algo no encaja. Es mejor hacer una consulta a tiempo que dejar una duda sin resolver durante meses.

Permisos claros, proyectos más seguros.

Read next