Meta for Business: Permisos, Roles y Acceso Seguro

27.02.2026

Co-founder & CTO

Expert in Software automation and client onboarding

Meta for Business: Permisos, Roles y Acceso Seguro

Si gestionas clientes en Meta, la forma más rápida de lograr un éxito temprano es darle a las personas adecuadas el acceso correcto desde el principio. Otorgar demasiado acceso aumenta el riesgo. Otorgar muy poco bloquea lanzamientos, seguimiento y facturación. Esta guía desglosa cómo funcionan realmente los permisos de Meta for Business, qué roles asignar para trabajos comunes en agencias y cómo mantener el acceso seguro sin ralentizar la incorporación.

El modelo de acceso de Meta en palabras simples

El acceso a Meta Business tiene tres capas que funcionan juntas:

Roles de negocio, establecidos a nivel de negocio. Roles de Admin, Empleado y Finanzas que controlan quién puede gestionar configuraciones, personas y pagos.
Permisos de activos, establecidos en activos específicos. Por ejemplo, Ad Account Admin, Advertiser o Analyst. Las páginas y catálogos tienen sus propios conjuntos de roles.
Cómo conectas personas, socios y usuarios del sistema. Las personas son usuarios humanos, los socios son empresas a las que les otorgas acceso a activos, y los usuarios del sistema son cuentas de servicio utilizadas por aplicaciones o servidores.

Dos principios centrales impulsan configuraciones seguras:

Usa acceso de Socio para agencias, no Admin de Negocio en la empresa del cliente. El cliente mantiene la propiedad y la agencia obtiene permisos limitados.
Sigue el principio de menor privilegio. Otorga solo lo que el rol necesita, luego eleva temporalmente cuando el trabajo lo requiere.

Para definiciones de roles y scopes oficiales, consulta el Centro de Ayuda de Meta Business. Un buen punto de partida es la sección Roles y Permisos en el centro de ayuda en el Centro de Ayuda de Meta Business.

Recetas de roles por función de trabajo

Usa estas plantillas de línea base y eleva solo cuando sea necesario.

| Función | Rol de negocio | Cuenta de anuncios | Página | Instagram | Píxel | Catálogo | Comercio o Facturación | |---------|----------------|-----------|------|-----------|-------|---------|---------------------|| | Comprador de medios | Ninguno en el negocio del cliente, usa acceso de Socio | Advertiser por defecto, Admin solo durante migraciones | Advertiser o acceso a anuncios basado en tareas | Asignar a la cuenta de anuncios para usar en anuncios | View o Edit si gestionan eventos | Advertiser para usar en campañas | Sin acceso | | Creativo o social | Ninguno en el negocio del cliente, usa acceso de Socio | Ninguno a menos que se impulsen anuncios a través de Ads Manager | Editor o publicación basada en tareas y moderación | Acceso a contenido y mensajería | View | View | Sin acceso | | Analista | Ninguno en el negocio del cliente, usa acceso de Socio | Analyst | Solo información | Solo información | View | View | Sin acceso | | Desarrollador o seguimiento | Ninguno en el negocio del cliente, usa acceso de Socio | Ninguno a menos que QA necesite reportes | Ninguno | Ninguno | Admin o Editor según sea necesario para Conversions API | Ninguno | Sin acceso | | Finanzas | Finance Analyst o Editor, no Admin de Negocio | Admin si gestionan métodos de pago | Ninguno | Ninguno | Ninguno | Ninguno | Finance Analyst para ver facturas o Finance Editor para gestionar pagos |

Notas:

Las páginas tienen roles clásicos y acceso basado en tareas en la nueva experiencia de Página. Otorga solo las tareas necesarias, como Crear anuncios o Ver información.
Las cuentas de Instagram suelen estar vinculadas a cuentas de anuncios para uso de anuncios. No otorgues acceso amplio de gestión a menos que la persona maneje contenido o mensajes.
Los píxeles y otras fuentes de datos tienen derechos de vista o gestión. Mantén los derechos de gestión limitados, porque esto incluye configurar eventos y compartir datos.

Acceso de Socio vs. acceso de Personas

Usa acceso de Socio cuando trabajas como agencia externa. Esto mantiene al cliente en control y te permite limitar activos de manera precisa.

El acceso de Socio suele ser más seguro y rápido porque:

El cliente puede asignar múltiples activos en un lugar.
Evitas agregar docenas de correos externos como Personas en el negocio del cliente.
La desincorporación es una sola acción, eliminar el socio, y la agencia pierde todo acceso a activos de una vez.

Cuándo agregar Personas en su lugar:

Los empleados internos del cliente, o contratistas que efectivamente operan como personal interno.
Solución de problemas a corto plazo cuando el enrutamiento de socios está bloqueado. Elimina el acceso inmediatamente después.

Consulta el Centro de Ayuda de Meta Business para los pasos más recientes para agregar un Socio y asignar activos.

Lista de verificación de acceso seguro antes de comenzar

Confirma que la verificación de negocio del cliente y el admin principal estén en su lugar.
Activa la aplicación de dos factores en el negocio. Requiere 2FA para todos con acceso.
Prohíbe inicios de sesión compartidos. Cada usuario debe tener una cuenta nombrada vinculada a un correo de trabajo.
Registra IDs de activos por adelantado. Business ID, Ad Account ID, Page URL o ID, Pixel ID, Catalog ID, estado del Dominio.
Decide las recetas de permisos predeterminados por rol. No improvises durante el kickoff.
Separa la autoridad de facturación de la gestión de campañas. Finanzas maneja métodos de pago, no compradores de medios.
Planifica la desincorporación antes de la incorporación. Documenta quién elimina el acceso y dónde registras el cambio.

Para pasos de cómo hacerlo en la configuración segura, consulta nuestra guía complementaria, Meta Business Setup: Secure Access Steps for Agencies.

Activo por activo, el permiso correcto para solicitar

Cuentas de anuncios

Admin, control total de campañas, personas y facturación. Úsalo solo cuando sea necesario, por ejemplo durante reestructuraciones o cambios de facturación.
Advertiser, puede crear y gestionar campañas y activos, no puede cambiar facturación o agregar usuarios.
Analyst, solo lectura para reportes, auditorías y QA.

Recomendado, los compradores de medios son Advertiser por defecto. Los analistas son Analyst. Finanzas obtiene Admin si agregan o gestionan métodos de pago.

Páginas de Facebook

Las páginas admiten roles clásicos y acceso basado en tareas. Para agencias, el acceso basado en tareas es más claro.

Control total, similar al Admin clásico, reservado para propietarios de clientes.
Control parcial, elige tareas como Crear contenido, Moderar mensajes, Crear anuncios, Ver información.

Recomendado, dale al Creative o Social las tareas que necesita, y da al Comprador de medios la tarea Crear anuncios cuando sea necesario.

Cuentas de Instagram

A menudo se usa como identidad para anuncios. Asigna la cuenta de Instagram a la cuenta de anuncios y otorga acceso de contenido o mensajería solo si la persona maneja gestión de comunidad.

Píxeles y Events Manager

Acceso Manage o Edit permite a los usuarios cambiar eventos, configurar fuentes de Conversions API y compartir datos con cuentas de anuncios.
View permite a los usuarios ver señales y diagnosticar problemas sin cambiar la configuración de eventos.

Recomendado, los desarrolladores obtienen Manage o Edit según sea necesario. Los compradores de medios típicamente necesitan solo View.

Catálogos

Admin gestiona elementos, fuentes y activos conectados.
Advertiser usa el catálogo en campañas.

Recomendado, asigna Advertiser para uso de anuncios dinámicos. Reserva Admin para el equipo de mercancía o desarrollo.

Dominios

Asegúrate de que los dominios estén verificados y asignados al negocio correcto. Restringe quién puede cambiar la prioridad del evento o la configuración de verificación.

Aplicaciones y acceso de desarrollador

Los roles de aplicación viven en Meta for Developers, no solo en Business Settings.

Los roles de aplicación incluyen Administrator, Developer y Tester. Asigna estos a usuarios nombrados solo.
Usa System Users para servidores y CAPI, nunca un token personal.

Consulta los documentos de Conversions API en el sitio de Meta Developer para orientación de implementación actual.

Desarrolladores y Conversions API, el camino seguro

Sigue este patrón para seguimiento del lado del servidor duradero y auditable:

Crea o usa una aplicación propiedad del Negocio. Evita aplicaciones personales para datos de producción.
Agrega un Usuario del Sistema en Business Settings, luego asigna el Píxel y activos relevantes.
Genera un token para el Usuario del Sistema solo con los scopes que tu integración necesita.
Almacena el token en un administrador de secretos, rota en un cronograma definido y nunca pegues tokens en chat o correo.
Prefiere integraciones de puerta de enlace o gestionadas que reduzcan la propagación de tokens y centralicen el registro.
Registra cada cambio de configuración. Quién creó tokens, quién cambió eventos, cuándo y por qué.

Para más detalle, comienza con la descripción general de Conversions API de Meta Developers.

Gobernanza que escala, sin ralentizar equipos

Revisiones de acceso trimestrales, exporta una lista de usuarios, socios y roles de activos. Elimina cualquier cosa que no esté justificada por un ámbito de trabajo activo.
Menor privilegio por defecto, luego elevación temporal para migraciones o auditorías. Degrada cuando la tarea esté completa.
Separación de funciones, facturación y pagos son separados de la creación de campañas. La administración de píxeles es separada de la compra de medios.
Registro de cambios, registra quién solicitó, aprobó y otorgó cualquier acceso nuevo.
Desincorporación, revoca acceso de socio, elimina personas y deshabilita tokens de usuarios del sistema. Documenta cada paso.

Para un manual operativo paso a paso, consulta Facebook Business Manager Access: Client Onboarding Checklist.

Nota de industria, clientes regulados

Algunas verticales conllevan riesgo de cumplimiento extra, por ejemplo healthcare, finanzas o transporte. Si anuncias para flotas o logística, mantén proveedores de cumplimiento separados del acceso a anuncios y usa proveedores autorizados para presentaciones. Para impuesto de uso de carreteras, un ejemplo sería usar un proveedor de presentación electrónica de Formulario 2290 autorizado por el IRS para el Anexo 1, mientras mantienes acceso de menor privilegio en activos de Meta. Sistemas diferentes, permisos diferentes, pistas de auditoría claras.

Solución de problemas de bloqueadores comunes de acceso

No puedes ser agregado a una cuenta de anuncios, verifica si la cuenta de anuncios es propiedad de un negocio diferente al que espera el cliente, o si ha alcanzado su límite de usuarios. El cliente puede necesitar reclamar o consolidar activos primero.
Las tareas de Página están atenuadas, confirma que la página está usando la nueva experiencia de Página y que el usuario que asigna tiene control total en la Página.
Píxel no visible en Events Manager, confirma que el píxel es propiedad del negocio del cliente, luego compártelo con la cuenta de anuncios y personas asignadas o socio.
Ediciones de facturación denegadas, asegúrate de que el usuario tenga Ad Account Admin o el rol Business Finance Editor dependiendo de lo que esté siendo cambiado.
Errores de Conversions API sobre scopes de permisos, regenera el token de usuario del sistema con los scopes requeridos y confirma que el usuario del sistema está asignado al píxel y cuenta de anuncios.

Si el problema parece un error de plataforma, prepara IDs de activos, capturas de pantalla y marcas de tiempo, luego contacta al soporte de Meta a través del Centro de Ayuda en el producto. Nuestro manual Navigating Facebook Ad Support cubre pasos de escalada e higiene de casos.

Una llamada de incorporación de agencia en un ambiente de oficina moderno, dos miembros del equipo revisando una lista de verificación en vivo en una computadora portátil que enumera Business ID, Ad Account ID, acceso a Página, acceso a Píxel y estado de 2FA. Una parte interesada del cliente se une a través de llamada de video en una segunda pantalla.

Un plan de lanzamiento de dos semanas que mantiene velocidad y seguridad

Semana 1, fundamentos

Define tus recetas de permisos por rol para activos de Meta y guárdalas en tu SOP.
Activa la aplicación de 2FA en cada negocio del cliente y confirma la verificación del negocio.
Inventaría activos e IDs. Reclama o verifica dominios y píxeles según sea necesario.

Semana 2, ejecución

Solicita acceso de Socio del cliente, adjuntando tu ID y la lista de activos y roles a asignar.
Implementa Conversions API con un usuario del sistema y documenta el manejo de tokens.
Ejecuta una prueba seca de acceso. Valida que cada rol pueda completar su tarea de principio a fin.
Programa una llamada de verificación de 15 minutos antes del lanzamiento. Corrige brechas en vivo.

Dónde encaja Connexify

Connexify convierte este manual en una experiencia repetible y de un solo enlace que los clientes realmente completan.

Incorporación de cliente de un solo enlace, envía un único enlace personalizado que capture IDs y dirija al cliente a otorgar acceso de socio o activo en minutos.
Experiencia de incorporación personalizada, mantén la apariencia y el sentimiento de tu agencia.
Soporta múltiples plataformas, reúne Meta con Google, TikTok, Pinterest y más.
Permisos personalizables, alinea nuestro flujo con tus recetas de roles y ámbitos de trabajo.
Opciones de etiqueta blanca, haz que la incorporación se sienta nativa para tu agencia.
Integraciones de API y webhook, envía metadatos de activos y estado de acceso a tus herramientas de CRM o PM.
Panel de usuario amigable, rastrea quién tiene acceso a qué, con estado en vivo.
Manejo seguro de datos, sin credenciales compartidas e sin instalaciones locales.
Sin instalación requerida y una prueba gratuita de 14 días para que puedas validar el ajuste rápidamente.

Explora cómo las agencias comprimen la configuración de días a minutos en nuestra guía sobre How Facebook Advertising Agencies Cut Onboarding Time.

Preguntas Frecuentes

¿Cuál es la diferencia entre roles de negocio y permisos de activos? Los roles de negocio rigen lo que un usuario puede hacer a nivel de empresa, por ejemplo gestionar personas, configuraciones o pagos. Los permisos de activos rigen lo que un usuario puede hacer dentro de un activo específico, por ejemplo crear campañas en una cuenta de anuncios o publicar en una Página.

¿Cuándo debe una agencia ser un Socio versus una Persona? Usa acceso de Socio para casi todas las relaciones de agencia. Mantiene la propiedad con el cliente, te permite asignar múltiples activos rápidamente y hace que la desincorporación sea una sola acción. Agrega Personas solo para personal interno o solución de problemas limitada y a corto plazo.

¿Quién necesita Ad Account Admin? Solo usuarios que gestionen facturación, agreguen o eliminen usuarios, o reestructuren cuentas. Los compradores de medios raramente necesitan Admin día a día. Advertiser más un proceso de elevación claro es más seguro.

¿Cómo mantenemos seguros los tokens de Conversions API? Usa una aplicación propiedad del Negocio con un Usuario del Sistema, asigna solo los activos requeridos, almacena tokens en un administrador de secretos y rota en un cronograma. Nunca uses tokens personales en producción y nunca compartas tokens en chat o correo.

¿Cuál es la forma más rápida de validar el acceso antes del lanzamiento? Aloja una llamada de verificación corta con el cliente. Comparte pantalla, confirma que cada rol puede realizar su tarea, y corrige brechas en vivo. El panel de Connexify te ayuda a ver permisos faltantes antes de la llamada.

¿Con qué frecuencia deberíamos auditar el acceso? Trimestral es una buena línea base. Audita más pronto después de cambios de equipo, cambios de ámbito o pausas de campaña.

Lanza rápido, mantente seguro

Dale a tu equipo el acceso que necesita sin comprometer la seguridad del cliente. Connexify lo hace simple, un enlace personalizado para tus clientes, permisos personalizables para tus ámbitos, visibilidad instantánea para tu equipo. Comienza una prueba gratuita de 14 días o reserva una demostración para ver qué tan rápido puede ser el acceso seguro.