DIARIO FINANCIERO.- OpenAI informó que identificó un incidente de seguridad vinculado a una herramienta de desarrollador de terceros llamada Axios, en un caso que vuelve a poner el foco sobre los riesgos de la cadena de suministro de software. Según la compañía, un flujo de trabajo en GitHub Actions llegó a descargar y ejecutar una versión “maliciosa” de Axios, lo que activó una revisión interna sobre posibles impactos en su ecosistema de aplicaciones para macOS.
De acuerdo con lo reportado por Reuters, Axios —una biblioteca ampliamente utilizada en desarrollo— fue comprometida el 31 de marzo como parte de un ataque más amplio a la cadena de suministro atribuido a actores presuntamente vinculados a Corea del Norte. OpenAI indicó que la causa raíz del episodio estuvo relacionada con una misconfiguración en un flujo de trabajo de GitHub Actions y que esa condición ya fue corregida.
Qué Activo Estaba En Riesgo: Certificados Para Firmar Apps En macOS
El punto más sensible, según la información divulgada, es que el flujo de trabajo afectado tenía acceso a un certificado de firma y material de notarización utilizado para firmar aplicaciones de macOS. Entre las apps mencionadas se incluyen ChatGPT Desktop, Codex, Codex-cli y Atlas.
En términos simples: en el ecosistema de Apple, los certificados de firma sirven para que el sistema operativo verifique que una aplicación es legítima y proviene de un desarrollador identificado. Si un actor malicioso lograra obtener un certificado de firma, podría intentar distribuir software falso que parezca auténtico. Por eso, aun cuando el impacto directo sea limitado, la respuesta preventiva suele ser rápida.
Lo Que OpenAI Dice Que No Ocurrió
OpenAI señaló que no hay evidencia de que se haya accedido a datos de usuarios, ni de que se hayan comprometido sistemas o propiedad intelectual, ni de que su software haya sido alterado. La compañía también concluyó que el certificado de firma presente en el flujo de trabajo probablemente no fue exfiltrado exitosamente por la carga maliciosa.
Reuters también reportó que contraseñas y claves de API de OpenAI no se vieron afectadas.
Recomendación Clave: Actualizar Las Apps En Mac
Como medida de mitigación, OpenAI recomendó a los usuarios de macOS mantener sus aplicaciones actualizadas a las versiones más recientes, para reducir el riesgo asociado a una posible distribución de apps falsas. Además, indicó que está actualizando sus certificaciones de seguridad.
Un detalle con implicación operativa para usuarios y equipos de TI: a partir del 8 de mayo, versiones antiguas de las aplicaciones de escritorio de OpenAI para macOS dejarán de recibir actualizaciones y soporte, y podrían dejar de funcionar.
Por Qué Importa Para Negocios Y Tecnología
El caso resume un patrón cada vez más común: incluso sin que la empresa sea atacada de forma directa, el uso de dependencias de terceros y automatizaciones en pipelines de desarrollo puede abrir puertas inesperadas. Para organizaciones que dependen de herramientas de productividad y de IA, el mensaje es claro: actualizar software con rapidez y revisar políticas de firma, dependencias y workflows no es “higiene opcional”, sino gestión de riesgo.
