Volver al Blog
Tech workbench with open laptop, tablet, smartphones, disassembled MacBook, and server racks glowing blue in background.

Cómo proteger los dispositivos de los empleados antes de que alguien se vaya

Fix My PC Store7/16/2026

En resumen: Cuando alguien deja tu empresa, su dispositivo representa un riesgo activo para los datos hasta que cierres explícitamente todos los puntos de acceso. Esta guía cubre toda la secuencia de baja, desde la revocación de cuentas hasta la recuperación física del dispositivo, para que nada quede pendiente.

Lo que necesitas

Antes de comenzar, asegúrate de tener lo siguiente:

  • Acceso de administrador a tu proveedor de identidad (Microsoft 365, Google Workspace o Active Directory)
  • Una herramienta de administración de dispositivos móviles (MDM) o, como mínimo, un inventario documentado de dispositivos
  • Confirmación de Recursos Humanos sobre la fecha y el tipo de salida (voluntaria, involuntaria o licencia prolongada)
  • Una plantilla de lista de verificación que puedas entregar rápidamente a la persona encargada de TI
  • Acceso físico para recuperar el equipo después de notificar al empleado

Si trabajas sin una solución MDM o sin un inventario formal de dispositivos, esa es la primera brecha que debes solucionar. Un servicio de TI administrada normalmente incluye ambos. Sin ellos, los pasos siguientes se convierten en conjeturas.


Paso 1: Clasifica la salida antes de hacer cualquier otra cosa

No todas las salidas tienen el mismo nivel de riesgo. Una jubilación con dos semanas de aviso es diferente de un despido con causa o de un empleado que acaba de avisar y todavía tiene credenciales de administrador.

Hazte estas preguntas:

  1. ¿El empleado tiene privilegios elevados, derechos de administrador o acceso a sistemas confidenciales?
  2. ¿Tiene datos de la empresa en un dispositivo personal además del dispositivo proporcionado por la empresa?
  3. ¿La salida era esperada o estás reaccionando a algo que ya ocurrió?

Las respuestas determinan la urgencia y el orden de los pasos siguientes. En salidas de alto riesgo, revoca el acceso primero, recupera el dispositivo después y explica la situación más tarde. En transiciones planeadas, tienes un poco más de margen para coordinarte.


Dos personas intercambian una laptop cerrada sobre un mostrador de reparación tecnológica, con racks de servidores y equipos de PC al fondo.
Recuperar el equipo de la empresa en persona cierra una de las brechas más ignoradas del proceso de baja.

Paso 2: Revoca el acceso a las cuentas de inmediato

Esta es la acción prioritaria. Las cuentas permanecen activas hasta que alguien las deshabilita explícitamente, y un exempleado con credenciales activas representa una puerta abierta.

En Microsoft 365:

  1. Ve al centro de administración de Microsoft 365.
  2. Selecciona al usuario y elige "Cerrar sesión en todas las sesiones".
  3. Bloquea el inicio de sesión de la cuenta.
  4. Elimina al usuario de todos los buzones compartidos, canales de Teams y sitios de SharePoint.
  5. Convierte el buzón en un buzón compartido si necesitas conservar el acceso a sus correos electrónicos.

Si tu organización usa Microsoft 365 en toda la empresa, la mayor parte de esto puede hacerse en menos de diez minutos desde la consola de administración. Si utilizas una configuración híbrida de Active Directory, también debes deshabilitar por separado la cuenta de AD local. La nube y los sistemas locales no siempre se sincronizan de inmediato.

También revoca:

  • Credenciales de VPN
  • Cualquier aplicación SaaS de terceros conectada mediante SSO
  • Entradas del administrador de contraseñas si el empleado tenía acceso a bóvedas compartidas
  • Códigos de llaves físicas o acceso con credencial (coordínalo con las instalaciones)

Paso 3: Bloquea o borra el dispositivo de forma remota si es necesario

Si el empleado todavía tiene el dispositivo y la salida es conflictiva o de alto riesgo, usa tu MDM para emitir un bloqueo remoto antes de que tenga la oportunidad de copiar o borrar algo.

En salidas de menor riesgo, cuando esperas que el dispositivo sea devuelto pronto, normalmente basta con bloquearlo. Un borrado remoto completo es el último recurso y solo debe hacerse después de confirmar que los datos de la empresa en el dispositivo tienen una copia de seguridad o ya existen en otro lugar.

Por eso es importante contar con una política de copias de seguridad y recuperación ante desastres antes de que alguien renuncie. Si estás intentando preservar datos en el momento de la salida, ya vas tarde.

Si no tienes un MDM:

  • En dispositivos Windows, el cifrado BitLocker hace que la unidad sea ilegible sin la clave de recuperación. Asegúrate de que esas claves estén almacenadas en tu portal de administración, no en el propio dispositivo.
  • En Mac, FileVault cumple la misma función.
  • Tanto iOS como Android permiten el borrado remoto mediante Apple Business Manager y Android Enterprise, respectivamente, pero solo si la inscripción se configuró con anticipación.

¿Cansado de que la TI falle en el peor momento? Habla con nuestro equipo de TI para empresas

Paso 4: Recupera físicamente el dispositivo

Recupera el equipo. Parece obvio, pero es el paso que se retrasa cuando Recursos Humanos y TI no se coordinan, y un dispositivo cuya recuperación se demora es la razón por la que las laptops terminan tres semanas en el automóvil de alguien.

  1. Programa la devolución como parte de la reunión de baja, no como algo secundario.
  2. Ten un recibo o constancia de devolución para que el empleado la firme.
  3. Inspecciona el dispositivo para detectar daños físicos antes de aceptarlo.
  4. No permitas que el empleado borre el dispositivo por su cuenta antes de devolverlo. Esa tarea te corresponde a ti.

Una vez que tengas el dispositivo en tus manos, no lo vuelvas a configurar inmediatamente. Primero, confirma que se haya transferido cualquier dato que necesites. Revisa los archivos almacenados localmente, los perfiles del navegador y cualquier trabajo que nunca se haya sincronizado con una unidad compartida.

Si el dispositivo tiene daños físicos o funciona de manera extraña, vale la pena dedicar tiempo a una evaluación de reparación de computadoras antes de reasignarlo. Entregarle una laptop dañada a un empleado nuevo crea un problema de soporte desde el primer día.


Paso 5: Audita a qué tenía acceso

Este paso se omite porque es tedioso, pero es la forma de encontrar riesgos que no sabías que existían.

Obtén un registro de acceso del empleado que se va y busca lo siguiente:

  1. Archivos a los que accedió o que descargó durante los 30 días anteriores a su salida
  2. Exportaciones grandes de correos electrónicos o reglas de reenvío configuradas en su buzón
  3. Aplicaciones de terceros autorizadas desde su cuenta
  4. Cualquier cuenta de usuario nueva que haya creado
  5. Recursos compartidos externamente desde las unidades de la empresa

Si observas actividad inusual durante ese periodo, trátala como un posible incidente de ciberseguridad y documéntala. La mayoría de las salidas son normales. Algunas no lo son, y necesitas saber la diferencia.


Paso 6: Vuelve a configurar el dispositivo y reasígnalo, o guárdalo de forma segura

Una vez que hayas confirmado la situación de los datos y terminado la auditoría, borra y vuelve a configurar el dispositivo según tu configuración estándar. Una imagen limpia elimina cualquier software instalado por el empleado, las credenciales guardadas en navegadores o aplicaciones y los cambios de configuración que haya realizado.

Si el dispositivo permanecerá guardado más de unas semanas antes de ser reasignado, documéntalo en tu inventario con su estado, especificaciones y las fechas de garantía correspondientes. Los dispositivos que desaparecen en un armario sin documentación son la razón por la que terminas con equipos desconocidos y sin saber qué contienen.

Si necesitas ayuda para crear un flujo de trabajo de reasignación o tu equipo de TI está sobrecargado, este es exactamente el tipo de proceso que los servicios de TI administrada pueden asumir, para que no tengas que reinventarlo cada vez que alguien renuncie.


Errores comunes

1. Esperar hasta después de que el empleado se haya ido para revocar el acceso. El proceso de baja debe activar la revocación de cuentas el último día, no el lunes siguiente, cuando alguien tenga tiempo de hacerlo.

2. Revocar solo la cuenta principal y olvidar las credenciales compartidas. Si el empleado conocía una contraseña de administrador compartida o tenía acceso a una bóveda de contraseñas del equipo, cambia esas credenciales de inmediato. Bloquear la cuenta principal no sirve de nada si todavía puede iniciar sesión con una credencial compartida.

3. Suponer que la sincronización en la nube significa que los datos están seguros. La sincronización en la nube funciona en ambos sentidos. Un empleado puede eliminar archivos de una unidad compartida y esa eliminación se propaga a todos. El control de versiones y las políticas de retención de copias de seguridad son lo que te protege en este caso.

4. Omitir la auditoría en las salidas amistosas. Una salida voluntaria con dos semanas de aviso parece de bajo riesgo. La mayoría de las veces lo es. Pero la auditoría toma una hora y es la única forma de confirmar que nada salió por la puerta.

5. No tener nada de esto documentado. Si la persona que normalmente se encarga de TI está de vacaciones cuando alguien renuncia, ¿quién ejecuta este proceso? Una lista de verificación de baja por escrito y guardada en un lugar accesible no es opcional. Es infraestructura.


En conclusión

La baja de un empleado es un evento de seguridad, lo parezca o no. La ventana de riesgo es el periodo entre el momento en que alguien decide irse y el momento en que has bloqueado todo. Los pasos anteriores cierran esa ventana en un orden predecible y repetible.

Si eres una empresa del sur de Florida que opera sin un proceso formal de baja, una solución MDM o políticas de acceso documentadas, este es el momento de solucionarlo, no después de que algo salga mal. Revisa lo que una solución de TI para empresas o de TI administrada puede hacer por tu organización, o comunícate directamente con nosotros para conversar sobre las brechas actuales.


¿Cansado de que la TI falle en el peor momento?

Administramos la TI, las copias de seguridad y la seguridad de empresas del sur de Florida para que puedas dejar de preocuparte por ello.

Habla con nuestro equipo de TI para empresas

Preguntas frecuentes

¿Cuándo debo revocar el acceso de un empleado, antes o después de que se vaya?

En la mayoría de las salidas, el acceso debe revocarse el último día, en coordinación con Recursos Humanos para que ocurra al momento de la reunión de baja. En despidos con causa o situaciones de alto riesgo, revoca el acceso antes o durante la reunión, no después. Esperar hasta el siguiente día hábil es cuando ocurren los problemas.

¿Qué ocurre si el empleado tiene datos de la empresa en su teléfono personal?

Por eso es importante inscribir los dispositivos en la administración de dispositivos móviles (MDM) desde el inicio del empleo, no al final. Si un dispositivo personal estaba inscrito en tu MDM, puedes borrar de forma remota únicamente la partición de trabajo sin tocar los datos personales. Si nunca se inscribió, tus opciones son limitadas y consisten principalmente en pedirle amablemente al empleado que coopere, lo cual no es una estrategia de seguridad.

¿Necesito borrar el dispositivo aunque el empleado fuera de confianza?

Sí. Volver a configurar completamente el dispositivo antes de reasignarlo es una práctica estándar, independientemente de cómo haya sido la salida. Las credenciales guardadas en el navegador, los archivos almacenados localmente y las configuraciones sobrantes de aplicaciones representan riesgos para la siguiente persona que use el equipo, y una imagen limpia elimina por completo esos riesgos.

¿Qué se considera un incidente de seguridad durante la baja?

Las descargas inusuales de archivos o las exportaciones grandes de correos electrónicos durante las semanas anteriores a la salida, las reglas de reenvío dirigidas a cuentas personales o las autorizaciones de aplicaciones de terceros que no deberían existir son situaciones que vale la pena documentar e investigar. La mayoría tendrá explicaciones inocentes, pero debes confirmarlo en lugar de suponerlo.

¿Cómo gestiono la baja si no tenemos personal de TI?

Empieza con una lista de verificación escrita que alguien de la gerencia pueda seguir, que cubra la revocación de cuentas, la devolución de dispositivos y el cambio de credenciales. A largo plazo, un proveedor de TI administrada puede encargarse de todo el proceso y asegurarse de que se ejecute correctamente cada vez, sin depender de conocimientos institucionales que se van con el empleado.

También Te Puede Interesar