Cómo una Agencia Incorporó 80 Cuentas de Clientes Sin un Solo Login Compartido
Davide Ferraro
Responsable de Operaciones de Agencia
El punto de quiebre llegó, como suele ocurrir, como una hoja de cálculo. Una agencia de media buying que había crecido de un puñado de clientes a un portafolio extenso mantenía una pestaña llamada "Logins": una fila por cliente, columnas para usuario, contraseña, respaldo de 2FA y la fecha del último cambio. El día que esa hoja cruzó las ochenta filas, el responsable de operaciones dejó de hacer scroll y admitió lo obvio: esto no era un sistema, era una responsabilidad con barra de búsqueda. Esta es la historia de cómo esa agencia aprendió a incorporar una cuenta publicitaria de cliente sin compartir login en absoluto: un token System-User introducido una vez, descubrimiento automático revelando cada cuenta, y roles internos en lugar de contraseñas.
Respuesta rápida: En lugar de recopilar el usuario y la contraseña de Meta de cada cliente, la agencia conectó las cuentas a través de un token System-User introducido una vez. El descubrimiento automático vía el business_id reveló cada Business Manager y cuenta publicitaria que ese token podía alcanzar, y los buyers trabajaron mediante acceso interno basado en roles. Nadie tuvo nunca un login directo de Meta, así que incorporar dejó de ser un traspaso de credenciales y dar de baja se convirtió en un solo clic.
Esto es un compuesto extraído de patrones comunes de agencia, pero el modo de fallo y la solución son reales. Los números exactos son ilustrativos; la dispersión de credenciales, y la forma en que se vuelve peligrosa a medida que una agencia escala, no lo son.
El punto de quiebre: un login por cada cliente
Durante sus primeros años, la agencia incorporaba clientes de la única forma que conocía. Un cliente nuevo firmaba, y la llamada inicial terminaba con la misma petición incómoda: "¿Puedes compartir tu login de Meta para que entremos a la cuenta publicitaria?" A veces el cliente entregaba su contraseña personal de Facebook. A veces creaba un usuario desechable con permisos de admin. De cualquier forma, la agencia se iba con una credencial más que almacenar, y la pestaña "Logins" crecía una fila.
Con diez clientes esto era molesto. Con ochenta era un riesgo a tiempo completo. Cada contraseña que cambiaba del lado del cliente rompía el acceso en silencio hasta que una campaña quedaba obsoleta. Cada aviso de 2FA aterrizaba en un teléfono de una sola persona, que se convertía en un único punto de fallo para todo el libro de negocio. Y nadie podía responder la pregunta que debería tener una respuesta de una palabra: ¿quién, exactamente, tiene acceso a la cuenta de este cliente ahora mismo?
Una agencia no siente el coste de los logins compartidos con cinco clientes. Lo siente todo de golpe en algún punto pasados los cincuenta, cuando la lista de credenciales se vuelve una responsabilidad que nadie posee y cada cliente nuevo la empeora. El modelo que te puso en marcha es el modelo que te pone un techo.
Por qué los logins compartidos eran el riesgo real
La agencia había asumido que su riesgo vivía en el performance: una mala semana, un objetivo no alcanzado. La exposición real era la hoja de logins. Como exponemos en por qué los logins compartidos están matando tu agencia de anuncios, una credencial compartida es lo peor de todos los mundos a la vez: no puede atribuirse, no puede revocarse de forma segura y no puede auditarse.
Tres fallos se apilaban. Primero, las semillas de 2FA y las contraseñas vivían en un gestor de contraseñas, así que el acceso a una bóveda era el acceso a ochenta clientes, una superficie de brecha que ningún cliente habría aprobado. Segundo, los junior tenían acceso completo por defecto, porque un login compartido no tiene noción de roles; entregar a un buyer nuevo "la contraseña" le entregaba todo. Tercero, dar de baja era una cacería manual: cuando un buyer se iba, alguien tenía que recordar cada Business Manager que ese buyer había tocado y retirar el acceso a mano, cuenta por cuenta, esperando no haberse dejado nada.
Eso último mantenía al responsable de operaciones despierto por la noche. Un buyer que se va con acceso persistente en decenas de Business Managers de clientes es el resultado por defecto de un modelo de login compartido, exactamente el tipo de hueco catalogado en nuestro repaso de errores de permisos en cuentas publicitarias de agencia.
El peligro de un login compartido no es que alguien lo adivine. Es que nunca puedes probar limpiamente quién lo tiene, acotarlo o quitarlo. Para una agencia que sostiene la confianza de ochenta clientes, "no estamos del todo seguros de quién sigue teniendo acceso" es una frase que termina relaciones.
El cambio: conectar con un token, no con una contraseña
El cambio fue menos una herramienta nueva que un nuevo modelo mental: dejar de tratar el acceso a la cuenta como una credencial que recopilar, y empezar a tratarlo como una conexión que establecer una vez. La agencia movió su portafolio a Wevion y conectó las cuentas de clientes a través de un token System-User en lugar de un login personal.
La mecánica era casi anticlimática. Para cada cliente, la agencia estableció un token System-User contra el Business Manager del cliente: una conexión sancionada, a nivel de máquina, que no depende de la contraseña personal ni del 2FA de nadie. El token se introducía una vez. Luego el descubrimiento automático hacía la parte que solía tardar una tarde: leyendo el business_id, revelaba cada cuenta publicitaria y Business Manager que ese token podía alcanzar y los traía al espacio de trabajo automáticamente, sin copiar IDs de cuenta entre pantallas, sin cuentas olvidadas descubiertas tres semanas después.
Un login compartido es un secreto que tienes que proteger para siempre. Un token System-User es una conexión que estableces una vez y luego gobiernas, la distinción explorada en logins separados frente a una capa operativa multimarca. La agencia ya no estaba en el negocio de almacenar contraseñas. Estaba en el negocio de conceder acceso.
Cuando conectas una cuenta con un token en lugar de una contraseña, incorporar deja de ser un traspaso de secretos y se convierte en el establecimiento de una conexión gobernada. Conectas una vez; nunca vuelves a circular una credencial. Esa única inversión es lo que hace que los siguientes ochenta clientes escalen en lugar de acumularse.
Mapear el equipo a roles, no a credenciales
Con las cuentas conectadas, la agencia se enfrentó a la pregunta que la era del login compartido nunca le había dejado plantear limpiamente: ¿quién del equipo debería poder hacer qué, en qué cliente?
El control de acceso interno basado en roles convirtió eso en una configuración, no en una credencial. A cada buyer se le dio un rol acotado a las cuentas que realmente trabajaba. Un senior del listado enterprise obtuvo acceso amplio allí y ninguno en el libro de pequeñas empresas. Un junior obtuvo exactamente las cuentas asignadas a él y nada más. Crucialmente, conceder ese acceso nunca implicó entregar un login de Meta: el token subyacente se quedaba con la agencia, y el buyer simplemente operaba dentro del espacio de trabajo bajo su rol con nombre.
Esta es la mitad del sistema que los logins compartidos hacen imposible. No puedes acotar una contraseña: solo puedes darla o retenerla. Los roles permiten a la agencia conceder el acceso preciso que una persona necesita y nada más, que es la premisa detrás del flujo de incorporación disciplinado que describimos en el manual de incorporación de cliente de la primera semana de la agencia. El acceso se convirtió en algo que asignas, revisas y ajustas, no un secreto que esperas que siga contenido.
Conceder acceso por rol en lugar de por contraseña cambia lo que es incorporar. Dejas de preguntar "¿debería esta persona recibir el login?" —una pregunta binaria, de todo o nada— y empiezas a preguntar "¿qué debería poder hacer esta persona aquí?", que es la pregunta que una operación real necesita responder de todos modos.
Incorporar al siguiente cliente en la primera semana
La prueba apareció la siguiente vez que la agencia firmó un cliente. En el modelo antiguo, incorporar una cuenta nueva era un asunto de varios días y lleno de tensión: perseguir al cliente por las credenciales, almacenarlas, probar el acceso, descubrir una subcuenta que nadie mencionó, perseguir de nuevo, y por fin tener a un buyer trabajando para el final de la segunda semana.
El flujo nuevo colapsó eso. La agencia estableció el token System-User, el descubrimiento automático reveló las cuentas y Business Managers del cliente en una sola pasada, y el responsable de operaciones asignó a los buyers sus roles. El buyer estaba trabajando dentro del espacio de trabajo en la primera semana, no esperando un reseteo de contraseña, no bloqueado por un aviso de 2FA enrutado a alguien de vacaciones. El cliente, por su parte, se sintió aliviado de no entregar su contraseña personal de Facebook a una agencia externa, convirtiendo una petición inicial incómoda en un punto de confianza.
La señal más clara de que un modelo de incorporación está roto es cuánto tarda en poner a un buyer trabajando productivamente en una cuenta nueva. Cuando eso cae de unas tensas dos semanas a una limpia primera semana, no solo has ahorrado tiempo: has eliminado la parte de la incorporación que ponía nerviosos tanto a la agencia como al cliente.
Qué cambió para la seguridad y la auditoría
La historia de seguridad fue la parte que el responsable de operaciones no había anticipado del todo. Dos cosas mejoraron drásticamente a la vez.
Dar de baja pasó de una cacería a un clic. Cuando un buyer se iba, no había lista de Business Managers que peinar ni contraseña compartida que resetear en ochenta clientes. El rol del buyer se revocaba en el espacio de trabajo, y su acceso terminaba en todas partes a la vez, en efecto en una sola acción. La ansiedad del "¿lo retiramos todo?" desapareció, porque el acceso nunca había estado disperso en credenciales en primer lugar.
Y la agencia por fin podía responder la pregunta del acceso. Como cada buyer trabajaba bajo un rol con nombre en lugar de una identidad compartida, la agencia tenía una imagen clara de quién podía tocar qué, y un registro de quién lo hizo: los permisos deciden quién puede cambiar una cuenta, y el rastro registra qué cambiaron. Una agencia que maneja su portafolio así puede decirle a cualquier cliente precisamente quién tiene acceso y qué ha hecho, que es una conversación distinta a "creemos que fue uno de nuestros buyers".
La recompensa silenciosa de conectar con un token y conceder roles es que las dos preguntas de agencia más difíciles —quién tiene acceso, y cuán rápido podemos quitarlo— obtienen respuestas fáciles. Incorporar se volvió más rápido, pero dar de baja se volvió seguro, y para una agencia que sostiene las cuentas de muchos clientes, lo seguro vale más.
La vista de portafolio: un espacio de trabajo, seis plataformas
El modelo de token y roles no era una comodidad solo-Meta. El mismo principio —conecta una cuenta una vez, concede roles internos, nunca circules una credencial— se extiende a las seis plataformas que el espacio de trabajo soporta: Meta, Google, TikTok, Taboola, Snapchat y Outbrain. Un cliente que corría Meta y TikTok y un poco de Taboola ya no era tres problemas de login. Era un cliente conectado en un espacio de trabajo, con los buyers de la agencia trabajando cada canal bajo el mismo rol que ya tenían.
Esa consolidación por fin retiró la pestaña "Logins" para siempre. La agencia no manejaba ochenta contraseñas en seis plataformas —un número que habría llegado a cientos de credenciales—. Manejaba un portafolio, gobernado por roles, conectado por tokens, visible en un solo lugar. El resto del manual operativo vive en el hub de herramientas de agencia.
Sobre el pricing, el modelo escala con el portafolio en lugar del equipo: los asientos son ilimitados en cada plan, así que añadir buyers nunca cuesta más, y las cuentas en paralelo escalan de tres en el tier Free permanente (€0) pasando por Starter a €99/mes y Pro a €499/mes hasta ilimitadas en Plus a €1.499/mes (€1.199 anuales, facturados al año con -20%), con Enterprise como plan a medida. Cada tier de pago incluye una prueba de 14 días que coexiste con el plan gratuito.
El propósito de una vista de portafolio no es un panel más bonito. Es que el modelo de acceso —conecta una vez, concede roles, revoca en un clic— funciona idénticamente tanto si un cliente corre una plataforma como las seis. La agencia dejó de tener un problema de login por canal y empezó a tener una operación gobernada.
La lección: separa la capa operativa de la credencial
Preguntado qué le diría a una versión más joven de la agencia, el responsable de operaciones es directo: el error fue tratar el acceso a la cuenta y la herramienta operativa como la misma cosa. No lo son. La credencial —la contraseña, la semilla de 2FA— es del cliente. La capa operativa, donde tus buyers lanzan, editan y reportan, es tuya. La era del login compartido las fusionó, y esa fusión era la fuente de cada problema: la dispersión, las cacerías de baja, la pregunta de acceso sin respuesta.
Separarlas es toda la solución. Conecta la cuenta una vez a través de un token System-User, deja que el descubrimiento automático revele todo lo que ese token puede alcanzar, y da a tu equipo roles internos en lugar de contraseñas. Haz eso, e incorporar al cliente número ochenta y uno se parece a incorporar al primero —una conexión establecida y unos pocos roles asignados— en lugar de una fila más en una hoja de cálculo que debería haber dejado de crecer hace mucho. La agencia que puede incorporar una cuenta de cliente sin compartir un login es la que puede seguir añadiendo clientes sin que su riesgo se acumule junto a ellos.
Preguntas frecuentes
The Ad Signal
Insights semanales para media buyers que no adivinan. Un email. Solo señal.
Artículos relacionados
Los Logins Compartidos Están Matando tu Agencia de Ads: El Caso de los Accesos por Rol
Una sola password compartida parecía eficiente con tres clientes. Con treinta, es deuda operativa: cero accountability, cero seguridad, cero registro defendible. Así sustituyes el login compartido para siempre con siete niveles de permiso acotados.
Logins Separados por Tienda vs. Una Capa Operativa Multimarca
Hay dos formas de gestionar un portfolio de tiendas: saltar entre logins separados por marca, u operarlas todas desde una sola capa. Esta es una comparación honesta, lado a lado, de los dos modelos — esfuerzo, riesgo de error, reutilización, reporting y la única pregunta que los separa: ¿puede de verdad lanzar campañas, o solo mirarlas?
Cómo una Agencia Hace Onboarding de una Cuenta Nueva en la Primera Semana con Wevion
Un nuevo retainer firma el lunes. La mayoría de agencias pasa la primera semana en el caos: solicitudes de acceso dispersas, tagging improvisado, una carrera por el primer reporte. Así es como una agencia ejecuta todo el onboarding como una sola secuencia y termina el viernes con roles, UTMs y un reporte programado ya en marcha.