Su primera detección: una guía paso a paso

Un ejercicio de diez minutos: instale Zeuslock, pegue una clave AWS de prueba en ChatGPT y vea cómo el incidente aparece en tiempo real en la Consola de Operador.

Lo que va a hacer en los próximos diez minutos

Al terminar esta guía habrá disparado una detección real de Zeuslock, la habrá visto aparecer en la Consola de Operador y habrá repetido el mismo hallazgo bajo los tres modos de política: Monitorización, Anonimización y Bloqueo. En ningún momento se usa un secreto real.

Requisitos previos

  • La extensión de navegador Zeuslock instalada en Chrome, Edge, Firefox o Safari, y emparejada con su organización.
  • Una cuenta con el rol de Operador en la Consola de Operador (app.zeuslock.ai).
  • Una sesión de ChatGPT iniciada en el mismo perfil de navegador.

El valor de prueba que usamos, AKIAIOSFODNN7EXAMPLE, es el identificador de clave de acceso AWS que Amazon publica como ejemplo en su documentación oficial. No es una credencial real, no concede acceso a nada y se puede pegar sin riesgo en un chat. La regex de Zeuslock la detecta igualmente porque su estructura coincide con la de una clave AWS real.

Paso a paso

  1. Ponga la organización en modo Monitorización. En la Consola de Operador, vaya a Ajustes → Política de detección → Perfil predeterminado y elija Modo: Monitorización. Guarde. El modo Monitorización deja pasar los prompts sin cambios pero registra cada hallazgo — es el punto de partida obligatorio de cualquier despliegue.
  2. Abra ChatGPT. Cargue chat.openai.com en una nueva pestaña y confirme que el icono de Zeuslock en la barra de herramientas está en verde. El verde indica que la extensión está emparejada, la política está cargada y la página está dentro del alcance.
  3. Pegue la clave de prueba. En una conversación nueva, escriba la frase Aquí tienes mi clave AWS para el script de despliegue: AKIAIOSFODNN7EXAMPLE y envíela.
  4. Observe el indicador en el navegador. Justo encima del cuadro del prompt, Zeuslock muestra un banner: 1 hallazgo: clave de acceso AWS (modo monitorización — enviado tal cual). El prompt llega a OpenAI sin modificar, tal y como define la política.
  5. Cambie a la Consola de Operador. Abra la pestaña Incidentes. En unos tres segundos verá el nuevo incidente en lo alto de la lista, con la severidad, el tipo de hallazgo (api_key:aws), una vista previa anonimizada del prompt, el usuario, el navegador y la URL de origen (chat.openai.com).
  6. Entre en el detalle del incidente. Haga clic para abrir la cronología completa. Verá el hit de regex de la primera capa de detección, la puntuación de confirmación del modelo ML alojado en la UE, las heurísticas de contexto locales y la acción recomendada. El secreto en claro no se guarda en la consola — solo se almacenan un hash con sal y una vista previa enmascarada.

Repita la prueba con los modos más estrictos

El sentido del despliegue por fases de Zeuslock es poder validar cada modo sobre tráfico real antes de apretar las tuercas. Vuelva a Ajustes → Política de detección → Perfil predeterminado y cambie Modo a Anonimización. Guarde, recargue la pestaña de ChatGPT y envíe la misma frase.

Esta vez el prompt que llega realmente a ChatGPT es Aquí tienes mi clave AWS para el script de despliegue: AKIAIO********7EXAMPLE. El modelo sigue recibiendo un token con apariencia estructuralmente válida — el razonamiento posterior sobre «se ha proporcionado una clave» continúa funcionando — pero el valor real nunca ha salido del navegador. La Consola de Operador registra un segundo incidente con la etiqueta anonimizado.

Cambie ahora el mismo perfil a Bloqueo, guarde y haga un tercer intento. El prompt se intercepta antes del envío. ChatGPT no ve absolutamente nada. El usuario final recibe una ventana modal clara que explica qué se ha bloqueado y por qué, con un enlace a su política interna si la ha configurado. La Consola de Operador registra un tercer incidente, etiquetado como bloqueado, con atribución completa.

Cómo leer los tres resultados en paralelo

Abra la pestaña Incidentes y filtre por su propio usuario. Debería ver tres filas para el mismo prompt, una por modo. Compárelas:

  • Monitorización — el prompt se envió, el secreto salió del navegador, tiene visibilidad pero ninguna protección.
  • Anonimización — el prompt salió enmascarado, el modelo sigue funcionando, el secreto se quedó en local.
  • Bloqueo — nada salió del navegador; el usuario fue formado en el momento.

Este es exactamente el despliegue progresivo que recomendamos: Monitorización las dos primeras semanas para mapear su exposición real, Anonimización las tres siguientes y Bloqueo a partir de la semana seis para los tipos de detección con tasa de falsos positivos despreciable (claves AWS, claves Stripe, IBAN y otros patrones de alta confianza).

Siguientes pasos

  1. Invite a su equipo. Consola de Operador → Ajustes → Equipo, envíe las invitaciones y asigne el rol de Operador o Lector. El SSO con Okta, Azure AD o Google Workspace se activa desde la misma pantalla.
  2. Conecte Slack. Ajustes → Integraciones → Slack, pegue su URL de webhook y enrute los incidentes de severidad alta a su canal de seguridad. Las firmas HMAC están activas por defecto.
  3. Cree un detector personalizado. Si su organización emite identificadores internos propios (números de empleado, códigos de proyecto, referencias de cliente), abra Detectores → Personalizados → Nuevo, aporte una regex y un puñado de ejemplos positivos y negativos, y lance el backtest sobre los últimos 30 días de incidentes antes de pasar a Bloqueo.

Ya tiene una detección que funciona, un incidente real y una idea clara de cómo se comporta cada modo. El siguiente paso es definir su primer perfil de producción.