OpenAI ha afirmado que está en proceso de notificar directamente a las organizaciones, administradores y usuarios afectados sobre la filtración de datos.

OpenAI reveló el jueves 27 de noviembre que los datos personales de los usuarios de su plataforma API, como los identificadores de organización o de usuario, podrían haber quedado expuestos después de que hackers vulneraran la seguridad de un proveedor externo que la startup de IA utilizaba para análisis web.

El proveedor de análisis de datos Mixpanel sufrió una filtración de datos después de que un atacante obtuviera acceso no autorizado a parte de sus sistemas y exportara un conjunto de datos que contenía información limitada de identificación de clientes e información analítica, según informó OpenAI en una entrada de blog.

La filtración de datos tuvo lugar el 9 de noviembre de 2025. «Mixpanel notificó a OpenAI que estaban investigando y, el 25 de noviembre de 2025, compartieron con nosotros el conjunto de datos afectado», declaró el creador de ChatGPT.

Se enfatizó que los sistemas de OpenAI no se vieron comprometidos en el ataque. Sin embargo, los hackers robaron la información de las cuentas de los usuarios registrados en la plataforma API de OpenAI (platform.openai.com). Esta información incluye nombres de usuario de la cuenta API, direcciones de correo electrónico, sistema operativo y detalles del navegador, ID de la organización o usuario asociado a la cuenta API, ubicación aproximada basada en el navegador del usuario API (ciudad, estado, país) y sitios web de referencia.

OpenAI ofrece a sus clientes de pago acceso a sus modelos y herramientas de IA a través de una Interfaz de Programación de Aplicaciones (API), un conjunto de instrucciones definidas que permiten la comunicación entre diferentes aplicaciones. La plataforma es utilizada principalmente por la comunidad de desarrolladores de OpenAI, quienes utilizan el acceso de pago a la API para impulsar sus propias aplicaciones de IA.

Mixpanel, por otro lado, es un proveedor externo de análisis web que OpenAI utilizaba para analizar el uso del producto y mejorar los servicios ofrecidos a través de su producto API.

Los usuarios front-end de ChatGPT y otros productos de OpenAI no se vieron afectados por la filtración de datos, según la startup respaldada por Microsoft. Aclaró que los datos relacionados con el chat, las solicitudes API, los datos de uso de la API, las contraseñas, las credenciales, las claves API, los detalles de pago y las identificaciones gubernamentales no se vieron comprometidos ni expuestos en el ataque malicioso.

“Además, hemos confirmado que los tokens de sesión, los tokens de autenticación y otros parámetros sensibles de los servicios de OpenAI no se vieron afectados”, declaró OpenAI. Sin embargo, OpenAI no ha revelado el número total de clientes de API afectados por la filtración de datos.

Cabe destacar que la exposición de información personal identificable de esta manera podría suponer varios riesgos para los clientes de API de OpenAI. Por ejemplo, los actores de amenazas podrían usar nombres, direcciones de correo electrónico y metadatos de la API de OpenAI para realizar ataques de phishing mediante ingeniería social. Las credenciales de usuario resultantes de una filtración de datos también podrían ser utilizadas por actores de amenazas para intentar iniciar sesión en cuentas de usuario en otras plataformas. Este tipo de ataque se conoce comúnmente como robo de credenciales.

Este incidente también se produce más de una semana después de que el Ministerio de Electrónica y Tecnología de la Información (MeitY) notificara las Normas de Protección de Datos Personales Digitales (DPDP) de 2025, allanando el camino para que India cuente con una ley de protección de datos funcional.

Si bien ciertas disposiciones de la ley están actualmente en vigor, otras obligaciones, como la obligación de que las entidades notifiquen las filtraciones de datos a los usuarios, solo se implementarán después de 18 meses.

¿Qué está haciendo OpenAI tras el incidente?.

OpenAI ha afirmado que está en proceso de notificar directamente a las organizaciones, administradores y usuarios afectados sobre la filtración de datos. También ha dejado de usar Mixpanel.

«Como parte de nuestra investigación de seguridad, retiramos Mixpanel de nuestros servicios de producción, revisamos los conjuntos de datos afectados y estamos trabajando estrechamente con Mixpanel y otros socios para comprender completamente el incidente y su alcance», declaró la organización dirigida por Sam Altman.

«Además de Mixpanel, estamos realizando revisiones de seguridad adicionales y ampliadas en todo nuestro ecosistema de proveedores y estamos elevando los requisitos de seguridad para todos los socios y proveedores», añadió.

¿Qué pueden hacer los clientes de API de OpenAI?.

Los desarrolladores y organizaciones que se han registrado para usar los servicios API de OpenAI sabrán que se han visto afectados por la filtración de datos si reciben un correo electrónico de OpenAI notificándoles el incidente.

La startup de inteligencia artificial también recomendó las siguientes medidas para que los usuarios se protejan tras el incidente:

• Tenga cuidado con los correos electrónicos o mensajes inesperados, especialmente si incluyen enlaces o archivos adjuntos.

• Compruebe que cualquier mensaje que diga provenir de OpenAI provenga de un dominio oficial de OpenAI.

• Proteja aún más su cuenta activando la autenticación multifactor (MFA). Se recomienda a las empresas y organizaciones que activen la MFA en el inicio de sesión único.

«OpenAI no solicita contraseñas, claves API ni códigos de verificación por correo electrónico, SMS ni chat», declaró.