Básico
Spot
Opera con criptomonedas libremente
Margen
Multiplica tus beneficios con el apalancamiento
Convertir e Inversión automática
0 Fees
Opera cualquier volumen sin tarifas ni deslizamiento
ETF
Obtén exposición a posiciones apalancadas de forma sencilla
Trading premercado
Opera nuevos tokens antes de su listado
Contrato
Accede a cientos de contratos perpetuos
TradFi
Oro
Plataforma global de activos tradicionales
Opciones
Hot
Opera con opciones estándar al estilo europeo
Cuenta unificada
Maximiza la eficacia de tu capital
Trading de prueba
Introducción al trading de futuros
Prepárate para operar con futuros
Eventos de futuros
Únete a eventos para ganar recompensas
Trading de prueba
Usa fondos virtuales para probar el trading sin asumir riesgos
Lanzamiento
CandyDrop
Acumula golosinas para ganar airdrops
Launchpool
Staking rápido, ¡gana nuevos tokens con potencial!
HODLer Airdrop
Holdea GT y consigue airdrops enormes gratis
Pre-IPOs
Accede al acceso completo a las OPV de acciones globales
Puntos Alpha
Opera activos on-chain y recibe airdrops
Puntos de futuros
Gana puntos de futuros y reclama recompensas de airdrop
Inversión
Simple Earn
Genera intereses con los tokens inactivos
Inversión automática
Invierte automáticamente de forma regular
Inversión dual
Aprovecha la volatilidad del mercado
Staking flexible
Gana recompensas con el staking flexible
Préstamo de criptomonedas
0 Fees
Usa tu cripto como garantía y pide otra en préstamo
Centro de préstamos
Centro de préstamos integral
Centro de patrimonio VIP
Planes de aumento patrimonial prémium
Gestión patrimonial privada
Asignación de activos prémium
Quant Fund
Estrategias cuantitativas de alto nivel
Staking
Haz staking de criptomonedas para ganar en productos PoS
Apalancamiento inteligente
Apalancamiento sin liquidación
Acuñación de GUSD
Acuña GUSD y gana rentabilidad de RWA
OpenAI rota los certificados de macOS tras el ataque a la cadena de suministro de Axios
Iris Coleman
15 de abril de 2026 02:02
OpenAI responde al compromiso de Axios npm vinculado a Corea del Norte rotando certificados de firma de código. Los usuarios de macOS deben actualizar las aplicaciones ChatGPT y Codex antes del 8 de mayo.
OpenAI está obligando a todos los usuarios de macOS a actualizar sus aplicaciones de escritorio después de que el flujo de trabajo de firma de aplicaciones de la compañía fuera expuesto al ataque en la cadena de suministro de Axios, un compromiso atribuido a actores de amenazas norcoreanos que afectó a la popular biblioteca de JavaScript el 31 de marzo de 2026.
El gigante de la IA dice no haber encontrado evidencia de que se accediera a datos de usuarios o que su software fuera manipulado. Pero la compañía no quiere arriesgarse: considera su certificado de firma de código para macOS como comprometido y lo revoca por completo el 8 de mayo de 2026.
Qué ocurrió realmente
Cuando la versión comprometida 1.14.1 de Axios llegó a npm el 31 de marzo, un flujo de trabajo de GitHub Actions que OpenAI usa para firmar aplicaciones en macOS descargó y ejecutó el código malicioso. Ese flujo de trabajo tenía acceso a los certificados utilizados para firmar ChatGPT Desktop, Codex, Codex CLI y Atlas, las credenciales que indican a macOS “sí, este software realmente proviene de OpenAI.”
¿La causa raíz? Una configuración incorrecta. El flujo de trabajo de OpenAI hacía referencia a Axios usando una etiqueta flotante en lugar de un hash de confirmación fijado, y no tenía una edad mínima de lanzamiento configurada para los nuevos paquetes. Vulnerabilidad clásica en la cadena de suministro.
El análisis interno de OpenAI sugiere que el certificado de firma probablemente no fue exfiltrado con éxito debido a la sincronización y secuenciación de la ejecución. Pero “probablemente” no es suficiente cuando se firma software que se ejecuta en millones de máquinas.
El ataque más amplio
El compromiso de Axios no estaba dirigido específicamente a OpenAI. Investigadores de seguridad, incluido el equipo de inteligencia de amenazas de Google, han vinculado el ataque a un actor con nexos en Corea del Norte—posiblemente Sapphire Sleet o UNC1069. Los atacantes comprometieron la cuenta de un mantenedor de npm e inyectaron una dependencia maliciosa llamada ‘plain-crypto-js’ que desplegó un RAT multiplataforma capaz de reconocimiento, persistencia y autodestrucción para evitar detección.
El ataque afectó a organizaciones en los sectores de servicios empresariales, servicios financieros y tecnología a nivel global.
Qué deben hacer los usuarios
Si ejecutas alguna aplicación de OpenAI en macOS, actualiza ahora. Después del 8 de mayo, las versiones antiguas dejarán de funcionar por completo. Versiones mínimas requeridas:
Descarga solo desde fuentes oficiales o mediante actualizaciones en la aplicación. OpenAI advierte explícitamente contra instalar cualquier cosa proveniente de correos electrónicos, anuncios o sitios de terceros—un consejo sensato dado que un actor malicioso con el certificado antiguo podría firmar teóricamente aplicaciones falsas que parezcan legítimas.
Los usuarios de Windows, iOS, Android y Linux no están afectados. Tampoco las versiones web. Las contraseñas y claves API permanecen seguras.
¿Por qué la ventana de 30 días?
OpenAI podría revocar el certificado de inmediato, pero eligió no hacerlo. La nueva notarización con el certificado comprometido ya está bloqueada, lo que significa que cualquier aplicación fraudulenta firmada con él fallaría en las verificaciones de seguridad predeterminadas de macOS, a menos que los usuarios las anulen manualmente.
El retraso da tiempo a los usuarios para actualizar a través de canales normales en lugar de despertar con software roto. OpenAI dice que está monitoreando cualquier signo de uso indebido del certificado y acelerará la revocación si detecta actividad maliciosa.
El incidente subraya cómo los ataques en la cadena de suministro siguen causando repercusiones en el ecosistema de software. Un paquete comprometido en npm, y de repente OpenAI está rotando certificados en toda su línea de productos para macOS. Para los desarrolladores, la lección es clara: fija tus dependencias a confirmaciones específicas, no a etiquetas flotantes.
Fuente de la imagen: Shutterstock