La empresa afirma que no encontró evidencia de acceso a datos de usuarios, sistemas de producción comprometidos ni software alterado. Sin embargo, rotará certificados de firma después de que dos dispositivos de empleados fueran afectados por la campaña Mini Shai-Hulud.
OpenAI reconoció que dos dispositivos de empleados en su entorno corporativo fueron impactados por el ataque a paquetes de TanStack npm, parte de la campaña de cadena de suministro conocida como Mini Shai-Hulud. La empresa aseguró que no encontró evidencia de que datos de usuarios fueran accedidos, de que sus sistemas de producción o propiedad intelectual hayan sido comprometidos, ni de que su software publicado fuera alterado.
El comunicado confirma que el incidente alcanzó a OpenAI a través de una biblioteca de código abierto usada en el ecosistema de desarrollo. Según la empresa, el ataque fue identificado después de que TanStack, una librería ampliamente utilizada, fuera comprometida el 11 de mayo de 2026 como parte de una campaña más amplia contra la cadena de suministro de software.
La información cambia el alcance público del caso. Lo que inicialmente se reportó como una campaña contra paquetes de npm y PyPI ahora tiene una consecuencia directa en una de las empresas más relevantes de la industria de inteligencia artificial. No se trata, según lo publicado hasta ahora, de un compromiso de ChatGPT o de datos de usuarios, sino de un incidente en el entorno corporativo y de desarrollo de OpenAI.
De acuerdo con la compañía, en los dispositivos afectados se observó actividad consistente con el comportamiento descrito públicamente para el malware: acceso no autorizado y exfiltración enfocada en credenciales dentro de un subconjunto limitado de repositorios internos a los que tenían acceso los empleados impactados. OpenAI sostiene que solo se exfiltró “material limitado de credenciales” desde esos repositorios y que no se vio afectada otra información o código.
La parte más sensible del comunicado está en los certificados de firma. OpenAI informó que algunos de los repositorios impactados incluían certificados de firma para sus productos, entre ellos aplicaciones de iOS, macOS y Windows. Como medida de precaución, la empresa está rotando certificados de firma y pidió a usuarios de macOS actualizar sus aplicaciones antes del 12 de junio de 2026.
OpenAI pidió a usuarios de macOS actualizar sus aplicaciones antes del 12 de junio de 2026. Las versiones antiguas firmadas con el certificado previo dejarán de recibir soporte y podrían no funcionar después de esa fecha.
Las últimas versiones afectadas por el certificado anterior son:
ChatGPT Desktop: 1.2026.125
Codex App: 26.506.31421
Codex CLI: 0.130.0
Atlas: 1.2026.119.1Los certificados de firma son una pieza crítica en la confianza del software: permiten que un sistema operativo verifique que una aplicación proviene realmente del desarrollador que dice publicarla. Por eso, aunque OpenAI afirma no haber encontrado evidencia de malware firmado con sus certificados ni de modificaciones no autorizadas en su software publicado, la decisión de rotarlos indica que la empresa trató el incidente como un riesgo relevante para la cadena de distribución de sus aplicaciones.
OpenAI también dijo que está coordinando con proveedores de plataformas para impedir usos no autorizados de los certificados, detener nuevas notarizaciones y revisar el software firmado previamente con esas llaves. La compañía afirma que validó que su software publicado no tuviera modificaciones no autorizadas y que no encontró evidencia de riesgo para instalaciones existentes.
Para usuarios finales, la recomendación oficial es actualizar las aplicaciones de macOS desde el sistema de actualización integrado o desde enlaces oficiales. OpenAI advirtió no instalar supuestas apps de OpenAI, ChatGPT o Codex recibidas por correo, mensajes, anuncios, enlaces de intercambio de archivos o sitios de terceros. La empresa indicó que los usuarios de Windows e iOS no necesitan tomar acciones adicionales, aunque todas sus aplicaciones serán re-firmadas con nuevos certificados.
El caso debe leerse dentro del contexto más amplio que ya venían reportando investigadores y advisories de seguridad: Mini Shai-Hulud no explotó únicamente paquetes falsos o imitaciones, sino la confianza depositada en dependencias abiertas, gestores de paquetes y flujos automatizados de desarrollo. En este tipo de ataques, el punto vulnerable puede aparecer antes de la aplicación final: en una biblioteca, un pipeline de CI/CD, una credencial de publicación o un proceso de firma.
La explicación oficial de OpenAI deja una tensión importante. Por un lado, la empresa insiste en que no hay evidencia de afectación a usuarios, sistemas de producción, propiedad intelectual ni software distribuido. Por otro, la rotación de certificados y la exigencia de actualizar aplicaciones de macOS muestran que el incidente tocó una zona delicada: la infraestructura que permite confiar en que una app realmente viene de OpenAI.
El episodio refuerza una lección central para la industria: en el software moderno, el riesgo ya no está solo en el código que una empresa escribe, sino en toda la red de dependencias, herramientas, llaves, certificados y automatizaciones que hacen posible publicarlo. Cuando esa cadena se contamina, incluso las compañías más avanzadas pueden quedar expuestas.
