La brecha más grave en la historia de la compañía

OpenAI, la empresa matriz detrás de ChatGPT, ha confirmado lo que califica como el incidente de seguridad más importante desde su fundación. La compañía ha comenzado a notificar a miles de usuarios a través de correo electrónico sobre un acceso no autorizado a su base de datos que ha comprometido información personal sensible.

Aunque la responsabilidad final recae sobre la gestión de los datos, OpenAI ha aclarado que la intrusión no se produjo directamente en sus servidores, sino a través de un ataque a la cadena de suministro. El origen del fallo se encuentra en Mixpanel, un proveedor externo de análisis de datos utilizado por la tecnológica para monitorizar el uso de sus servicios.

Qué datos han sido robados

La filtración ha expuesto información detallada de los perfiles afectados. Según el comunicado oficial, los atacantes lograron extraer:

• Direcciones de correo electrónico.
• Nombres asociados a las cuentas.
• Ubicaciones aproximadas de los usuarios.
• Informes completos sobre preferencias de uso y navegación web.

La cronología del incidente revela que Mixpanel detectó el acceso no autorizado el pasado 9 de noviembre de 2025. Sin embargo, no fue hasta el 25 de noviembre cuando notificaron a OpenAI y compartieron el conjunto de datos afectado, momento en el cual se activaron los protocolos de transparencia hacia los usuarios.

Usuarios de la API: el objetivo del ataque

Dentro de la gravedad del asunto, existe un matiz crucial para el gran público: el ataque se dirigió específicamente a la plataforma platform.openai.com. Esto significa que los datos comprometidos pertenecen a usuarios de la API de OpenAI (desarrolladores y empresas que integran la IA en sus propios servicios), y no necesariamente a los usuarios estándar de la versión web o app de ChatGPT.

¿Están seguras las conversaciones de ChatGPT?

La compañía ha sido tajante en este punto: no se han filtrado historiales de chat ni conversaciones de la interfaz general de ChatGPT. El incidente está acotado a la infraestructura de análisis de la API.

No obstante, el evento subraya la vulnerabilidad inherente al manejo masivo de datos. Incluso si un usuario solo utiliza la versión gratuita del chatbot, este tipo de brechas en proveedores terceros ("Third-party risks") evidencian que la seguridad de la información personal no depende solo de la plataforma principal, sino de todo el ecosistema de empresas con las que esta comparte datos.

Transparencia obligada ante la crisis

OpenAI ha optado por una comunicación directa, reconociendo el fallo y señalando al proveedor causante para mitigar el daño reputacional. A pesar de que la herramienta de consumo masivo (ChatGPT) parece estar a salvo, la exposición de correos y ubicaciones de desarrolladores y clientes profesionales supone un duro golpe a la confianza en una empresa que gestiona, hoy por hoy, uno de los volúmenes de datos más valiosos del mundo.