Transcript: Compra de estrellas en GitHub

Si te dijera que hay proyectos “de moda” en GitHub que quizá no lo son… y que eso puede influir en qué startups reciben dinero, ¿te lo creerías? Bienvenidas y bienvenidos a The Automated Daily, hacker news edition. El podcast creado por inteligencia artificial. Hoy es 20 de abril de 2026. En cinco minutos: manipulación de métricas en GitHub, tensión entre AI y seguridad nacional, un incidente serio en Vercel, y por qué la economía del software está cambiando cuando los agentes con AI hacen trabajo que antes sostenía a los grandes SaaS.

Empezamos con un tema incómodo para el mundo open source: la compra de estrellas en GitHub. Una investigación, apoyada por un estudio revisado por pares de ICSE 2026, estima alrededor de seis millones de estrellas sospechosas repartidas en decenas de miles de repositorios, con un pico fuerte en 2024 y muchos proyectos señalados que luego terminaron desapareciendo de la plataforma. Lo relevante no es solo la trampa en sí: es el efecto dominó. Si “Trending” y los rankings se pueden empujar con campañas de pago, la visibilidad deja de ser una señal de calidad. Y según el artículo, esto ya está afectando a decisiones de financiación: firmas de venture capital y sistemas automáticos rastrean estrellas como atajo para detectar oportunidades, lo que crea un incentivo baratísimo para parecer “seed‑ready” sin serlo. Además, el texto recuerda que, en un mundo de reguladores atentos a la influencia comprada, maquillar popularidad puede acabar pareciéndose más a marketing engañoso —o peor— que a simple picaresca.

Seguimos con un recordatorio de riesgo físico, no digital: un terremoto de magnitud 7.4 golpeó mar adentro, frente al noreste de Japón, según el USGS, en la zona de subducción de la fosa de Japón. Las primeras estimaciones apuntan a impactos generales limitados, pero estos eventos siempre importan por el contexto: es una región históricamente activa y cercana al área del desastre de 2011. Más allá del número, el mensaje es el mismo: incluso cuando las proyecciones iniciales son moderadas, un sismo offshore abre la puerta a réplicas y peligros secundarios, y por eso las autoridades suelen redirigir rápidamente a fuentes oficiales de información de tsunami y alertas locales.

Ahora, AI y el futuro del software de diseño. Un análisis plantea que Figma se está convirtiendo en el ejemplo más visible de cómo los SaaS establecidos pueden quedar “apretados” por productos centrados en agentes con AI. La idea es simple: Figma creció no solo por diseñadores, sino por todo el resto —PMs, devs, ejecutivos— gracias a la colaboración y a que mucha gente podía producir materiales sin ser experta. Pero si un LLM ya es suficientemente competente para generar prototipos, slides o piezas “aceptables” sin entrar a Figma, esa adopción amplia pasa de ser fortaleza a ser punto débil. El texto añade otro ángulo delicado: cuando un SaaS compra inferencia a un proveedor de modelos, puede estar financiando a un actor que luego compite con él, y con mejores márgenes. Si los agentes hacen el trabajo, las murallas clásicas —plugins, ecosistemas, colaboración— pesan menos que antes.

Y en la misma órbita de AI, pero con geopolítica: Reuters recoge que la NSA estaría usando una herramienta de Anthropic, según Axios, pese a que el Pentágono habría marcado a la empresa como riesgo de cadena de suministro. No está verificado de forma independiente, y las partes no respondieron de inmediato, pero la historia es interesante por el choque de incentivos: por un lado, la presión por adoptar modelos cada vez más potentes para tareas de análisis y programación; por otro, el intento de controlar riesgos de proveedor y posibles usos ofensivos. Cuando los modelos mejoran en tareas “agentic” y de código, también mejora su capacidad para encontrar fallos: eso acelera defensas… y potencialmente ataques. Es el tipo de tensión que probablemente veremos repetida en más agencias y más países.

Pasamos a seguridad en la nube: Vercel confirmó un incidente tras afirmaciones de actores maliciosos que decían haber robado datos. La compañía sostiene que el acceso no autorizado se limitó a ciertos sistemas internos y a un subconjunto de clientes, y que la plataforma siguió operativa mientras entraban equipos de respuesta e incluso fuerzas del orden. Lo que llama la atención aquí es el vector: una app OAuth de Google Workspace vinculada a una herramienta de AI de terceros, y luego el compromiso de una cuenta de empleado tras un incidente en otro proveedor. Según el reporte, eso abrió la puerta a variables de entorno de clientes que no estaban marcadas como sensibles y por eso no se cifraban en reposo. Moraleja práctica: las integraciones con terceros y el “sprawl” de OAuth pueden convertirse en la entrada más rentable para un atacante, y la higiene de secretos —clasificación, cifrado, auditoría— no es burocracia; es supervivencia.

En desarrollo con AI, un detalle pequeño que termina siendo dinero: Simon Willison actualizó su herramienta para comparar conteos de tokens entre modelos de Claude y detectó cambios en el tokenizer de Claude Opus 4.7 frente a 4.6. ¿Por qué importa? Porque aunque el precio por token no cambie, si el mismo texto “cuenta” como más tokens, el coste real sube y también se acortan los límites efectivos de contexto. Sus pruebas sugieren incrementos notables en algunos casos, y en otros más modestos, especialmente cuando entran imágenes o PDFs. Para equipos que viven de APIs, estos cambios son el equivalente a que te muevan el contador del taxi: no siempre lo notas al principio, pero se siente a fin de mes.

Cambiamos a investigación aplicada con un giro bastante futurista: ingenieros de Rice University presentaron una técnica para “curar” tintas conductoras recién impresas sin recalentar —ni dañar— la superficie sobre la que se imprime. En vez de calentar todo el sustrato, focalizan energía de microondas en una zona diminuta, calentando principalmente el material depositado. ¿Lo interesante? Permite imprimir electrónica sobre superficies frágiles o irregulares, incluso materiales biológicos, y ajustar propiedades eléctricas durante la propia impresión. Esto empuja la idea de electrónica “libreform”: sensores y circuitos que pueden vivir en objetos blandos, materiales médicos, o dispositivos que no toleran hornos ni procesos agresivos. Menos promesa de ciencia ficción y más habilitador de nuevas formas de fabricación.

En producto y cultura de ingeniería, una lectura que duele porque es cotidiana: un ensayo sostiene que muchos equipos intentan sustituir la escucha real a usuarios y stakeholders por frameworks, plantillas y sistemas “cómodos” para ingeniería. El argumento no es anti‑proceso; es anti‑autoengaño. Cuando se toma una petición al pie de la letra, cuando se asume que la otra persona entiende el mismo contexto técnico, o cuando se etiqueta a la gente como “técnica” o “no técnica”, se pierde el matiz que define el éxito del producto. Y lo más caro llega después: esas malas interpretaciones se convierten en código, y el código se convierte en deuda técnica y en fricción comercial. Escuchar bien sigue siendo una ventaja competitiva poco automatizable.

Y cerramos con una nota de comunidad: SDF, una comunidad de acceso público a sistemas UNIX que existe desde 1987, sigue funcionando como un refugio para aprender, experimentar y convivir en entornos multiusuario clásicos. En un internet cada vez más dominado por plataformas cerradas, que aún haya espacios donde una cuenta de shell y una cultura compartida sean el centro es, como mínimo, una rareza valiosa. Más que nostalgia, es recordar que la computación también puede ser un lugar social, no solo un producto.

Eso es todo por hoy. Si te quedas con una idea, que sea esta: las métricas se pueden comprar, las integraciones se pueden volver puertas traseras, y la AI está reordenando tanto el mercado como la seguridad. Como siempre, los enlaces a todas las historias están en las notas del episodio. Nos escuchamos mañana en The Automated Daily, hacker news edition.