OpenAI ha tenido que tomar una decisión incómoda, pero reveladora: rotar y revocar su certificado de firma de código para macOS después de que uno de sus workflows de GitHub Actions ejecutara una versión maliciosa de Axios dentro de un incidente de cadena de suministro. La compañía insiste en que no ha encontrado pruebas de robo del certificado, de alteración de sus aplicaciones ni de acceso a datos de usuarios, pero aun así ha preferido actuar como si el material criptográfico hubiera podido quedar expuesto. Y eso, en una empresa que distribuye herramientas de Inteligencia Artificial cada vez más presentes en entornos profesionales, dice mucho sobre la gravedad del problema.
La medida tiene un efecto práctico inmediato: a partir del 8 de mayo de 2026, algunas versiones antiguas de ChatGPT Desktop, Codex, Codex CLI y Atlas para macOS pueden dejar de funcionar o verse bloqueadas por las protecciones del sistema si no se actualizan a versiones firmadas con el nuevo certificado. OpenAI ha publicado incluso las versiones mínimas compatibles con esa nueva firma y recomienda actualizar solo desde el propio mecanismo integrado o desde sus páginas oficiales.
Un incidente técnico que va mucho más allá de macOS
Sobre el papel, podría parecer un problema limitado al mundo Mac. Pero el fondo del asunto es más amplio. Según OpenAI, el incidente comenzó el 31 de marzo de 2026, cuando un job legítimo implicado en la firma de apps descargó y ejecutó Axios 1.14.1, una versión comprometida del paquete npm. Ese workflow tenía acceso al certificado de firma de código y al material de notarización necesario para validar aplicaciones de OpenAI en macOS. Aunque la compañía considera improbable que el certificado llegara a ser exfiltrado por la secuencia exacta del proceso y otras mitigaciones, la combinación de “código de terceros ejecutándose en CI” y “secretos de alto privilegio disponibles” era demasiado delicada como para no responder con contundencia.
La parte verdaderamente importante para un medio de Inteligencia Artificial no es solo el detalle técnico, sino lo que pone en evidencia. La IA moderna no se distribuye únicamente a través del navegador. Cada vez más modelos, asistentes y herramientas para desarrolladores llegan como aplicaciones de escritorio, clientes locales, CLIs y agentes que se integran con el sistema operativo, el editor, el código fuente y documentos internos. Eso eleva el valor de la firma de código y, al mismo tiempo, aumenta el impacto de cualquier incidente en el pipeline que la protege. Si esa firma pierde credibilidad, no se resiente solo una app: se resiente la confianza en toda una capa de software asistido por IA.
Por qué este tema importa tanto en la industria de la IA
La industria de la Inteligencia Artificial tiende a concentrarse en modelos, benchmarks, GPUs y agentes. Sin embargo, el caso de OpenAI recuerda que el vector más peligroso puede estar bastante más abajo, en la fontanería del software. Los atacantes no necesitan necesariamente romper el modelo o vulnerar el frontend si pueden colarse antes, en una dependencia muy usada, en un job automatizado o en el proceso que genera el binario final que después descargarán miles o millones de usuarios.
Eso es precisamente lo que hace especialmente delicado este episodio. Google Threat Intelligence Group explicó que las versiones maliciosas 1.14.1 y 0.30.4 de Axios introdujeron una dependencia llamada plain-crypto-js, preparada para desplegar el backdoor WAVESHAPER.V2 en Windows, macOS y Linux. Google vinculó la campaña al actor UNC1069, asociado a Corea del Norte, y señaló que el compromiso se originó en la cuenta del mantenedor del paquete. Es decir, el ataque no fue contra OpenAI en exclusiva, sino contra la confianza de todo un ecosistema de desarrollo.
En el mundo de la IA, eso tiene una importancia especial por tres motivos. El primero es la velocidad. Muchas compañías lanzan clientes nuevos, wrappers, agentes y herramientas de productividad con ciclos de actualización muy rápidos. El segundo es la complejidad del stack: modelos, inferencia, telemetría, actualizadores, agentes locales, integraciones con IDEs y servicios cloud conviven sobre una gran cantidad de dependencias. Y el tercero es el tipo de información que manejan estas herramientas: código fuente, prompts corporativos, documentos privados, datos de clientes y flujos internos de trabajo. Todo ello convierte la cadena de suministro en una superficie de ataque especialmente valiosa.
OpenAI ha hecho lo correcto, pero el aviso es para todos
Hay un punto que conviene reconocer: OpenAI ha optado por una respuesta conservadora. La empresa sostiene que no hay evidencia de acceso a datos de usuarios, compromiso de sistemas internos, robo de propiedad intelectual ni manipulación del software distribuido. También afirma que no se vieron afectadas cuentas, contraseñas ni claves API. Aun así, ha preferido revocar y sustituir el certificado antes que mantener una duda de confianza sobre las aplicaciones firmadas con él. Esa prudencia es razonable, porque si un certificado legítimo acabara en manos de un atacante, podría utilizarse para firmar malware con apariencia de software auténtico.
También resulta relevante la autocrítica técnica que acompaña a la respuesta. OpenAI ha atribuido la causa raíz a una mala configuración del workflow: uso de referencias flotantes en GitHub Actions y ausencia de una política de minimumReleaseAge que impidiera ejecutar automáticamente paquetes recién publicados. En otras palabras, el incidente no solo señala una amenaza externa; también subraya cómo decisiones aparentemente menores en CI/CD pueden abrir una puerta seria en entornos de alto riesgo.
Y ahí está la gran lección para el sector de la IA. No basta con entrenar mejor modelos o blindar el acceso a la API. También hay que cuidar la parte menos vistosa: pipelines, dependencias, permisos por job, aislamiento de secretos, control de versiones y políticas de actualización. En una industria donde la confianza se apoya en automatización y criptografía, proteger el proceso que firma el software es casi tan importante como proteger el modelo que ese software utiliza. El caso de OpenAI no parece haber terminado en compromiso masivo, pero sí sirve como recordatorio muy serio de hasta qué punto la seguridad de la IA empieza mucho antes de que el usuario escriba su primer prompt.
Preguntas frecuentes
¿Qué aplicaciones de OpenAI en Mac deben actualizarse por el cambio de certificado?
OpenAI incluye dentro del alcance a ChatGPT Desktop, Codex App, Codex CLI y Atlas en macOS. La empresa ha publicado versiones mínimas compatibles firmadas con el nuevo certificado.
¿Hubo robo de datos de usuarios o compromiso de cuentas en este incidente?
Según la investigación comunicada por OpenAI, no hay evidencia de acceso a datos de usuarios, compromiso de cuentas, robo de claves API ni manipulación del software distribuido.
¿Por qué es tan importante proteger la cadena de suministro en empresas de IA?
Porque estas compañías distribuyen herramientas que pueden acceder a código, documentos, entornos de desarrollo y flujos corporativos. Un fallo en dependencias o en CI/CD puede afectar a la confianza en el software antes incluso de que el modelo entre en juego. Esa conclusión se apoya en la naturaleza del incidente descrito por OpenAI y en la campaña de Axios analizada por Google Threat Intelligence Group.
¿Qué fue exactamente el ataque de Axios 1.14.1?
Fue una campaña de cadena de suministro en npm en la que versiones comprometidas de Axios añadieron una dependencia maliciosa preparada para desplegar un backdoor en macOS, Windows y Linux. Google la ha vinculado al actor norcoreano UNC1069.
