OpenAI ha puesto sobre la mesa un modo llamado Advanced Account Security: básicamente te obliga a entrar sin contraseña clásica, con paskeys y claves de seguridad físicas, recortas la recuperación por correo/SMS… y cuando lo lees con calma te das cuenta de que el precio no es solo el de un par de YubiKeys. Es un producto pensado para perfiles de riesgo alto—periodistas, cargos electos, ONG, investigación—y eso importa porque el marketing suena a «modo serio», pero los matices legales y operativos son los que típicamente te los comes tú cuando gestionáis varias cuentas en la agencia.
Y aquí voy al grano. Esto es buena noticia para quien verdaderamente tiene una superficie de ataque personal: phishing dirigido roba cuentas a diario y las contraseñas siguen siendo la puerta trasera número uno. Wired recoge que OpenAI llega incluso a avisar de que, con el modo activado, el soporte no va a poder devolverte la cuenta si pierdes las claves; es decir, te dan más protección a cambio de más responsabilidad tuya. Me parece honesto, pero no es un detalle menor si en tu equipo alguien confía en el mail de recuperación más que en un inventario ordenado de dispositivos.
PCMag detalla bien el lado hardware: opción fuerte contra SIM swap y phishing, sesiones revisables bonito en teoría pero en práctica en una pyme con cuatro portátiles ya sabes donde acaba cada cosa cuando alguien se va de vacaciones. Entonces la pregunta no es tanto «¿esto es más seguro?». Obvio que sí. La pregunta es si tu organización está preparada para que la recuperación deje de ser un clic en el email y pase a ser un protocolo con llaves de respaldo almacenadas fuera del buró de alguien que luego se marcha del proyecto.
Lo que me mosquea del relato «empresarial» que rodea a ChatGPT es que mezcla dos mundos. Por un lado tienes al freelance que quiere dormir tranquilo. Por otro la agencia que comparte un workspace, factura con datos de un tercero y tiene que explicarle al cliente qué pasa si un empleado activa un modo que OpenAI no puede revertir. En mi experiencia muchas pymes todavía viven en la contraseña compartida mal resuelta y el 2FA por SMS. Pasar de ahí a paskeys es un salto sano, pero si no documentáis quién tiene qué llave y donde está el backup, la seguridad sube en el papel y baja en el mundo real.
Tampoco es que OpenAI te deba solucionar la gobernanza interna. Pero sí conviene leer la letra pequeña de esas piezas: cuando un proveedor te dice que va a blindar la cuenta, buena parte del riesgo residual se desplaza a los procedimientos humanos. Y eso en hosting, DNS o WordPress ya lo hemos visto mil veces: la herramienta es fiable y el caos está en quien no sabe qué contraseña es la buena o qué plugin tocó el becario.
PCMag subraya el matiz de las claves físicas y el paquete con YubiKey porque, para muchas tiendas web o estudios que ya arrastran MFA en el gestor pero no fuera del dashboard, puede parecer trivial «comprarte dos llaves». El gasto es pequeño al lado del incidente pero el proceso de alta y el reparto entre socios siguen siendo lo que menos te apetece documentar cuando hay que sacar una campaña. Yo lo que suele funcionar si te planteas algo así es tratar ChatGPT igual que tratáis ya el SSO del correo y el backup de dominios: un dueño claro de la identidad, un segundo factor que no viva en el mismo móvil que el WhatsApp del equipo y un sitio donde el cliente no tenga por qué enterarse de tus dramas de recuperación.
Wired enmarca bien el público objetivo porque si no tienes ese perfil puede que simplemente te estés autoinfligiendo rigidez. En cambio si movéis prompts con datos semi-sensibles, propuestas o borradores de contratos dentro del chat ya no puedes vivir solo de la fantasía «total esto es confidencial». La capa nueva no es un seguro jurídico ni un sellado RGPD pero si encaja el stack de trabajo en tu cabeza mejor que otro meme de ciber sobre «zero trust» pintado en un PowerPoint sin presupuesto.
En resumen: para perfiles expuestos activar Advanced Account Security es coherente y encaja con la tendencia general de grandes plataformas a empujar autenticación resistente al phishing pero antes de hacerlo por postureo en LinkedIn revisa recuperación delegada políticas BYOD y qué cuenta es la oficial del cliente porque si la pierdes puede que nadie desde soporte pueda hacer magia como antes te contaban.
Si después de todo esto sigues usando solo contraseña y el chat de soporte como plan B, ¿aceptarías que tu proveedor de IA te bloqueara el acceso reversible a cambio de una protección máxima o preferirías un compromiso menos extremo pero con recuperación rápida en caso de pérdida de dispositivos?