Cómo una agencia dio de baja a un comprador de medios en un solo clic
Davide Ferraro
Responsable de Operaciones de Agencia
La renuncia llegó un viernes por la tarde, que es cuando las renuncias siempre parecen llegar. Un comprador de medios sénior —tres años en la casa, de confianza, rápido— se marchaba, y su acceso estaba repartido en aproximadamente sesenta cuentas de cliente en más de una docena de Business Managers. Para la mayoría de las agencias esa frase describe el inicio de una mala semana. Para esta, describía una tarea de dos minutos. Esta es la historia de cómo la agencia convirtió la tarea más difícil de la seguridad de agencia —cómo dar de baja a un comprador de medios y revocar el acceso a cuentas publicitarias en todas partes de un solo movimiento— en un solo clic, y por qué el truco no fue una lista de baja ingeniosa sino una decisión tomada años antes sobre quién tiene un login siquiera.
Respuesta rápida: Dar de baja a un comprador de medios solo es un simulacro de incendio cuando el comprador tiene credenciales brutas de plataforma que hay que cazar y rotar. Esta agencia conectó el Business Manager de cada cliente una vez a través de un token de System-User y dio a los compradores roles internos en lugar de logins. Así que cuando uno renunció, quitar su rol cortó el acceso en cada cuenta y plataforma a la vez: sin caza de credenciales, sin rotación de contraseñas, sin ninguna puerta abierta olvidada.
Esta es una historia compuesta extraída de cómo escalan realmente las agencias, pero el modo de fallo y la solución son reales. Los nombres y los números exactos son ilustrativos; la pesadilla de la baja —y la forma de hacerla desaparecer— no lo son.
La renuncia del viernes
La nota del comprador era amable y daba dos semanas. El primer pensamiento del responsable de operaciones no fue sobre el traspaso de campañas —esa parte era rutina—. Fue sobre las llaves. A lo largo de tres años esta persona había tocado cuentas de Meta, Google, TikTok y Taboola de decenas de clientes. En algún lugar de esa historia había credenciales, códigos de doble factor, sesiones guardadas y permisos vigentes, y la obligación de la agencia con cada uno de esos clientes era simple: en el momento en que la confianza terminaba, el acceso terminaba.
El problema que la mayoría de las agencias descubre exactamente en este momento es que en realidad no saben dónde vive todo el acceso. Un comprador que ha trabajado sesenta cuentas ha sido, con el tiempo, añadido a Business Managers de clientes, le han pasado un login compartido aquí, le han concedido un permiso de partner allá, y ha guardado una sesión en un portátil que nadie controla. La salida no crea el riesgo. Revela un riesgo que estuvo ahí todo el tiempo.
Una renuncia es una auditoría que no programaste. Hace una sola pregunta —«¿qué puede seguir tocando esta persona mañana?»— y la honestidad de tu respuesta se decide años antes, por cómo le dejaste entrar.
La vieja pesadilla, cuenta por cuenta
Imagina la baja que esta agencia habría ejecutado en sus primeros años. El responsable de operaciones abre una hoja de clientes y empieza a recorrerla. Para cada cuenta: ¿qué login usó este comprador? ¿Era una credencial de cliente compartida o un asiento nominal? Si era compartida, hay que cambiar la contraseña, pero cambiarla bloquea a los otros dos compradores que usan el mismo login, así que hay que coordinarlo. La semilla de doble factor atada a ese login hay que reemitirla. Luego el mismo baile en la siguiente cuenta, y la siguiente, sesenta veces, en cuatro plataformas con cuatro modelos de permisos distintos.
Y esa es la versión optimista, donde cada credencial está anotada. La versión realista tiene huecos: un login guardado en el gestor de contraseñas personal del comprador que la agencia nunca ve, un Business Manager de cliente donde fue añadido directamente como usuario fuera de los registros de la agencia, una concesión de partner que no aparece en el sitio obvio. Cada uno es una puerta que queda abierta después de que se va, y la agencia no puede rotar una credencial cuya existencia desconoce.
El defecto más profundo de la baja basada en credenciales es que es un problema de búsqueda, y solo puedes revocar lo que puedes encontrar. «Creemos que las pillamos todas» no es una frase que ninguna agencia quiera decirle a un cliente cuya cuenta fue tocada después de que un empleado se marchó.
Por qué las credenciales compartidas convierten la baja en un incidente de seguridad
La razón por la que esto es tan doloroso se remonta a una sola elección: dejar que compradores individuales tengan logins brutos de plataforma. La dinámica de esa elección está expuesta en por qué los logins compartidos están matando tu agencia de anuncios, y la baja es donde llega la factura. Una credencial es algo copiable. Una vez que una persona la tiene, puede vivir en un navegador, un teléfono, una app de notas, un gestor de contraseñas que no administras. Revocarla significa encontrar y neutralizar cada copia, y nunca puedes estar totalmente seguro de haberlo hecho.
Empeora cuantas más cuentas gestiona un comprador, que es exactamente al revés. Un comprador en quien se confían sesenta cuentas es tu operador más valioso y, el día que se va, tu mayor exposición. Las agencias que intentan resolver esto con logins separados por comprador y por cliente acaban ahogadas en credenciales —la trampa diseccionada en logins separados frente a una capa operativa real— y simplemente han multiplicado las puertas que luego tendrán que encontrar y cerrar. Más logins no es más seguridad; es más superficie que olvidar.
Tratar la salida de un comprador como un proyecto de rotación de credenciales significa que ya has perdido. La única baja que es realmente segura es aquella en la que nunca hubo una credencial en manos del comprador que rotar, donde el acceso era un rol que el sistema concede y el sistema puede retirar, no un secreto que la persona se lleva.
La diferencia: el comprador nunca tuvo un login de Meta
Esto es lo que hizo que el viernes de esta agencia fuera un no-evento. Años antes había dejado de dar a los compradores credenciales de plataforma en absoluto. El Business Manager de cada cliente se conectaba a la capa operativa de la agencia una vez, a través de un token de System-User —una credencial a nivel de plataforma conectada una sola vez, tras lo cual la capa descubría los Business Managers y cuentas conectados del cliente automáticamente—. Ese token pertenecía al sistema, no a ninguna persona. Ningún comprador lo vio, lo tecleó o lo guardó nunca.
Los compradores, en cambio, operaban a través de roles internos por encima de esa conexión. Un comprador entraba en la capa operativa de la agencia con su propio asiento nominal y un rol acotado, y desde ahí lanzaba, editaba e informaba en cada plataforma que el cliente usaba —Meta, Google, TikTok, Taboola y el resto— sin tocar nunca un login nativo. El mismo arreglo que hace limpio el alta, descrito en cómo dar de alta una cuenta de cliente sin compartir un login de Meta, es lo que hace instantánea la baja. El poder del comprador para actuar provenía enteramente de un rol que la agencia controlaba, y un rol no es un secreto: no puede copiarse a un portátil ni guardarse en un navegador, porque no hay nada que copiar. Es un interruptor que el sistema tiene, y el sistema puede accionarlo.
Todo el problema de la baja se disuelve en el momento en que el acceso deja de ser una credencial que la persona lleva y se convierte en un rol que el sistema concede. No puedes perder lo que nunca repartiste, y no puedes fallar al revocar lo que nunca fue un secreto en primer lugar. La solución para la mala semana es una decisión tomada el primer día.
La revocación en un clic
Así que la baja real tomó una acción. En el último día del comprador, el responsable de operaciones abrió la capa operativa de la agencia, encontró su asiento nominal, y quitó su rol. Ese fue todo el procedimiento. Como su capacidad para tocar cualquier cuenta fluía a través de ese único rol interno —no a través de sesenta credenciales dispersas— retirarlo terminó su acceso a cada Business Manager conectado y cada plataforma en el mismo instante. Sin hoja de logins. Sin cambios de contraseña propagándose por credenciales compartidas y bloqueando a sus colegas. Sin semillas de doble factor que reemitir. Sin Business Managers de cliente que peinar esperando que no le hubieran añadido en algún sitio sin registrar.
Y, crucialmente, nada más se rompió. El token de System-User a través del cual operaba todo el equipo se mantuvo exactamente como estaba, así que todos los demás compradores siguieron trabajando sin interrupción y ni una sola cuenta tuvo que reconectarse. La agencia quitó a una persona del sistema; no perturbó el sistema. El contraste con la pesadilla de la rotación de credenciales es total: una es una acción administrativa controlada que tarda segundos, la otra es una búsqueda-y-esperanza de varios días en cuatro plataformas. Evitar este escenario exacto es uno de los errores de permisos de agencia que vale la pena diseñar desde el principio, porque no puedes incorporarlo limpiamente bajo la presión de una salida real.
La baja en un clic no es una función que atornillas al final. Es la consecuencia natural de un modelo de permisos sólido: si el acceso es un rol y el rol vive en un solo lugar, revocarlo es un solo movimiento. Las agencias que pueden hacer esto nunca tuvieron que aprender cómo; simplemente nunca le dieron a nadie una llave que pudiera sobrevivir a su empleo.
El registro de auditoría que confirmó que estaba limpio
Revocar el acceso respondió a «¿puede seguir tocando algo?» con un no limpio. La segunda pregunta que toda baja responsable hace es «¿qué tocó antes de irse?», y como cada comprador operaba bajo un rol nominal, la respuesta fue igualmente limpia. Cada cambio que el comprador saliente había hecho se le atribuía por nombre y marca de tiempo en el historial de acciones. El responsable de operaciones filtró el historial a su asiento, lo acotó a sus últimas semanas, y leyó una lista corta y ordenada de exactamente lo que había hecho en cada cuenta de cliente.
No había nada inusual que limpiar, y ahora la agencia podía decirlo con evidencia en lugar de esperanza. Los dos clientes de su cartera fueron traspasados a un nuevo responsable con un mapa completo y atribuido de sus cambios recientes, sin decisiones huérfanas. En el viejo mundo del login compartido esa revisión era imposible: los cambios se sellaban con una identidad de propietario compartida, así que no había forma de aislar la huella de una persona. Los roles nominales hicieron la salida auditable además de instantáneamente revocable, las dos cosas que una baja limpia realmente requiere.
Qué cambia esto para la confianza del cliente y las revisiones de riesgo
Los efectos derivados llegaron más allá del lado de IT del escritorio. Cuando un cliente potencial —o su equipo de seguridad— pregunta a una agencia «¿qué pasa con el acceso cuando una de vuestras personas se va?», la mayoría de las agencias dan una respuesta procedimental sobre rotar contraseñas y revocar permisos, que admite en voz baja que el acceso estaba repartido en credenciales que ahora hay que cazar. Esta agencia podía dar una respuesta estructuralmente mejor: nuestros compradores nunca tienen vuestras credenciales de plataforma, así que una salida es una sola revocación, no una limpieza. Esa respuesta gana revisiones de seguridad y los cuestionarios que cada vez más acompañan a las cuentas grandes y a las renovaciones de seguros cibernéticos.
También cierra una responsabilidad silenciosa. Una agencia que no puede demostrar que un ex empleado perdió todo el acceso carga con esa exposición en cada cliente del que alguna vez dio de baja a un comprador. El modelo de System-User y roles nominales convierte ese riesgo vigente en un evento registrado, instantáneo y verificable. Para el resto del playbook sobre gestionar el acceso multicliente de forma segura, el clúster de herramientas de agencia reúne las piezas conectadas —alta, permisos, el registro de auditoría y baja— en un solo modelo operativo.
La lección: si nadie tiene la credencial, la baja deja de ser un simulacro de incendio
Da un paso atrás del viernes y la lección es casi vergonzosamente simple. Cada baja dolorosa es la factura tardía de un alta fácil, del día en que alguien le dio a un comprador un login porque era la forma rápida de ponerlo a trabajar. La credencial pareció una pequeña comodidad al entrar y se convirtió en una búsqueda de seguridad al salir, multiplicada por cada cuenta que el comprador tocó alguna vez.
Las agencias que dan de baja en un clic no encontraron una forma más rápida de cazar credenciales. Eliminaron la caza por completo al nunca distribuir credenciales en primer lugar. Conecta cada cuenta una vez a través de un token de System-User, deja que los compradores operen a través de roles nominales por encima, y una renuncia se convierte en lo que debería ser: un momento de gratitud y un solo clic, no una semana de pavor y una duda persistente sobre la puerta que podrías haber dejado abierta. Los planes de Wevion empiezan en un tier gratuito permanente (€0), luego Starter a €99/mes, Pro a €499/mes y Plus a €1.499/mes, con una prueba de 14 días en cada tier de pago que coexiste con el plan gratuito, suficiente para conectar un Business Manager a través de un token de System-User y sentir, antes de comprometerte, qué diferente se vuelve la baja cuando nadie tuvo nunca la llave.
Preguntas frecuentes
The Ad Signal
Insights semanales para media buyers que no adivinan. Un email. Solo señal.
Artículos relacionados
Los Logins Compartidos Están Matando tu Agencia de Ads: El Caso de los Accesos por Rol
Una sola password compartida parecía eficiente con tres clientes. Con treinta, es deuda operativa: cero accountability, cero seguridad, cero registro defendible. Así sustituyes el login compartido para siempre con siete niveles de permiso acotados.
Logins Separados por Tienda vs. Una Capa Operativa Multimarca
Hay dos formas de gestionar un portfolio de tiendas: saltar entre logins separados por marca, u operarlas todas desde una sola capa. Esta es una comparación honesta, lado a lado, de los dos modelos — esfuerzo, riesgo de error, reutilización, reporting y la única pregunta que los separa: ¿puede de verdad lanzar campañas, o solo mirarlas?
7 Errores de Permisos que Ponen en Riesgo las Cuentas Ads de tus Clientes
La mayoría de los problemas de seguridad de una agencia no son ataques. Son errores de permisos que se acumulan en silencio: logins compartidos, analistas con demasiado acceso, permisos a nivel de toda la cuenta. Aquí van siete, y el fix basado en roles para cada uno.