Por Diana Soto
OpenAI, la empresa que creó ChatGPT, dio a conocer que hubo un incidente de seguridad en Mixpanel, un proveedor de análisis de datos que la compañía utilizaba para como estudio externo de la web y la mejora de su producto API: platform.openai.com
De acuerdo con el Centro de Ciberseguridad del gobierno de Buenos Aires, una API (Application Programming Interface) “es un conjunto de reglas, protocolos y herramientas que permite a diferentes programas de software comunicarse entre sí”. Esto implica que una aplicación puede usar funciones de otra sin conocer todos sus detalles internos.
Como ejemplo, el Centro señala que:
“una empresa de delivery puede usar las APIs de Google Maps para integrar mapas y mostrar la ubicación de restaurantes cercanos y rutas de entrega, sin desarrollar los mapas desde cero”.
Para el caso de OpenAI, la compañía ofrece su API como servicio para desarrolladores y empresas, permitiéndoles usar modelos como ChatGPT o GPT-5 desde otra aplicación o página web sin usar directamente el portal de la empresa.
En este sentido, la vulneración de seguridad se dio entre los usuarios que utilizan el producto API y no necesariamente en todas las personas que usan ChatGPT u otros productos desligados de la API, ya que el ataque no fue a los sistemas de OpenAI, sino del proveedor Mixpanel.
A través de un comunicado, la empresa explicó que el 9 de noviembre de 2025 se detectó que un atacante había tenido “acceso no autorizado” a los sistemas de Mixpanel, el cual involucró datos analíticos de algunos usuarios.
“Ningún chat, solicitud de API, datos de uso de API, contraseñas, credenciales, claves de API, detalles de pago ni identificaciones gubernamentales se vieron comprometidos ni expuestos”, aseguró la empresa.
Entonces… ¿Qué datos se vulneraron?
Desde el 25 de noviembre de 2025, la empresa tuvo conocimiento del conjunto de datos afectados, que señaló que se limitan a:
- Nombre proporcionado en la cuenta API.
- Correo electrónico asociado a la cuenta API.
- Ubicación aproximada (ciudad, estado, país) del navegador del usuario API.
- Sistema operativo y navegador utilizados.
- Sitios web de referencia.
- ID de la organización o usuario asociados con la cuenta API.
La información que podría haber sido expuesta son datos exportados desde Mixpanel y hasta el momento la compañía no ha encontrado evidencia de actividades indebidas fuera del entorno de este proveedor.
¿Cómo puedo saber si fui afectado?
OpenAI informó que notificará directamente a las organizaciones y usuarios afectados por correo electrónico para informar sobre la vulneración de los datos. Además de anunciar que ya no utilizará los servicios del proveedor involucrado.
¿Qué puedo hacer si vulneraron mis datos?
La empresa reconoció que los datos afectados podrían ser utilizados en estafas de phishing, una técnica en la que suplantan a personas o entidades para obtener información personal o financiera.
Ante ello recomendó principalmente a los usuarios:
- Tratar los correos electrónicos o mensajes inesperados con precaución.
- Activar la autenticación multifactor.
- Revisar que los mensajes a nombre de OpenAI sean enviados desde dominios oficiales.
- Evitar compartir contraseñas, claves de API o códigos de verificación por correo electrónico o mensajes de texto, ya que la empresa no los solicita por esos medios.
OpenAI también aseguró que los tokens de sesión y autenticación no fueron afectados y no recomendó restablecer o rotar las contraseñas de los usuarios.
Además, en caso de mayores inquietudes o problemas de seguridad pidió comunicarse al correo de soporte: mixpanelincident@openai.com.
Estas recomendaciones corresponden con lo que establece el Reglamento de Ley Federal de Protección de Datos Personales en Posesión de Particulares, que en su artículo 65 señala que, en caso de una vulneración de seguridad, el responsable deberá informar a la persona titular, por lo menos:
- La naturaleza del incidente.
- Los datos personales comprometidos.
- Las recomendaciones acerca de las medidas que la persona titular pueda adoptar para proteger sus intereses.
- Las acciones correctivas realizadas de forma inmediata.
- Los medios donde puede obtener más información al respecto.
LINKS | FUENTES
