OpenAI detalla incidente de seguridad en Mixpanel y confirma que no afectó a ChatGPT ni a datos sensibles
El acceso indebido en Mixpanel involucró datos como correos y ubicaciones, sin afectar chats ni claves API.
Redacción Internacional.– OpenAI amplió la información sobre un reciente incidente de seguridad ocurrido en los sistemas de Mixpanel, proveedor externo de analítica utilizado para medir el comportamiento de uso en la interfaz web de su producto de API (platform.openai.com).
El suceso, detectado el 9 de noviembre de 2025, involucró el acceso no autorizado a una parte de la infraestructura de Mixpanel y la posterior exportación de un conjunto de datos con información limitada relacionada con algunos usuarios de la API de OpenAI.
- La compañía recalcó que este incidente no representó una brecha en sus propios sistemas y que los usuarios de ChatGPT y otros productos de OpenAI no fueron impactados.
Asimismo, aseguró que no se vieron comprometidos chats, solicitudes a la API, datos de uso, contraseñas, claves API, credenciales, información de pago ni documentos de identidad emitidos por gobiernos.
Según OpenAI, la información incluida en el conjunto de datos exportado por el atacante pudo contener:
- Nombre proporcionado en la cuenta de la API
- Dirección de correo electrónico asociada
- Ubicación aproximada basada en el navegador (ciudad, estado y país)
- Sistema operativo y navegador utilizados
- Sitios web de referencia
- Identificadores de usuario u organización vinculados a la cuenta de la API
La empresa enfatizó que no hubo exposición de contenido generado por usuarios ni de información sensible relacionada con la autenticación o la seguridad de las cuentas.
Tras conocer el incidente, OpenAI retiró de inmediato a Mixpanel de sus servicios de producción y comenzó una revisión exhaustiva de los datos afectados, en coordinación con sus socios tecnológicos. También inició un proceso de notificación directa a las organizaciones, administradores y usuarios potencialmente impactados.
Además, la compañía anunció la realización de auditorías de seguridad ampliadas en todo su ecosistema de proveedores, así como el endurecimiento de los requisitos de seguridad y privacidad exigidos a terceros.
OpenAI advirtió que la información expuesta podría ser utilizada para campañas de phishing o ingeniería social, por lo que recomendó a sus usuarios:
- Desconfiar de correos electrónicos inesperados con enlaces o archivos adjuntos.
- Verificar que cualquier comunicación que afirme provenir de OpenAI sea enviada desde dominios oficiales.
- Recordar que OpenAI no solicita contraseñas, claves API ni códigos de verificación por correo, texto o chat.
- Activar la autenticación multifactor (MFA) como medida adicional de protección.
Compromiso con la transparencia
“La seguridad y la privacidad son pilares fundamentales de nuestros productos y nuestra misión”.
Reiteró OpenAI, al tiempo que garantizó que continuará informando si surgen nuevos hallazgos relevantes sobre el incidente. Las personas con dudas o inquietudes pueden contactar al equipo de soporte a través del correo: mixpanelincident@openai.com.
OpenAI concluyó reafirmando su compromiso de mantener los más altos estándares de seguridad y de exigir el mismo nivel de responsabilidad a todos sus socios y proveedores tecnológicos.