Autor: Claude, Deep Tide TechFlow
Resumen de Deep Tide: Una investigación revisada por pares de la Universidad Carnegie Mellon (CMU) descubrió aproximadamente 6 millones de estrellas falsas en GitHub, involucrando 18,600 repositorios y 301,000 cuentas. Los proyectos de AI/LLM son la categoría más grande de estrellas falsas no maliciosas. En el mercado, el precio por estrella puede ser tan bajo como 0.03 dólares, y los datos de Redpoint muestran que la mediana de estrellas para proyectos en ronda semilla de VC es de 2,850 — con menos de 200 dólares se puede "comprar" una popularidad falsa que cumpla el umbral para una ronda semilla.
La estrella de GitHub (like) se está convirtiendo en una estafa cuidadosamente empaquetada.
Según un informe de investigación publicado por Awesome Agents el 13 de abril, una cadena industrial gris madura alrededor de las estrellas de GitHub ya opera a plena luz del día: un artículo académico cuantificó la escala del problema, más de diez sitios web venden estrellas abiertamente, y las firmas de capital de riesgo incorporan directamente el recuento de estrellas en sus decisiones de selección de proyectos.
El equipo de investigación realizó de forma independiente 20 repositorios y descubrió que entre el 36% y el 76% de las estrellas de algunos proyectos provenían de cuentas con cero seguidores, y la proporción de forks (bifurcaciones) a estrellas era inferior a una décima parte de la línea base de los proyectos orgánicos.
El soporte académico central de este informe proviene de un artículo revisado por pares publicado en ICSE 2026 (Conferencia Internacional de Ingeniería de Software) por investigadores de CMU, la Universidad Estatal de Carolina del Norte y la empresa Socket. La herramienta de detección StarScout, desarrollada por el equipo de investigación, analizó 20 TB de metadatos de GitHub (6.7 mil millones de eventos, 326 millones de estrellas, que abarcan desde 2019 hasta 2024), marcando finalmente alrededor de 6 millones de estrellas sospechosas falsas, 18,600 repositorios involucrados y aproximadamente 301,000 cuentas participantes.
6 millones de estrellas falsas: Crecimiento explosivo en 2024, proyectos de IA como zona crítica
Las estrellas falsas no son un fenómeno nuevo, pero su escala experimentó un crecimiento explosivo en 2024. Los datos del artículo de CMU muestran que antes de 2022, había menos de 10 repositorios involucrados mensualmente en actividades de estrellas falsas; para el pico de julio de 2024, esto se disparó a 3,216 repositorios y 30,779 cuentas participantes. Hasta julio de 2024, el 16.66% de los repositorios con más de 50 estrellas habían participado en actividades de estrellas falsas.
La precisión de la detección del equipo de investigación fue validada indirectamente por el propio comportamiento de GitHub: el 90.42% de los repositorios marcados por StarScout habían sido eliminados, y el 57.07% de las cuentas marcadas habían sido purgadas.
En la clasificación de usos de las estrellas falsas, la mayoría se utiliza para promocionar repositorios de malware de phishing de corta duración. Pero en la categoría no maliciosa, los proyectos relacionados con IA y LLM ocupan el primer lugar, con un total de 177,000 estrellas falsas, superando a los proyectos de blockchain/criptomonedas. El artículo señala que "muchos de estos proyectos son repositorios de artículos académicos o productos de startups relacionadas con LLM". Más críticamente, 78 repositorios detectados con actividades de estrellas falsas habían aparecido en la página Trending de GitHub, demostrando que las estrellas compradas pueden manipular con éxito el algoritmo de recomendación de la plataforma.
Una estrella por solo 3 centavos: El mercado de compra de estrellas que opera abiertamente
Esto no es una transacción en la dark web. El informe de investigación confirmó que al menos una docena de sitios web venden abiertamente estrellas de GitHub, incluidos SocialPlug.io, Buy.fans, Boost-Like.store, etc. En Fiverr hay 24 servicios activos de compra de estrellas, que van desde paquetes básicos de 5 dólares hasta paquetes de "promoción orgánica" de 25 dólares o más.
Los precios se dividen en tres niveles: Nivel económico (cuentas nuevas de un solo uso) de 0.03 a 0.10 dólares por estrella, nivel medio de 0.20 a 0.50 dólares, y nivel premium (cuentas cuidadas con años de antigüedad) de 0.80 a 0.90 dólares. Los servicios premium prometen "estrellas que no desaparecen" y garantía de reposición por 30 días. SocialPlug afirma haber entregado acumulativamente 3.1 millones de estrellas, sirviendo a más de 53,000 clientes, e incluso ofrece una API para支持 (soporta) la compra programática por lotes.
Las plataformas de intercambio de estrellas como GithubStarMate.com y SafeStarExchange.com utilizan un modelo de intercambio mutuo basado en puntos, donde los usuarios pueden intercambiar estrellas sin gastar dinero. En GitHub también existen al menos 7 herramientas de código abierto (como fake-git-history, commit-bot, etc.) diseñadas específicamente para falsificar historiales de contribuciones. Las cuentas prefabricadas de GitHub con 5 años de historial de commits y la insignia de colaborador de Arctic Code Vault se venden en Telegram por alrededor de 5,000 dólares.
Un estudio de 2020 de la Universidad de Tsinghua documentó el funcionamiento de los grupos de promoción en QQ y WeChat en China: grupos con más de 1,020 miembros procesaban alrededor de 20 tareas de repositorios por día, estimándose un beneficio anual de la industria de entre 3.4 y 4.4 millones de dólares.
Los VC usan las estrellas para filtrar proyectos, con 200 dólares se puede "alcanzar" el estándar de la ronda semilla
La relación entre las estrellas y la financiación no es una suposición, sino algo que las firmas de capital de riesgo admiten públicamente.
Jordan Segall, socio de Redpoint Ventures, analizó 80 empresas de herramientas para desarrolladores y descubrió que la mediana de estrellas de GitHub al obtener financiación en ronda semilla era de 2,850, y de 4,980 en la ronda Serie A. Él declaró claramente: "Muchos VC escriben rastreadores internos para buscar proyectos de GitHub con rápido crecimiento de estrellas; las estrellas son la métrica que más frecuentemente monitorean".
Estos números equivalen a dar a las startups una lista de compra precisa. Calculando con estrellas baratas, gastar entre 85 y 285 dólares puede generar 2,850 estrellas para alcanzar la mediana de la ronda semilla; gastar entre 990 y 4,500 dólares puede alcanzar el umbral de la Serie A. Comparado con la escala de financiación típica de una ronda semilla de 1 a 10 millones de dólares, la relación costo-beneficio está entre 3,500 y 117,000 veces.
El índice ROSS (clasificación de startups de código abierto) publicado trimestralmente por Runa Capital amplifica aún más este incentivo. Según TechCrunch, el 68% de las empresas en el índice ROSS recibieron inversión en la etapa de ronda semilla, y el total de financiación rastreada alcanzó los 169 millones de dólares. El análisis independiente del informe de investigación descubrió que Union Labs, que ocupó el primer lugar en el índice ROSS del Q2 de 2025 (crecimiento de estrellas de 54.2 veces, total 74,300 estrellas), tenía graves sospechas de compra de estrellas: el 32.7% de sus estrellas provenían de cuentas con cero repositorios, el 52% de cuentas con cero seguidores, y StarScout marcó el 47.4% de sus estrellas como sospechosas. Una clasificación sectorial ampliamente citada por los VC, y el proyecto en la cima tiene casi la mitad de sus estrellas presuntamente falsas.
Ya hay casos reales que corroboran la cadena de conversión de estrellas a financiación: Lovable (anteriormente GPT Engineer) obtuvo 7.5 millones de dólares en una ronda pre-semilla con más de 50,000 estrellas, con una valoración de 1.8 mil millones en la Serie A; Browser-use obtuvo 17 millones de dólares en una ronda semilla después de conseguir 50,000 estrellas en tres meses; Pangolin ingresó en Y Combinator con 1,000 estrellas y completó una ronda semilla de 4.7 millones de dólares en ocho meses.
Aplicación asimétrica por parte de GitHub: Elimina repositorios pero deja cuentas
La Política de Uso Aceptable de GitHub prohíbe explícitamente la "interacción falsa", la "manipulación de rankings", la creación de un mercado secundario para estrellas falsas, e incluso prohíbe específicamente las actividades de compra de estrellas incentivadas con "airdrops de criptomonedas".
Pero la aplicación es pasiva y asimétrica. GitHub eliminó el 90.42% de los repositorios marcados por StarScout, pero solo purgó el 57.07% de las cuentas ejecutoras. La mayor parte de la "mano de obra" de la industria de estrellas falsas permanece intacta. Después de que Dagster publicara un informe de investigación en 2023, las cuentas falsas de estrellas relacionadas fueron eliminadas en 48 horas, pero esta fue una reacción tras la exposición pública, no el resultado de una detección proactiva.
El equipo de investigación de CMU recomendó a GitHub adoptar métricas de popularidad ponderadas basadas en centralidad de red en lugar del recuento crudo de estrellas, para desmantelar estructuralmente la economía de las estrellas falsas. GitHub aún no ha implementado esto.
Esto forma un ciclo de retroalimentación que se refuerza a sí mismo: Los VC usan las estrellas como señal de filtrado → Las startups compran estrellas → Los VC ven popularidad falsa → Más VC adoptan el seguimiento de estrellas → Más startups compran estrellas. Los números de referencia publicados abiertamente por Redpoint (2,850 para semilla, 4,980 para Serie A) equivalen a dar a las startups una lista de compra con precios claros.
Como dijo un comentarista en el informe de investigación: "El número de estrellas se puede falsificar, pero no se puede falsificar una corrección de errores que le ahorre el fin de semana a alguien."
