OpenAI, la empresa detrás de ChatGPT, reconoció un incidente de seguridad de datos que involucró a uno de sus proveedores de análisis, Mixpanel. Si bien OpenAI insiste en que sus propios sistemas no se vieron comprometidos, los datos de los usuarios quedaron expuestos debido a una violación en Mixpanel. El incidente subraya los riesgos inherentes de depender de servicios de terceros para el procesamiento de datos, incluso para empresas establecidas.
¿Qué pasó?
Mixpanel detectó una intrusión no autorizada el 9 de noviembre, lo que resultó en la exportación de un conjunto de datos que contenía información limitada del cliente. Estos datos incluían nombres, direcciones de correo electrónico e identificadores de usuario. Desde entonces, OpenAI ha terminado su relación con Mixpanel.
La compañía ha enfatizado que no se accedió a registros de chat, claves API, detalles de pago u otra información confidencial. A pesar de esto, el incidente sirve como un claro recordatorio de las grandes cantidades de datos personales que OpenAI recopila cuando los usuarios interactúan con sus herramientas de inteligencia artificial.
Por qué esto es importante
Las filtraciones de datos son cada vez más comunes y el incidente de OpenAI pone de relieve la fragilidad incluso de los sistemas bien protegidos. La dependencia de proveedores externos introduce un punto de exposición importante: incluso si la propia seguridad de OpenAI es hermética, la vulnerabilidad de un socio puede comprometer los datos del usuario.
“Las empresas siempre deben intentar sobreproteger y anonimizar los datos de los clientes enviados a terceros para evitar que ese tipo de información sea robada o violada”, dijo Moshe Siman Tov Bustan, líder del equipo de investigación de seguridad de OX Security.
Esta infracción también plantea dudas sobre la minimización de datos. Los investigadores de seguridad señalan que OpenAI rastreó datos como direcciones de correo electrónico y ubicaciones que pueden no haber sido esenciales para el desarrollo del producto, violando potencialmente regulaciones de privacidad de datos como GDPR.
Qué deben hacer los usuarios
OpenAI ha aconsejado a los usuarios que permanezcan atentos a los ataques de phishing y las estafas de ingeniería social que podrían explotar los datos robados. Se recomienda habilitar la autenticación multifactor como medida de seguridad adicional.
OpenAI planea implementar estándares de seguridad más estrictos para todos los socios externos en el futuro, pero el incidente deja a muchos preguntándose cuántos datos personales se comparten con terceros en primer lugar. El incidente refuerza la necesidad de medidas proactivas de protección de datos y auditorías de seguridad continuas en todo el ecosistema de proveedores.
