AI Alert
Home Almanac Topics
Stack Watch Tools Glossary Resources Editors
News / Tracker network
AI Incidents AI Sec Digest AI Sec Weekly Tech Sentinel
Seguridad de ChatGPT: riesgos, controles y cómo usarlo de forma segura
Foto: mikemacmarketing (by 2.0)
guide

Seguridad de ChatGPT: riesgos, controles y cómo usarlo de forma segura

Guía práctica de seguridad de ChatGPT en 2026: cómo OpenAI protege los datos empresariales, dónde viven los riesgos de inyección de prompts y toma de cuenta, y los controles que realmente importan.

Por AI Alert Desk · · 8 min de lectura
Read in English →

La seguridad de ChatGPT depende menos del modelo en sí y más del contexto circundante: qué nivel usas, qué datos pegan tus empleados en los prompts, qué connectors y GPTs personalizados permites, y cómo manejas las credenciales de cuenta. La plataforma tiene controles serios en marcha —SOC 2 Type 2, ISO/IEC 27001:2022, cifrado AES-256 en reposo, TLS 1.2+ en tránsito— pero los modos de falla que envían organizaciones a revisión de incidentes casi nunca involucran la infraestructura de OpenAI. Involucran a un usuario, un connector o un prompt.

Qué hace y qué no hace OpenAI con tus datos

OpenAI publica dos regímenes distintos de manejo de datos. Para los niveles de consumo gratuito y Plus, el contenido de conversación puede usarse para entrenar futuros modelos a menos que el usuario opte por no participar. Para ChatGPT Enterprise, Team, Edu y la plataforma API, las entradas y salidas son excluidas del entrenamiento por defecto, y el negocio o admin posee los datos. OpenAI no vende ni comparte datos comerciales con terceros para marketing.

El cifrado es estándar: AES-256 en reposo, TLS 1.2+ en tránsito. ChatGPT Enterprise soporta Enterprise Key Management (EKM) via AWS KMS para que los clientes mantengan sus propias claves. Los clientes Enterprise pueden configurar residencia de datos en EE.UU., Reino Unido, UE, Japón, Canadá, Corea del Sur, Singapur, Australia, India o EAU.

La implicación práctica: la postura legal y técnica de ChatGPT Enterprise es comparable a otras herramientas SaaS de productividad que tu equipo de seguridad ya confía. El nivel de consumo no lo es. Si los empleados usan cuentas personales en dispositivos de la empresa para procesar datos de la empresa, tienes un problema de shadow AI sin gestionar, no un problema de OpenAI.

Los riesgos reales: inyección de prompts, exfiltración de datos y toma de cuenta

Tres categorías de incidente generan la mayor parte del volumen de tickets relacionados con ChatGPT que los equipos de seguridad realmente ven.

Inyección de prompts. OWASP clasifica la inyección de prompts como LLM01 —el riesgo principal para aplicaciones LLM en 2025—. La inyección directa ocurre cuando un atacante escribe instrucciones en un chat que anulan el comportamiento del sistema. La inyección indirecta es más peligrosa en producción: un atacante planta instrucciones maliciosas dentro de contenido que el modelo leerá después —un PDF, una página web navegada por el agente, un correo resumido por un connector, el README de un repo que un GPT personalizado rastrea—. Cuando el modelo lo lee, esas instrucciones se ejecutan. Con la navegación web, cargas de archivos y connectors de terceros de ChatGPT, la inyección indirecta es un vector realista de exfiltración.

Filtración de datos mediante prompts. El incidente más común no es glamoroso: un desarrollador pega código fuente propietario, un reclutador pega el currículum de un candidato, un analista financiero pega un borrador 10-Q. En niveles de consumo, ese contenido puede usarse para mejora del modelo a menos que el entrenamiento esté deshabilitado. Incluso en Enterprise, esos prompts ahora se almacenan en historial de conversación, se indexan para búsqueda, y son accesibles a cualquiera que comprometa la cuenta del usuario después. Este es el riesgo de seguridad de ChatGPT dominante para la mayoría de organizaciones, y es un problema de gobernanza, no de proveedor.

Toma de cuenta. Las cuentas de OpenAI son objetivos de alto valor. Una cuenta comprometida expone meses de historial de conversación que puede incluir credenciales, arquitectura interna, nombres de clientes, código y secretos pegados. SSO con SAML, MFA obligatorio, IP allowlisting y deprovisioning basado en SCIM están disponibles en Enterprise y Edu. Cualquier cosa menor que SSO + MFA para una cuenta que ha tocado datos sensibles es negligente.

Una cuarta categoría a marcar son los GPTs personalizados y la GPT Store: los GPTs de terceros pueden incluir actions que envíen el contenido de tu prompt a endpoints externos. Trátalos como código no confiable. Los admins Enterprise pueden restringir qué GPTs son utilizables.

Controles que realmente importan

La lista de abajo está ordenada aproximadamente por leverage por hora de trabajo, basado en lo que aparece en revisiones post-incidente.

  1. Mueve casos de uso sensibles a ChatGPT Enterprise, Team o la API. La exclusión de datos de entrenamiento, SSO, controles de retención, EKM y audit logging no están disponibles en gratuito o Plus.
  2. Aplica SSO + MFA, y deshabilita el uso de cuentas personales en dispositivos gestionados. Bloquea inicios de sesión en chat.openai.com y chatgpt.com fuera de tu IdP, o usa un CASB para imponerlo. Este control único elimina el problema de shadow AI.
  3. Configura retención. Enterprise permite a los admins fijar ventanas de retención de conversación; alinéalas con tu política existente de registros.
  4. Gobierna connectors y GPTs personalizados. Restringe GPTs de terceros por defecto. Para los Connectors que enlazan ChatGPT a Google Drive, SharePoint, GitHub, etc., aplica scopes de mínimo privilegio y loguea el acceso.
  5. Trata las salidas como entrada no confiable a sistemas aguas abajo. Si conectas la salida de ChatGPT a un build script, una consulta de base de datos o un correo —asume que puede contener contenido controlado por el atacante de una cadena de inyección indirecta—.
  6. Capacita a los usuarios sobre qué no pegar. PII, código fuente con secretos, registros de clientes, material de M&A, detalles de incidentes de seguridad y credenciales no deben entrar a ningún LLM que no controles.
  7. Audita. ChatGPT Enterprise expone logs de auditoría mediante la Compliance API. Conéctalos a tu SIEM y alerta sobre exportaciones masivas, cambios de rol y adiciones de connector.

Lo que viene

Dos trayectorias importan para 2026. Primero, las funciones agénticas —ChatGPT operando navegadores, ejecutando código, llamando herramientas autónomamente— siguen elevando las consecuencias de una inyección de prompts exitosa. Una instrucción mala ya no es solo una respuesta mala; puede ser un comentario publicado, un correo enviado o un archivo movido. Segundo, los reguladores se están poniendo al día. Las obligaciones del AI Act de la UE para sistemas de IA de propósito general están en vigor, y los reguladores sectoriales de EE.UU. (HHS, SEC, FTC) están escrutando cómo las firmas reguladas manejan datos procesados por LLM.

ChatGPT no es inseguro. La forma en que la mayoría de organizaciones lo despliegan, sí.

Fuentes

  1. Enterprise privacy at OpenAI
  2. OWASP GenAI Top 10 — LLM01:2025 Prompt Injection