OpenAI ha presentado Advanced Account Security, una nueva opción de seguridad para cuentas de ChatGPT pensada para personas con mayor riesgo de sufrir ataques digitales y para usuarios que quieren proteger al máximo su acceso. La función no viene activada por defecto: debe habilitarse voluntariamente desde la sección de seguridad de la cuenta en la versión web de ChatGPT.
La medida llega en un momento en el que una cuenta de ChatGPT puede contener mucho más que conversaciones sueltas. Con el tiempo, puede reunir contexto personal, trabajo profesional, código, documentos, integraciones con herramientas externas y acceso a flujos cada vez más importantes. Para periodistas, cargos públicos, investigadores, activistas, profesionales de ciberseguridad o usuarios especialmente cuidadosos con su privacidad, perder el control de esa cuenta puede tener consecuencias serias.
OpenAI plantea esta nueva capa como una forma de agrupar en un único ajuste varias protecciones que antes podían estar dispersas o depender de la configuración manual del usuario. Una vez activada, Advanced Account Security se aplica tanto a ChatGPT como a Codex cuando se accede con el mismo inicio de sesión.
Sin contraseña y con claves resistentes al phishing
El cambio más importante está en el inicio de sesión. Advanced Account Security exige el uso de passkeys o llaves físicas de seguridad compatibles con FIDO, como una YubiKey u otros dispositivos similares. Al mismo tiempo, desactiva el acceso mediante contraseña.
Esta decisión tiene sentido desde el punto de vista de seguridad. Las contraseñas pueden filtrarse, reutilizarse en varios servicios, caer en ataques de phishing o quedar guardadas en dispositivos comprometidos. Las passkeys y las llaves físicas reducen ese riesgo porque están diseñadas para resistir mejor la suplantación de páginas de inicio de sesión y dependen de criptografía vinculada al dispositivo o al hardware.
OpenAI también desactiva los códigos de inicio de sesión por correo electrónico o SMS cuando esta opción está habilitada. Es una protección importante porque muchos ataques contra cuentas empiezan por comprometer el correo o por intentar secuestrar el número de teléfono. Si un atacante controla el email o logra redirigir mensajes SMS, puede intentar usar esos canales para recuperar el acceso. Advanced Account Security corta esa vía.
Pero esa seguridad adicional tiene una contrapartida clara: recuperar la cuenta será más exigente. Para activar la función, OpenAI indica que el usuario debe tener al menos dos métodos seguros de acceso, incluido uno que funcione entre dispositivos. También debe guardar claves de recuperación. Si pierde todos sus métodos de acceso y sus claves de recuperación, puede quedarse sin forma de volver a entrar.
Más protección, pero menos margen de rescate
La parte más delicada de Advanced Account Security está en la recuperación de cuenta. OpenAI advierte de que el soporte no podrá usar recuperación estándar por email, restablecer la contraseña, retirar Advanced Account Security ni añadir o quitar métodos de inicio de sesión para devolver el acceso normal mientras esta protección esté activa.
Dicho de forma sencilla: es una opción pensada para quien puede asumir disciplina de seguridad. Conviene guardar las claves de recuperación en un lugar seguro, preferiblemente fuera del ordenador principal, y mantener al menos una llave o passkey de respaldo. Cada clave de recuperación puede usarse una sola vez y, si se cree que han quedado expuestas, se pueden reemplazar desde la configuración de seguridad.
OpenAI explica además que, si se inicia una recuperación con una clave válida, la cuenta no se desbloquea de inmediato. Hay un periodo de espera de 48 horas antes de completar el proceso. Esta demora puede resultar incómoda, pero dificulta que un atacante use una clave obtenida indebidamente para tomar la cuenta al instante.
La función también acorta las sesiones activas. Esto obliga a iniciar sesión con más frecuencia, pero reduce la ventana de riesgo si un dispositivo queda comprometido o si una sesión abierta cae en malas manos. Además, el usuario recibe avisos de inicio de sesión y puede revisar y gestionar las sesiones activas en distintos dispositivos.
Conversaciones excluidas del entrenamiento por defecto
Advanced Account Security incluye otra decisión relevante: las conversaciones de las cuentas inscritas no se usarán para entrenar los modelos de OpenAI mientras esta opción esté activada. Para usuarios que trabajan con información especialmente sensible, esta exclusión automática simplifica una preferencia que, de otro modo, podría tener que revisarse en otros ajustes de privacidad.
Este punto refuerza el posicionamiento de la herramienta. No está pensada solo para evitar robos de contraseña. También intenta reducir exposición en cuentas que pueden contener información profesional, investigaciones, borradores, conversaciones delicadas o material que el usuario no quiere incorporar a procesos de mejora de modelos.
OpenAI también ha anunciado una colaboración con Yubico para ofrecer a usuarios elegibles un paquete de llaves de seguridad con precio preferente. La compañía menciona un conjunto formado por una YubiKey C Nano, pensada para permanecer conectada al portátil, y una YubiKey C NFC como respaldo y para uso en otros dispositivos, incluidos móviles. Aun así, no será obligatorio usar YubiKey: también se podrán emplear otras llaves compatibles con FIDO o passkeys basadas en software.
Una respuesta al nuevo valor de las cuentas de IA
La presentación de Advanced Account Security refleja una realidad cada vez más evidente: las cuentas de Inteligencia Artificial se están convirtiendo en activos de alto valor. Ya no son solo perfiles para probar un chatbot. Pueden estar conectadas a repositorios, herramientas de productividad, entornos de programación, documentos, sistemas internos y asistentes que actúan en nombre del usuario.
Ese cambio aumenta el atractivo para atacantes. Una cuenta comprometida puede revelar contexto acumulado, conversaciones sensibles, código, planes de producto, información de clientes o acceso a herramientas conectadas. En el caso de Codex, el riesgo puede extenderse al desarrollo de software si el atacante logra interactuar con proyectos, repositorios o flujos de trabajo del usuario.
OpenAI vincula esta medida con su plan más amplio de ciberseguridad y con el acceso de perfiles defensivos a modelos más potentes. De hecho, los miembros individuales del programa Trusted Access for Cyber que accedan a los modelos más capaces y permisivos de OpenAI para ciberseguridad deberán activar Advanced Account Security a partir del 1 de junio de 2026. Las organizaciones con acceso de confianza podrán, como alternativa, acreditar que cuentan con autenticación resistente al phishing en su flujo de inicio de sesión único.
Hay un matiz importante sobre disponibilidad. La documentación de ayuda de OpenAI indica que Advanced Account Security está disponible para cuentas personales elegibles de ChatGPT en regiones compatibles, pero no para usuarios de ChatGPT Enterprise, cuentas gestionadas por empresa o cuentas asociadas a un dominio empresarial gestionado. OpenAI señala que espera extender este tipo de trabajo a otros públicos, incluidos entornos empresariales, pero el despliegue inicial está centrado en cuentas personales elegibles.
La recomendación práctica es clara. Quien maneje información sensible en ChatGPT, use Codex con proyectos importantes o tenga un perfil con riesgo elevado debería valorar activar Advanced Account Security. Pero no es una opción que convenga habilitar sin preparación. Antes hay que configurar métodos de acceso redundantes, guardar bien las claves de recuperación y asumir que la comodidad se reduce a cambio de una protección más fuerte.
OpenAI está reconociendo con este lanzamiento que la seguridad de las cuentas de Inteligencia Artificial va a ser tan importante como la seguridad del correo, el gestor de contraseñas o la cuenta cloud. A medida que estos sistemas se integren más en el trabajo diario, proteger el acceso dejará de ser un ajuste secundario y pasará a formar parte de la higiene digital básica.
Preguntas frecuentes
¿Qué es Advanced Account Security de OpenAI?
Es una opción avanzada de seguridad para cuentas personales elegibles de ChatGPT. Refuerza el inicio de sesión, elimina vías más débiles de recuperación y añade controles de sesión y privacidad.
¿Qué cambia al activarla?
La cuenta pasa a usar passkeys o llaves físicas de seguridad, se desactiva el inicio de sesión con contraseña, se eliminan la recuperación por email o SMS y se acortan las sesiones activas.
¿Puedo perder el acceso a mi cuenta si la activo?
Sí, si pierdes todos tus métodos seguros de acceso y tus claves de recuperación. OpenAI advierte de que su soporte no podrá restaurar el acceso mediante los métodos estándar mientras esta protección esté activada.
¿Las conversaciones se usan para entrenar modelos con esta opción activa?
No. OpenAI indica que, con Advanced Account Security habilitada, las conversaciones de esas cuentas no se usarán para entrenar sus modelos.
