La compañía confirmó que un ataque a los sistemas de Mixpanel permitió la exportación de información limitada vinculada a cuentas del API, aunque sin afectar chats, claves, ni datos sensibles. OpenAI aseguró que “la seguridad y la privacidad son fundamentales” y que ya inició una revisión ampliada de todos sus proveedores tecnológicos.
OpenAI comunicó un incidente de seguridad que involucró a Mixpanel, la empresa de analíticas que utilizaba para obtener métricas de uso en la interfaz web de su producto de API (platform.openai.com). Según explicó la compañía, el problema no fue un fallo propio, sino una intrusión exclusivamente dentro de los sistemas de Mixpanel, donde un atacante obtuvo acceso no autorizado y exportó un conjunto de datos con información identificable de algunos usuarios.
El incidente ocurrió el 9 de noviembre de 2025, cuando Mixpanel detectó el acceso indebido y abrió una investigación interna. El 25 de noviembre, la firma compartió con OpenAI el dataset afectado. La empresa enfatizó que esta situación no comprometió ningún sistema de OpenAI y que no se filtró contenido de chats, solicitudes del API, contraseñas, claves de acceso, datos de pago ni documentos oficiales de identidad.
La información que sí podría haber sido expuesta es limitada, pero relevante para posibles ataques de ingeniería social. Incluye:
- Nombre registrado en la cuenta del API.
- Dirección de correo electrónico asociada.
- Ubicación aproximada (ciudad, estado, país) inferida por el navegador.
- Sistema operativo y navegador utilizados.
- Sitio web de referencia.
- IDs de usuario u organización vinculados a la cuenta.
Como respuesta inmediata, OpenAI eliminó Mixpanel de todos sus servicios de producción, revisó los datos comprometidos y comenzó a notificar directamente a organizaciones, administradores y usuarios afectados. La compañía también indicó que continúa monitoreando cualquier indicio de uso indebido y que está trabajando junto a Mixpanel para comprender completamente el alcance del incidente.
En su comunicado, la empresa sostuvo: “La confianza, la seguridad y la privacidad son fundamentales para nuestros productos, nuestra organización y nuestra misión”. Además, advirtió que la información expuesta podría utilizarse para intentos de phishing y recomendó a los usuarios permanecer alertas ante correos sospechosos, verificar siempre que los mensajes provengan de dominios oficiales y activar la autenticación multifactor (MFA).
OpenAI reiteró que no es necesario cambiar contraseñas ni rotar claves del API, ya que ninguno de esos datos fue afectado. También aclaró que los usuarios de ChatGPT y otros productos no se vieron alcanzados.
La compañía, además, anunció una revisión ampliada de toda su red de proveedores y un endurecimiento de los requisitos de seguridad para terceros. Tras evaluar el incidente, la empresa decidió terminar definitivamente el uso de Mixpanel en sus productos.
Para dudas adicionales, OpenAI habilitó el contacto directo vía correo electrónico a mixpanelincident@openai.com y anticipó que mantendrá informados a los usuarios si surge nueva información relevante.