OpenAI, la empresa creadora de ChatGPT, informó esta medianoche sobre un incidente de seguridad que involucró a Mixpanel, una plataforma externa que utilizaba para el análisis de datos del sitio platform.openai.com, donde se gestionan las herramientas para desarrolladores y usuarios de su API.
En el comunicado señalan que, si bien el ataque no comprometió los sistemas de OpenAI ni expuso información crítica como contraseñas, claves de acceso o datos de pago, la empresa recomienda a los usuarios estar alerta frente a posibles intentos de suplantación de identidad (phishing) o estafas digitales.
¿Qué ocurrió?
El incidente fue detectado por Mixpanel el 9 de noviembre de 2025, cuando identificaron un acceso no autorizado a parte de sus sistemas. El atacante exportó un conjunto de datos con información limitada relacionada con los usuarios de la API de OpenAI.
El 25 de noviembre, Mixpanel compartió el detalle del incidente con OpenAI, lo que permitió iniciar una investigación interna más profunda.
¿Qué datos fueron afectados?
Según el comunicado oficial, no se trató de una vulneración directa a los sistemas de OpenAI, y los usuarios de ChatGPT y otras aplicaciones no resultaron afectados. Los datos filtrados se restringen a metadatos y datos de perfil, entre ellos:
- Nombre registrado en la cuenta de API
- Dirección de correo electrónico vinculada
- Ubicación aproximada (ciudad, estado, país)
- Sistema operativo y navegador utilizados
- Sitios web de referencia
- Identificadores de organización o usuario
Esta información, aunque no incluye elementos sensibles como claves o contraseñas, podría ser utilizada para realizar campañas de phishing o ingeniería social, dirigidas especialmente a desarrolladores o equipos técnicos que trabajan con la API de OpenAI.
Medidas tomadas por OpenAI
Ante la situación, OpenAI ha retirado completamente a Mixpanel de su entorno de producción. Además, ha comenzado una revisión exhaustiva con todos sus proveedores para elevar sus estándares de seguridad. La organización también ha iniciado un proceso de notificación directa a todas las cuentas potencialmente afectadas, reforzando su compromiso con la transparencia y la protección de los datos de sus usuarios.
Recomendaciones de seguridad
OpenAI ha llamado a los usuarios de su plataforma API a estar atentos ante correos electrónicos o mensajes sospechosos, especialmente aquellos que parezcan legítimos pero que soliciten información personal, credenciales o claves. La organización recuerda que:
- Nunca solicita contraseñas ni claves por correo, mensajes de texto o chat.
- Cualquier comunicación oficial proviene de un dominio verificado.
- Es importante habilitar la autenticación multifactor para mayor seguridad.
- Un llamado a la vigilancia digital
Este incidente pone nuevamente en evidencia los riesgos que existen al depender de terceros para el procesamiento de datos, incluso si se trata de servicios especializados.
Aunque OpenAI actuó con rapidez y afirma no haber encontrado pruebas de uso indebido de los datos, la situación sirve como recordatorio para mantener buenas prácticas de ciberseguridad: desconfiar de comunicaciones inesperadas, verificar el origen de los mensajes y reforzar los mecanismos de autenticación en todas las plataformas.
Estimated reading time: 3 minutos
