OpenAI está ampliando hoy el Lockdown Mode (Modo Bloqueo) de ChatGPT a las cuentas personales gratuitas, de pago y de autoservicio, después de haberlo lanzado en febrero de 2026 exclusivamente para clientes Enterprise, Edu, Healthcare y Teachers. Lo recoge Engadget citando el blog de seguridad de OpenAI. La expansión convierte a Lockdown Mode en la primera protección específica contra ataques de prompt injection disponible para cualquier usuario de ChatGPT sin necesidad de suscripción.
La noticia llega el mismo día que OpenAI despliega Dreaming V3 en el plan gratuito, lo que hace de hoy una de las actualizaciones de producto más densas del año para ChatGPT.
¿Qué es un ataque de prompt injection y por qué importa ahora?
Un prompt injection es un ataque en el que instrucciones maliciosas ocultas en contenido externo —una página web, un documento, un correo— consiguen que el modelo de IA ignore las instrucciones del desarrollador o del usuario y ejecute en su lugar las del atacante. El resultado puede incluir exfiltración de datos sensibles, envío de mensajes no autorizados o ejecución de acciones perjudiciales en nombre del usuario.
El riesgo escala de forma directa con las capacidades del modelo. Cuando ChatGPT solo respondía preguntas, el daño potencial era limitado. Ahora que ChatGPT puede navegar por la web, gestionar archivos, conectarse a apps externas y ejecutar código, una inyección exitosa tiene consecuencias mucho más serias. Los ataques de prompt injection contra aplicaciones de IA generativa crecieron un 300% en 2025 según estimaciones del sector.
El caso documentado por Trail of Bits —que demostró cómo atacantes pueden exfiltrar datos a través de navegadores agenticos mediante inyecciones creativas— fue parte del contexto que aceleró el desarrollo de Lockdown Mode.
¿Qué hace exactamente el Modo Bloqueo?
Lockdown Mode no elimina las prompt injections —OpenAI es explícito en que eso no es posible con la tecnología actual—. Lo que hace es eliminar los canales de exfiltración que esos ataques necesitan para hacer daño real.
Concretamente, en Lockdown Mode:
- La navegación web se limita a contenido en caché: ninguna solicitud de red sale de los servidores controlados de OpenAI. Un atacante que logre inyectar instrucciones en un documento no puede enviar datos del usuario a un servidor externo mediante el navegador.
- Se deshabilitan imágenes en respuestas, la función de Deep Research, el Modo Agente, y las descargas de archivos — todos canales potenciales de exfiltración.
- Las etiquetas de Riesgo Elevado aparecen sobre funciones que mantienen conectividad externa para advertir al usuario de que esa función introduce mayor superficie de ataque.
La configuración es completamente opcional y no está activada por defecto. OpenAI especifica que no es necesaria para la mayoría de usuarios; está pensada para perfiles de alto riesgo como ejecutivos, equipos de seguridad o cualquiera que trabaje con información sensible.
El contexto: prompt injection ya no es un problema académico
OpenAI había advertido en diciembre de 2025 que la prompt injection podría no tener «cura» definitiva en agentes de navegador como ChatGPT Atlas. Esa advertencia es el marco intelectual honesto en el que hay que leer Lockdown Mode: no es una solución, es una reducción de daño por diseño.
Haber trabajado con documentos confidenciales en entornos de IA agentiva durante el último año deja una conclusión clara: el vector de ataque más preocupante no son los ataques sobre el modelo en sí, sino los ataques que explotan la conectividad del modelo a sistemas externos. Lockdown Mode corta esa conectividad de forma determinista, no mediante filtros que pueden eludirse.
La expansión al plan gratuito tiene una implicación de industria. Hasta hoy, tener protección real contra prompt injection en IA requería pagar planes Enterprise de precio elevado. Que OpenAI ofrezca Lockdown Mode gratuitamente eleva el suelo de expectativas para toda la industria. ChatGPT Atlas, el navegador de OpenAI basado en Chromium, fue precisamente el producto que catalizó este trabajo de seguridad al demostrar que los navegadores agenticos son el nuevo frente de la seguridad de IA.
Mi valoración
Lo que más me convence es el enfoque determinista. Lockdown Mode no filtra, no clasifica, no aplica heurísticas que puedan eludirse con variaciones creativas del ataque. Simplemente cierra los puertos físicos por los que saldría la información. Es la diferencia entre un detector de intrusos y un cerrojo: el cerrojo puede romperse, pero no «engañarse».
Lo que más me preocupa es la usabilidad para usuarios no técnicos. Desactivar navegación en vivo, Deep Research y descargas es un trade-off significativo. Un usuario que no entiende qué es un prompt injection puede activar Lockdown Mode en busca de «más seguridad» y encontrarse con una experiencia de ChatGPT sustancialmente degradada. La comunicación de OpenAI sobre para quién es y para quién no es esta función necesita ser muy clara.
Lo más estructuralmente significativo es el señal que envía al mercado: OpenAI está apostando a que la seguridad agentiva se convierte en un diferenciador de producto, no solo en un requisito de compliance. La pregunta a 12 meses es si Anthropic, Google y los demás proveedores responden con funciones equivalentes, o si la ventana de diferenciación de seguridad dura más de lo que cabría esperar en un mercado tan competitivo. Mi predicción: Anthropic anuncia algo equivalente antes de que acabe el verano de 2026.
Preguntas frecuentes
¿Cómo activo Lockdown Mode en mi cuenta de ChatGPT?
Ve a Configuración (ícono de tu perfil o engranaje) → Seguridad → Lockdown Mode. La opción está disponible para cuentas Free, Plus, Pro y Business en autoservicio. Si no aparece todavía, el despliegue sigue en curso; comprueba de nuevo en las próximas horas.
Si activo Lockdown Mode, ¿ChatGPT sigue pudiendo buscar en Internet?
Sí, pero solo en contenido en caché. ChatGPT puede recuperar información web almacenada en servidores de OpenAI, pero no hace solicitudes de red en tiempo real a sitios externos. Esto significa que la información puede estar desactualizada y que el modo no es compatible con búsquedas en tiempo real.
¿Lockdown Mode protege contra todos los tipos de ataques de IA?
No. OpenAI es explícito: Lockdown Mode no previene las prompt injections en sí mismas —esas instrucciones maliciosas siguen pudiendo aparecer en contenido procesado por ChatGPT— sino solo la exfiltración de datos que normalmente seguiría a una inyección exitosa. Otros vectores de ataque, como manipulación del comportamiento del modelo o respuestas incorrectas inducidas por inyección, no están cubiertos.