Los equipos de aula y laboratorios universitarios cambian de manos decenas de veces al día. Sin un control estricto, la nueva aplicación New Teams puede conservar tokens y mostrar la sesión anterior, exponiendo las cuentas académicas de los estudiantes.
Por qué sucede este comportamiento en New Teams
La versión clásica de Teams almacenaba la información de inicio de sesión en varias ubicaciones —credenciales web en Edge/Chromium, cookies en la carpeta de usuario y entradas cifradas en el Administrador de credenciales— pero, tras cerrar sesión, eliminaba la mayoría de los tokens de acceso. Su sucesora, New Teams, adopta el motor de WebView2 e integra el mismo sistema de autenticación que Microsoft 365, por lo que registra tokens PRT, cookies de sesión y elementos en %LocalAppData%\Microsoft\OneAuth. El proceso de «Cerrar sesión» solo invalida el token principal en la nube; el resto de artefactos locales persisten para agilizar la próxima entrada. En un dispositivo personal resulta cómodo; en PCs compartidos, se convierte en un riesgo inmediato.
Impacto real en entornos educativos
Más allá de la teoría, el efecto práctico es que otro estudiante puede abrir la app y volver a entrar con un solo clic —sin contraseña ni MFA— porque las cookies y el PRT siguen válidos. Esto viola los requisitos de privacidad del RGPD europeo, de la FERPA en EE. UU. y de numerosas directrices institucionales. Además, favorece conductas de suplantación y filtrado accidental de datos (archivos, notas y chats). En aulas donde cada clase dura 50 minutos, el lapso entre usuarios es tan corto que los tokens no vencen, por lo que la vulnerabilidad persiste toda la jornada.
Soluciones prácticas disponibles
| Enfoque | Pasos esenciales | Ventajas | Inconvenientes |
|---|---|---|---|
| Usar la PWA o el navegador | 1. Desinstala la aplicación de escritorio. 2. Accede a teams.microsoft.com o instala la PWA desde Edge/Chrome.3. Obliga al cierre de sesión o usa ventanas InPrivate/Incógnito. | No deja credenciales persistentes. Actualizaciones automáticas. Fácil de desplegar. | Algunas funciones (ej. llamadas 7×7, blur avanzado) pueden tardar más en llegar. |
| Eliminar manualmente las credenciales ya guardadas | 1. Cierra Teams. 2. Borra las carpetas: %LocalAppData%\Packages\MSTeams8wekyb3d8bbwe%LocalAppData%\Packages\Microsoft.AAD.BrokerPlugincw5n1h2txyewy%LocalAppData%\Microsoft\OneAuth%LocalAppData%\Microsoft\TokenBroker%LocalAppData%\Microsoft\IdentityCache3. Reinicia el equipo. | Elimina de inmediato todas las sesiones guardadas. | Las carpetas se vuelven a crear tras un nuevo inicio; hay que repetir el proceso o automatizarlo. |
| Gestionar el dispositivo como “Shared Device” (Intune / Entra ID) | 1. Inscribe el PC en Intune. 2. Activa el modo Multi‑User/Shared Device. 3. Configura borrado automático de tokens al cerrar sesión. | Limpieza automática al cambiar de usuario. Control centralizado para todo el parque informático. | Requiere licencias AAD P1/Intune y equipo de TI. |
| Aplicar directivas de autenticación | 1. Deshabilita el inicio de sesión silencioso o exige MFA mediante Azure AD Conditional Access. 2. (Opcional) Limita la persistencia de cookies en los navegadores. | Obliga siempre a introducir credenciales o un segundo factor. | Puede aumentar fricción de acceso si no se comunica bien. |
Procedimientos paso a paso
PWA en lugar de la aplicación nativa
La ruta más sencilla —y la recomendada para la mayoría de docentes— consiste en sustituir la app de escritorio por la PWA. Edge permite empaquetarla y fijarla en el menú Inicio mediante edge://apps. A diferencia de la versión instalada, el contenedor PWA se comporta como una pestaña aislada: al cerrar la ventana, las cookies se descartan si se configura la directiva ClearBrowsingDataOnExit en Edge. Este tambor de limpieza es instantáneo, de modo que nadie puede reanudar la sesión previa.
Script de limpieza al cierre de sesión
Para centros que dependen de la aplicación nativa (llamadas VoIP, pizarras digitales o salas de conferencia certificadas), un script de cierre de sesión en PowerShell remueve las carpetas sensibles:
Remove-Item -Path "$env:LOCALAPPDATA\Packages\MSTeams8wekyb3d8bbwe" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item -Path "$env:LOCALAPPDATA\Microsoft\OneAuth" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item -Path "$env:LOCALAPPDATA\Microsoft\TokenBroker" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item -Path "$env:LOCALAPPDATA\Microsoft\IdentityCache" -Recurse -Force -ErrorAction SilentlyContinue
cmd.exe /c "reg delete HKCU\Software\Microsoft\IdentityCRL /f"El script se asigna como Logoff Script en la directiva de grupo o en Intune (Device Configuration › PowerShell Scripts). La ejecución tarda menos de dos segundos y garantiza que cada usuario empiece con un entorno limpio.
Configuración de “Shared Device” en Intune
En escenarios gestionados, activar el Shared Device Mode en Windows 11 o Windows 10 (1903+) resuelve el problema de raíz. Este modo recalibra el ciclo de vida de los tokens: al recibir el evento de cierre de sesión (user32.dll – WM_ENDSESSION), el sistema invoca SharedUserLogonCleanupTask, que purga OneAuth, AAD Broker, contenido de WebView2 y los contenedores de MSAL. Así, no importa si los alumnos olvidan cerrar Teams: las credenciales se destruyen a nivel de sistema.
Buenas prácticas para aulas y laboratorios
- Política de navegación privada: configurar Edge o Chrome para abrir siempre en modo InPrivate y limpiar cookies al salir.
- Hardening del SO: deshabilitar la restauración de la última sesión y el inicio rápido (Fast Startup) en Windows, que a veces mantiene procesos colgados.
- Mensaje informativo en pantalla de cierre: usar la directiva Interactive logoff message para recordar explícitamente que el usuario debe cerrar la sesión de Teams.
- Rotación de cuentas genéricas: si se usan cuentas temporales para exámenes, regenéralas cada semestre y deshabilita el inicio de sesión automático.
Preguntas frecuentes (FAQ)
¿Basta con “Cerrar sesión” dentro de Teams?
En la versión clásica casi siempre sí, pero en New Teams no. El botón invoca una llamada a la API de logout, pero no borra cookies, PRT ni MSAL cache; por ello la sesión reaparece.
¿El Administrador de credenciales de Windows influye?
Sí. Entradas con prefijo msteams_adal, aad y msteams pueden propiciar Single Sign‑On inesperado. Eliminarlas manualmente o con la herramienta cmdkey /delete neutraliza este vector.
¿Funciona este problema en macOS o Linux?
Los contenedores son distintos, pero el principio se repite: WebView2 equivale a WebKitGTK/Chromium Embedded. En macOS, vaciar ~/Library/Application Support/Microsoft/Teams resulta imprescindible. En Linux, la caché está en ~/.config/Microsoft/MSTeams.
Recomendación rápida para aulas de informática
- Sustituye la app de escritorio por la PWA o un navegador en modo privado.
- Añade una política que borre datos de navegación al cerrar el navegador.
- Automatiza la limpieza de las carpetas indicadas mediante un script de inicio/cierre de sesión si necesitas mantener la versión de escritorio.
Complemento y hoja de ruta futura
Microsoft aún no expone un botón “No recordar credenciales” en New Teams. Votar en el Feedback Portal incrementa la prioridad de esta solicitud; la compañía ya reconoció el caso en su hoja de ruta interna (Roadmap ID 138280). Mientras tanto, los clientes de Windows 11 SE y quienes usan Shared PC Mode cuentan con un borrado automático de tokens al cerrar sesión, lo que mitiga el problema sin intervención manual.
Adoptar la estrategia correcta —idealmente PWA y políticas de limpieza— blindará las aulas contra accesos no autorizados, protegerá la identidad del alumnado y reducirá incidencias de TI. Además, aprovechará las capacidades nativas del sistema en lugar de depender de recordatorios manuales, algo que siempre falla en épocas de exámenes.