OpenAI, la empresa creadora de ChatGPT, informó sobre una filtración limitada de datos que afectó a algunos usuarios de su servicio API. Este incidente no se originó en OpenAI, sino en un ataque que sufrió su proveedor externo Mixpanel, una plataforma utilizada para analizar el uso de sus herramientas.
Según OpenAI, ningún sistema propio fue vulnerado y no se filtraron chats, claves de acceso, contraseñas, datos de pago ni información sensible. El inconveniente sólo afectó a datos básicos utilizados para estadísticas de uso de la API.
Mixpanel explicó que el ataque se produjo a través de un fraude por SMS (smishing) detectado el 8 de noviembre y que afectó a un número reducido de sus clientes. OpenAI fue informado el 25 de noviembre, cuando Mixpanel entregó más detalles del caso.
El smishing tiene la característica, como otros ataques de phishing, de hacerse pasar por una persona o empresa legítima que contacta al usuario a través de mensaje de texto, ofreciendo beneficios u otro tipo de engaño para que el usuario ingrese a los links que contiene. Suele tener un sentido de urgencia, como por ejemplo: Tus puntos vencerán mañana, ¡Usalos hoy!
La información expuesta de la empresa Mixpanel incluye únicamente datos generales asociados a algunas cuentas de API, como:
OpenAI recalcó que no es necesario cambiar contraseñas ni generar nuevas claves, ya que no se expusieron datos críticos.
La compañía también está investigando el alcance del incidente y, como medida preventiva, retiró a Mixpanel de sus sistemas de producción. Además, está notificando directamente a todas las organizaciones y personas que podrían estar involucradas.
Aunque el incidente afecta solo a usuarios de la API, OpenAI envió un aviso general a todos sus suscriptores como medida de transparencia.
OpenAI advirtió que los datos filtrados podrían ser utilizados para intentos de phishing o engaños por ingeniería social. Por su parte, Mixpanel aseguró que ya contactó directamente a todos los clientes afectados. La empresa reforzó sus medidas de seguridad, bloqueó el acceso del atacante, cambió credenciales internas y estableció nuevos controles para evitar que algo así vuelva a ocurrir.
Los ataques a la cadena de valor se han vuelto una de las amenazas más frecuentes y difíciles de anticipar, porque no solo dependen de la propia seguridad, sino también de la de proveedores y terceros.
Por eso, a continuación compartimos algunas acciones concretas que pueden implementar las organizaciones para protegerse, incluso cuando los riesgos se originan fuera de su control.
Los datos filtrados (nombre, email, ubicación) no son críticos, pero son perfectos para crear un ataque de phishing altamente personalizado (Spear Phishing). En este caso, siempre se debe verificar la dirección de email del remitente (no solo el nombre), la ortografía, el tono inusual o de urgencia, y si el enlace lleva a la URL oficial de la empresa.
Mantente atento. Tu seguridad es clave.
REFERENCIAS: