OpenAI revela filtración de datos y alerta a sus usuarios sobre posibles ataques de phishing

OpenAI confirmó un incidente de seguridad que expuso los datos de algunos usuarios de su API. La empresa indicó que, entre la información comprometida, se encontraban datos de identificación de clientes, correos electrónicos, ubicaciones aproximadas, nombres asociados a las cuentas y sitios web de referencia.

La creadora de ChatGPT precisó que la vulnerabilidad se originó en los sistemas de Mixpanel, un proveedor de análisis de datos que la compañía utiliza para generar métricas web y gestionar la interfaz de usuario en su API.

“El 9 de noviembre de 2025, Mixpanel detectó que un atacante había obtenido acceso no autorizado a parte de sus sistemas y había exportado un conjunto de datos con información limitada de identificación de clientes e información analítica. Mixpanel notificó a OpenAI que estaban investigando y, el 25 de noviembre de 2025, compartió con nosotros el conjunto de datos afectado”, detalló la empresa en un comunicado.

Según la organización dirigida por Sam Altman, los usuarios de ChatGPT y otros productos no se vieron afectados. Agregó que ningún chat, solicitud, dato de uso, contraseña, credencial, detalle de pago ni identificación gubernamental de los suscriptores de su API fueron comprometidos. No obstante, reconoció que la información expuesta incluye:

• Nombre proporcionado en la cuenta API.
• Dirección de correo electrónico asociada a la cuenta API.
• Ubicación aproximada basada en el navegador del usuario API (ciudad, estado y país).
• Sistema operativo y navegador utilizados para acceder a la cuenta API.
• Sitios web de referencia.
• ID de organización o usuario asociados a la cuenta API.

OpenAI emite recomendaciones a sus usuarios tras filtración

OpenAI advirtió que los datos expuestos podrían utilizarse en ataques de phishing o ingeniería social. Por ello, recomendó a los usuarios afectados actuar con cautela frente a mensajes o correos electrónicos sospechosos (especialmente aquellos que incluyan enlaces o archivos adjuntos) que aparenten provenir de la compañía.

La firma recordó que nunca solicita contraseñas, claves API ni códigos de verificación por correo electrónico, mensaje de texto o chat, por lo que cualquier solicitud de este tipo debe considerarse sospechosa. Además, aconsejó habilitar la autenticación multifactor para reforzar la seguridad del inicio de sesión.

Tras el incidente, OpenAI aseguró que prescindió de los servicios de Mixpanel. “Como parte de nuestra investigación de seguridad, retiramos Mixpanel de nuestros servicios de producción. Si bien no hemos encontrado evidencia de efectos en sistemas o datos fuera del entorno de Mixpanel, seguimos monitoreando de cerca cualquier indicio de uso indebido. También estamos realizando revisiones de seguridad adicionales y ampliadas en todo nuestro ecosistema de proveedores y elevando los requisitos de seguridad para todos los socios”, señaló la compañía.

Esta no es la primera vez que la seguridad de OpenAI se ve comprometida. En 2023, la empresa confirmó que los servidores de ChatGPT experimentaron interrupciones por un ataque DDoS. Aunque en ambos casos la información más sensible de sus usuarios no fue afectada, estos episodios generan dudas sobre la eficacia de las medidas de protección de la compañía, cuyos servicios concentran una gran cantidad de datos sensibles de millones de usuarios, organizaciones y entidades gubernamentales.