La compañía de inteligencia artificial OpenAI ha confirmado que información de usuarios de su API quedó expuesta tras un incidente de seguridad en Mixpanel, el proveedor de análisis web que empleaban para monitorizar el uso de su plataforma para desarrolladores. El problema afectó exclusivamente a usuarios de la API, mientras que los millones de usuarios de ChatGPT y otros servicios no se vieron comprometidos.
Qué información quedó expuesta
El 9 de noviembre de 2025, un atacante consiguió acceder sin autorización a parte de los sistemas de Mixpanel y exportó un conjunto de datos que incluía información limitada de clientes. OpenAI recibió notificación del incidente y pudo revisar los datos afectados el 25 de noviembre.
La información comprometida se limita a datos de perfil y analítica web básica:
- Nombres asociados a cuentas de la API
- Direcciones de correo electrónico
- Ubicación aproximada basada en el navegador (ciudad, región y país)
- Sistema operativo y navegador utilizado
- Sitios web de referencia
- Identificadores de organización y usuario
OpenAI ha sido enfática al aclarar que no se han visto comprometidos datos críticos como contraseñas, claves de API, información de pago, documentos de identidad, ni tampoco contenido de conversaciones, prompts o respuestas generadas por sus modelos de IA.
Respuesta de OpenAI y medidas adoptadas
Como respuesta inmediata al incidente, OpenAI ha eliminado completamente Mixpanel de sus servicios en producción y ha dado por terminada su relación comercial con el proveedor de análisis. La empresa está notificando directamente a todas las organizaciones, administradores y usuarios afectados.
Además, OpenAI ha iniciado una revisión exhaustiva de seguridad de todo su ecosistema de proveedores externos y ha elevado los requisitos de seguridad para todos sus partners y servicios de terceros.
Recomendaciones para usuarios afectados
Aunque no hay evidencia de que los datos filtrados se hayan utilizado de forma maliciosa hasta el momento, OpenAI advierte que esta información podría emplearse para ataques de phishing o ingeniería social más convincentes. La compañía recomienda a los usuarios afectados:
- Desconfiar de correos electrónicos inesperados, especialmente si contienen enlaces o archivos adjuntos
- Verificar que los mensajes que supuestamente provienen de OpenAI utilicen dominios oficiales de la empresa
- Recordar que OpenAI nunca solicita contraseñas, claves de API o códigos de verificación por correo, mensaje de texto o chat
- Activar la autenticación multifactor en sus cuentas como medida de protección adicional
No es necesario cambiar contraseñas ni rotar claves
Dado que las credenciales de acceso, tokens de sesión y claves de API no se vieron afectadas por esta brecha, OpenAI no considera necesario que los usuarios cambien sus contraseñas o regeneren sus claves de API como respuesta a este incidente específico.
La compañía ha habilitado una dirección de correo específica (mixpanelincident@openai.com) para que los usuarios puedan plantear dudas o preocupaciones relacionadas con el incidente, y se ha comprometido a mantener informados a los afectados si surge nueva información relevante.
