Blog › Operaciones

Offboarding

La lista de comprobación completa de offboarding de TI (con plantilla)

Cuando alguien deja la empresa, TI tiene 24 horas para revocar accesos, 14 días para recuperar activos y 30 días para cerrar todos los cabos sueltos. Omite un paso y habrás creado un agujero de seguridad, una observación de cumplimiento o una sorpresa en la renovación. Esta es la lista de comprobación que los cierra todos.

Equipo InventorIA

Publicado el 27 abr 2026 · 10 min de lectura

El offboarding de TI es uno de esos procesos que todo el mundo tiene, de alguna forma, pero que pocas empresas tienen documentado. El resultado es una ejecución desigual: los usuarios clave se procesan correctamente, el contratista en otra zona horaria se olvida, el responsable que tenía más contexto no avisó a TI hasta el tercer día.

La lista de comprobación siguiente es la versión probada y secuenciada. Cópiala tal cual o adáptala a tu stack — pero escríbela en algún lugar donde tu yo futuro pueda encontrarla.

T-7 días (aviso previo)

Preparación previa a la salida

Solo para salidas planificadas. Omitir si la baja es inmediata.

RRHH notifica a TI la fecha de salida y el último día laboral.
TI extrae el resumen de activos y accesos del usuario del inventario.
El responsable identifica el conocimiento/datos críticos que posee el usuario; plan de traspaso redactado.
El responsable identifica el traspaso de las relaciones con proveedores y contratos bajo su titularidad.
Decisión: reenvío de correo a quién, texto de respuesta automática, traspaso de calendario, reenvío de mensajes de Slack.
Logística de devolución de activos confirmada (en oficina vs. kit de mensajería para empleados remotos).

T-0 (último día laboral)

Revocación de accesos el mismo día

La ventana de 24 horas donde ocurre — o no — la mayor parte del daño.

Deshabilitar la cuenta del proveedor de identidad (Google, Microsoft, Okta) al final de la jornada laboral. Esto debe propagarse automáticamente a todos los SaaS conectados.
Revocar tokens MFA, llaves hardware (YubiKey) y sesiones de aplicación de autenticación.
Forzar el cierre de sesiones de SaaS activas (Slack, Notion, Salesforce, etc.).
Restablecer las contraseñas de cuentas compartidas a las que el usuario tenía acceso.
Revocar accesos a VPN, RDP, jump-box y claves SSH.
Eliminar de las listas de acceso a producción (AWS IAM, GCP IAM, Kubernetes RBAC, cuentas de base de datos).
Revocar acceso de administrador a Stripe, procesadores de pago, cuentas de hosting, registros de dominio.
Configurar respuesta automática con contacto de traspaso; configurar reenvío al responsable.
Calendario transferido / propiedad de reuniones reasignada.
Devolución de activos programada con recogida confirmada o etiqueta de envío enviada.

El paso más omitido

Las aplicaciones SaaS no conectadas a tu IdP. Las herramientas que se autentican directamente con correo/contraseña (o aplicaciones a las que el usuario se registró con su correo laboral pero paga personalmente) no se desactivan cuando deshabilitas la cuenta del IdP. Enuméralas explícitamente por usuario.

T+1 a T+14 (semana uno y dos)

Recuperación de activos y limpieza de licencias

La palanca donde viven la mayoría de los ahorros de coste — y las observaciones de auditoría.

Devolución de hardware rastreada: portátil, monitores, periféricos, móvil, llaves de seguridad, tarjetas. Cada elemento marcado en el registro de activos.
Hardware devuelto borrado con estándar de borrado certificado. Certificado de borrado almacenado contra el registro del activo.
Dispositivos marcados como "en espera / disponible para reasignación" o "en cola para baja" según el estado de garantía.
Puestos SaaS de pago recuperados para cada licencia que tenía el usuario. Esto debe ocurrir automáticamente mediante la propagación del IdP — verifica que se ha producido.
Productos con licencia por nivel (Microsoft E5, Salesforce Enterprise, Adobe Creative Cloud) explícitamente reducidos de nivel o reasignados.
SaaS facturado por separado (los que no están en el IdP) cancelado o reasignado manualmente.
Contratos bajo su titularidad reasignados a un nuevo propietario interno. No dejar ningún contrato con valor predeterminado de "ti@empresa.com".
Reenvío de correo activo durante 30 días para correspondencia no recibida.
Datos personales exportados según la legislación laboral local (a menudo 30 días para proporcionar a petición).

T+15 a T+30 (cierre del proceso)

Rastro de auditoría y verificaciones finales

El trabajo que te hace defendible ante un auditor un año después.

Comprobar cada sistema que podría haber tenido al usuario. Ejecutar un barrido de "búsqueda por correo" en todo el portfolio SaaS. Lo que se haya pasado se limpia aquí.
Verificar que el correo del usuario ya no aparece en ninguna matriz de acceso activa ni lista de permisos de carpeta compartida.
Confirmar que el hardware está completamente retirado o reasignado; nada en "pendiente de devolución" pasados 30 días.
Informe final de revocación de accesos generado y almacenado contra el registro de offboarding del usuario.
Reenvío de correo desactivado; buzón archivado según la política de retención.
Eliminación de datos personales ejecutada si el usuario lo solicitó bajo GDPR / CCPA, con prueba conservada.
Ticket de offboarding cerrado con el rastro de auditoría adjunto.

Las 5 métricas de offboarding que vale la pena rastrear

Tasa de revocación de accesos el mismo día. Objetivo: 100% de los accesos conectados al IdP revocados al final de la jornada.
Tasa de devolución de activos en 14 días. Objetivo: 90%+ para empleados en oficina, 80%+ para remotos.
Tiempo medio de recuperación de licencias. Objetivo: el mismo día para los conectados al IdP, 7 días para los independientes.
Recuento de activos fantasma. Dispositivos asignados a usuarios desactivados. Objetivo: 0.
Observaciones de auditoría sobre offboarding. Objetivo: 0 por ciclo de auditoría.

Casos especiales

Contratistas y agencias

A menudo tienen contratos más cortos pero el mismo acceso. Marca los contratos con fechas de finalización en el sistema; activa el flujo de offboarding al final del contrato, no solo al rescindirlo.

Bajas involuntarias

La revocación de accesos se ejecuta antes de la reunión en la que se comunica la noticia. La recuperación del hardware planificada con antelación. Respuesta automática de correo configurada, pero el contenido revisado por RRHH y legal.

Fusiones / adquisiciones / desinversiones

El offboarding masivo requiere el mismo manual escalado. Ejecuta lotes piloto primero; los casos extremos a escala son los mismos que a nivel unitario pero ocurren 100 veces en paralelo.

Fallecimiento de un empleado

Tratar con sensibilidad. La mayoría de los pasos siguen aplicando pero con un calendario más lento. Coordinar estrechamente con RRHH y la familia para el manejo de los datos personales.

Las herramientas que hacen funcionar esto

La lista de comprobación funciona con personas sin herramientas, pero la tasa de fallos aumenta en cada paso. La configuración correcta:

Un IdP (Google / Microsoft / Okta) que se propaga a todos los SaaS conectados.
Una plataforma de gestión de activos de TI que rastrea los SLAs de devolución de hardware.
Un flujo de ticket de offboarding que bloquea el cierre hasta que se han marcado todos los pasos.
Una reconciliación mensual que marca los fantasmas.

InventorIA cubre los pasos 2 y 4 de forma nativa — en el momento en que el IdP marca a un usuario como inactivo, los flujos de recuperación de hardware, recuperación de licencias y reasignación de contratos se disparan automáticamente. El rastro de auditoría se escribe solo.

Ejecuta el offboarding sin omitir ningún paso

InventorIA genera el informe de offboarding listo para auditoría a partir de la señal de tu IdP automáticamente. Gratuito para 10 usuarios.

Empezar gratis →