OpenAI Confirma Violación de Datos: Quiénes se Ven Afectados

Por Jason Nelson

Una brecha en el proveedor de análisis Mixpanel a principios de este mes expuso nombres de cuentas, direcciones de correo electrónico y ubicaciones de navegadores de algunos usuarios de la API de OpenAI, confirmó el gigante de IA el miércoles, elevando las preocupaciones de que los cibercriminales podrían usar los metadatos robados en intentos de phishing dirigidos.

Según Mixpanel, el 8 de noviembre, un atacante desconocido obtuvo acceso a parte de sus sistemas y exportó un conjunto de datos que contenía metadatos identificables de clientes e información de análisis. Los datos robados incluían nombres de usuario, direcciones de correo electrónico, ubicación aproximada basada en el navegador, sistema operativo y detalles del navegador.

OpenAI señaló que la brecha no incluyó los prompts de los usuarios, claves de API, información de pago o tokens de autenticación.

Solo los datos de usuarios que accedieron a la tecnología de OpenAI a través de la API—es decir, a través de aplicaciones externas impulsadas por GPT—fueron filtrados, afirmó la empresa. En otras palabras, si accedes al chatbot ChatGPT directamente desde el sitio web de OpenAI, no te verás afectado.

"Como parte de nuestra investigación de seguridad, eliminamos Mixpanel de nuestros servicios de producción, revisamos los conjuntos de datos afectados y estamos trabajando estrechamente con Mixpanel y otros socios para comprender completamente el incidente y su alcance", afirmó OpenAI en un comunicado.

Fundada en 2009, Mixpanel, con sede en San Francisco, es una plataforma de análisis de productos utilizada para rastrear el comportamiento de usuarios en aplicaciones web y móviles. La empresa señaló que detectó la campaña de "smishing" y, después de una investigación y respuesta inicial, alertó a OpenAI al día siguiente.

"Estamos comprometidos con la transparencia y estamos notificando a todos los clientes y usuarios afectados", dijo OpenAI. "También responsabilizamos a nuestros socios y proveedores por mantener el más alto estándar de seguridad y privacidad de sus servicios".

El smishing es un tipo de ataque de phishing realizado a través de mensajes SMS. Según un informe de octubre de la empresa de gestión de infraestructura Spacelift, el smishing representó el 39% de todas las amenazas móviles en 2024.

Mixpanel señaló que aseguró las cuentas afectadas, revocó sesiones activas, rotó credenciales comprometidas y bloqueó direcciones IP maliciosas. La empresa también restableció las contraseñas de los empleados, contrató firmas externas de ciberseguridad y revisó los registros de autenticación, sesiones y exportaciones.

Después de la brecha, Mixpanel afirmó que comenzó a notificar a los clientes afectados sobre el incidente.

"Si no ha recibido noticias nuestras directamente, no se vio afectado", dijo la CEO de Mixpanel, Jen Taylor, en un comunicado. "Seguimos priorizando la seguridad como un principio fundamental de nuestra empresa, productos y servicios. Estamos comprometidos a apoyar a nuestros clientes y comunicarnos de forma transparente sobre este incidente".

A pesar del reporte del incidente de Mixpanel a OpenAI, el desarrollador de ChatGPT señaló que estaba cortando lazos con la firma de análisis. "Después de revisar este incidente, OpenAI ha terminado su uso de Mixpanel", escribieron.

Algunos clientes de OpenAI recurrieron a las redes sociales para expresar su frustración ante la revelación de que un servicio de terceros tenía acceso a su información.

"No estoy muy contento con esto. [...] ¿Por qué tuvieron que pasar mi nombre y dirección de correo electrónico a Mixpanel?", escribió un usuario en X. "Solo soy un aficionado tratando de hacer pequeños experimentos".

"OpenAI enviando nombres y correos electrónicos a una plataforma de análisis de terceros (Mixpanel) se siente tremendamente irresponsable", escribió otro.

OpenAI y Mixpanel no respondieron de inmediato a las solicitudes de comentarios de Decrypt.

Noticias recomendados