GitHub se está convirtiendo rápidamente en la plataforma de referencia para compartir software. Creada en un principio para que los desarrolladores colaboraran en la programación, ahora alberga millones de proyectos, desde scripts de aficionado hasta aplicaciones de uso generalizado. Sin embargo, esa popularidad también la ha convertido en una plataforma atractiva para los ciberdelincuentes.
Para la mayoría de los usuarios particulares, GitHub no es algo que se necesite utilizar en el día a día. Es posible que te encuentres con él al buscar una herramienta, seguir instrucciones de instalación o probar algo recomendado en un foro o en las redes sociales. Y ahí es donde empieza el riesgo. GitHub no es una tienda de aplicaciones. No comprueba la seguridad de todos los repositorios, y cualquiera puede subir código, incluidos los ciberdelincuentes.
Las campañas recientes ponen de manifiesto cómo se puede abusar de esto. Hemos visto cómo los ciberdelincuentes crean repositorios muy convincentes que se hacen pasar por marcas conocidas, como Malwarebytes LastPass, y ofrecen descargas que distan mucho de ser legítimas. En otros casos, se han creado cientos de repositorios para distribuir versiones infectadas con troyanos de programas populares. Estas páginas suelen tener un aspecto muy cuidado, incluyen documentación e incluso simulan la participación de los usuarios para parecer fiables.
También hemos observado campañas dirigidas a grupos específicos, como los aficionados a los videojuegos clásicos, las personas que buscan agentes de IA gratuitos, los usuarios de OpenClaw y quienes buscanel servicio AppleCare+.
¿Qué es exactamente GitHub y cuándo conviene utilizarlo?
En esencia, GitHub es una plataforma de alojamiento de código. Los desarrolladores la utilizan para compartir código fuente, realizar un seguimiento de los cambios y colaborar. Para los usuarios particulares, entre sus usos legítimos se incluyen:
- Acceder a herramientas de código abierto que no están disponibles en ningún otro sitio
- Descargar actualizaciones o versiones beta directamente de los desarrolladores
- Consultar el código fuente para comprender cómo funciona el software
Para los desarrolladores, GitHub es indispensable. Para los usuarios particulares, es opcional y hay que utilizarlo con la misma precaución que se aplicaría al descargar archivos de cualquier otro sitio de Internet.
A menos que tengas un motivo concreto, no es necesario que descargues software de GitHub. La mayoría de las aplicaciones más populares cuentan con páginas web oficiales o canales de distribución de confianza. Si has llegado a GitHub porque un resultado de búsqueda o una guía en línea te ha llevado hasta allí, es un buen momento para tomarte un respiro y comprobar bien lo que estás viendo.
Cómo mantenerse seguro
Los repositorios maliciosos suelen recurrir a una combinación de ingeniería social y atajos técnicos. Algunas señales de alerta son:
- Suplantación de marca: El repositorio afirma pertenecer a una empresa conocida, pero el nombre de la cuenta no coincide con el de la organización oficial. Los atacantes suelen utilizar variaciones sutiles o cuentas de nueva creación.
- Cuentas creadas recientemente: un repositorio vinculado a una cuenta creada hace unos días o unas semanas es una señal de alerta, sobre todo si afirma albergar software consolidado.
- Métodos de descarga inusuales: los proyectos legítimos suelen proporcionar el código fuente y, cuando procede, versiones claramente documentadas. Ten cuidado si te animan a descargar archivos ejecutables directamente desde enlaces poco conocidos o archivos comprimidos.
- Actividad inflada o falsa: el número de estrellas, las bifurcaciones y los problemas pueden manipularse. Un repositorio con muchas estrellas, pero con poco debate significativo o historial de contribuciones, puede que no sea lo que parece.
- Documentación deficiente o genérica: muchos repositorios maliciosos copian texto de proyectos legítimos, pero no mantienen la coherencia. Fíjate en si hay instrucciones imprecisas, enlaces rotos o una imagen de marca que no concuerda.
- Advertencias de seguridad ignoradas: si tu navegador, antivirus o sistema operativo te avisa de una descarga, tómatelo en serio. Estas advertencias suelen ser tu primera línea de defensa.
Los ciberdelincuentes aprovechan cada vez más las plataformas de confianza para pasar desapercibidos y eludir las defensas tradicionales. Es fundamental ser consciente de este cambio. La próxima vez que accedas a una página de GitHub que ofrezca una descarga cómoda, fíjate bien. Unos segundos más de atención pueden evitar que instales algo que nunca tuviste intención de instalar.
- Utiliza una solución antimalware actualizada y en tiempo real, y no ignores sus advertencias, incluso —o sobre todo— si el «desarrollador» te dice que es normal que aparezcan.
- Recuerda que los repositorios de GitHub no se someten a ningún proceso de verificación. La responsabilidad de decidir qué puedes descargar con total seguridad recae, en última instancia, en ti.
- Por lo general, es más seguro empezar por la página web oficial del proveedor y seguir el enlace que lleva a GitHub, en lugar de hacerlo al revés.
No nos limitamos a informar de las amenazas: las eliminamos
Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos descargando Malwarebytes hoy mismo.




