Introducción
Durante veintiún meses, un exadministrador de sistemas de un distrito escolar en Iowa llevó a cabo una serie de ataques deliberados contra su antiguo empleador, operando cómodamente desde su domicilio. El 11 de junio de 2026, Ezekiel Dean Potter, de 34 años, fue condenado a veintiún meses de prisión y tres años de libertad condicional por violaciones a la Computer Fraud and Abuse Act. Este caso es relevante no por la sofisticación técnica de los ataques, sino por lo que expone: una falla organizacional que afecta a organizaciones de todo tamaño, la gestión deficiente del offboarding de TI.
Una salida sin desconexión real
Potter se desempeñó como técnico de soporte senior en el Saydel Community School District, en la región de Des Moines, desde mayo de 2022 hasta abril de 2023. Al finalizar su relación laboral, debió haber perdido todo acceso a los sistemas de la institución. No fue así.
Aprovechando credenciales que nunca fueron revocadas, ejecutó una campaña de sabotaje metódica. Eliminó la página de Facebook del distrito. Comprometió el acceso a Apple School Manager —herramienta central para la gestión de dispositivos y cuentas de alumnos—, lo que derivó en la eliminación de identidades digitales, números de teléfono y datos de gestión de flota, generando casi una semana de interrupciones en las actividades académicas. Luego atacó la plataforma de aprendizaje Schoology, eliminó la cuenta de un administrador de TI y provocó dos horas de interrupción de clases. Nueve cuentas de Gmail de empleados —incluyendo las del director de TI y del director general— también fueron borradas. Para ocultar su rastro, Potter utilizaba sistemáticamente un servicio de VPN.
El costo total de remediación para el distrito y su aseguradora ascendió a cerca de 60 000 dólares.
Una memoria USB en el cajón de su nuevo empleo
La caída de Potter también ilustra los riesgos asociados a las malas prácticas individuales en la gestión de credenciales. Fue un compañero de su nuevo empleador quien desencadenó el proceso judicial: encontró una memoria USB con nombres de usuario y contraseñas correspondientes a cuentas del distrito escolar, y la entregó a las autoridades. El extécnico conservaba credenciales de su antiguo empleador en un soporte físico meses después de haber dejado el cargo.
El offboarding de TI: un proceso de seguridad, no un trámite de RRHH
Lo que este caso pone en evidencia no es una vulnerabilidad técnica, sino una falla organizacional. La revocación de accesos cuando un colaborador abandona la organización —ya sea de forma voluntaria o no— suele tratarse como una tarea administrativa más, delegada a un checklist de Recursos Humanos que frecuentemente queda incompleto.
Sin embargo, en cualquier organización donde los equipos de TI administran acceso a múltiples servicios —cuentas en la nube, herramientas SaaS, directorios corporativos, plataformas de negocio—, el riesgo de accesos residuales es significativo. Una cuenta olvidada en un proveedor SaaS, un token de API que nunca expiró, un acceso compartido no nominativo: cualquiera de estos puntos puede convertirse en una puerta de entrada para un ex empleado malintencionado o para un atacante externo que haya obtenido credenciales en circulación.
Las buenas prácticas están documentadas: revocación inmediata y sistemática al momento de la salida, auditoría de los accesos otorgados a lo largo de toda la relación laboral, transferencia de propiedad de las cuentas de servicio y revisión periódica de los derechos activos para cuentas inactivas. Su aplicación, sin embargo, sigue siendo irregular, especialmente en organizaciones medianas donde el área de TI opera en modo reactivo.
Lo que las organizaciones deben retener
La condena de Potter cierra un expediente judicial, pero no resuelve la cuestión estructural que plantea. Cada salida de un colaborador con privilegios elevados es una operación de riesgo si no está respaldada por un protocolo riguroso de offboarding de TI. En el caso del Saydel Community School District, la ausencia de ese protocolo costó 60 000 dólares, varias semanas de interrupciones académicas y expuso datos personales de alumnos y docentes.
Para las organizaciones B2B, los riesgos suelen ser mayores: datos de clientes, acceso a entornos de producción, permisos sobre herramientas financieras o contractuales. Un offboarding mal ejecutado no solo resulta costoso de remediar. También resulta costoso de explicar.