Incidente de Mixpanel: qué deben saber los usuarios de OpenAI | Keryc
El 26 de noviembre de 2025 OpenAI informó sobre un incidente de seguridad que afectó a Mixpanel, un proveedor externo de analítica web que se usaba en la interfaz de su producto API (platform.openai.com). ¿Te preocupa si tu información está en juego? Aquí te explico en lenguaje claro qué pasó, qué datos pudieron verse afectados y qué pasos prácticos puedes tomar ahora mismo.
Qué pasó exactamente
El 9 de noviembre de 2025 Mixpanel detectó acceso no autorizado a parte de sus sistemas y posteriormente, el 25 de noviembre, compartió con OpenAI el conjunto de datos que había sido exportado por el atacante. Esto ocurrió dentro de los sistemas de Mixpanel; no fue un acceso a la infraestructura de OpenAI.
No hubo compromiso de chats, solicitudes de API, claves, contraseñas, pagos ni identificaciones gubernamentales. Tampoco se afectaron usuarios de ChatGPT.
Qué datos pudieron verse afectados
OpenAI reporta que la información expuesta era y estaba relacionada con el uso de la consola de la API (). Entre los datos que pueden haber estado incluidos están:
limitada
platform.openai.com
Nombre que aparecía en la cuenta API
Correo electrónico asociado a la cuenta API
Ubicación aproximada (ciudad, estado, país) basada en el navegador
Sistema operativo y navegador usados
Sitios web de referencia
IDs de organización o de usuario vinculados a la cuenta API
Si trabajas en una organización que usa la API, es posible que el administrador o tú reciban una notificación directa si resultaron impactados.
Qué hizo OpenAI en respuesta
OpenAI retiró Mixpanel de sus servicios de producción, revisó los datasets afectados y está colaborando con Mixpanel para entender el alcance. También están notificando de forma directa a organizaciones, administradores y usuarios afectados.
Además, OpenAI anunció que ha terminado su uso de Mixpanel y está llevando a cabo revisiones de seguridad ampliadas con otros proveedores. En resumen: cambio de proveedor, revisión y vigilancia continua.
Riesgos principales: phishing y suplantación
Lo más preocupante aquí no es el robo de claves, sino la posibilidad de ataques de ingeniería social. Con nombres, correos y metadatos de cuentas, un atacante puede armar correos o mensajes muy creíbles.
Mantén la guardia: cualquier mensaje inesperado con enlaces o archivos adjuntos puede ser phishing.
Verifica remitentes: comprueba que los correos que dicen ser de OpenAI vienen de dominios oficiales.
Recuerda: OpenAI no solicita contraseñas, claves API o códigos de verificación por correo o mensajes.
Qué puedes hacer ahora (acciones concretas)
Activa la autenticación multifactor (MFA) en tu cuenta si aún no lo hiciste. Es una barrera simple y efectiva.
Si eres administrador: espera la notificación oficial de OpenAI y revisa la lista de usuarios afectados. Comunica internamente y refuerza la alerta anti phishing.
Educa a tu equipo: comparte ejemplos de phishing y pide precaución con enlaces o archivos inesperados.
No cambies contraseñas ni claves por impulso si no tienes evidencia de que fueron comprometidas; OpenAI no recomienda rotaciones obligatorias en este incidente.
Monitoriza actividad inusual en tus sistemas y reporta cualquier intento sospechoso.
¿Debo preocuparme por mis prompts, finanzas o claves API?
No: OpenAI confirma que los prompts, respuestas, datos de uso de la API, claves API, contraseñas, información de pago y tokens de sesión no se vieron afectados. Los productos como ChatGPT tampoco se vieron impactados.
Qué hace falta vigilar a mediano plazo
OpenAI promete mantener informados a los usuarios si emergen datos nuevos que afecten a las personas o empresas involucradas. También elevaron los requisitos de seguridad para sus proveedores, lo que debería reducir riesgos futuros.
¿Y si recibes un correo que parece legítimo pero te pide información? Mejor busca el canal oficial de la empresa o habla con tu administrador antes de responder.
