- OpenAI sufrió un ataque a la cadena de suministro que expuso certificados de firma de código y credenciales internas.
- Los usuarios de Mac deben actualizar ChatGPT y otras apps de OpenAI antes de la fecha límite para evitar bloqueos en macOS.
- Apple Gatekeeper dejará de confiar en versiones antiguas firmadas con certificados revocados por motivos de seguridad.
- El incidente evidencia la fragilidad de la cadena de suministro de software y la importancia de mantener las apps siempre al día.
Si tienes un Mac y utilizas la app de escritorio de ChatGPT u otras herramientas oficiales de OpenAI, tienes por delante una actualización obligatoria y urgente por motivos de seguridad. No es un simple cambio de versión con cuatro mejoras estéticas: está directamente relacionado con un incidente serio en la cadena de suministro de software que ha puesto en el punto de mira los certificados que validan si una app es legítima o no en macOS.
En las últimas semanas, OpenAI ha reconocido que dos dispositivos corporativos fueron comprometidos y que parte de sus certificados de firma de código quedaron expuestos. Esto ha obligado a la compañía a revocar certificados, emitir otros nuevos y pedir a todos los usuarios de Mac que actualicen sus aplicaciones antes de una fecha límite muy concreta, porque las versiones antiguas empezarán a ser bloqueadas por las propias defensas de Apple.
Qué ha pasado exactamente con la seguridad de ChatGPT y OpenAI
Lo que hay detrás de esta alerta no es un simple bug, sino un ataque complejo a la cadena de suministro de software, vinculado a una campaña conocida como “Mini Shai-Hulud”. Este ataque afectó al ecosistema de TanStack, un conjunto de paquetes muy utilizado por desarrolladores, donde un grupo de atacantes llegó a publicar decenas de versiones maliciosas de librerías aparentemente legítimas.
El incidente se produjo en torno al 11 de mayo de 2026, cuando se detectó que se habían publicado 84 versiones manipuladas de paquetes dentro del ecosistema de TanStack. Los atacantes aprovecharon debilidades en los flujos automatizados de GitHub Actions para inyectar código malicioso y secuestrar el proceso de publicación habitual de esas librerías. Es decir, el malware entró por donde normalmente pasan las actualizaciones legítimas.
OpenAI confirmó que, como consecuencia de ese ataque, dos dispositivos de empleados de la compañía resultaron comprometidos. El malware consiguió acceder a un subconjunto concreto de repositorios internos de código fuente, únicamente aquellos a los que dichos empleados tenían permisos de acceso. No se trató de un acceso generalizado a toda la infraestructura, sino de un impacto acotado pero muy sensible.
Dentro de esos repositorios, el código malicioso se centró en robar credenciales y material sensible: contraseñas, claves de acceso a sistemas internos y, sobre todo, certificados digitales que sirven para firmar aplicaciones. Este tipo de certificados son esenciales para que los sistemas operativos, como macOS, iOS o Windows, puedan comprobar que una app procede realmente del desarrollador que dice ser.
Tras una investigación forense llevada a cabo junto a una firma especializada, OpenAI afirmó que no hay evidencias de acceso a datos de usuarios, ni de compromiso de sus sistemas de producción ni de su propiedad intelectual. Tampoco han encontrado indicios de que el software distribuido públicamente haya sido modificado. El problema, por tanto, se centra en la posible exposición de certificados de firma de código y otras credenciales internas.
El papel del malware Mini Shai-Hulud y otros ataques similares
El gusano conocido como Mini Shai-Hulud se atribuye a un grupo de amenazas llamado TeamPCP, que ya ha protagonizado otros incidentes llamativos en los últimos años. Esta familia de malware ha infectado más de 170 paquetes en los ecosistemas de npm y PyPI, dos de los repositorios de software más utilizados en el desarrollo moderno de aplicaciones.
Este grupo de atacantes no es precisamente nuevo en el radar de la ciberseguridad: en 2025 se le vinculó con una variante que facilitó el robo de unos 8,5 millones de dólares en criptomonedas de la plataforma Trust Wallet. El patrón de actuación suele ser similar: comprometer dependencias ampliamente usadas para conseguir un efecto dominó sobre miles o millones de usuarios sin atacar directamente a cada empresa de forma individual.
En el caso de OpenAI, los atacantes se apoyaron en debilidades de los flujos de trabajo automatizados de GitHub Actions. Estos flujos son muy cómodos para publicar nuevas versiones de librerías y apps, pero si alguien consigue colarse en ese proceso, puede distribuir malware firmado como si fuera código legítimo. Esa es precisamente la esencia de un ataque a la cadena de suministro.
El episodio se suma a otros incidentes recientes de alto impacto que también afectaron al ecosistema de software moderno. En marzo de 2026, hackers norcoreanos lograron comprometer Axios, otra librería de código abierto muy popular, insertando malware que potencialmente podía llegar a multitud de proyectos que dependían de ella. Pocos meses después, se acusó a un grupo de origen chino de orquestar un ataque similar contra Daemon Tools, una herramienta muy extendida en Windows.
En todos estos casos, la estrategia se repite: en lugar de atacar frontalmente a una compañía concreta, se compromete una herramienta que usan miles de desarrolladores. Así, cada actualización que los usuarios instalan se convierte en un posible vector de entrada. Por eso los ataques a la cadena de suministro preocupan tanto: el impacto se multiplica por el efecto red de las dependencias compartidas.
Qué información se ha visto afectada y qué no
Tras el análisis interno y externo, OpenAI ha querido dejar claro qué se ha visto afectado y qué no. En cuanto a lo que sí, los dispositivos de dos empleados fueron claramente comprometidos y el malware accedió a un subconjunto de repositorios de código interno. No se trató de una intrusión total en toda la infraestructura, pero el alcance fue suficiente como para exponer material sensible.
Desde esos repositorios, se extrajeron principalmente credenciales: contraseñas, claves de acceso y tokens a determinados sistemas, lo que recuerda la importancia de la seguridad de contraseñas de iCloud. OpenAI insiste en que la cantidad y el alcance de ese material fue limitado, y que no se trató de un vaciado completo de sus secretos internos. Aun así, cualquier exposición de este tipo obliga a reaccionar de manera contundente.
En paralelo, la compañía subraya lo que, según sus investigaciones, no ha sucedido. No han encontrado evidencias de acceso a datos de usuarios, ya sean conversaciones, información de pago u otros datos personales. Tampoco hay señales de que los sistemas de producción (aquellos que prestan servicio real a los clientes) se hayan visto comprometidos. Si te preocupa la privacidad, consulta el artículo sobre el chat temporal de ChatGPT.
Igualmente, no existe indicio alguno de que el software distribuido públicamente por OpenAI haya sido modificado o infectado. Es decir, no se han detectado versiones manipuladas de ChatGPT u otras aplicaciones oficiales publicadas en sus canales habituales. Los daños se centran en el robo de credenciales y certificados, no en una corrupción directa de las apps que ya estaban instaladas en los equipos de los usuarios.
El mayor problema práctico está en que entre el material expuesto se encontraban certificados digitales usados para firmar aplicaciones en macOS. Estos certificados son la forma que tiene Apple de comprobar que una app realmente procede de OpenAI y que no ha sido alterada. Al haber quedado potencialmente comprometidos, la compañía no puede seguir confiando en ellos.
Por qué los certificados de firma en macOS son tan importantes
En macOS, la seguridad de las aplicaciones se apoya en un sistema de confianza basado en certificados. Cada app que instalas lleva una firma digital que Gatekeeper, el sistema de protección de Apple, utiliza para verificar su origen y su integridad. Si esa firma se genera con un certificado reconocido, el sistema permite la instalación y la ejecución con normalidad.
El incidente obliga a que OpenAI revoque los certificados antiguos y genere nuevos. Aunque no haya pruebas de que esos certificados expuestos se hayan usado con fines maliciosos, la prudencia manda: cualquier certificado potencialmente comprometido debe darse por no fiable. Este proceso de sustitución tiene un efecto directo en los usuarios, porque las versiones antiguas de las apps se quedan firmadas con credenciales que Apple dejará de aceptar.
De hecho, las protecciones de macOS ya han empezado a marcar versiones viejas de la app de escritorio de ChatGPT como posibles amenazas. Algunos usuarios han reportado que el sistema mueve automáticamente la app a la Papelera y muestra mensajes de advertencia indicando que podría dañar el ordenador, especialmente en un ecosistema donde asistentes como Gemini en Mac se integran. Esto suele ocurrir cuando un certificado es revocado o cuando se asocia una firma a actividad sospechosa.
Los certificados afectados no solo tenían relación con macOS; Apple Intelligence a modelos externos también está cambiando el panorama de cómo se integran modelos y asistentes en los dispositivos, lo que añade complejidad a la gestión de firmas y certificados. OpenAI ha explicado que también había certificados de firma para apps en iPhone, Windows y Android, aunque en estas plataformas el proceso de actualización se gestiona de forma más automática a través de las tiendas oficiales o de mecanismos integrados. Por eso el foco de la advertencia está claramente en los usuarios de Mac, que deben tomar medidas manuales antes de la fecha límite.
En definitiva, cuando los certificados de firma quedan en entredicho, todo el ecosistema que depende de ellos tiene que sincronizarse con los nuevos certificados. Esto significa volver a firmar aplicaciones, redistribuirlas y forzar a que los usuarios las instalen, para que el sistema operativo vuelva a confiar plenamente en ese software.
Qué tienen que hacer los usuarios de Mac con ChatGPT y otras apps de OpenAI
La consecuencia más directa para los usuarios de macOS es clara: las versiones antiguas de las aplicaciones de OpenAI van a dejar de funcionar correctamente a partir de una fecha concreta. En el comunicado más reciente relacionado con el ataque a TanStack y Mini Shai-Hulud, se ha marcado el 12 de junio de 2026 como el día en que Gatekeeper dejará de confiar en las apps firmadas con los certificados antiguos.
Esto significa que, si utilizas ChatGPT Desktop, la app de Codex, Codex CLI o Atlas en un Mac, deberás asegurarte de que todas ellas están actualizadas a la última versión antes de esa fecha. Las que no se actualicen podrían quedar bloqueadas por macOS, mostrar mensajes de error al abrirse o incluso ser enviadas directamente a la Papelera por el sistema.
En versiones anteriores de la comunicación de OpenAI sobre un incidente de cadena de suministro con otra herramienta externa, Axios, ya se había hablado de fechas límite como el 8 de mayo para migrar a nuevas versiones. En este contexto más reciente, la fecha de referencia pasa a ser el 12 de junio, ligada específicamente a la rotación de certificados derivada del incidente con TanStack y Mini Shai-Hulud.
Para actualizar, la recomendación de OpenAI es utilizar siempre los canales oficiales: o bien el mecanismo de actualización interna que incluyen las propias apps de escritorio, o bien las descargas directas desde la web oficial de la compañía. Evita a toda costa instaladores procedentes de anuncios, páginas de terceros, enlaces en correos electrónicos o mensajes en redes sociales.
La empresa ha sido especialmente tajante en este punto porque el ataque que ha encendido todas las alarmas precisamente consistía en distribuir software malicioso disfrazado de legítimo. Si, además de eso, los usuarios empiezan a descargar apps desde enlaces dudosos, el riesgo se dispara. Por tanto, la máxima es sencilla: si no viene de OpenAI directamente, no lo instales.
Qué pasa con los usuarios de Windows, iOS y otras plataformas
Aunque los certificados comprometidos también se utilizaban para apps en otros sistemas, OpenAI ha aclarado que los usuarios de Windows, iOS y Android no tienen que hacer nada de forma manual. En estas plataformas, las actualizaciones y la rotación de certificados se gestionan de manera más automática, a través de las tiendas oficiales (App Store, Microsoft Store, Google Play) o mediante mecanismos propios de actualización.
Eso no significa que el incidente no les afecte en absoluto, sino que la respuesta técnica se está implementando en segundo plano sin exigir una acción directa del usuario. En la práctica, bastará con que las apps se actualicen de forma habitual para que queden protegidas con los nuevos certificados y el resto de medidas que OpenAI está desplegando.
Aunque no haya instrucciones específicas para estos sistemas, la recomendación general de mantener siempre las aplicaciones al día sigue siendo clave. Muchos fallos de seguridad y vulnerabilidades se mitigan simplemente instalando las últimas versiones que publican los desarrolladores, algo especialmente importante en herramientas de inteligencia artificial que manejan grandes volúmenes de información sensible.
También es fundamental no descargar versiones “alternativas” de ChatGPT u otras apps de OpenAI desde repositorios no oficiales, páginas oscuras o enlaces que circulan por foros y redes sociales, incluidos tutoriales falsos. Es en esos terrenos donde los atacantes tratan de colar software falso que se hace pasar por legítimo, aprovechando el tirón de la marca.
La cadena de suministro de software: el gran talón de Aquiles
Uno de los puntos más interesantes del comunicado de OpenAI es la reflexión sobre el contexto general. La compañía reconoce que los atacantes están orientando cada vez más sus esfuerzos hacia las dependencias de software compartidas y las herramientas de desarrollo, en lugar de atacar directamente a empresas concretas. Es lógico: el impacto potencial es mucho mayor con menos esfuerzo.
El software moderno se construye sobre un mosaico de componentes: librerías de código abierto, paquetes de npm y PyPI, frameworks, automatizaciones con GitHub Actions y un largo etcétera. Cada una de esas piezas es una posible puerta de entrada. Si una sola dependencia se ve comprometida, el efecto puede propagarse a todos los proyectos que la utilizan, a menudo sin que los desarrolladores lo detecten de inmediato.
En su propia comunicación, OpenAI admite que ya había empezado a desplegar controles adicionales para mitigar precisamente este tipo de amenazas tras el incidente con Axios. Sin embargo, los dos dispositivos que resultaron comprometidos aún no contaban con todas esas configuraciones reforzadas. Es la demostración de que, incluso con buenas prácticas, siempre existe una ventana de vulnerabilidad mientras las mejoras no llegan al 100 % de los equipos.
Este conjunto de incidentes deja claro que la seguridad perfecta no existe y que la rapidez con la que evoluciona el desarrollo de software juega, en parte, a favor de los atacantes. Cuanto más se automatizan las integraciones y despliegues, más atractivos se vuelven estos puntos para quien intenta infiltrarse sin ser detectado.
Todo ello refuerza la importancia de contar con auditorías periódicas, herramientas de análisis de dependencias, rotación agresiva de credenciales y respuestas rápidas ante cualquier señal de actividad anómala. En este caso, OpenAI ha reaccionado contratando una firma forense externa, aislando los sistemas afectados y rotando de manera masiva las credenciales internas que podrían haberse visto expuestas.
La situación sirve también como recordatorio para usuarios y empresas: cada actualización de software es un posible vector de ataque, pero, al mismo tiempo, no actualizar es todavía más peligroso. El equilibrio pasa por confiar solo en orígenes reputados, validar firmas de código y estar atentos a los avisos oficiales de los desarrolladores cuando se detecta un incidente como este.
Todo lo ocurrido alrededor de la necesidad de actualizar ChatGPT en Mac por seguridad pone de relieve cómo la confianza en el ecosistema de software se sostiene sobre muchos eslabones frágiles. Desde los repositorios de código abierto y las herramientas de automatización, hasta los certificados que validan cada app en tu Mac, cada pieza cuenta. Mantener tus aplicaciones actualizadas desde fuentes oficiales, prestar atención a los avisos de seguridad y desconfiar de instaladores “milagro” son, hoy por hoy, las mejores defensas al alcance de cualquier usuario.
