Token Robin Hood
OpenAI1 de mayo de 20265 min

OpenAI Advanced Account Security protege las cuentas de Codex con passkeys, claves físicas y exclusión automática del training

OpenAI anunció el 30 de abril de 2026 que Advanced Account Security ahora cubre el mismo inicio de ChatGPT que usa Codex. Eso importa porque una cuenta de coding agent ya no es solo un asiento de chat. Puede quedar por encima de repositorios, conectores, sesiones long-running y contexto sensible de producto. El nuevo paquete añade inicio resistente al phishing, recuperación más dura, sesiones más cortas y exclusión automática del training para las cuentas inscritas.

Qué pasóOpenAI lanzó Advanced Account Security como capa opcional de protección para cuentas de ChatGPT y dijo que la cobertura también vale para Codex.
Por qué importaCuando la cuenta del agente guarda acceso a repos, herramientas conectadas y contexto profundo de proyecto, el account takeover se vuelve un riesgo de workflow.
Acción TRHMueve a los operadores más pesados de Codex a passkeys o hardware keys, revisa recovery y trata la seguridad de la cuenta del agente como higiene de runtime.

Las cuentas de AI coding ya tienen poder operativo real

El encuadre de OpenAI es el más útil: estas cuentas están pasando al centro de workflows conectados. Para usuarios de Codex, eso puede significar acceso a código, diffs, contexto de tareas y razonamiento interno sobre qué cambiar después. La superficie ya venía creciendo con los workflows del app Codex y con los workspace agents. Cuando la cuenta se convierte en punto de control, la calidad de la autenticación pesa más.

El paquete nuevo cambia cuatro cosas a la vez: desaparecen las contraseñas, entran passkeys o claves físicas, la recuperación por e-mail y SMS se elimina, las sesiones se acortan y se vuelven más auditables, y las conversaciones de esas cuentas dejan de usarse para entrenar modelos. Nada de eso mejora a un coding agent por sí solo. Pero sí limpia el borde de la cuenta.

En el fondo, es una historia de builder ops

La reacción social rápida alrededor del lanzamiento se inclinó hacia "modo de seguridad para cuentas en riesgo". Es cierto, pero se queda corta para el ángulo de desarrollo. Si tu herramienta de IA puede abrir repos, revisar PRs o cargar meses de contexto de producto, entonces un login débil entra en tu modelo de riesgo de ingeniería. El takeaway no es solo "enciéndelo si eres objetivo". Es "decide qué cuentas operadoras ya son lo bastante privilegiadas como para merecer auth resistente al phishing".

OpenAI también deja claro el tradeoff: si te inscribes, soporte no recuperará la cuenta. Esa fricción es sana. Obliga al equipo a dejar de tratar recovery como detalle casual y a documentar quién guarda claves de respaldo, qué dispositivos quedan inscritos y cómo los workflows compartidos evitan crear un único punto de bloqueo.

Qué deberían hacer ahora los lectores de TRH

Audita las cuentas que sostienen tus workflows agentic de mayor valor. Separa la experimentación diaria de las cuentas operadoras que tocan repos. Activa auth más fuerte allí donde la cuenta puede disparar código real o acceder a contexto sensible. Luego revisa también la dispersión de sesiones. Seguridad y disciplina de tokens están conectadas: cuanto más persistente y conectado se vuelve el workflow, más importante es saber quién puede entrar, cuánto tiempo queda abierto y qué contexto sigue acumulando detrás.

Fuentes