Alerta de Brecha de Seguridad en OpenAI: el incidente de Mixpanel expone datos limitados de usuarios de la API

La empresa afirma que no se expusieron datos de la API ni credenciales, pero advierte a los usuarios sobre posibles intentos de phishing. 

Brecha de un proveedor externo expone metadatos limitados de cuentas API 

OpenAI está notificando a sus clientes acerca de un incidente de seguridad que involucra a Mixpanel, un proveedor externo de análisis utilizado anteriormente en la interfaz web de su plataforma API. Según la compañía, la intrusión ocurrió exclusivamente dentro de los sistemas de Mixpanel y afectó a un subconjunto de datos analíticos vinculados a cuentas de usuarios de la API. OpenAI destacó que su propia infraestructura permanece segura: «Este no fue un incidente que afectara los sistemas de OpenAI. Ningún chat, solicitud API, dato de uso de la API, contraseña, credencial, clave API, detalle de pago ni documento de identidad gubernamental fue comprometido o expuesto.» 

Mixpanel detectó el acceso no autorizado el 9 de noviembre de 2025. Las investigaciones posteriores confirmaron que un atacante había exportado un conjunto de datos que contenía metadatos identificables de clientes. El proveedor entregó a OpenAI el dataset afectado el 25 de noviembre, lo que permitió un análisis detallado de la información expuesta. 

Qué datos fueron afectados 

La información comprometida consistía principalmente en detalles de perfil y datos analíticos asociados a inicios de sesión en platform.openai.com. Según OpenAI, los registros exportados podían incluir: 

• Nombres de cuenta 
• Direcciones de correo electrónico 
• Ubicación aproximada derivada del navegador 
• Información del dispositivo 
• Sitios web de referencia 
• Identificadores de usuario u organización 

La empresa señaló que no se incluyeron datos sensibles de autenticación ni contenido de las API. 

Aunque la brecha estuvo limitada a Mixpanel, los metadatos expuestos podrían utilizarse en ataques de phishing dirigido o intentos de suplantación. OpenAI reiteró esta preocupación, advirtiendo que los atacantes podrían crear mensajes convincentes basados en direcciones de correo e ID de usuario expuestos. 

OpenAI deja de usar Mixpanel y amplía las auditorías de seguridad a proveedores 

Tras el incidente, OpenAI eliminó Mixpanel de todos sus entornos de producción y comenzó a notificar a las organizaciones y administradores afectados. La compañía afirmó que sigue supervisando la situación y que no hay «ninguna evidencia de que exista algún efecto en sistemas o datos fuera del entorno de Mixpanel.» 

Como respuesta a la brecha, OpenAI puso fin a su relación con Mixpanel y lanzó revisiones de seguridad más amplias en todo su ecosistema de proveedores. La empresa señaló que elevará los requisitos de seguridad para todos sus socios y reafirmó su compromiso con la transparencia y la protección de los usuarios. 

Usuarios deben reforzar la seguridad de sus cuentas 

OpenAI instó a los clientes de la API a mantenerse alerta, ya que los metadatos expuestos podrían alimentar ataques de ingeniería social. La compañía recomendó desconfiar de mensajes inesperados, verificar que las comunicaciones provengan de dominios oficiales de OpenAI, evitar compartir contraseñas o claves API y habilitar la autenticación multifactor (MFA). 

Para reducir aún más el riesgo de suplantación y proteger la información personal, los usuarios también pueden recurrir a herramientas dedicadas. 
Bitdefender Digital Identity Protection ayuda a monitorear si los datos personales aparecen en brechas o mercados ilícitos y envía alertas en tiempo real. Para mensajes sospechosos o posibles intentos de phishing, Bitdefender Scamio permite analizar rápidamente correos electrónicos, enlaces, capturas de pantalla o chats en busca de señales de fraude antes de interactuar con ellos. Ambas soluciones ofrecen una capa adicional de seguridad en un contexto donde los atacantes suelen explotar incluso metadatos mínimos.