ChatGPT para Mac "se enfermó": actualízalo o en mayo la aplicación dejará de funcionar
Por qué ni siquiera los gigantes del sector se libran del software lleno de agujeros
Hubo otra falla en la cadena de suministro de software, y esta vez la historia afectó a las populares aplicaciones de OpenAI para macOS. La empresa detectó que durante el proceso de compilación de sus programas se introdujo de forma inadvertida código malicioso a través de una biblioteca de terceros.
Se trata de la biblioteca Axios, que desarrolladores de todo el mundo usan para gestionar solicitudes de red. El 31 de marzo de 2026, actores maliciosos introdujeron una versión maliciosa de Axios como parte de un ataque más amplio a la cadena de suministro. Durante la compilación automática de las aplicaciones para macOS, el sistema de OpenAI descargó y ejecutó la versión infectada de la biblioteca.
El problema afectó al proceso de firma de las aplicaciones. Este mecanismo confirma que la aplicación fue publicada por el desarrollador oficial. Durante la compilación, el código malicioso obtuvo acceso al certificado de firma que se usa para verificar la autenticidad de las aplicaciones, incluyendo ChatGPT Desktop y otros productos de la empresa.
OpenAI declaró que no encontró indicios de filtración de datos de usuarios, de intrusión en sistemas internos ni de modificación de sus programas. Según la empresa, es probable que el código malicioso no llegara a robar el certificado debido a las características del proceso de compilación. No obstante, decidieron considerar el certificado comprometido y reemplazarlo.
La compañía ya lanzó nuevas versiones de las aplicaciones con el certificado actualizado y pide a todos los usuarios de macOS que instalen las actualizaciones. Esta medida es necesaria para eliminar el riesgo de distribución de programas falsos que puedan hacerse pasar por productos oficiales de OpenAI.
Las versiones antiguas de las aplicaciones dejarán de recibir actualizaciones y soporte a partir del 8 de mayo de 2026. Después de esa fecha, macOS comenzará a bloquear la ejecución de nuevas copias de las aplicaciones firmadas con el certificado antiguo.
OpenAI también cerró la posibilidad de recertificar las aplicaciones utilizando el certificado antiguo y revisó el historial de firmas de las aplicaciones. La empresa no encontró acciones sospechosas.
La causa del incidente fue un error en la configuración de la compilación automática mediante GitHub Actions. En lugar de una versión fijada de la dependencia se empleó un enlace "flotante", por lo que el sistema descargó la biblioteca infectada.
La compañía aclaró específicamente que las contraseñas de los usuarios y las claves de API no se vieron afectadas, y que el problema afecta únicamente a las aplicaciones para macOS. Las versiones para iOS, Android, Windows y Linux, así como los servicios web, permanecen fuera de riesgo.