Por Pablo Hamada
28 Noviembre 2025
OpenAI confirma la filtración de datos de sus usuarios. GETTY
Ni las empresas más fuertes de la industria tecnológica están exentas del riesgo que representan los proveedores externos en la cadena de suministro digital. Un comunicado de OpenAI, la empresa que está detrás de ChatGPT, encendió las alarmas en la comunidad de desarrolladores y empresas que utilizan inteligencia artificial: una brecha de seguridad en un servicio de analíticas de terceros dejó al descubierto información de clientes, en lo que representa una de las filtraciones más graves que tuvo la compañía.
La confirmación llegó directamente a las bandejas de entrada de los afectados mediante un comunicado oficial emitido por la compañía. Según el reporte, el incidente se originó el 9 de noviembre de 2025, cuando Mixpanel, una conocida firma proveedora de análisis de datos, detectó que un atacante había logrado acceso no autorizado a parte de sus sistemas. Sin embargo, no fue hasta el 25 de noviembre de 2025 que dicha empresa compartió con sus clientes el conjunto de datos afectado, permitiendo dimensionar el alcance real del problema.
La información detallada por OpenAI aclara que este evento de seguridad ocurrió estrictamente dentro de la infraestructura del proveedor y no como resultado de una vulnerabilidad en los sistemas propios de la empresa de inteligencia artificial.
Los datos de OpenAI que quedaron expuestos en el ataque
Según la auditoría forense realizada tras recibir el set de datos el pasado 25 de noviembre, la información comprometida se limita a los metadatos de uso de la interfaz frontend de la plataforma para desarrolladores (platform.openai.com). Esto significa que el ataque no tocó el núcleo del procesamiento de lenguaje natural ni las bases de datos donde se almacenan los modelos como el de ChatGPT, pero sí la capa administrativa donde los humanos gestionan sus cuentas.
Entre los datos filtrados figuran los nombres proporcionados en las cuentas de la API y las direcciones de correo electrónico asociadas. A esto se suma la ubicación aproximada basada en el navegador del usuario (ciudad, estado y país) y detalles técnicos como el sistema operativo y el navegador utilizado para acceder a la cuenta. También se vieron expuestos los sitios web de referencia (desde dónde llegó el usuario a la plataforma) y, lo que es quizás más sensible para las empresas, los IDs de Organización o de Usuario asociados a la cuenta
Este tipo de filtración se conoce en la jerga de ciberseguridad como una exposición de "información de huella digital". Aunque no permite un acceso directo a las cuentas bancarias o a los servidores de la empresa afectada, le entrega a los atacantes un mapa detallado de quiénes son los clientes, dónde están y qué tecnología utiliza
La respuesta de OpenAI frente a la vulnerabilidad de Mixpanel
OpenAI no se limitó a notificar a los usuarios, sino que tomó medidas operativas inmediatas. Como parte de su investigación de seguridad, eliminaron a Mixpanel de sus servicios de producción. Tras revisar el incidente, la relación comercial para el uso de esta herramienta de analíticas se dio por terminada.
Según detalló la empresa a través del comunicado, esta decisión viene acompañada de una revisión exhaustiva de los conjuntos de datos afectados y una colaboración estrecha con el proveedor fallido y otros socios para entender el alcance total del ataque. La compañía aseguró además, que está en proceso de notificar directamente a las organizaciones, administradores y usuarios impactados.
Lo más popular
