OpenAI ha lanzado Advanced Account Security, una nueva opción de seguridad para ChatGPT que aumenta significativamente la protección de las cuentas personales. Esta función está diseñada para usuarios con mayor exposición a riesgos digitales, como periodistas, investigadores, cargos públicos, activistas, profesionales de ciberseguridad o individuos que manejan información sensible. Sin embargo, cualquier cuenta personal elegible puede activar esta función si desea fortalecer su seguridad.
Este movimiento confirma una tendencia clara: las cuentas vinculadas a Inteligencia Artificial empiezan a ser consideradas como cuentas críticas. Ya no almacenan solo consultas ocasionales o conversaciones triviales; pueden contener contextos profesionales, borradores, código, documentos, ideas de productos, información personal, integraciones con otras herramientas y flujos de trabajo completos. En este escenario, un robo de cuenta no es solo una molestia, sino que puede derivar en brechas de datos, exposición de propiedad intelectual o acceso a entornos conectados.
Passkeys y llaves físicas como nuevo punto de partida
Una de las medidas principales de Advanced Account Security es eliminar el uso de contraseñas. Al activarla, ChatGPT requiere iniciar sesión mediante passkeys o llaves físicas compatibles con FIDO, como una YubiKey u otros dispositivos similares. Además, OpenAI desactiva los métodos tradicionales de inicio de sesión por correo electrónico o SMS y bloquea los procesos estándar de recuperación mediante estos canales.
Desde un punto de vista técnico, esta decisión tiene sentido. Las contraseñas siguen siendo uno de los puntos más vulnerables, ya que pueden reutilizarse, filtrarse, almacenarse de forma insegura, ser capturadas por phishing o terminar en bases de datos comprometidas. Los SMS tampoco son ideales para proteger cuentas sensibles, ya que pueden verse afectados por duplicados de SIM, redirecciones o técnicas de ingeniería social.
Las passkeys y las llaves físicas basadas en criptografía de clave pública ayudan a mitigar estos riesgos, ya que están diseñadas para resistir ataques de phishing. Cuando se intenta acceder a un sitio falso, la clave no autentica el ingreso, lo que refuerza la seguridad en perfiles de alto riesgo.
OpenAI ha anunciado también una colaboración con Yubico para ofrecer a usuarios elegibles un paquete de llaves de seguridad a precios preferenciales. Entre las opciones mencionadas están la YubiKey C Nano, pensada para permanecer conectada al portátil, y la YubiKey C NFC, para respaldo y uso en otros dispositivos. Sin embargo, Advanced Account Security no obliga a comprar una YubiKey; también es compatible con otras llaves FIDO o passkeys basadas en software.
Mayor seguridad, pero recuperación más estricta
Un aspecto menos conveniente de esta función es el proceso de recuperación de cuenta. Aunque Advanced Account Security mejora la protección contra el secuestro, requiere mayor disciplina del usuario. Es necesario configurar al menos dos métodos de inicio de sesión seguros, incluyendo uno que funcione entre dispositivos, además de guardar claves de recuperación.
Si el usuario pierde todas sus passkeys, llaves físicas y claves de recuperación, podría perder el acceso a su cuenta. OpenAI advierte que su soporte no podrá usar los métodos tradicionales para rescatarla: no se podrá recuperar la cuenta mediante email, restablecer la contraseña, desactivar la protección o modificar los métodos de inicio de sesión mientras la función esté activa.
Por ello, esta opción resulta muy potente, pero no recomendable activarla sin una preparación adecuada. Se recomienda tener una llave principal para uso diario, una de respaldo almacenada en un lugar seguro y claves de recuperación que puedan usarse en caso de emergencia. Cada clave de recuperación solo puede utilizarse una vez, y si se sospecha que han sido expuestas, es posible reemplazarlas desde la configuración de seguridad.
Además, OpenAI introduce un período de espera de 48 horas tras el inicio de una recuperación con una clave válida. Este retraso ayuda a reducir la posibilidad de que un atacante tome control de la cuenta de forma inmediata tras obtener una clave de recuperación. Aunque puede resultar incómodo para el usuario legítimo, para cuentas de alto valor se busca ganar tiempo frente a posibles ataques de secuestro.
Sesiones más cortas y exclusión automática del entrenamiento
Otra mejora es la reducción en la duración de las sesiones activas, lo que obliga a los usuarios a iniciar sesión con mayor frecuencia y, en consecuencia, limita la exposición si un dispositivo queda comprometido o una sesión es interceptada por un atacante. La función también envía notificaciones de inicio de sesión y permite gestionar las sesiones abiertas en diferentes dispositivos.
En términos de privacidad, con Advanced Account Security activado, las conversaciones de esa cuenta no se usan para entrenar los modelos de OpenAI. Esto resulta especialmente relevante para usuarios que manejan información delicada, permitiendo un mayor control sin configuraciones adicionales.
La protección aplica tanto a ChatGPT como a Codex cuando se accede con la misma cuenta. Esto es importante para desarrolladores, ya que Codex puede estar integrado en entornos de programación, repositorios o flujos de trabajo que contienen código sensible. Proteger el acceso en estos casos se convierte en parte esencial de la seguridad en la cadena de desarrollo.
OpenAI también vincula esta función con su programa Trusted Access for Cyber. Los usuarios y organizaciones que accedan a los modelos más avanzados para ciberseguridad deberán activar Advanced Account Security a partir del 1 de junio de 2026. Como alternativa, las organizaciones podrán acreditar que usan autenticación resistente a ataques de phishing mediante su sistema de inicio de sesión único.
Una capa pensada para cuentas personales, no para empresas
Es importante tener en cuenta que Advanced Account Security está disponible para cuentas personales de ChatGPT en regiones compatibles, pero no para cuentas de ChatGPT Enterprise, cuentas gestionadas por empresas ni aquellas vinculadas a dominios corporativos administrados. En entornos empresariales, las organizaciones suelen aplicar sus propias políticas de seguridad, incluyendo SSO, MFA, gestión de dispositivos y otros controles internos.
OpenAI planea ampliar estos desarrollos a otros públicos, incluidos los entornos corporativos, ya que a medida que ChatGPT, Codex y otros sistemas se integran en flujos de trabajo empresariales, la protección de la identidad será tan crucial como la seguridad de datos y APIs. En empresas, además, será necesario combinar estas medidas con políticas centralizadas, auditorías y gestión de permisos para garantizar una seguridad integral.
Para usuarios individuales, es recomendable revisar y fortalecer ya sus configuraciones de seguridad. La activación de Advanced Account Security puede ser una opción atractiva si están dispuestos a asumir los requisitos de recuperación más estrictos. Para quienes prefieren protección básica, OpenAI recomienda seguir prácticas como usar contraseñas fuertes, gestores de contraseñas, autenticación multifactor y cautela ante correos y enlaces sospechosos.
El lanzamiento de esta función envía también un mensaje al sector: garantizar la seguridad en la IA no solo pasa por filtros o controles de uso, sino también por proteger las cuentas que almacenan cada vez más contexto. La combinación de sistemas conectados y datos sensibles hace que las cuentas sean objetivos prioritarios, aumentando la necesidad de adoptar medidas más resistentes.
La era en la que la contraseña era suficiente quedó atrás. En un entorno donde los asistentes y herramientas conectadas manejan información tanto personal como profesional, medidas como llaves físicas, passkeys y recuperación más severa son esenciales, aunque menos cómodas, para proteger cuentas que son parte integral de nuestra vida digital cotidiana.
Preguntas frecuentes
¿Qué es Advanced Account Security de OpenAI?
Es una opción avanzada que refuerza la seguridad de cuentas personales elegibles en ChatGPT, eliminando contraseñas tradicionales, acortando sesiones, y ofreciendo más visibilidad y control sobre los accesos.
¿Qué métodos de inicio de sesión requiere?
Requiere passkeys o llaves físicas compatibles con FIDO. Para activarla, es necesario configurar al menos dos métodos seguros, incluyendo uno que funcione en múltiples dispositivos.
¿Qué pasa si pierdo mis llaves o passkeys?
Se deben guardar las claves de recuperación durante la configuración. Si se pierden todos los métodos de acceso y claves de recuperación, OpenAI advierte que podría no ser posible recuperar la cuenta.
¿Advanced Account Security está disponible para empresas?
No, por ahora está dirigida solo a cuentas personales en regiones compatibles. Las cuentas empresariales y gestionadas por organizaciones utilizan sus propias políticas de seguridad.
