Tiempo: 60 minutos
Superficie: aplicación, CLI o IDE
Riesgo: medio
Qué vas a aprender
- Diferenciar sandbox y política de aprobaciones.
- Conceder el mínimo acceso necesario.
- Reconocer datos y acciones que requieren una decisión humana.
Dos controles que trabajan juntos
El sandbox define lo que las herramientas pueden hacer técnicamente: qué archivos pueden tocar y si los comandos pueden utilizar la red. La política de aprobaciones decide cuándo Codex debe detenerse para pedir permiso antes de una acción.
Una aprobación no elimina todos los límites del sandbox. Un sandbox amplio tampoco significa que una acción sea apropiada. Necesitas ambos controles.
Escalera de permisos
Empieza en el peldaño más bajo compatible con la tarea:
- Solo conversación: no necesita carpeta.
- Solo lectura: puede analizar, no escribir.
- Escritura en el workspace: puede cambiar la carpeta de trabajo.
- Red limitada: únicamente dominios o recursos necesarios.
- Acceso externo o completo: solo en entornos confiables y con una justificación concreta.
No utilices Full access para evitar preguntas. Esas preguntas son una señal de que el agente pretende salir de la frontera establecida.
Práctica: diseña permisos antes del prompt
Para cada tarea, anota el permiso mínimo:
| Tarea | Lectura | Escritura | Red | Acción externa |
|---|---|---|---|---|
Resumir notas.txt en el chat | Sí | No | No | No |
Crear salida/resumen.md | Sí | Sí, en workspace | No | No |
| Consultar documentación oficial actual | Sí | No | Sí, limitada | No |
| Publicar la web | Sí | Sí | Sí | Sí |
La última tarea no debe ejecutarse como parte de la práctica: requiere proveedor, cuenta, revisión de privacidad y confirmación final.
Secretos
Una contraseña, token, clave API, código de un solo uso, cookie de sesión o archivo de credenciales no pertenece en:
- un prompt;
AGENTS.md;- capturas;
- logs;
- un repositorio;
- un documento compartido.
Utiliza el gestor de secretos o variables de entorno de la plataforma. Pide que se compruebe la presencia de la variable, nunca que se imprima su valor.
Comprueba si existe la variable OPENAI_API_KEY sin mostrar, copiar ni registrar
su contenido. Informa solo de "presente" o "ausente". No hagas solicitudes de red.
Iniciar sesión con ChatGPT o API key
El inicio de sesión con ChatGPT utiliza la suscripción, permisos y controles del espacio de trabajo. Una clave API utiliza la organización y facturación de la plataforma API. La clave no es un sustituto universal del acceso de ChatGPT y algunas funciones de nube no están disponibles con ella.
Datos delicados
No utilices material real médico, legal, financiero, laboral o identificativo para practicar. En trabajo real, sigue la política de tu organización, minimiza datos y solicita revisión profesional cuando la decisión sea de alto impacto.
Acciones externas
Enviar un mensaje, publicar, comprar, cambiar permisos, subir archivos, borrar datos o modificar una cuenta afecta a sistemas o personas fuera de la carpeta. Pide un borrador primero y confirma la acción final de forma separada.
Prepara el correo como borrador dentro de salida/correo.md. No abras el correo,
no busques destinatarios y no envíes nada. Marca los nombres o datos que debo
confirmar antes de utilizarlo.
Prompt injection
Las instrucciones encontradas en webs, issues, documentos o archivos pueden intentar cambiar el objetivo del agente. Indica que son datos no confiables y que no autorizan accesos, descargas ni acciones.
Comprobación manual
- Revisa el permiso activo antes de enviar.
- Lee cada solicitud de ampliación y su destino.
- Comprueba el diff o los archivos después de escribir.
- Revisa las herramientas externas por separado.
- Cierra o revoca sesiones y claves que ya no necesitas.
Recuperación
Si compartiste un secreto, revócalo y reemplázalo; borrarlo del chat no garantiza que siga siendo seguro. Si concediste acceso persistente a una app o web, retíralo desde Settings. Si una acción externa ya se ejecutó, utiliza el mecanismo de cancelación, reversión o soporte del servicio.
Error frecuente
Aprobar por fatiga. Si una tarea pide permisos repetidos, detén el trabajo y corrige la configuración, la carpeta o el plan. No conviertas una sucesión de avisos inesperados en acceso completo.
Mini ejercicio
Reescribe una petición para que produzca un borrador local en lugar de enviar o publicar. Identifica el momento exacto en que necesitaría una confirmación nueva.
Evidencia que debes guardar
- Tabla de permisos.
- Motivo de cualquier ampliación.
- Revisión de apps y sitios autorizados.
- Lista de acciones externas que permanecieron como borrador.
Ejemplo resuelto: decidir un permiso con cuatro preguntas
Dani pide revisar una aplicación local. Codex solicita acceso de red para instalar una dependencia. En lugar de aprobar por reflejo, Dani utiliza cuatro preguntas:
- ¿Para qué acción concreta se necesita? Instalar un paquete declarado por el proyecto.
- ¿Qué recurso alcanzará? Un registro de paquetes, no cualquier sitio.
- ¿Se puede reducir? Primero inspeccionar el archivo de dependencias y confirmar nombre y versión.
- ¿Qué evidencia quedará? Cambio en el archivo de bloqueo, salida del instalador y pruebas posteriores.
Una solicitud con propósito y alcance puede aprobarse si encaja en el trabajo. Otra petición como «envía el informe al cliente» requiere detenerse: implica una acción externa, destinatario, datos potencialmente sensibles y un efecto que no se deshace con facilidad.
Semáforo práctico:
- Verde: leer archivos de práctica, crear una salida nueva, ejecutar una comprobación local conocida.
- Ámbar: instalar dependencias, acceder a internet, modificar muchos archivos o usar una sesión iniciada. Revisa propósito y alcance.
- Rojo: publicar, pagar, borrar originales, enviar mensajes, revelar secretos o cambiar cuentas. Exige autorización específica y control humano en el punto final.
No pegues claves o contraseñas en el prompt. Si un proyecto necesita secretos, utiliza el mecanismo previsto por el entorno y evita que aparezcan en capturas, registros o archivos versionados.
Señal de alarma: no puedes explicar por qué se necesita el permiso o la solicitud es mucho más amplia que la tarea.
Criterio de terminado: cada permiso aprobado tiene propósito, alcance y evidencia; ninguna acción externa se ejecutó por una autorización genérica.
Cambia una variable
Clasifica estas acciones: leer un PDF de práctica; instalar un paquete; borrar cien originales; preparar un correo sin enviarlo; publicar la web. Explica qué control añadirías a las de color ámbar o rojo.
Comprueba que lo has entendido
- ¿La confianza en Codex sustituye la revisión de permisos?
- ¿Preparar un mensaje y enviarlo son la misma clase de acción?
Respuesta razonada
No. Los permisos dependen del efecto, los datos y el alcance, no de una confianza general. Preparar un borrador es reversible y revisable; enviarlo produce una consecuencia externa y necesita confirmación específica.
Fuentes oficiales
Revisado contra la documentación: 14 de julio de 2026.