El error que vemos constantemente

Cuando una empresa implementa su primera integración —por ejemplo, conectar Zapier con su CRM y su sistema de facturación— la forma más rápida de hacerlo es usar las credenciales de alguien del equipo. Normalmente el CEO, el responsable de IT, o quien esté configurando la integración.

Esto funciona. Pero es un error de seguridad serio por tres razones:

  • Si la persona se va de la empresa, dar de baja su cuenta rompe todas las integraciones que usan sus credenciales
  • Si la cuenta tiene permisos de administrador, la integración también los tiene — y probablemente no los necesita
  • Si las credenciales se filtran, el atacante tiene acceso a todo lo que esa persona puede hacer

Qué es una cuenta de servicio

Una cuenta de servicio es una cuenta creada específicamente para que la use una aplicación o un proceso automatizado, no una persona. Tiene un nombre descriptivo (como integracion-crm-erp@empresa.com), no tiene contraseña que ninguna persona recuerde, y sus permisos están limitados exactamente a lo que necesita.

La mayoría de herramientas empresariales permiten crear cuentas de servicio o, como mínimo, tokens de API con permisos limitados. Google Workspace, Microsoft 365, Salesforce, HubSpot, Holded… todas lo soportan.

El principio de mínimo privilegio

El principio de mínimo privilegio dice que cualquier sistema, proceso o usuario debería tener exactamente los permisos que necesita para hacer su trabajo, y ninguno más.

Aplicado a integraciones: si una automatización necesita leer los contactos del CRM y crear facturas en el sistema de facturación, su cuenta de servicio debería poder solo hacer eso. No debería poder borrar registros, acceder a datos de recursos humanos, ni exportar la base de datos completa.

Cómo implementarlo en la práctica

1. Identifica qué operaciones necesita la integración

Antes de crear la cuenta, lista qué tiene que hacer exactamente. ¿Solo leer? ¿Leer y crear? ¿Actualizar registros específicos? Sé concreto.

2. Crea la cuenta de servicio con nombre descriptivo

El nombre debe dejar claro su propósito: zapier-crm-sync, n8n-facturacion, make-stock-alerts. Si en un año alguien revisa las cuentas del sistema, debe entender para qué sirve cada una sin tener que preguntar.

3. Asigna solo los permisos necesarios

Si el sistema lo permite, usa roles predefinidos. Si no, crea un rol personalizado con los permisos mínimos. Empieza sin permisos y añade solo los que la integración necesita para funcionar.

4. Usa tokens de API, no contraseñas

Los tokens de API son más seguros que las contraseñas porque se pueden revocar individualmente, tienen scope (permisos) definidos, y se pueden monitorizar. Nunca guardes contraseñas en texto plano en un flujo de automatización.

5. Rota los tokens periódicamente

Los tokens de API deberían tener una fecha de expiración o rotarse manualmente cada 6-12 meses. La mayoría de plataformas lo hacen automáticamente si lo configuras.

Señal de alerta: si en tu empresa alguna integración usa las credenciales de una persona que ya no trabaja allí, o si no sabes qué cuenta usa una integración crítica, es el momento de revisar y limpiar.

El coste de hacerlo bien

Crear una cuenta de servicio con permisos correctos tarda entre 30 y 60 minutos más que usar las credenciales de alguien del equipo. Es el tiempo mejor invertido en cualquier proyecto de integración. El coste de gestionarlo mal —cuando una integración crítica se rompe porque alguien se fue, o cuando hay que auditar qué accedió a qué después de un incidente— es mucho mayor.