Hackeo OpenAI y Microsoft: La Verdad
Hilo sobre el "hackeo" a OpenAI y Microsoft de mayo 2026. Spoiler: OpenAI tuvo un supply-chain attack menor a través de una librería de código abierto. Microsoft no fue hackeada, está en guerra legal con OpenAI. Y la re…
Lo Que No Te Cuentan: OpenAI y Microsoft fueron hackeados —y la respuesta fue “no pasó nada, actualicen la aplicación”
El 14 de mayo de 2026, TechCrunch confirmó que hackers comprometieron dispositivos de empleados de OpenAI y robaron credenciales de repositorios de código. El 16 de mayo se reveló que el ataque a TanStack afectó a dos empleados y expuso certificados de firma de aplicaciones de macOS. OpenAI dijo que “no hay evidencia” de que datos de usuarios, sistemas de producción o propiedad intelectual fueran comprometidos. Microsoft, por su parte, enfrenta demandas de Elon Musk por fraude y una ruptura contractual por un acuerdo de 50.000 millones con AWS. Pero el titular viral dice “¡Hackearon a OpenAI y Microsoft!” como si fuera una catástrofe. La realidad es más incómoda: fueron hackeados, sí. Pero el daño real es menor de lo que quieren hacernos creer.
El 14 de mayo de 2026, TechCrunch publicó una noticia con un titular que resonó en toda la industria tecnológica:
“OpenAI dice que hackers robaron algunos datos después del último problema de seguridad de código”.
La historia era técnica. Aburrida. Sobre ataques a la cadena de suministro, librerías de código abierto y certificados de firma. Pero el mensaje que circuló en redes fue otro: “¡Hackearon a OpenAI y Microsoft!”.
La exageración es comprensible. Pero los hechos son más sutiles.
El ataque que no fue un ataque
El incidente de mayo de 2026 no fue un hackeo directo a OpenAI.
Fue un ataque a la cadena de suministro de software. Los hackers tomaron control de TanStack, una librería de código abierto popular entre desarrolladores, y publicaron 84 versiones maliciosas en una ventana de seis minutos.
Dos empleados de OpenAI descargaron esas versiones. Sus dispositivos fueron comprometidos. Los atacantes robaron credenciales de repositorios internos.
OpenAI investigó. Concluyó que no hay evidencia de que datos de usuarios, sistemas de producción o propiedad intelectual fueran comprometidos. Que solo se tomó “material de credenciales limitado”.
Como precaución, revocaron y rotaron los certificados de firma de sus aplicaciones de macOS. A partir del 8 de mayo de 2026, las versiones antiguas dejarían de funcionar. Los usuarios debían actualizar.
Eso es todo.
No hay filtración masiva. No hay robo de conversaciones de ChatGPT. No hay acceso a los modelos de IA. Solo dos empleados que descargaron una actualización maliciosa de una librería de terceros.
Microsoft: la otra mitad del titular
El mensaje viral incluye a Microsoft. Pero ¿qué le pasó exactamente a Microsoft en mayo de 2026?
Según los resultados de búsqueda, Microsoft no fue hackeada en mayo de 2026.
Lo que Microsoft enfrenta es una demanda de Elon Musk por fraude, programada para el 27 de abril de 2026. Musk alega que Sam Altman y Greg Brockman desviaron OpenAI de su misión sin fines de lucro, violando el acuerdo fundacional.
Y en febrero de 2026, Microsoft consideraba tomar acciones legales contra OpenAI por un acuerdo de 50.000 millones de dólares con Amazon Web Services (AWS), que Microsoft considera una violación de su contrato de exclusividad en la nube.
Es decir: Microsoft no fue hackeada. Está en guerra legal con su propia inversión.
El giro polémico
Aquí está el truco que nadie menciona.
El mensaje “¡Hackearon a OpenAI y Microsoft!” funciona porque confunde tres incidentes separados en uno solo catastrófico.
OpenAI tuvo un ataque menor a la cadena de suministro en mayo de 2026. Microsoft tiene conflictos legales con OpenAI desde febrero de 2026. Y en marzo de 2026, OpenAI ya había enfrentado otro ataque a la cadena de suministro a través de Axios, una librería JavaScript comprometida por hackers vinculados a Corea del Norte.
La ironía definitiva: el mismo patrón se repite. OpenAI depende de librerías de código abierto mantenidas por voluntarios. Esas librerías son objetivos perfectos: un solo responsable de repositorio con credenciales comprometidas puede infectar a miles de empresas.
Pero OpenAI no dice “vamos a dejar de usar código abierto”. Dice “actualicen sus aplicaciones”. Porque el modelo de negocio de Silicon Valley depende de librerías gratuitas mantenidas por personas que no cobran. El riesgo es externo. La ganancia es interna.
Traducción: OpenAI fue hackeada no porque sus sistemas sean débiles, sino porque su modelo de negocio depende de infraestructura gratuita que no controla. Y cuando esa infraestructura falla, la responsabilidad se transfiere a ti: “actualiza tu aplicación”.
La pregunta que no te dejará dormir
Si mañana descubrieras que la empresa de IA en la que confías tus conversaciones más privadas fue comprometida porque un voluntario, en algún lugar del mundo, perdió el control de su cuenta de GitHub —y la respuesta de la empresa fue “no pasó nada, actualicen la aplicación”— ¿seguirías confiando?
¿O preferirías admitir que la única diferencia entre un hackeo y un “incidente de cadena de suministro” es quién controla el comunicado de prensa?