OpenAI confirmó que un incidente de seguridad en Mixpanel, su proveedor de analíticas, expuso información asociada a algunos usuarios de su plataforma API. Según detalló la compañía, un atacante logró obtener acceso no autorizado a sistemas de Mixpanel el 9 de noviembre de 2025 y exportó un conjunto de datos que incluía nombres ingresados en cuentas API, direcciones de correo electrónico, ubicación aproximada (ciudad, estado y país), tipo de sistema operativo y navegador, sitios de procedencia e identificadores de usuario u organización. OpenAI fue notificada el 25 de noviembre con la lista completa de datos afectados.
La empresa aclaró que sus propios sistemas no fueron comprometidos y que no hay evidencia de accesos a chats, contraseñas, métodos de pago, identificaciones, solicitudes API, claves API ni historiales. Además, informó que los usuarios de sus productos de consumo —como ChatGPT— no resultaron afectados, ya que el incidente involucra únicamente a quienes utilizan la API.
Tras recibir la notificación, OpenAI eliminó la integración con Mixpanel de sus servicios en producción y anunció que revisará con más rigor el ecosistema de proveedores externos. Mixpanel, por su parte, explicó que el ataque se originó a partir de una campaña de smishing enviado a empleados. La compañía revocó sesiones, rotó credenciales, bloqueó direcciones IP maliciosas e inició una investigación forense con especialistas externos. También afirmó haber notificado a todos los clientes afectados, indicando que quienes no recibieron un aviso no forman parte del incidente.
Aunque los datos filtrados no incluyen información sensible como contraseñas o datos financieros, podrían utilizarse para intentos de phishing o ingeniería social. Por ese motivo, OpenAI recomendó extremar la precaución ante mensajes inesperados, verificar siempre que las comunicaciones provengan de dominios legítimos y activar la autenticación multifactor.
El caso vuelve a poner en primer plano el riesgo que representan los proveedores de terceros en la cadena de seguridad digital. Incluso servicios aparentemente inocuos, como las plataformas de analíticas, pueden convertirse en un punto de entrada para atacantes y generar impactos relevantes en grandes compañías y sus usuarios.
Fuente
Ciberprisma - alianza por la ciberseguridad 