OpenAI ha procedido a revocar y reemplazar los certificados de firma de código de sus aplicaciones para macOS después de que una versión maliciosa del popular paquete npm Axios se ejecutara dentro de su pipeline de CI/CD en GitHub Actions. Aunque la investigación no ha detectado uso indebido de los certificados, el incidente ilustra con claridad el riesgo sistémico de las ataques a la cadena de suministro de software.
Ataque a la cadena de suministro de Axios: compromiso del paquete npm
El incidente se origina en la comprometida versión Axios 1.14.1, publicada en el registro oficial de npm. Esta versión incluía un script postinstall ofuscado, setup.js, que actuaba como dropper, descargando cargas útiles específicas según el sistema operativo: macOS, Windows o Linux. Este patrón es típico de las supply chain attacks modernas, que buscan infiltrarse silenciosamente en los procesos de desarrollo y despliegue.
La investigación indica que el objetivo inicial fue uno de los mantenedores de Axios. Mediante tácticas de ingeniería social, vinculadas al grupo norcoreano UNC1069, los atacantes habrían organizado una videollamada fraudulenta en la que simularon un problema técnico para inducir al desarrollador a instalar software malicioso. Al obtener acceso a su cuenta, pudieron publicar versiones alteradas del paquete en npm, manteniendo la apariencia de una actualización legítima.
Cómo el paquete malicioso alcanzó el proceso de firma de OpenAI
GitHub Actions, CI/CD y exposición de certificados de firma
Según OpenAI, la versión comprometida de Axios fue descargada y ejecutada dentro de un flujo de GitHub Actions empleado para la compilación automatizada de sus aplicaciones de escritorio. Este pipeline de CI/CD contaba con privilegios elevados y acceso a activos sensibles, entre ellos los certificados utilizados para firmar binarios de macOS de productos como ChatGPT Desktop, Codex, Codex CLI y Atlas.
La investigación, apoyada por una firma externa especializada en respuesta a incidentes, no ha hallado indicios de que los certificados fueran extraídos, modificados o usados por terceros. Sin embargo, desde una perspectiva de gestión de riesgos, la simple ejecución de código no confiable en un entorno que tiene acceso a claves de firma se considera una violación grave del modelo de confianza de la cadena de suministro.
Revocación de certificados de firma de código en macOS: impacto y plazos
En línea con las mejores prácticas del sector, OpenAI ha decidido tratar el certificado afectado como potencialmente comprometido y proceder a su revocación preventiva. La revisión del historial de notarización de Apple confirmó que todos los binarios firmados con ese certificado correspondían a aplicaciones legítimas de OpenAI. No obstante, si un atacante llegara a obtener la clave privada, podría firmar malware haciéndolo pasar por software oficial, superando muchas comprobaciones estándar de macOS.
OpenAI señala que no se han detectado filtraciones de datos de usuarios, acceso a sistemas internos ni compromiso de propiedad intelectual, y que el código de las aplicaciones no muestra modificaciones no autorizadas. Pese a ello, los usuarios de macOS deben actualizar a las últimas versiones firmadas con los nuevos certificados. Las versiones antiguas dejarán de funcionar el 8 de mayo de 2026, cuando el certificado anterior quede definitivamente revocado y macOS bloquee su ejecución.
Servicios y plataformas de OpenAI no afectados
El alcance del incidente se limita a la infraestructura de firma y distribución de aplicaciones para macOS. OpenAI aclara que sus servicios web, las aplicaciones iOS y Android, así como los clientes para Windows y Linux, no se han visto comprometidos. Tampoco hay evidencias de exposición de cuentas de usuarios, contraseñas o claves de API. El riesgo se concentra, por tanto, en la posible erosión de la confianza en la cadena de distribución de binarios para macOS, no en un ataque directo a la infraestructura en la nube de la compañía.
Lecciones clave de ciberseguridad para la cadena de suministro de software
El caso Axios–OpenAI se suma a otros incidentes de alto perfil que muestran cómo un único paquete ampliamente utilizado en ecosistemas como npm o PyPI puede convertirse en un vector de ataque de gran alcance. Informes recientes sobre seguridad de la cadena de suministro señalan un crecimiento sostenido de este tipo de ataques, impulsados por la confianza implícita en dependencias de terceros y la automatización intensiva de los procesos de build.
Desde una perspectiva de ciberseguridad, este incidente refuerza la necesidad de:
- Aplicar controles estrictos sobre dependencias en CI/CD, usando lockfiles, repositorios internos y políticas de allowlist para bibliotecas críticas.
- Diseñar pipelines con principio de mínimo privilegio, separando entornos y reduciendo el acceso directo de procesos automatizados a certificados, tokens y otros secretos sensibles.
- Implementar rotación periódica de claves y certificados, junto con supervisión continua de su uso y alertas ante comportamientos anómalos.
- Reforzar la formación en ingeniería social para mantenedores y equipos de desarrollo, dado que el compromiso inicial suele producirse a través de engaños bien dirigidos.
El episodio demuestra que incluso organizaciones tecnológicas de primer nivel son vulnerables a ataques contra la cadena de suministro. No obstante, la revocación proactiva de certificados, la transparencia en la comunicación y el refuerzo de los controles en CI/CD reducen significativamente el impacto potencial. Para empresas y desarrolladores, la prioridad debe ser controlar las dependencias, segmentar los privilegios y actualizar con rapidez. Para los usuarios, mantener las aplicaciones al día y confiar únicamente en fuentes oficiales sigue siendo una de las defensas más efectivas frente a este tipo de amenazas.
