GitHub, la plataforma líder de desarrollo de software de código abierto, se enfrenta en los últimos tiempos a una amenaza que pone en duda la confianza que los usuarios vienen depositando en la misma: su sistema de medición de la popularidad y calidad de los proyectos está siendo manipulado para inflar artificialmente la reputación de repositorios maliciosos.

La fragilidad del sistema de estrellas

El sistema de estrellas es, para GitHub, equivalente a los "me gusta" en redes sociales, con la salvedad de que sirven para valorar no publicaciones sueltas, sino proyectos de software en su totalidad, dando a los usuarios la opción de destacar aquellos que consideran más valiosos.

Sin embargo, lo que alguna vez fue un indicador fiable a la hora de descargar aplicaciones (o de reutilizar código) en el que es el mayor repositorio de software del mundo, se ha convertido ahora en una herramienta para engañar a los usuarios.

Al menos, eso es lo que revela un reciente informe (PDF) de investigadores universitarios estadounidenses, que han identificado más de 4,5 millones de estrellas falsas asociadas a un total de 15.835 repositorios entre 2019 y 2024.

Una posible solución

Para detectar (y, potencialmente, combatir) este fenómeno, el equipo de investigadores desarrolló StarScout, una herramienta avanzada capaz de identificar estrellas sospechosas en GitHub. Esta herramienta utiliza dos enfoques principales:

Heurística de baja actividad: Detecta cuentas que interactúan mínimamente con la plataforma y solo se dedican a otorgar estrellas.
Heurística de agrupación: Identifica …