Un artículo reciente de Softonic señaló un momento de fuego amigo para la seguridad de IA: un equipo de investigación demostró que los agentes autónomos presentados como defensores pueden ser engañados para lanzar ataques. La superficie de ataque es la inyección de prompts, y el objetivo es cualquier sistema que permita que la salida del modelo tome decisiones sobre herramientas, archivos o la red. Las mejores aplicaciones para defensa contra inyección de prompts en escritorio tratan esa superficie como primera prioridad: nos permiten hacer red teaming de nuestros propios prompts, filtrar entradas no confiables antes de que lleguen a un modelo y proteger llamadas de herramientas en el momento en que salen del agente.
Probamos siete aplicaciones y librerías en Windows, macOS y Linux para defensa contra inyección de prompts en 2026. Algunas son suites de pruebas (red team de nuestros prompts contra cargas de inyección conocidas), algunas son guardrails de tiempo de ejecución (filtran entradas y salidas en tiempo de solicitud), algunas son motores de políticas (permiten o deniegan llamadas de herramientas). Elige según dónde en el pipeline de LLM necesite sentarse la defensa.
Qué buscar en una aplicación de defensa contra inyección de prompts
La defensa contra inyección de prompts es más compleja que un filtro de spam. Las aplicaciones que lo hacen bien comparten algunas propiedades:
- Cobertura de al menos el OWASP LLM Top 10, incluyendo inyección de prompts directa e indirecta, manejo inseguro de salidas y envenenamiento de datos de entrenamiento.
- Soporte tanto para pruebas (red teaming sin conexión) como para cumplimiento en tiempo de ejecución (guardrails en línea). Ninguno solo es suficiente.
- Agnóstico con respecto al modelo. Una defensa que solo funciona contra los modelos de OpenAI no ayuda a los equipos que ejecutan Claude, Gemini o modelos de código abierto.
- Capacidad de filtrar llamadas de herramientas, no solo texto. Un guardrail que se pierda “por favor ejecuta este comando shell” es inútil.
- Conjuntos de reglas abiertos e inspeccionables. Un clasificador cerrado que no podemos auditar es una caja negra en una cadena que necesitábamos hacer menos negra.
- Lo suficientemente rápido para tráfico real. Un guardrail de 500ms en una solicitud de 300ms no es viable para aplicaciones interactivas.
Comparación rápida
| Aplicación | Mejor para | Plataformas | Plan gratuito | Precio inicial/mes | Valoración |
|---|---|---|---|---|---|
| Promptfoo | Evaluación de prompts y red teaming CLI | Windows, macOS, Linux | Completamente gratuito, código abierto | Soporte empresarial | Top tier en GitHub |
| Garak | Escáner de vulnerabilidades LLM de NVIDIA | Windows, macOS, Linux | Completamente gratuito, código abierto | Gratuito | Respaldado por NVIDIA |
| Rebuff | Detector de inyección de prompts multicapa | Windows, macOS, Linux | Completamente gratuito, código abierto | Gratuito | Comunidad |
| Lakera Guard | Guardrail gestionado con clasificador de inyección de prompts | API + SDKs | Nivel gratuito | Suscripción anual modesta | 4.7 / 5 |
| NeMo Guardrails | DSL de guardrails programables de NVIDIA | Windows, macOS, Linux | Completamente gratuito, código abierto | Gratuito | Respaldado por NVIDIA |
| PyRIT | Herramienta de identificación de riesgos Python de Microsoft | Windows, macOS, Linux | Completamente gratuito, código abierto | Gratuito | Respaldado por Microsoft |
| LLM Guard | Escáner de entrada y salida de código abierto | Windows, macOS, Linux | Completamente gratuito, código abierto | Soporte empresarial | Proyecto Protect AI |
El endpoint de Moderación de OpenAI se incluye en la guía de selección como referencia para equipos ya en el stack de OpenAI.
Las aplicaciones
1. Promptfoo
Promptfoo es la opción para un equipo orientado al código que quiere hacer red teaming de prompts como parte de CI. El CLI ejecuta un prompt a través de cientos de cargas adversariales, califica las salidas contra aserciones que escribimos e informa qué categoría de ataque (jailbreak, inyección, fuga de PII, exfiltración de datos) fue exitosa. Los lanzamientos de 2026 añadieron un preset OWASP LLM Top 10 que convierte “ejecutar cada carga conocida mala una vez por noche” en un trabajo de un comando.
Dónde se queda corto: es una herramienta de pruebas. Promptfoo no se sienta en la ruta de solicitud en tiempo de ejecución; nos dice en CI qué prompts se rompen. Empareja con un guardrail de tiempo de ejecución.
Precios:
- Gratuito: completamente gratuito, código abierto
- Pagado: nivel de soporte empresarial
Plataformas: Windows, macOS, Linux, Docker
Descarga: Promptfoo
Conclusión: el punto de partida sensato para un equipo que quiere red teaming de prompts en CI.
2. Garak
Garak es el escáner de vulnerabilidades LLM de NVIDIA, y su alcance es más amplio que el de Promptfoo. Ejecuta una taxonomía de sondas (goodside, dan, promptinject, encoding, malwaregen, xss) contra un modelo e informa qué sondas tuvieron éxito. Para cualquiera que pruebe un modelo de código abierto autohospedado contra una batería de ataques conocidos, es la herramienta de referencia en 2026.
Dónde se queda corto: los escaneos tardan un tiempo en ejecutarse. Algunas sondas son más ruidosas que otras y necesitan ajuste para adaptarse a nuestro modelo de amenaza.
Precios:
- Gratuito: completamente gratuito, código abierto
- Pagado: sin nivel de pago
Plataformas: Windows, macOS, Linux
Descarga: Garak
Conclusión: la opción para endurecimiento de un modelo autohospedado contra todas las categorías conocidas de ataques.
3. Rebuff
Rebuff es un detector de inyección de prompts multicapa: un filtro heurístico, una búsqueda en almacén de vectores contra cargas conocidas como malas, un clasificador basado en LLM y un detector de token canario que detecta cuando se ha dicho a un modelo que filtre un secreto. El rendimiento en tiempo de ejecución es lo suficientemente rápido para aplicaciones interactivas, y cada capa es opcional para que podamos ajustar la tolerancia a falsos positivos.
Dónde se queda corto: el almacén de vectores necesita ser sembrado con nuestras propias cargas conocidas como malas para ser útil; el conjunto incluido cubre inyecciones comunes pero no ataques específicos del dominio. Algunas capas dependen de una llamada LLM, que añade latencia.
Precios:
- Gratuito: completamente gratuito, código abierto
- Pagado: sin nivel de pago
Plataformas: Python, TypeScript, se ejecuta en cualquier lugar donde lo hagan Node o Python
Descarga: Rebuff
Conclusión: la opción para filtrado de inyección de prompts en tiempo de ejecución con un diseño multicapa maduro.
4. Lakera Guard
Lakera Guard es el guardrail gestionado de un equipo suizo que ha estado en defensa contra inyección de prompts desde 2022. La API se sienta delante de la llamada del modelo, clasifica la entrada del usuario y la salida del modelo para inyecciones, fugas de PII y violaciones de políticas, y devuelve un veredicto en decenas de milisegundos. El Playground en su sitio nos permite probar cargas contra el clasificador actual de forma interactiva.
Dónde se queda corto: es una API hospedada. Los equipos regulados necesitan verificar la SKU de residencia de datos. Los precios son por solicitud en lugar de por asiento.
Precios:
- Gratuito: nivel gratuito para cargas de trabajo pequeñas
- Pagado: suscripción anual modesta para tráfico de producción
Plataformas: API + SDKs para Python, JavaScript y Ruby
Descarga: Lakera Guard
Conclusión: la opción para un guardrail de API de producción sin mantener nuestro propio clasificador.
5. NeMo Guardrails
NeMo Guardrails es el DSL de guardrails programables de NVIDIA, y es la librería de cumplimiento en tiempo de ejecución de código abierto más flexible de la lista. Las reglas se definen en un script Colang que dice qué temas están permitidos, qué herramientas están permitidas y cuál es la respuesta de fallback cuando una verificación falla. Porque el DSL es programable, NeMo puede expresar políticas que un clasificador no puede — “el asistente solo puede llamar a la herramienta SQL cuando el usuario está autenticado” — limpiamente.
Dónde se queda corto: Colang es un nuevo DSL y la curva de aprendizaje es real. Los guardrails muy simples son más fáciles de escribir con Rebuff o Lakera.
Precios:
- Gratuito: completamente gratuito, código abierto
- Pagado: NVIDIA AI Enterprise añade soporte de pago
Plataformas: Python, se ejecuta en cualquier lugar donde lo haga Python
Descarga: NeMo Guardrails
Conclusión: la opción para equipos que necesitan expresión de políticas más allá de lo que un clasificador puede ofrecer.
6. PyRIT
PyRIT es la herramienta de identificación de riesgos Python de Microsoft para LLMs, y es lo más cercano a un kit de herramientas de seguridad ofensiva completo para sistemas de IA. Ejecuta prompts adversariales, rastrea conversaciones en múltiples turnos y evalúa la salida del modelo contra scoring personalizado. El público objetivo del framework son equipos rojos y azules dentro de organizaciones más grandes; las abstracciones reflejan eso.
Dónde se queda corto: el framework es más pesado que un script simple de prueba de penetración. Los equipos pequeños pueden encontrar Promptfoo o Garak más fáciles de usar.
Precios:
- Gratuito: completamente gratuito, código abierto
- Pagado: sin nivel de pago
Plataformas: Windows, macOS, Linux
Descarga: PyRIT
Conclusión: la opción para un equipo rojo que ejecuta ataques estructurados de múltiples turnos contra sistemas respaldados por LLM.
7. LLM Guard
LLM Guard de Protect AI es un escáner de entrada y salida de código abierto enfocado en prevención de pérdida de datos junto con defensa contra inyección de prompts. Incluye escáneres para PII, secretos, inyección de prompts, sesgo y toxicidad, y los ejecuta en tiempo de solicitud tanto en la entrada del usuario como en la salida del modelo. Para equipos cuya principal preocupación es “el modelo acaba de citar una clave API de vuelta al usuario”, LLM Guard es el especialista.
Dónde se queda corto: el modelo de escáner de entrada-salida añade latencia en cada solicitud. Ajustar qué escáneres se ejecutan en qué orden importa para el rendimiento.
Precios:
- Gratuito: completamente gratuito, código abierto
- Pagado: nivel de soporte empresarial
Plataformas: Python, se ejecuta en cualquier lugar donde lo haga Python
Descarga: LLM Guard
Conclusión: la opción cuando la fuga de PII y secretos es tan preocupante como la inyección misma.
Cómo elegir la aplicación correcta de defensa contra inyección de prompts
- Si queremos red teaming de prompts en tiempo de CI: Promptfoo.
- Si estamos endureciendo un modelo de código abierto autohospedado: Garak.
- Si queremos filtrado en tiempo de ejecución con un diseño multicapa: Rebuff.
- Si queremos un guardrail de API hospedado: Lakera Guard.
- Si nuestra política es más compleja de lo que un clasificador puede expresar: NeMo Guardrails.
- Si ejecutamos un equipo rojo estructurado: PyRIT.
- Si la fuga de PII y secretos es el riesgo principal: LLM Guard.
- Si ya estamos en el stack de OpenAI: el endpoint de Moderación de OpenAI es la línea base; coloca al menos una de las anteriores encima para cobertura específica de inyección.
El stack más fuerte de 2026 para un equipo pequeño es Promptfoo en CI más Rebuff o Lakera Guard en tiempo de ejecución más un escaneo Garak programado contra el modelo en producción. Esa combinación detecta cargas conocidas como malas antes del despliegue, filtra desconocidas en tiempo de solicitud y reescanea el modelo desplegado según un cronograma.
Preguntas frecuentes
¿Qué es la inyección de prompts? La inyección de prompts es la clase de ataque donde una entrada no confiable (un mensaje de usuario, un documento, una página web raspada) contiene instrucciones que redirigen el modelo contra su propósito previsto. La inyección directa es cuando el usuario escribe el ataque. La inyección indirecta es cuando el modelo lee un ataque de un documento o página web que se le dijo que resumiera. Ambas están en el OWASP LLM Top 10.
¿Se puede prevenir completamente la inyección de prompts? No. La inyección de prompts es un problema nativo del modelo de lenguaje y no hay defensa perfecta conocida. Las defensas en capas (red teaming en tiempo de prueba, clasificadores en tiempo de ejecución, políticas de llamadas de herramientas, tokens canario, moderación de salida) reducen el riesgo a un nivel aceptable para un despliegue específico. Cualquiera que afirme prevenir toda inyección de prompts con una herramienta está simplificando demasiado.
¿Cuál es la mejor defensa de código abierto contra inyección de prompts? Para filtrado en tiempo de ejecución, Rebuff y LLM Guard son las opciones de código abierto más completas. Para política programable, NeMo Guardrails. Para pruebas, Promptfoo y Garak.
¿El endpoint de Moderación de OpenAI detecta inyección de prompts? Parcialmente. El endpoint de Moderación está diseñado para categorías de contenido (acoso, autolesión, violencia) más que para inyección específicamente. Un clasificador dedicado de inyección de prompts (Rebuff, Lakera Guard, LLM Guard) detecta ataques que Moderación pasa por alto.
¿Cómo añado defensa contra inyección de prompts a un agente LangGraph o CrewAI? Envuelve llamadas de herramientas en un paso de guardrail que ejecuta LLM Guard o Rebuff en la acción propuesta del modelo, y pausa a través de la interrupción de LangGraph o la puerta de aprobación de CrewAI cuando el guardrail marca la llamada. Promptfoo puede ejecutar la misma cadena de guardrail en CI contra una batería de cargas adversariales.
¿Estas herramientas son gratuitas para usar comercialmente? Promptfoo, Garak, Rebuff, NeMo Guardrails, PyRIT y LLM Guard son código abierto con licencias permisivas que permiten uso comercial. Lakera Guard es un servicio gestionado de pago con un nivel gratuito para cargas de trabajo pequeñas.