Seguridad en ChatGPT y Codex: passkeys y llaves FIDO paso a paso

Por qué una cuenta de ChatGPT ya es “infraestructura”

En muchas empresas pequeñas, ChatGPT (y herramientas como Codex) ya no se usa solo para “preguntar cosas”: se usa para redactar emails, analizar documentos, generar borradores de código, preparar propuestas comerciales y automatizar tareas. Eso significa que la cuenta pasa a ser una pieza de infraestructura. Si alguien accede a esa cuenta, no solo ve un perfil: puede ver conversaciones, adjuntos, instrucciones internas y, en algunos casos, flujos de trabajo que conectan con otros sistemas.

La consecuencia es simple: la seguridad de la cuenta afecta directamente al riesgo de fuga de información, suplantación y fraude. Y, como ocurre con el correo corporativo, no basta con “una contraseña fuerte”.

Qué es Advanced Account Security y qué cambia

OpenAI ha introducido una opción pensada para endurecer al máximo la seguridad de la cuenta: Advanced Account Security. Su objetivo es reducir ataques frecuentes (phishing, robo de credenciales, secuestro de sesión) cambiando el modelo de acceso a métodos más resistentes.

Passkeys vs llaves físicas (FIDO)

El núcleo del cambio es el uso de passkeys (credenciales criptográficas ligadas a tu dispositivo/gestor) y, opcionalmente, llaves de seguridad físicas (tipo FIDO). La ventaja frente a contraseñas es que el usuario no “teclea” un secreto que pueda robarse con un sitio falso: el dispositivo firma el acceso y valida el dominio real.

En la práctica, esto suele reducir el riesgo de phishing de forma drástica, porque el atacante no puede reutilizar una passkey en un dominio clonado.

Qué se endurece (y los trade-offs)

• Menos superficie de recuperación: al aumentar la seguridad, también aumenta el coste de perder el acceso si no guardas correctamente los métodos de recuperación.
• Mayor disciplina: necesitas política interna (quién guarda recovery keys, cómo se gestionan dispositivos de trabajo, etc.).

Antes de activarlo: requisitos y checklist

Antes de activar un modo de seguridad avanzado, conviene preparar el terreno. En empresas, la mayoría de incidentes no ocurren por “hackers super avanzados”, sino por fallos operativos: cambio de móvil, baja de un empleado, pérdida de una llave, gestor de contraseñas sin backup.

• Define quién es el propietario de la cuenta y quién puede administrar el acceso.
• Elige al menos dos métodos de acceso (por ejemplo, passkey en portátil + passkey en móvil) para evitar quedarte fuera.
• Prepara un lugar seguro para las recovery keys (si el sistema las ofrece): idealmente un gestor corporativo o un procedimiento de custodia.
• Revisa si hay dispositivos compartidos o accesos “de equipo”. Mejor evitarlos: cada persona debe tener su acceso.

Paso a paso: activación y buenas prácticas

El flujo exacto puede variar ligeramente según el dispositivo, pero el enfoque recomendado es:

1. Activar passkeys en el dispositivo principal (portátil de trabajo) y comprobar que el inicio de sesión funciona.
2. Activar una segunda passkey en un segundo dispositivo (móvil corporativo o personal si está permitido).
3. Si tu modelo de riesgo lo exige (equipos con acceso a información sensible), añadir una llave física FIDO como factor fuerte y guardarla con control.
4. Generar y guardar recovery keys siguiendo un procedimiento (ver siguiente sección).

Cómo guardar recovery keys sin liarla

La regla es: las recovery keys deben existir en al menos dos ubicaciones seguras, pero sin acabar en un documento suelto o una nota en el escritorio. Opciones razonables:

• Gestor de contraseñas corporativo con acceso restringido (mínimo 2 responsables).
• Copia cifrada en una bóveda interna (con rotación y registro de accesos).
• Procedimiento físico (sobre sellado) solo si existe cultura de custodia y auditoría.

Gestión de sesiones y señales de alerta

Tras activar el endurecimiento, revisa las sesiones activas y elimina las que no reconozcas. Establece una rutina: cuando haya un cambio de dispositivo, un viaje o un incidente, se revisan sesiones y se rota acceso si procede.

Políticas para equipos: dispositivos, offboarding y continuidad

Si en tu empresa varias personas usan herramientas de IA, necesitas una política mínima:

• Acceso individual (nada de “usuario compartido”).
• Alta/baja con checklist: cuando alguien se va, se revoca el acceso y se revisan integraciones.
• Dispositivos: define si se permite BYOD y qué requisitos (bloqueo, cifrado, MDM).
• Formación anti-phishing: la mayoría de ataques siguen entrando por ingeniería social.

Preguntas frecuentes

¿Esto sustituye a 2FA?

En la práctica, passkeys y llaves físicas ofrecen un enfoque más robusto que muchos 2FA basados en SMS o códigos. No obstante, el objetivo real es reducir phishing y reutilización de credenciales.

¿Qué pasa si pierdo el móvil?

Por eso se recomienda tener más de un método y recovery keys. Si solo dependes de un dispositivo, el bloqueo es cuestión de tiempo.

Fuentes

• OpenAI: Introducing Advanced Account Security
• OpenAI Help: Passkeys