En el marco de la discusión sobre cómo manejar la duración de las sesiones en el sistema —es decir, si deben permanecer abiertas indefinidamente (como en el caso de Gmail) o cerrarse automáticamente tras un periodo de inactividad (por ejemplo, 20 minutos o una hora)— realizamos una serie de reuniones con varios de nuestros clientes para entender sus necesidades y preocupaciones. A partir de estas conversaciones, definimos una estrategia que equilibra seguridad, usabilidad y adaptabilidad a los distintos contextos operativos.


En términos generales, identificamos dos grandes grupos de usuarios:

  1. Usuarios operativos en ambientes controlados:
    Estos usuarios trabajan en entornos como cabinas de preparación de medicamentos, plantas de producción o estaciones con pantallas táctiles, donde por razones prácticas (uso de guantes, desplazamientos constantes, etc.) resulta muy incómodo tener que autenticarse repetidamente. Para ellos, mantener la sesión activa de forma indefinida representa una mejora significativa en eficiencia y continuidad operativa.

  2. Usuarios móviles o compartidos:
    En contraste, hay usuarios del área comercial o administrativa que acceden al sistema desde ubicaciones variables (hoteles, cafés internet o incluso equipos compartidos en la misma oficina). Para este grupo, existe una preocupación legítima sobre la posibilidad de que una sesión quede abierta en un equipo de uso público o compartido, exponiendo información sensible.



Solución implementada

Con base en lo anterior, definimos e implementamos una solución que ya está operativa en nabuco:

  • Sesiones permanentes por defecto: Las sesiones no se cierran automáticamente por inactividad. El cierre se produce únicamente cuando el usuario lo hace conscientemente desde la opción “Cerrar sesión”.

  • Control de sesiones múltiples: Si un usuario inicia sesión en un nuevo dispositivo, el sistema cierra automáticamente cualquier otra sesión activa en otros dispositivos. Esto garantiza que su cuenta no quede abierta en ubicaciones previas, brindando mayor seguridad frente a accesos no autorizados.


Este mecanismo no requiere configuración adicional. Si un usuario tiene dudas sobre una posible sesión abierta en otro equipo, simplemente debe autenticarse nuevamente y el sistema se encargará de cerrar cualquier otra sesión activa automáticamente.