Ponte en contacto con nosotros de inmediato si te preocupa que tu cuenta o tu clave de API se hayan visto comprometidas. Puedes ponerte en contacto con el equipo de soporte de OpenAI abriendo un nuevo chat en la esquina inferior derecha de cualquier página del Centro de ayuda. Estamos aquí para ayudarte.
Resumen
Al usar los servicios de OpenAI, es importante mantener seguros tanto tu clave de API como tu cuenta. Protégete frente a filtraciones de claves de API y tomas de control de cuentas con estas prácticas recomendadas.
Mantener tu cuenta segura
La seguridad es una responsabilidad compartida. OpenAI trabaja para proteger el acceso a las cuentas, y estos pasos pueden ayudar a reducir el riesgo de uso no autorizado. Si las credenciales de la cuenta se usan sin permiso, informa del problema lo antes posible.
Evitar filtraciones de claves de API
Una clave de API es el código de acceso que se usa para llamar a la API de OpenAI. Si se filtra, usuarios no autorizados podrían acceder a la API a través de tu cuenta. Esto puede provocar cargos no autorizados o actividad que infrinja nuestras condiciones de servicio.
Usar variables de entorno
Guarda tu clave de API en variables de entorno dentro de tu entorno de desarrollo. Esto ayuda a mantener la clave fuera del código de la aplicación y reduce el riesgo de exposición.
Si usas GitHub Actions, utiliza secretos de GitHub para guardar tu clave de API.
Tener cuidado con productos de terceros
Ten cuidado con las bibliotecas, los frameworks y las herramientas de terceros que soliciten acceso a tu clave de API. Aunque un producto parezca fiable, sigue existiendo el riesgo de exposición o uso indebido de la clave.
Antes de usar un producto de terceros que requiera tu clave de API, revisa detenidamente la empresa y el producto. Consulta reseñas, lee la Política de privacidad y busca cualquier inquietud de seguridad planteada por la comunidad.
Establecer límites de gasto razonables
Establece varios umbrales de gasto, como 90 % y 95 %, respecto a un presupuesto mensual a nivel de organización o proyecto para supervisar el gasto mensual.
Configura destinatarios de correo personalizados para integrarlos con listas de distribución, plataformas de gestión de incidentes y plataformas de mensajería. Esto se puede configurar en los ajustes de Platform.
No incluyas tu clave de API en el producto
Puede resultar tentador insertar tu clave de API directamente en una aplicación para evitar ejecutar un servidor para una aplicación móvil o un caso de uso similar. Sin embargo, esto hace que la clave de API sea vulnerable al uso indebido.
Realizar revisiones de código exhaustivas
Antes de enviar código a repositorios públicos, revísalo para asegurarte de que no se exponga información sensible, como claves de API.
Usa herramientas de análisis automatizado que puedan señalar posibles filtraciones. También puedes consultar el tutorial de análisis de secretos de GitHub para obtener más orientación.
Cuando OpenAI detecta una clave de API en internet público, o filtrada dentro de una aplicación en una tienda de aplicaciones, la clave de API se desactiva de inmediato.
Implementar la rotación de claves
Cambia periódicamente tus claves de API eliminando las claves antiguas y creando otras nuevas desde el panel de claves de API.
Evitar tomas de control de cuentas
Una toma de control de cuenta se produce cuando alguien obtiene acceso no autorizado a tu cuenta, puede usar servicios de OpenAI a través de ella y deja la factura al propietario de la cuenta.
Usar contraseñas seguras o autenticación de Google
Si usas una contraseña, utiliza una combinación de letras mayúsculas y minúsculas, números y caracteres especiales. Recomendamos usar un gestor de contraseñas para generarlas y almacenarlas.
Actualiza tu contraseña cada pocos meses.
Activar la autenticación multifactor (MFA)
Activa la autenticación multifactor (MFA) para añadir un paso de verificación adicional, normalmente con tu teléfono.
Aunque alguien obtenga tu contraseña, seguiría necesitando el segundo factor para acceder a tu cuenta.
Activar MFA no cancela los inicios de sesión existentes. Para bloquear a cualquier usuario que ya esté accediendo a tu cuenta, restablece primero tu contraseña y, después, activa MFA.
Usar Seguridad avanzada de la cuenta
Para las cuentas de consumidor de ChatGPT que cumplan los requisitos, Seguridad avanzada de la cuenta añade requisitos de inicio de sesión más estrictos y protecciones de cuenta reforzadas. No está disponible para usuarios de ChatGPT Enterprise, cuentas gestionadas por empresas ni cuentas asociadas a un dominio gestionado por una empresa.
Tener cuidado con correos electrónicos y enlaces
Ten cuidado con los correos electrónicos que pidan credenciales o dirijan a los usuarios a páginas web que requieran datos de la cuenta.
Comprueba siempre dos veces la dirección de correo electrónico y la URL para asegurarte de que proceden de una fuente de confianza.
Responder a una sospecha de compromiso
Si crees que tu clave de API se ha visto comprometida, o sospechas que hay actividad no autorizada en tu cuenta, actúa con rapidez.
Eliminar tus claves de API
Elimina tus claves de API desde el panel de claves de API.
OpenAI también admite el seguimiento del uso por clave de API. Esto facilita ver el uso por función, equipo, producto o proyecto mediante claves de API independientes para cada uno.
Contactar con el soporte de OpenAI
Cuanto antes informes del problema, antes podrá OpenAI ayudar a resolverlo y reducir el posible daño. Contacta con el soporte de OpenAI abriendo un nuevo chat en cualquier página del Centro de ayuda.
Revisar la actividad de la cuenta
Comprueba si hay actividad desconocida en la cuenta, como uso inesperado de la API. Los detalles que proporciones pueden ayudar con la recuperación de la cuenta.
Cerrar sesión en todas las sesiones
Puedes cerrar sesión en todas las sesiones activas en todos los dispositivos.
En ChatGPT:
Ve a Configuración.
Selecciona Seguridad.
Selecciona Sesiones activas.
Busca Cerrar sesión en todas las sesiones.
Selecciona Cerrar todas las sesiones.
En el modal de confirmación, selecciona Cerrar sesión en todos los dispositivos.
Esto cierra tu sesión en todas las sesiones activas de todos los dispositivos, incluida tu sesión actual. Puede tardar hasta 30 minutos.
En Platform, ve a Tu perfil > Seguridad y selecciona Cerrar sesión en todos los dispositivos.
Pueden pasar hasta 30 minutos hasta que se cierren otras sesiones de ChatGPT.