El modo seguro de ChatGPT para datos sensibles tiene un coste real

El 6 de junio, OpenAI activó Lockdown Mode en ChatGPT Business. Es un ajuste de configuración, no una función nueva: al activarlo, se deshabilitan la navegación web en tiempo real, la recuperación de imágenes externas, el modo agente, el acceso a Canvas con conexiones de red, los conectores activos y la descarga de archivos. Lo que queda es el modelo conversacional con contexto de archivos subidos. El objetivo declarado es reducir el riesgo de exfiltración de datos por inyecciones de prompt.

Para una empresa que procesa contratos, datos de clientes o información financiera a través de ChatGPT, el riesgo de prompt injection es concreto: un documento malicioso podría instruir al modelo para enviar información sensible a un destino externo. Lockdown Mode corta esos canales de salida. La limitación que OpenAI no destaca en el comunicado: el modo no impide que aparezca una inyección de prompt en el contenido subido — el modelo puede seguir siendo manipulado, pero no puede exfiltrar datos por los canales deshabilitados.

El anuncio incluye también los Elevated Risk labels: marcas visibles en la respuesta del modelo cuando detecta que el contenido procesado contiene instrucciones potencialmente maliciosas. Es una capa de aviso, no de bloqueo. Disponible ya en cuentas ChatGPT Business de autoservicio y en algunas cuentas personales elegibles según OpenAI.

El coste de la decisión es claro. Activar Lockdown Mode elimina precisamente las funciones por las que la mayoría de equipos paga ChatGPT Business: el agente, la búsqueda web y la generación de documentos conectados a fuentes externas. Para un equipo de operaciones que revisa contratos de clientes, el trade-off puede valer la pena. Para un equipo de marketing que genera contenido conectado a fuentes externas, no.

La recomendación es evaluarlo por rol, no a nivel de workspace. No es una decisión binaria para toda la empresa: es identificar qué roles manejan datos sensibles en procesos críticos e implementarlo solo en esas cuentas, mientras el resto mantiene las funciones completas.