Cuando un miembro del equipo decide emprender un nuevo camino profesional, o cuando la empresa debe prescindir de sus servicios, se activa un protocolo conocido como offboarding. En la mayoría de las empresas españolas, este proceso es casi automático en lo que respecta a los «grandes activos»: se recupera el portátil, se devuelve el teléfono móvil de empresa y se bloquea el correo electrónico corporativo. Sin embargo, existe una brecha de seguridad silenciosa y a menudo ignorada: las credenciales de ex-empleados en formato físico.
Nos referimos a esa tarjeta de identificación plástica que se queda en el fondo de un cajón, al token de seguridad (ese pequeño dispositivo generador de códigos) olvidado en una mochila, o al USB con certificados digitales que nadie reclamó.
A lo largo de este artículo, analizaremos por qué estos elementos suponen un riesgo crítico para la seguridad física y digital de tu organización y cómo debes gestionarlos para cumplir con la normativa vigente.
Contenidos
- 1 Más allá del portátil: El olvido de la seguridad física
- 2 Inventario de riesgos: ¿Qué elementos debes recuperar y destruir?
- 3 El peligro de la «basura» y el cumplimiento del RGPD
- 4 Protocolo de Offboarding: Pasos para una salida segura
- 5 ¿Por qué no vale con romper la tarjeta con tijeras?
- 6 DCD: Tu aliado en la destrucción confidencial de soportes físicos
Más allá del portátil: El olvido de la seguridad física
Vivimos en una era tan digitalizada que, a menudo, los responsables de IT y Recursos Humanos centran el 100% de sus esfuerzos en revocar los accesos lógicos (usuarios y contraseñas). Y, aunque esto es vital, descuidar el soporte físico es un error de novato que puede salir muy caro.
Imagina la siguiente situación: un empleado se marcha. Se le da de baja en el servidor. Pero se queda con su tarjeta de identificación corporativa colgada al cuello «de recuerdo» o la tira a la basura de su casa sin destruirla.
Esa tarjeta no es solo un trozo de plástico; es una llave. En muchos edificios de oficinas, los sistemas de torno no están sincronizados en tiempo real con el Directorio Activo de la empresa, o peor aún, la tarjeta sirve como identificación visual para que el personal de seguridad le abra la puerta sin preguntar. Las credenciales de ex-empleados que no se recuperan y destruyen son una invitación abierta a la ingeniería social y al acceso no autorizado.
Inventario de riesgos: ¿Qué elementos debes recuperar y destruir?
Para realizar un offboarding verdaderamente seguro, tu lista de verificación (checklist) debe ser exhaustiva. No basta con preguntar «¿tienes algo más de la empresa?». Debes exigir la devolución de activos específicos que contienen datos o permiten accesos.
1. Tarjetas de identificación y control de acceso
Las tarjetas de proximidad (RFID/NFC) o las simples tarjetas identificativas con foto y logo son el elemento más crítico.
-
El riesgo: Aunque desactives el chip, la tarjeta sigue teniendo el logotipo de tu empresa y la foto de una persona. Esto permite técnicas de tailgating (colarse detrás de alguien que sí tiene acceso) simplemente mostrando la tarjeta al vigilante o recepcionista, quien asumirá que «el torno no funciona» y le abrirá el paso.
-
La solución: Estas tarjetas deben ser recuperadas y sometidas a una destrucción física que las haga irreconocibles e inutilizables.
2. Tokens de seguridad (RSA, FIDO, OTP)
Muchos departamentos de sistemas entregan tokens físicos (pequeños llaveros o dispositivos USB) para la autenticación de doble factor (2FA).
-
El riesgo: A menudo se consideran «basura tecnológica» cuando el empleado se va. Sin embargo, un token perdido es la mitad de la llave para entrar en tus sistemas más críticos. Si un atacante conoce el usuario y consigue este token físico, la barrera de seguridad cae.
-
La solución: Nunca deben reutilizarse sin un formateo profundo, y si están obsoletos, deben destruirse bajo estrictos protocolos de seguridad.
3. Memorias USB y discos duros externos corporativos
Es común que los empleados utilicen pendrives corporativos para mover archivos rápidos o guardar certificados digitales.
-
El riesgo: Un USB olvidado en un bolsillo puede contener copias de seguridad de bases de datos, contraseñas guardadas en texto plano o llaves de acceso a la banca online.
-
La solución: Al igual que con las credenciales de ex-empleados, estos dispositivos deben ser destruidos si no se van a reutilizar, garantizando que la información sea irrecuperable.
El peligro de la «basura» y el cumplimiento del RGPD
Quizás estés pensando: «Vale, recupero la tarjeta y la tiro a la papelera de la oficina». Error grave.
Tirar una tarjeta de identificación o un token a la basura convencional es una violación directa de la protección de datos. En España, el Reglamento General de Protección de Datos (RGPD) es muy estricto respecto a cómo se deben tratar los soportes que contienen datos personales.
Una tarjeta de acceso contiene:
-
Datos biométricos o visuales: La fotografía del empleado.
-
Datos personales: Nombre, apellidos, DNI o número de empleado.
-
Datos de la empresa: Imagen corporativa y vinculación laboral.
Si esa tarjeta acaba en un contenedor público y alguien la encuentra, tu empresa es responsable de una brecha de seguridad de datos. Además, los delincuentes practican lo que se conoce como dumpster diving (rebuscar en la basura) precisamente para encontrar este tipo de información corporativa que les permita planificar un ataque dirigido.
La única forma de eximirte de responsabilidad es demostrar la trazabilidad de la destrucción. Es decir, necesitas un certificado que asegure que ese soporte ha sido triturado hasta un tamaño de partícula que hace imposible su reconstrucción.
Protocolo de Offboarding: Pasos para una salida segura
Para evitar que las credenciales de ex-empleados se conviertan en una pesadilla recurrente, te recomendamos implementar el siguiente flujo de trabajo:
-
Auditoría de activos al ingreso: Nadie debe recibir una tarjeta, token o llave sin firmar un documento de recepción. Esto te permitirá saber exactamente qué reclamar al final de la relación laboral.
-
Recogida presencial: El último día, un responsable debe recoger físicamente todos los elementos. No permitas el envío por correo ordinario si puedes evitarlo, ya que se pierde la cadena de custodia.
-
Contenedor seguro: No guardes las tarjetas devueltas en un cajón sin llave ni las tires a la papelera. Debes disponer de contenedores de seguridad específicos para material confidencial (no solo papel, sino también plásticos y material informático).
-
Destrucción certificada: Periódicamente, una empresa especializada debe retirar ese material y proceder a su destrucción confidencial, entregándote el correspondiente certificado.
¿Por qué no vale con romper la tarjeta con tijeras?
Es una práctica habitual: coger la tarjeta plástica y cortarla en cuatro trozos con unas tijeras. Aunque la intención es buena, el resultado es insuficiente a nivel de seguridad corporativa profesional.
-
Reconstrucción posible: Cuatro trozos se pueden unir con cinta adhesiva en cuestión de segundos para escanear una foto o leer un código de barras.
-
Chips intactos: A menudo, el corte con tijera no daña el chip RFID/NFC interno, que es minúsculo. La tarjeta podría seguir siendo leída por un escáner de proximidad.
-
Falta de evidencia: Si cortas la tarjeta tú mismo, no tienes un documento legal que pruebe ante una auditoría o una inspección de la Agencia Española de Protección de Datos que has cumplido con tu deber de custodia y eliminación.
DCD: Tu aliado en la destrucción confidencial de soportes físicos
La gestión de las bajas laborales ya es lo suficientemente compleja a nivel administrativo y humano como para tener que preocuparse por triturar plásticos o desimantar discos duros manualmente.
En DCD no solo somos expertos en la destrucción de documentos en papel. Entendemos que la seguridad de tu empresa reside en múltiples formatos. Por eso, ofrecemos un servicio especializado de destrucción de material corporativo y soportes digitales.
Nos encargamos de recoger, custodiar y destruir:
-
Tarjetas de identificación y pases de visita.
-
Tokens de seguridad y llaves criptográficas.
-
Memorias USB, discos duros y CDs/DVDs.
-
Uniformes corporativos y sellos de empresa.
Garantizamos que las credenciales de ex-empleados dejen de ser un riesgo para convertirse en partículas irrecuperables, cumpliendo estrictamente con la normativa europea y ofreciéndote el Certificado de Destrucción que tu empresa necesita para estar tranquila.
No dejes cabos sueltos en tu seguridad. Contacta con DCD hoy mismo y blinda el proceso de salida de tu personal.
Deja tu comentario
Debe iniciar sesión para escribir un comentario.