Aclaración del 19 de diciembre de 2025: Estamos actualizando el blog para aclarar la descripción de los usuarios afectados. El blog original indicaba que los “usuarios de la API” estaban afectados. Se ha actualizado para añadir: “También afectó a un número limitado de usuarios de ChatGPT que enviaron tickets al centro de ayuda o que estaban conectados a platform.openai.com(se abre en una nueva ventana)”. Todos los usuarios afectados fueron identificados y notificados al mismo tiempo como parte del contacto original con los usuarios. Aparte de esta aclaración, nada más sobre nuestra comprensión del incidente, incluido el tipo de información involucrada, ha cambiado.
La transparencia es importante para nosotros, así que queremos informarte sobre un incidente de seguridad reciente en Mixpanel, un proveedor de análisis de datos que OpenAI utilizó para análisis web en la interfaz de front-end de nuestro producto API (platform.openai.com(se abre en una nueva ventana)).
El incidente ocurrió dentro de los sistemas de Mixpanel e involucró datos analíticos limitados relacionados con algunos usuarios de la API. También afectó a un número limitado de usuarios de ChatGPT que enviaron solicitudes al centro de ayuda o que estaban conectados a platform.openai.com.
Esto no fue una violación de los sistemas de OpenAI. No se comprometieron ni se expusieron chats, solicitudes de API, datos de uso de API, contraseñas, credenciales, claves de API, detalles de pago ni identificaciones gubernamentales.
Qué sucedió
El 9 de noviembre de 2025, Mixpanel se dio cuenta de que un atacante obtuvo acceso no autorizado a parte de sus sistemas y exportó un conjunto de datos que contenía información identificable limitada de clientes e información analítica. Mixpanel notificó a OpenAI que estaban investigando y, el 25 de noviembre de 2025, compartieron el conjunto de datos afectado con nosotros.
Qué significa para los usuarios afectados
La información del perfil de usuario asociada con el uso de platform.openai.com(se abre en una nueva ventana) podría haber sido incluida en los datos exportados desde Mixpanel. La información que podría haber sido afectada se limitó a:
- Nombre que nos fue proporcionado en la cuenta
- Dirección de correo electrónico asociada a la cuenta
- Ubicación aproximada y general basada en el navegador del usuario (ciudad, estado, país)
- Sistema operativo y navegador usados para acceder a la cuenta
- Sitios web de referencia
- ID de organización o de usuario asociados con la cuenta
Nuestra respuesta
Como parte de nuestra investigación de seguridad, eliminamos Mixpanel de nuestros servicios de producción, revisamos los conjuntos de datos que se vieron afectados y estamos trabajando en conjunto con Mixpanel y otros socios para comprender completamente el incidente y su alcance. Estamos en el proceso de notificar directamente a las organizaciones, a los administradores y a los usuarios afectados. Aunque no hemos encontrado evidencia de ningún efecto en sistemas o datos fuera del entorno de Mixpanel, continuamos monitoreando de cerca cualquier señal de uso indebido.
La confianza, la seguridad y la privacidad son fundamentales para nuestros productos, nuestra organización y nuestra misión. Estamos comprometidos con la transparencia y estamos notificando a todos los clientes y usuarios afectados. También hacemos responsables a nuestros socios y proveedores de cumplir con los más altos estándares de seguridad y privacidad en sus servicios. Después de revisar este incidente, OpenAI ha dejado de usar Mixpanel.
Más allá de Mixpanel, estamos realizando revisiones de seguridad adicionales y ampliadas en todo nuestro ecosistema de proveedores y elevando los requisitos de seguridad para todos los socios y proveedores.
Lo que debes tener en cuenta
La información que podría haber sido afectada aquí podría ser utilizada como parte de ataques de phishing o ingeniería social contra ti o tu organización.
Dado que se incluyeron nombres, direcciones de correo electrónico y metadatos de la API de OpenAI (por ejemplo, ID de usuario), te recomendamos que permanezcas alerta ante intentos de phishing o spam que parezcan creíbles. Recuerda lo siguiente:
- Gestiona los correos electrónicos o mensajes inesperados con precaución, especialmente si incluyen enlaces o archivos adjuntos.
- Verifica que cualquier mensaje que diga ser de OpenAI provenga de un dominio oficial de OpenAI.
- OpenAI no solicita contraseñas, claves de API ni códigos de verificación por correo electrónico, mensajes de texto o chat.
- Protege aún más tu cuenta al habilitar autenticación multifactor(se abre en una nueva ventana).
La seguridad y la privacidad de nuestros productos son primordiales, y nos mantenemos firmes en proteger tu información y comunicar de forma transparente cuando surgen problemas. Gracias por continuar confiando en nosotros.
OpenAI
Preguntas frecuentes
¿Por qué OpenAI utilizó Mixpanel?
- Mixpanel se utilizó como proveedor de terceros de análisis web para ayudarnos a entender el uso del producto y mejorar nuestros servicios para nuestro producto API (platform.openai.com). Un número limitado de usuarios de ChatGPT que enviaron tickets a través del centro de ayuda o que estaban conectados a platform.openai.com podrían haber tenido la información descrita anteriormente registrada por Mixpanel. Estos usuarios fueron identificados en su momento y ya fueron notificados.
¿Esto fue a causa de una vulnerabilidad en los sistemas de OpenAI?
- No. Este incidente se limitó a los sistemas de Mixpanel y no implicó acceso no autorizado a la infraestructura de OpenAI.
¿Cómo sé si mi organización o yo fuimos afectados?
- Estamos en el proceso de notificar a quienes se vieron afectados ahora, y nos pondremos en contacto contigo o con el administrador de tu organización directamente por correo electrónico para informarte.
¿Alguno de mis datos de la API, de mensajes o de salidas se vio afectado?
- No. El contenido del chat, los mensajes, las respuestas o los datos de uso de la API no se vieron afectados.
¿Fueron afectadas las cuentas de ChatGPT por esto?
- Algunos usuarios de ChatGPT que enviaron tickets a través del centro de ayuda o que estaban conectados a platform.openai.com podrían haber sido afectados. Ya se les había notificado.
¿Se expusieron las contraseñas de OpenAI, las claves de API o la información de pago?
- No. Las contraseñas de OpenAI, las claves de API, la información de pago, los ID gubernamentales y las credenciales de acceso a la cuenta no se vieron afectadas. Además, hemos confirmado que los tokens de sesión, los tokens de autenticación y otros parámetros sensibles para los servicios de OpenAI no se vieron afectados.
¿Debo restablecer mi contraseña o rotar mis claves de API?
- Dado que las contraseñas y las claves de la API no se vieron afectadas, no recomendamos restablecerlas ni la rotación de claves de API en respuesta a este incidente.
¿Qué están haciendo para proteger mi información personal y mi privacidad?
- Hemos obtenido los conjuntos de datos afectados para una revisión independiente y continuamos investigando el posible impacto, monitoreando de cerca cualquier señal de uso indebido. Estamos notificando a todos los usuarios y las organizaciones afectados individualmente y estamos en contacto con Mixpanel para acciones de respuesta adicionales.
¿Se ha eliminado Mixpanel de los productos de OpenAI?
- Sí.
¿Debería habilitar la autenticación multifactor para mi cuenta?
- Sí. Aunque las credenciales de cuenta o los tokens no se vieron afectados en este incidente, como una práctica de seguridad recomendada, sugerimos a todos los usuarios habilitar la autenticación multifactor para proteger aún más sus cuentas. En el caso de empresas y organizaciones, recomendamos que el MFA esté habilitado en la capa de inicio de sesión único.
¿Recibiré más actualizaciones si algo cambia?
- Estamos comprometidos con la transparencia y te mantendremos informado si identificamos nueva información que afecte materialmente a los usuarios afectados. También actualizaremos estas preguntas frecuentes.
¿Hay alguien con quien pueda ponerme en contacto si tengo preguntas?
- Si tienes preguntas, inquietudes o problemas de seguridad, puedes comunicarte con nuestro equipo de soporte a mixpanelincident@openai.com.
