OpenAI ha presentado Advanced Account Security, una nueva opción de seguridad para ChatGPT que refuerza de forma notable la protección de cuentas personales. La función está pensada para usuarios con mayor exposición a ataques digitales, como periodistas, investigadores, cargos públicos, activistas, profesionales de ciberseguridad o personas que trabajan con información sensible, aunque también puede activarla cualquier cuenta personal elegible que quiera elevar su nivel de protección.
El movimiento confirma una tendencia clara: las cuentas de Inteligencia Artificial empiezan a parecerse cada vez más a cuentas críticas. Ya no almacenan solo preguntas sueltas o conversaciones triviales. Pueden contener contexto profesional, borradores, código, documentos, ideas de producto, información personal, integraciones con herramientas externas y flujos de trabajo completos. En ese escenario, un robo de cuenta no es solo una molestia: puede convertirse en una brecha de datos, una exposición de propiedad intelectual o una vía de acceso a entornos conectados.
Passkeys y llaves físicas como nuevo punto de partida
La medida más visible de Advanced Account Security es la eliminación del acceso por contraseña. Al activarla, ChatGPT exige iniciar sesión mediante passkeys o llaves físicas compatibles con FIDO, como una YubiKey u otros dispositivos equivalentes. OpenAI desactiva además los códigos de inicio de sesión por correo electrónico o SMS y bloquea la recuperación estándar mediante esos canales.
Desde una perspectiva técnica, la decisión tiene sentido. Las contraseñas siguen siendo uno de los puntos débiles más explotados por atacantes: se reutilizan, se filtran, se guardan mal, se capturan mediante phishing o acaban en bases de datos comprometidas. Los SMS tampoco son ideales para proteger cuentas sensibles, porque pueden verse afectados por duplicados de SIM, redirecciones, ingeniería social o compromiso del teléfono.
Las passkeys y las llaves físicas reducen buena parte de ese riesgo porque se basan en criptografía de clave pública y están diseñadas para resistir ataques de phishing. Si el usuario intenta iniciar sesión en una web falsa, la clave no autentica el acceso como lo haría una contraseña introducida manualmente. Para perfiles de alto riesgo, esa diferencia importa mucho.
OpenAI también ha anunciado una colaboración con Yubico para ofrecer a usuarios elegibles un paquete de llaves de seguridad con precio preferente. La compañía menciona una YubiKey C Nano, pensada para permanecer conectada al portátil, y una YubiKey C NFC para respaldo y uso en otros dispositivos. Aun así, Advanced Account Security no obliga a comprar YubiKey: también permite usar otras llaves compatibles con FIDO o passkeys basadas en software.
Más seguridad, pero recuperación mucho más estricta
La parte menos cómoda del anuncio es la recuperación de cuenta. Advanced Account Security mejora la protección frente al secuestro de cuentas, pero exige más disciplina al usuario. Para activar la función hay que configurar al menos dos métodos seguros de inicio de sesión, incluido uno que funcione entre dispositivos. También hay que guardar claves de recuperación.
Si el usuario pierde todas sus passkeys, llaves físicas y claves de recuperación, puede perder el acceso a la cuenta. OpenAI advierte de que su soporte no podrá usar los métodos estándar para rescatarla: no podrá recuperar la cuenta por email, restablecer la contraseña, retirar Advanced Account Security ni añadir o eliminar métodos de inicio de sesión mientras la protección siga activa.
Esto convierte la función en una herramienta potente, pero no apta para activarse sin preparación. Lo recomendable es tener una llave principal para uso diario, otra de respaldo guardada en un lugar seguro y claves de recuperación almacenadas fuera del ordenador principal. Cada clave de recuperación solo puede utilizarse una vez y, si se sospecha que han quedado expuestas, pueden reemplazarse desde la configuración de seguridad.
OpenAI añade además un periodo de espera de 48 horas cuando se inicia la recuperación con una clave válida. Esta demora reduce el riesgo de que un atacante que haya obtenido una clave de recuperación pueda tomar el control de la cuenta de forma inmediata. Para el usuario legítimo puede resultar incómodo, pero para cuentas de alto valor el objetivo es claro: ganar tiempo frente a intentos de secuestro.
Sesiones más cortas y exclusión automática del entrenamiento
Advanced Account Security también acorta la duración de las sesiones activas. Eso significa que el usuario tendrá que iniciar sesión con más frecuencia, pero reduce la ventana de exposición si un dispositivo queda comprometido o si una sesión abierta termina en manos de un atacante. La función incluye avisos de inicio de sesión y permite revisar y gestionar las sesiones activas en distintos dispositivos.
Otro elemento relevante es la privacidad de los datos. Con Advanced Account Security activada, las conversaciones de esa cuenta no se utilizan para entrenar los modelos de OpenAI. Para usuarios que trabajan con información especialmente delicada, esta exclusión automática elimina la necesidad de depender de una configuración adicional para ese punto concreto.
La protección se aplica tanto a ChatGPT como a Codex cuando se accede con el mismo login. Este detalle es importante para desarrolladores. Codex puede estar conectado a entornos de programación, repositorios o flujos de trabajo con código sensible. Si una cuenta de IA se usa para escribir, revisar o modificar software, proteger el acceso deja de ser una recomendación genérica y pasa a formar parte de la seguridad de la cadena de desarrollo.
OpenAI también vincula esta función con su programa Trusted Access for Cyber. Los miembros individuales que accedan a los modelos más capaces y permisivos para tareas de ciberseguridad deberán activar Advanced Account Security a partir del 1 de junio de 2026. Las organizaciones con acceso de confianza podrán acreditar, como alternativa, que ya usan autenticación resistente al phishing dentro de su inicio de sesión único.
Una capa pensada para cuentas personales, no para Enterprise
Hay una limitación importante: Advanced Account Security está disponible para cuentas personales elegibles de ChatGPT en regiones compatibles, pero no para usuarios de ChatGPT Enterprise, cuentas gestionadas por empresa o cuentas asociadas a un dominio empresarial administrado. En esos entornos, las organizaciones suelen aplicar sus propias políticas de identidad, SSO, MFA, SCIM, gestión de dispositivos y controles de seguridad corporativos.
OpenAI indica que espera extender este tipo de trabajo a otros públicos, incluidos entornos empresariales. Tiene lógica. A medida que ChatGPT, Codex y otros sistemas de IA se integran en flujos corporativos, la seguridad de identidad será tan importante como la seguridad de los datos o de las APIs. En empresas, además, habrá que combinar estas protecciones con políticas centralizadas, registros de auditoría, gestión de permisos y respuesta ante incidentes.
Para usuarios individuales, el consejo es más directo. Quien use ChatGPT para tareas sensibles debería revisar ya su configuración de seguridad. Advanced Account Security puede ser una buena opción si se está dispuesto a asumir sus exigencias de recuperación. Para quien prefiera una protección menos estricta, OpenAI sigue recomendando medidas básicas como contraseñas fuertes, gestores de contraseñas, autenticación multifactor y precaución ante enlaces o correos sospechosos.
La llegada de esta función también envía un mensaje al resto del sector. La seguridad de la IA no se limita a filtros de contenido, protección del modelo o controles de uso indebido. También empieza por algo más básico: impedir que una cuenta caiga en manos equivocadas. Cuanto más contexto acumulan estos sistemas, más valor tienen para atacantes.
La contraseña fue suficiente para una etapa en la que muchos servicios digitales eran aislados y de bajo riesgo. En la era de los agentes, el código asistido, las herramientas conectadas y los historiales de conversación con contexto personal y profesional, esa etapa empieza a quedarse corta. OpenAI está empujando a los usuarios de mayor riesgo hacia un modelo más resistente: sin contraseña, sin SMS, con llaves, passkeys y recuperación más dura. Menos cómodo, pero mucho más adecuado para cuentas que ya forman parte de la infraestructura digital diaria.
Preguntas frecuentes
¿Qué es Advanced Account Security de OpenAI?
Es una opción avanzada de seguridad para cuentas personales elegibles de ChatGPT. Refuerza el inicio de sesión, elimina contraseñas y canales débiles de recuperación, acorta sesiones y añade más visibilidad sobre accesos.
¿Qué métodos de inicio de sesión exige?
Requiere passkeys o llaves físicas de seguridad compatibles con FIDO. Para activarla hay que configurar al menos dos métodos seguros, incluido uno que funcione entre dispositivos.
¿Qué pasa si pierdo mis llaves o passkeys?
Necesitarás las claves de recuperación guardadas durante la configuración. Si pierdes todos los métodos de acceso y las claves de recuperación, OpenAI advierte de que podrías perder el acceso a la cuenta.
¿Advanced Account Security está disponible para empresas?
No está disponible para ChatGPT Enterprise, cuentas gestionadas por empresa o cuentas asociadas a dominios empresariales gestionados. Su despliegue inicial está centrado en cuentas personales elegibles.
