OpenAI ha tomado una medida poco habitual, pero muy significativa, en la distribución de sus aplicaciones para Mac: rotar y revocar el certificado de firma de código que utilizaba en macOS tras detectar una exposición potencial en su proceso de CI/CD. La compañía explicó el 10 de abril de 2026 que uno de sus workflows de GitHub Actions ejecutó una versión maliciosa de Axios durante un incidente más amplio de cadena de suministro y que, aunque no ha encontrado pruebas de robo del certificado ni de alteración de su software, ha optado por tratar el material de firma como potencialmente comprometido por prudencia.
La consecuencia práctica no afecta a todos los productos de OpenAI, pero sí puede ser relevante para quienes usan sus aplicaciones de escritorio en Mac. La empresa ha fijado el 8 de mayo de 2026 como fecha a partir de la cual las versiones antiguas de sus apps para macOS firmadas con el certificado anterior dejarán de recibir soporte y actualizaciones y, además, podrían dejar de funcionar por las protecciones de seguridad de macOS. OpenAI sitúa el umbral mínimo compatible en estas versiones: ChatGPT Desktop 1.2026.051, Codex App 26.406.40811, Codex CLI 0.119.0 y Atlas 1.2026.84.2.
Qué ocurrió realmente en el pipeline de OpenAI
Según la explicación oficial, el incidente se remonta al 31 de marzo de 2026, cuando un workflow legítimo implicado en la firma de aplicaciones para macOS descargó y ejecutó Axios 1.14.1, una versión comprometida del popular paquete npm. Ese job tenía acceso tanto al certificado de firma como al material de notarización utilizado para firmar ChatGPT Desktop, Codex, Codex CLI y Atlas en macOS. OpenAI sostiene que, por la secuencia concreta del workflow, el momento de ejecución del payload y otros factores mitigadores, lo más probable es que el certificado no llegara a ser exfiltrado. Pero también deja claro que, desde una perspectiva de seguridad, la mera posibilidad de exposición justificaba una respuesta contundente.
La compañía ha detallado además algunas de las medidas adoptadas. Entre ellas figuran la rotación inmediata del certificado de firma de código, la publicación de nuevas compilaciones para todos los productos afectados y el trabajo conjunto con Apple para impedir que el certificado antiguo pueda utilizarse en nuevas notarizaciones. OpenAI también revisó los eventos previos de notarización asociados a ese certificado y aseguró que no detectó software inesperado firmado con esas claves ni modificaciones no autorizadas en las aplicaciones distribuidas.
Lo que cambia para usuarios y empresas con Macs
El impacto más visible lo notarán sobre todo los usuarios de macOS que sigan utilizando versiones antiguas de estas aplicaciones. A partir del 8 de mayo, las protecciones de macOS pueden bloquear nuevas descargas y primeros lanzamientos de software firmado con el certificado anterior, y OpenAI advierte de que esas versiones antiguas pueden dejar de ser funcionales. La recomendación oficial es actualizar únicamente desde el mecanismo integrado en la aplicación o desde las páginas oficiales de descarga, y evitar instaladores recibidos por correo, mensajería, anuncios o webs de terceros.
Para organizaciones que gestionan flotas de Macs mediante MDM o herramientas centralizadas, el incidente tiene una lectura todavía más operativa. No basta con confiar en que cada usuario actualice cuando pueda. Conviene revisar qué versiones concretas de ChatGPT Desktop, Codex, Codex CLI y Atlas están desplegadas, preparar un rollout antes de la fecha límite y verificar que los equipos quedan ya en versiones firmadas con el nuevo certificado. Es una medida preventiva, pero también una forma de evitar incidencias de soporte o interrupciones innecesarias en equipos que usan estas herramientas de forma habitual. Esa conclusión se desprende directamente del calendario marcado por OpenAI y del comportamiento esperado de macOS con certificados revocados.
Una lección clara sobre la cadena de suministro
Más allá del caso concreto de OpenAI, el incidente vuelve a poner el foco sobre uno de los puntos más delicados del desarrollo moderno: la seguridad del pipeline. El problema no estuvo en una intrusión clásica sobre un servidor final, sino en la ejecución de una dependencia de terceros comprometida dentro de un entorno automatizado con acceso a material criptográfico especialmente sensible. OpenAI reconoce que la causa raíz fue una mala configuración del workflow: el uso de una etiqueta flotante en GitHub Actions en lugar de un commit fijado y la ausencia de una política de minimumReleaseAge para paquetes nuevos. En la práctica, eso abrió una ventana para que una publicación maliciosa recién subida pudiera ejecutarse automáticamente en el pipeline.
El incidente también se inserta en una campaña más amplia. Google Threat Intelligence Group explicó el mismo 31 de marzo que los paquetes axios 1.14.1 y 0.30.4 habían sido comprometidos con una dependencia maliciosa llamada plain-crypto-js, diseñada para desplegar el backdoor WAVESHAPER.V2 en Windows, macOS y Linux. Google atribuyó la operación a UNC1069, un actor vinculado a Corea del Norte, y señaló que el compromiso se originó en la cuenta del mantenedor del paquete. Es decir, no se trató de un fallo menor o aislado, sino de una campaña con impacto potencial sobre cientos de miles de entornos de desarrollo y despliegue.
Sin indicios de robo de datos, pero con impacto real en la confianza
OpenAI ha querido dejar muy acotado el alcance del incidente. La empresa asegura que no ha encontrado evidencia de acceso a datos de usuarios, de compromiso de sistemas internos, de exposición de propiedad intelectual ni de alteración del software distribuido. También afirma que contraseñas y claves de API no se vieron afectadas. Además, limita el problema a sus aplicaciones de macOS, dejando fuera el servicio web y las apps de iOS, Android, Windows y Linux. Esa precisión es importante porque evita exagerar el episodio más allá de lo demostrado hasta ahora.
Aun así, el caso tiene importancia porque toca uno de los pilares de confianza del software moderno: la firma de código. Si un atacante llegara a obtener un certificado legítimo de un proveedor reconocido, podría firmar malware con apariencia de software auténtico. OpenAI insiste en que no ha visto señales de ese abuso y que seguirá monitorizando posibles usos indebidos del certificado anterior. Pero el simple hecho de haber tenido que rotarlo y revocarlo muestra hasta qué punto proteger el pipeline de firma se ha vuelto tan importante como proteger el producto final.
Preguntas frecuentes
¿Qué apps de OpenAI en macOS están afectadas por la rotación del certificado?
OpenAI incluye dentro del alcance a ChatGPT Desktop, Codex App, Codex CLI y Atlas en macOS. No considera afectados sus servicios web ni las aplicaciones de iOS, Android, Windows o Linux.
¿Qué pasa si no se actualizan las apps de OpenAI para Mac antes del 8 de mayo de 2026?
Las versiones antiguas firmadas con el certificado previo dejarán de recibir soporte y actualizaciones y pueden no funcionar correctamente o ser bloqueadas por las protecciones de macOS.
¿Hubo robo de datos de usuarios o compromiso de cuentas en OpenAI?
Según la investigación comunicada por la empresa, no hay evidencia de acceso a datos de usuarios, compromiso de cuentas, robo de contraseñas, exposición de claves API ni alteración del software distribuido.
¿Qué fue exactamente el incidente de Axios que afectó al pipeline de OpenAI?
Fue parte de una campaña de cadena de suministro en npm en la que versiones comprometidas de Axios introdujeron una dependencia maliciosa para desplegar un backdoor. Google Threat Intelligence Group atribuye la operación a UNC1069, un actor vinculado a Corea del Norte.
Fuentes:
OpenAI, “Our response to the Axios developer tool compromise”
Google Cloud / Google Threat Intelligence Group, “North Korea-Nexus Threat Actor Compromises Widely Used Axios NPM Package in Supply Chain Attack
