OpenAI ha informado de un incidente de seguridad en el proveedor de analítica Mixpanel, utilizado para monitorizar el comportamiento de usuarios en la parte frontal de productos basados en OpenAI API. La investigación preliminar indica que los sistemas internos de OpenAI no han sido vulnerados directamente, pero parte de los datos de clientes que consumen la API se ha visto expuesta a raíz de este compromiso de un tercero.
Qué datos de clientes de OpenAI se vieron afectados por el incidente de Mixpanel
De acuerdo con la comunicación oficial, la brecha afecta exclusivamente a clientes de OpenAI API. Los usuarios de ChatGPT y de otros servicios puramente de consumo de la compañía quedan fuera del alcance del incidente. Es un matiz crítico: el punto de fallo ha sido un servicio de analítica externo, no la infraestructura principal de OpenAI.
OpenAI subraya que no se han visto comprometidos los contenidos de los chats, las peticiones a la API, el historial de uso, contraseñas, claves de acceso, datos de pago ni documentos de verificación de identidad. La información potencialmente expuesta se relaciona con la capa de frontend y la analítica de uso: metadatos sobre interacciones, información de dispositivos o sesiones y ciertos datos de contacto. Aunque no se trata de “secretos” técnicos, sí se consideran datos valiosos para ataques de ingeniería social.
Ataque de smishing contra Mixpanel: ingeniería social como vector de entrada
Mixpanel ha confirmado el incidente y ha indicado que la intrusión afectó a un número limitado de clientes, ya notificados. Los detalles técnicos completos no se han hecho públicos, pero se ha atribuido el compromiso a una campaña de smishing —phishing a través de SMS— detectada el 9 de noviembre de 2025.
El smishing es una forma de ingeniería social en la que el atacante envía mensajes SMS que simulan provenir de servicios legítimos (soporte, facturación, seguridad) para inducir al usuario a hacer clic en enlaces maliciosos o revelar credenciales. Informes de referencia en ciberseguridad, como el Verizon Data Breach Investigations Report o análisis de ENISA, coinciden en que las técnicas de ingeniería social siguen siendo uno de los vectores más efectivos para comprometer cuentas corporativas, especialmente en entornos cloud y servicios SaaS.
Respuesta de Mixpanel y OpenAI: contención, revocación de accesos y retirada del proveedor
Tras identificar la intrusión, Mixpanel inició acciones de contención: aseguró las cuentas comprometidas, revocó sesiones activas, forzó el reinicio de credenciales y contraseñas de todo su personal y bloqueó las direcciones IP asociadas al ataque. Según la compañía, se han reforzado los controles de seguridad para reducir la probabilidad de incidentes similares en el futuro.
OpenAI hizo público el 25 de noviembre de 2025 el compromiso de Mixpanel y comunicó la apertura de una investigación más profunda. Como medida de precaución, el servicio de analítica ha sido completamente deshabilitado y eliminado de todos los sistemas de OpenAI. En el momento del anuncio, la empresa considera que no existen indicios que justifiquen exigir a los clientes un cambio masivo de contraseñas o la rotación de claves de API, al no haberse detectado exposición de credenciales confidenciales.
Riesgos para los usuarios: aumento del phishing y de la ingeniería social dirigida
Aunque la brecha no ha expuesto contenido sensible de las peticiones a la API ni información financiera, los metadatos de uso, datos de dispositivos y posibles datos de contacto pueden aprovecharse para lanzar campañas de phishing altamente dirigidas. Con esta información, un atacante puede perfilar organizaciones, tecnologías empleadas y patrones de actividad, y construir mensajes falsos con un alto grado de credibilidad.
Por este motivo, OpenAI ha decidido notificar no solo a los clientes afectados de la API, sino también a toda su base de suscriptores. La compañía insta a extremar la precaución ante correos, mensajes en aplicaciones de mensajería y SMS que aparenten proceder de OpenAI, de sus socios o de servicios de pago, sobre todo si incluyen solicitudes urgentes de acceso, verificación o pago.
Buenas prácticas de ciberseguridad para clientes de OpenAI y otros servicios SaaS
El incidente refuerza la necesidad de aplicar controles básicos pero decisivos en cualquier entorno SaaS y de API:
- Activar la autenticación multifactor (MFA/2FA) en todas las cuentas vinculadas con OpenAI y otros servicios en la nube, priorizando aplicaciones autenticadoras o llaves de seguridad físicas frente a SMS.
- No compartir nunca contraseñas, claves de API ni códigos de verificación por email, SMS, mensajería instantánea ni chats de soporte. Los proveedores legítimos no solicitan este tipo de información.
- Verificar cuidadosamente dominios y remitentes antes de hacer clic o introducir credenciales, especialmente si el mensaje invoca urgencias como “evitar el bloqueo” o “confirmar el pago”.
- Aplicar el principio de mínimo privilegio en las integraciones: otorgar a herramientas de analítica solo los permisos estrictamente necesarios y revisar periódicamente su necesidad real.
- Formar de forma continua al personal en detección de phishing y smishing, con ejemplos reales y simulaciones periódicas.
CoinTracker y la dimensión de los ataques a la cadena de suministro digital
Entre los clientes afectados de Mixpanel figura también CoinTracker, plataforma dedicada al seguimiento de carteras de criptomonedas y a la elaboración de informes fiscales. La empresa ha indicado que la filtración se ha limitado a metadatos de dispositivos y a un número acotado de transacciones, sin afectar de forma masiva a fondos o claves privadas.
Este caso ilustra un patrón cada vez más frecuente en ciberseguridad: el ataque a la cadena de suministro o supply chain attack. Cuando un proveedor SaaS centraliza servicios de analítica o monitorización para múltiples organizaciones, su compromiso puede amplificar el riesgo a numerosos sectores —desde plataformas de inteligencia artificial hasta servicios financieros y de criptomonedas—. Por ello, cobran especial relevancia prácticas como el auditoría periódica de proveedores, la exigencia de MFA robusta y políticas maduras de gestión de terceros.
Los incidentes de Mixpanel con OpenAI y CoinTracker ponen de relieve que, incluso con infraestructuras internas robustas, las organizaciones siguen siendo tan seguras como su eslabón más débil en la cadena de proveedores. Resulta esencial reforzar la seguridad en torno a servicios externos, limitar los datos que comparten, revisar contratos y controles de acceso y, sobre todo, mantener a usuarios y empleados formados y alerta frente al phishing y al smishing. Invertir hoy en ciberseguridad, formación y gestión rigurosa de terceros es la mejor defensa para reducir el impacto de las próximas brechas que, inevitablemente, llegarán.
