Si Outlook o cualquier otra aplicación de Microsoft 365 te recibe con el temido mensaje “Something went wrong [657rx]” o “Error tag: 657rx (1200)”, no estás solo. El problema se reproduce sobre todo en licencias de Microsoft 365 suministradas por GoDaddy, aunque también aparece en inquilinos empresariales, educativos y familiares. Afortunadamente, existe una ruta clara—y probada por cientos de administradores—para erradicar la incidencia sin formatear el equipo ni reinstalar Windows.
¿Qué es el error 657rx (0x8004dec5)?
Se trata de una excepción de autenticación generada por los servicios de identidad de Microsoft. El token de acceso que Outlook conserva para conectarse a Exchange Online se corrompe o se asocia con el tenant equivocado. El cliente interpreta entonces la dirección de correo como si fuera la cuenta “administrador” del tenant, muestra un icono de advertencia amarillo junto al nombre de usuario e impide que se complete el inicio de sesión.
El código hexadecimal 0x8004dec5 traduce, de manera simplificada, que “el usuario no se encuentra en el directorio” o que “hay un conflicto entre los tokens locales y la suscripción en la nube”. Por eso las soluciones tradicionales—reparar Office, reinstalar o simplemente quitar la cuenta de Outlook—no funcionan: el conflicto reside fuera del perfil de Outlook, en los servicios de Windows que gestionan identidades (WAM, AAD Broker Plugin, credenciales locales y Azure AD Join).
Por qué es más frecuente en licencias GoDaddy
Cuando contratas Microsoft 365 con GoDaddy, el reseller crea un tenant con permisos delegados y un método de aprovisionamiento algo distinto al tenant “puro” de Microsoft. Esto añade capas de autenticación adicionales (particularmente en el portal de GoDaddy) y suele forzar combinaciones inusuales de cuentas personales y de trabajo en el mismo dispositivo. El menor cambio—por ejemplo, activar MFA o cambiar la contraseña desde el portal de GoDaddy en lugar de https://portal.office.com—puede invalidar el token local y disparar el error 657rx.
Lógica detrás de las soluciones
Las acciones correctivas atacan cuatro focos:
- WAM/AAD Broker Plugin: elimina tokens dañados para que Windows solicite uno nuevo.
- Acceso al trabajo o escuela: borra vínculos obsoletos que apuntan al tenant equivocado.
- Autenticación moderna: obliga a Outlook a usar OAuth 2.0 con MFA en vez de credenciales heredadas.
- Perfil de Outlook: crea una configuración limpia y descarta valores de registro corruptos.
Soluciones priorizadas — resumen rápido
| Prioridad | Solución | Pasos resumidos | Comentarios útiles |
|---|---|---|---|
| 1 | Desvincular cuentas de trabajo/escuela en Windows | Windows 11/10 → Configuración → Cuentas → Acceso al trabajo o escuela → seleccionar cuenta → Desconectar → reiniciar → abrir Outlook y volver a iniciar sesión. | Más efectiva. Elimina todas las entradas, incluidas las antiguas, para limpiar tokens. |
| 2 | Habilitar o forzar “Modern Authentication” | Ejecutar Microsoft Support and Recovery Assistant (SaRA) → escenario “Resolves Office sign‑in problems” → aceptar cambios. | Indispensable si el administrador ha exigido MFA. |
| 3 | Crear un perfil nuevo de Outlook | Panel de control → Correo → Perfiles → Agregar → introducir correo y contraseña → abrir Outlook. | Rápido, descarta perfiles dañados. |
| 4 | Eliminar AAD Broker Plugin y credenciales obsoletas | Cerrar Office → borrar %LOCALAPPDATA%\Packages\Microsoft.AAD.BrokerPlugin* → limpiar Administrador de credenciales (ADAL) → reiniciar. | Resetea completamente la caché de tokens. |
| 5 | Quitar/reagregar la unión a Azure AD/Entra | Configurar → Cuentas → Acceso al trabajo o escuela → si hay “Azure AD” → Desconectar → reiniciar → volver a unir. | Corrige equipos enrolados en el tenant incorrecto. |
| 6 | Usar Outlook PWA o web (temporal) | Entrar a outlook.office.com o instalar la PWA desde Edge/Chrome → trabajar mientras se aplica una solución definitiva. | Garantiza continuidad operativa. |
Guía paso a paso
Desvincular todas las cuentas de trabajo o escuela
Esta maniobra elimina los “anclajes” que Windows crea en segundo plano. A menudo encontrarás dos o incluso tres registros para la misma dirección de correo: uno marcado como Conectado a Windows y otro como Azure AD. Haz clic en cada entrada y pulsa Desconectar. Confirma que también marcas la casilla “Eliminar contenido asociado de este dispositivo”. Al reiniciar, Windows solicitará una cuenta para sincronizar la tienda y los servicios; introduce solo la dirección que necesitas en Outlook. No agregues la personal y la corporativa a la vez.
Habilitar la autenticación moderna con la herramienta SaRA
Descarga Microsoft Support and Recovery Assistant desde el sitio oficial. Inicia la utilidad, elige Office: Sign‑in issues, selecciona la cuenta afectada o introduce la dirección manualmente y permite que la aplicación modifique el registro para forzar EnableADAL = 1 y UseOffice365ModernAuth = 1. Reinicia Outlook: el cuadro de diálogo de inicio de sesión ahora debería mostrar un navegador incrustado con MFA si corresponde, en lugar del cuadro heredado de usuario y contraseña.
Crear un perfil completamente nuevo en Outlook
Incluso si el error persiste, un perfil fresco descarta rutas de archivo .OST corruptas, reglas mal referenciadas o complementos COM que se anclan a la identidad antigua. Cierra Outlook, abre el Panel de control clásico → Correo (Microsoft Outlook) → Mostrar perfiles → Agregar. Asigna un nombre intuitivo (p. ej. Outlook limpio) e introduce solo la cuenta conflictiva. Asegúrate de marcar Usar siempre este perfil antes de Aceptar.
Eliminar AAD Broker Plugin y credenciales obsoletas
El complemento Microsoft.AAD.BrokerPlugin almacena los JSON Web Tokens (JWT) que Windows 10/11 intercambia con Entra ID. Cuando el token no es válido, el plugin responde con la etiqueta 657rx. Navega a :
C:\Users\<usuario>\AppData\Local\Packages\Microsoft.AAD.BrokerPlugincw5n1h2txyewy
y borra la carpeta completa. Luego abre el Administrador de credenciales → Credenciales de Windows → expande cada entrada que empiece por MicrosoftOffice16\: y elimínala. Reinicia el equipo. El primer inicio de Outlook pedirá credenciales y generará un token de cero.
Quitar y volver a unir el dispositivo a Azure AD / Entra
En organizaciones con Intune Autopilot, el dispositivo puede haberse unido a un tenant que ya no existe. Dentro de Configuración → Cuentas → Acceso al trabajo o escuela busca la línea con “Conectado a Azure AD”. Pulsa Desconectar. Windows solicitará reinicio. Al volver, entra en la misma ruta y selecciona Conectar → Unirse a este dispositivo a Entra ID, usando las credenciales correctas. Esto regenera el certificado de equipo y los identificadores de servicio (Device ID, Primary Refresh Token).
Usar Outlook en la web o instalar la PWA
Mientras despliegas una solución permanente, la versión navegador de Outlook garantiza acceso completo a correo, calendario y contactos. En Edge o Chrome, haz clic en Instalar esta aplicación para generar un acceso directo tipo escritorio (PWA). El usuario conserva acceso sin interrupciones y no depende de los tokens locales del dispositivo.
Preguntas frecuentes (FAQ)
¿Perderé mis archivos de OneDrive si desconecto la cuenta del PC?
No. El contenido reside en la nube. Al iniciar sesión de nuevo, OneDrive sincronizará exactamente la misma estructura de carpetas.
El botón “Acceso al trabajo o escuela” no aparece. ¿Qué hago?
Necesitas privilegios de administrador local. Pide a TI que inicie sesión una vez con una cuenta con elevación y ejecute los pasos o que te otorgue permisos temporales.
¿Es seguro borrar la carpeta del AAD Broker Plugin?
Sí. Windows la recreará automáticamente con los permisos correctos y tokens limpios en el siguiente inicio de sesión.
El error regresa después de unas horas. ¿Por qué?
Lo más probable es que coexistan varias cuentas (personal, familiar, corporativa) en Configuración → Cuentas. El sistema selecciona al azar el token caducado. Mantén una sola sesión activa en el PC, o bien usa perfiles distintos de Windows.
Buenas prácticas para evitar que el error regrese
- Actualiza Windows y Office cada mes. Algunas acumulativas (KB5008215, KB5012170, KB5034129) corrigen fugas de token.
- Evita mezclar cuentas. Usa el perfil de Windows para la cuenta corporativa y abre las personales solo en el navegador.
- Activa MFA a nivel de tenant y condicional access para mejorar la higiene de tokens.
- Revisa registros de auditoría en Entra ID. Si ves Error Code 1200 enlazado a
/common, algún dispositivo sigue intentando autenticarse contra un directorio antiguo. - Documenta cada dispositivo inscrito en Intune o Entra. Un equipo renombrado fuera de Intune puede generar identificadores duplicados.
Conclusión
El error 657rx (0x8004dec5) no es señal de corrupción grave ni de malware, sino de un conflicto de identidad entre el dispositivo y Entra ID. Siguiendo la jerarquía de soluciones—desvincular cuentas, habilitar autenticación moderna, renovar el perfil y purgar tokens—la inmensa mayoría de usuarios vuelve a iniciar sesión en Outlook y en el resto de Microsoft 365 en menos de 15 minutos. Mantener el sistema actualizado, usar un solo tipo de cuenta por sesión y aplicar MFA reduce al mínimo la probabilidad de volver a topar con este contratiempo.