La compañía creadora de ChatGPT, OpenAI, confirmó una brecha de seguridad que preocupa a una parte de sus usuarios.
El acceso no autorizado a datos de los usuarios tomó por sorpresa, no por la magnitud de la técnica del ataque, sino por lo que revela sobre la fragilidad de las cadenas de datos en la industria de la inteligencia artificial.
De acuerdo con OpenAI, aunque no fue dentro de sus propios sistemas, sí involucra a uno de sus proveedores externos: Mixpanel, la plataforma de analítica que la compañía utilizaba para entender cómo se usan sus productos.
La brecha de seguridad de OpenAI tuvo sus inicios el pasado 9 de noviembre, cuando Mixpanel detectó actividad sospechosa en parte de su infraestructura.
Un atacante, según confirmaron ambas compañías, logró acceder y exportar un conjunto de datos vinculados a usuarios de la API de OpenAI. En especial aquellos que usan las herramientas para desarrolladores.
Te puede interesar: La inteligencia artificial ya puede asumir el 11,7% de las tareas laborales, según el MIT
Aunque OpenAI insiste en que la intrusión no tocó sus propios sistemas, sí admite que parte de la información expuesta incluía nombres asociados a cuentas, correos electrónicos, ubicación aproximada (como país o ciudad), tipo de sistema operativo, navegador e identificadores internos de usuario u organización.
No es una filtración de chats, claves API, contraseñas ni datos de pago. Pero aun así OpenAI decidió terminar por completo su relación con Mixpanel y dejar de usar ese servicio de analítica.
La decisión es un síntoma de un ecosistema que está empezando a cuestionar sus propias prácticas en torno al manejo de datos. Todo en un momento donde la privacidad es un pilar cada vez más crítico.
Los datos expuestos, aunque básicos, pueden facilitar campañas de ingeniería social o phishing. Un correo legítimo, un nombre correcto o la ubicación aproximada son suficientes para hacer creíbles intentos de suplantación.
Los riesgos de la información que se comparte con la IA
Justamente por eso, OpenAI advirtió a los usuarios potencialmente afectados que estén atentos a mensajes sospechosos y, como medida adicional, recomendó habilitar la autenticación multifactor.
El incidente plantea una alerta más compleja para toda la industria tecnológica. Incluso cuando una empresa invierte enormes recursos en seguridad interna, como es el caso de OpenAI, sigue dependiendo de servicios externos que muchas veces procesan datos identificables.
Esto demuestra que proteger los modelos de IA no basta; también hay que blindar los proveedores que orbitan alrededor.
Para la mayoría de usuarios de ChatGPT, Sora o los productos de consumo de OpenAI, este incidente no cambia nada. Pero para desarrolladores, startups, empresas que usan la API o cualquiera que experimente a un nivel profundo con los modelos, es un llamado más a comprender los riesgos de compartir información con una inteligencia artificial.
