OpenAI confirma filtración pero niega hackeo; detalla el incidente y advierte sobre el phishing
El servicio analítico externo Mixpanel provocó una fuga de datos que afectó a algunos usuarios de la API de OpenAI — OpenAI desconectó al proveedor y endurece los controles a sus socios.
OpenAI informó sobre un incidente de seguridad en el proveedor externo de analítica web Mixpanel, que afectó a parte de los usuarios de la plataforma API platform.openai.com. No se trata de un hackeo de los sistemas de OpenAI ni de una filtración de chats, contraseñas o claves: solo se vieron comprometidos datos analíticos limitados; sin embargo, la empresa advierte sobre riesgos de phishing y ataques de ingeniería social como consecuencia de lo ocurrido.
Según OpenAI, el incidente ocurrió en la infraestructura de Mixpanel y no afectó a los sistemas operativos de OpenAI. El 9 de noviembre de 2025 Mixpanel detectó un acceso no autorizado a parte de sus sistemas: un atacante pudo extraer un conjunto de datos con información analítica de clientes. Entonces Mixpanel notificó a OpenAI sobre la investigación, y el 25 de noviembre de 2025 entregó a la empresa una copia del conjunto de datos afectado para analizar la magnitud del incidente.
Quedaron en riesgo los datos de perfil de algunos usuarios de la API que Mixpanel recopilaba como proveedor de analítica web para la interfaz platform.openai.com. En el conjunto de datos extraído podrían aparecer el nombre indicado en la cuenta de API, la dirección de correo electrónico, la ubicación aproximada según datos del navegador (ciudad, estado, país), información sobre el sistema operativo y el navegador, los sitios de referencia, así como identificadores de la organización o del usuario vinculados a la cuenta.
Se subraya por separado que el contenido de los chats, los prompts y las respuestas de los modelos, los datos de uso de la API, las contraseñas, las claves de API, los datos de pago, los identificadores gubernamentales y otras credenciales sensibles no estuvieron en riesgo y no salieron de la infraestructura de OpenAI. La empresa también afirma que los tokens de sesión y de autenticación, así como otros parámetros críticos de acceso, no se vieron afectados.
En respuesta al incidente, OpenAI desconectó por completo a Mixpanel de sus servicios en producción e inició su propia investigación de los conjuntos de datos afectados. La empresa trabaja con Mixpanel y otros socios para aclarar los detalles de lo ocurrido y, paralelamente, realiza comprobaciones ampliadas de toda la cadena de proveedores. Tras la revisión de los requisitos, OpenAI dejó de usar Mixpanel y anunció el aumento de los estándares de seguridad para todos los contratistas y proveedores.
OpenAI ya empezó a notificar de forma dirigida a organizaciones, administradores y usuarios individuales cuyos datos podrían haber estado en el conjunto de datos extraído. Al mismo tiempo, la compañía señala que por ahora no observa indicios de uso indebido de la información obtenida fuera del entorno de Mixpanel, pero continúa monitorizando las posibles consecuencias.
El riesgo principal para los afectados es el phishing y la ingeniería social que utilicen el nombre real, el correo electrónico y los metadatos de la cuenta de OpenAI. La empresa recomienda a los usuarios que sean cautelosos con correos y mensajes inesperados, especialmente los que contienen enlaces y archivos adjuntos, y que verifiquen siempre que las supuestas notificaciones «oficiales» provengan de dominios de OpenAI. Se subraya por separado que OpenAI no solicita contraseñas, claves de API ni códigos de verificación por correo electrónico, SMS ni en chat.
Como medida adicional de protección, la empresa recomienda activar la autenticación multifactor (MFA) para la cuenta de OpenAI y, en entornos corporativos, asegurar MFA a nivel de inicio de sesión único. OpenAI asegura que la seguridad y la privacidad siguen siendo prioridades clave y se compromete a informar a los usuarios si aparece nueva información relevante sobre el incidente.
¿Estás cansado de que Internet sepa todo sobre ti?