OpenAI ha anunciado un incidente de seguridad que involucra a Mixpanel, un proveedor externo de análisis web utilizado para la interfaz de su producto API platform.openai.com. Esta violación, que comprometió los sistemas de Mixpanel en lugar de la infraestructura de OpenAI, permitió a un atacante no autorizado exportar un conjunto de datos que contenía información identificable limitada sobre algunos usuarios de la API de OpenAI.
Mixpanel identificó la intrusión no autorizada, que condujo a la exportación de datos analíticos e identificables del cliente. Cuando Mixpanel descubrió la infracción, Mixpanel informó inmediatamente a OpenAI. Es fundamental señalar que este incidente no afectó a los usuarios de ChatGPT de OpenAI ni a otros productos, ya que la infracción se limitó a los servicios de Mixpanel. Los sistemas centrales de OpenAI (contenido de chat, solicitudes de API, datos de uso de API, contraseñas, credenciales, claves de API, datos de pago e identificaciones gubernamentales) no se vieron afectados.
El conjunto de datos afectados compartido por Mixpanel con OpenAI el 25 de noviembre de 2025 contenía perfil de usuario limitado e información analítica sobre el uso de la plataforma. En particular, la información exportada incluyó:
– El nombre proporcionado a OpenAI en la cuenta API.
– La dirección de correo electrónico asociada con la cuenta API.
– Ubicación aproximada basada en el navegador del usuario, como ciudad, estado y país.
– El sistema operativo y el navegador utilizados para acceder a la cuenta API.
– Sitios web de referencia.
– ID de organización o usuario asociados con la cuenta API.
En respuesta a la infracción, OpenAI actuó rápidamente y eliminó Mixpanel de sus servicios de producción después de realizar una revisión de seguridad interna. Después de una revisión exhaustiva de los conjuntos de datos afectados, OpenAI puso fin a su relación con Mixpanel. La empresa ahora se centra en informar a todas las organizaciones, administradores y usuarios individuales involucrados a través de comunicación directa por correo electrónico. Si bien OpenAI no ha encontrado evidencia de uso indebido de los datos, la organización está monitoreando de cerca la situación en busca de signos de actividad maliciosa relacionada.
Para mejorar aún más la seguridad, OpenAI anunció que está realizando evaluaciones exhaustivas en todo su ecosistema de proveedores e implementando requisitos de seguridad más estrictos para todos los socios externos.
Para los usuarios afectados por el incidente, OpenAI ha proporcionado varias recomendaciones prácticas para mantener la seguridad y evitar una posible explotación de la información expuesta. Se recomienda a los usuarios que permanezcan atentos a comunicaciones sospechosas mediante:
– Tenga cuidado con los correos electrónicos o mensajes inesperados, especialmente si contienen enlaces o archivos adjuntos.
– Verificar que las comunicaciones que dicen ser de OpenAI provienen de dominios oficiales.
– Protección de credenciales al tener en cuenta que OpenAI nunca solicitará contraseñas, claves API o códigos de verificación por correo electrónico, mensaje de texto o chat.
– Habilitar la autenticación multifactor (MFA) como capa adicional de seguridad, especialmente en la capa de inicio de sesión único.
Es importante destacar que OpenAI no recomienda a los usuarios que restablezcan sus contraseñas o roten las claves API, ya que la infracción no comprometió estos elementos. Si tiene más inquietudes o preguntas, se recomienda a los usuarios que se comuniquen con el equipo de soporte de OpenAI.
