El mercado negro de GitHub que ayuda a los programadores a hacer trampas en el concurso de popularidad
El oscuro mercado de GitHub que facilita el fraude de los programadores en el concurso de popularidad
Github aseguró su estatus como el mejor amigo de los programadores al combinar herramientas para administrar software con características de colaboración que crean una especie de red social para los conocedores del código. Su éxito ha llevado a que adquiera una característica menos deseada de las plataformas sociales: un mercado negro de interacciones falsas.
Un ecosistema de tiendas en línea y grupos de chat venden abiertamente estrellas de Github, que los usuarios otorgan para indicar su interés en un proyecto y que se pueden contar para clasificar los más populares. Por el precioso precio de $6 pagados en ether, la criptomoneda de la cadena de bloques Ethereum, ENBLE compró 50 estrellas para un proyecto dormido en Github a través del sitio con nombre claramente identificado BuyGitHub.com. Las falsas recomendaciones aparecieron en solo unas horas.
Las sospechosas estrellas en venta son parte de un mercado negro más amplio de métricas de interacción en línea utilizadas por programadores, inversores y otros en tecnología para resaltar a programadores y startups prometedoras al decidir a quién contratar, para quién trabajar o en qué invertir.
Las tiendas en línea también ofrecen votos positivos para proyectos listados en Product Hunt, la plataforma comunitaria que promete ayudar a las personas a descubrir lo próximo en tecnología antes que los demás, y seguidores y vistas en la comunidad de ciencia de datos Kaggle, donde destacar puede llevarte a ofertas de trabajo. Los vendedores parecen apuntar a la ambición y quizás desesperación de personas que buscan un atajo hacia el éxito en una industria a veces asociada con el mantra “finge hasta que lo logres”.
“Casi toda la manipulación en línea es alguna forma de secuestrar la atención con el propósito de obtener dinero, adquirir atención y luego transformarla en dinero o poder”, dice Filippo Menczer, director de la Observatorio de Medios Sociales de la Universidad de Indiana. “GitHub no es diferente. Es un mercado de atención porque existen mecanismos mediante los cuales las personas adquieren notoriedad, influencia y reputación a través de lo popular o ampliamente utilizado que sea su software.”
- Puedes conseguir un televisor TCL QLED de 55 pulgadas $50 más barat...
- Aprovecha tu creatividad con $150 de descuento en un Microsoft Surf...
- Kuo Apple podría gastar $4.75 billones en servidores de inteligenci...
Fraser Marlow, jefe de crecimiento de la startup de orquestación de datos Dagster, se encontró con el mercado de manipulación en Github el año pasado después de darse cuenta de que los inversores parecían utilizar las estrellas en la plataforma como una señal de que una oferta de código abierto tenía tracción.
Su equipo compró estrellas en dos tiendas en línea diferentes y utilizó los datos recopilados en el proceso para construir un modelo para detectar estrellas falsas en repositorios de Github. Ejecutaron el modelo en el propio repositorio de código de Dagster, así como en varios otros.
El proyecto de criptomonedas Okcash fue el peor infractor: el 97 por ciento de sus 759 estrellas fueron señaladas como falsas por el detector de Dagster. Mientras tanto, solo el 1.6 por ciento de 29,435 estrellas fueron señaladas como falsas para Apache Airflow, un proyecto de código abierto que compite con Dagster. El análisis se limitó a las estrellas obtenidas a partir de 2022; Astronomer, que gestiona la comunidad detrás de Apache Airflow, se negó a hacer comentarios.
El fundador de Okcash, Oktoshi San, dice que su proyecto no le importa las métricas de vanidad, como las estrellas y los forks, pero que algunos miembros de la comunidad han lanzado regalos invitando a las personas a dar estrellas al proyecto en GitHub a cambio de tokens de Okcash.
Los hallazgos de Dagster se basaron en trabajos anteriores, incluido un artículo de investigadores académicos que identificaron más de 63,000 cuentas sospechosas de otorgar estrellas sospechosas activas en GitHub entre 2015 y 2019. Los hallazgos se obtuvieron al analizar datos de vendedores de estrellas en la aplicación de mensajería Telegram y las plataformas de mensajería china WeChat y QQ.
“La seguridad de Github ha sido consciente de la presencia de personas que dan estrellas falsas durante años y trabaja activamente para eliminarlas de la plataforma”, dice Jesse Geraci, asesor de seguridad en línea de la compañía. Geraci reconoce que puede ser difícil encontrar un equilibrio entre eliminar de manera precisa cuentas no auténticas y permitir que las genuinas operen sin obstáculos. “Sesenta y tres mil cuentas sospechosas pueden parecer muchas, pero es un porcentaje muy pequeño de los más de 100 millones de desarrolladores que construyen en GitHub”, dice Geraci.
Después del blog de Marlow sobre su trabajo rastreando estrellas sospechosas, casi todas las estrellas que pagó desaparecieron en una semana. Las estrellas que ENBLE compró también fueron eliminadas menos de un mes después de la compra. El equipo de lucha contra el abuso de GitHub combina la investigación manual con técnicas de software para identificar cuentas falsas.
“La obsesión por las estrellas de GitHub creo que era un poco resaca de la burbuja de ZIRP”, dice Marlow, refiriéndose a la política de tasa de interés cero que recientemente terminó en Estados Unidos. Es algo que solo los inversionistas de capital de riesgo y las empresas obsesionan, dice, pero en el último año ya ha notado que las personas les están dando menos importancia.
Los inversionistas de capital de riesgo están “endurecidos” para buscar un crecimiento rápido en las nuevas empresas que buscan inversión, dice Pratima Aiyagari, socia de la firma de capital de riesgo Nauta Capital. Los proyectos de código abierto pueden operar durante años sin generar ingresos significativos, dice, por lo que los inversionistas buscan otras señales de crecimiento, de las cuales las estrellas de GitHub son solo una. El éxito de empresas como la empresa de software empresarial Mulesoft y la plataforma colaborativa de desarrollo de software Gitlab ha generado un gran interés en las empresas de código abierto, dice. “El dinero de capital de riesgo ha estado fluyendo hacia este espacio.”
Para rastrear las empresas emergentes de código abierto, la firma de capital de riesgo Runa Capital creó el Índice ROSS, que clasifica a las empresas por la tasa de crecimiento anualizada de las estrellas de GitHub. Se ha convertido en un referente ampliamente seguido para productos de código abierto en rápido crecimiento.
El índice es un buen predictor de si una empresa recaudará una ronda de financiamiento, dice Konstantin Vinogradov, socio general de Runa. Alrededor de un tercio de todas las empresas registradas en el índice desde su lanzamiento en 2020 han recaudado rondas posteriores en los próximos 12 meses, dice.
Con el tiempo, las métricas pueden invalidarse, dice Stuart Geiger, profesor asistente de UC San Diego. Dice que dos “leyes” atribuidas a científicos sociales resumen por qué: cuanto más se usa una métrica en la toma de decisiones, más se manipulará (ley de Campbell), y una métrica que se convierte en un objetivo deja de ser útil (ley de Goodhart).
La línea entre una estrategia inteligente y hacer trampa puede ser difusa. “Si una empresa se convierte en la número uno en Product Hunt, la ponen en su sitio web, tal vez aumente su tasa de conversión para los clientes”, dice Vinogradov. “¿Simplemente estás ganando el juego? ¿O es una estrategia empresarial razonable?”
Kevin Zhang, un ex inversor de capital de riesgo que ahora está construyendo su propia empresa emergente, dice que las estrellas de GitHub parecen haberse convertido en un objetivo para los emprendedores que buscan impresionar. “Comencé a notar que los fundadores estaban poniendo más crecimiento de estrellas en sus presentaciones”, dice. “Eso siempre te da un poco de sospecha, ¿verdad? Oh, tal vez está un poco manipulado”.
Pero Zhang y otros inversores dicen que si bien manipular una métrica como las estrellas puede ayudar a una startup a conseguir una primera reunión con inversores de capital de riesgo, es poco probable que les consiga una segunda. Las perspectivas de los inversores sobre las métricas de GitHub han cambiado en los últimos años como resultado de la gamificación y una mayor comprensión del mercado de código abierto, dice Zhang. Una buena participación en GitHub es una señal prometedora, pero no es una señal infalible de éxito, dicen Zhang, Vinogradov y Aiyagari, considerando toda la información sobre el equipo fundador, el mercado y muchos otros puntos de datos antes de realizar una inversión.
Baddhi Shop, una tienda en línea que ofrece métricas falsas, lanzó sus servicios de GitHub a principios de este año. También vende votos en Product Hunt, así como votos, seguidores y vistas en Kaggle. Cuando ENBLE envió mensajes a la cuenta de LinkedIn del fundador del sitio, Naga Durgarao Baddhi, las respuestas afirmaban que el negocio era legítimo.
Cuando llega un pedido de estrellas de GitHub u otra métrica, un equipo de 11 personas comienza a hacer clic, “desde diferentes dispositivos en la nube”, dijo Baddhi, agregando que esto no era spam porque la tienda respeta los términos de servicio de cada sitio web. GitHub no es la oferta de manipulación de métricas más popular, agregó Baddhi. Discord, un servicio de salas de chat popular entre proyectos de criptomonedas, recibe compras diarias, y las métricas de otros 10 servicios también son populares, dice Baddhi. Kellyn Slone, portavoz de Discord, dice que crear o vender cuentas falsas viola sus términos de servicio y toma medidas al respecto, incluida la eliminación de usuarios del servicio.
Vender compromisos falsos es más conocido en las principales plataformas sociales como Facebook. La aparición de un mercado en sitios más pequeños y nuevos como GitHub y Product Hunt podría deberse a que las plataformas principales prestan más atención a las cuentas falsas, según Stefano Cresci, investigador especializado en desinformación, noticias falsas y bots sociales en el Instituto de Informática y Telemática, parte del Consejo Nacional de Investigación, en Pisa, Italia. Los vendedores pueden estar trasladándose a otras plataformas donde es más fácil mantenerse en el negocio.
También hay evidencia de que, ahora que la vida en línea es central en casi todas las áreas de la actividad humana, el engaño en línea ocurre incluso en comunidades de nicho. Justin Hollander, profesor en la Universidad de Tufts, cerca de Boston, recientemente publicó una investigación que muestra cómo se usan bots de Twitter para tratar de influir en la planificación urbana. Los bots estaban activos en 21 proyectos inmobiliarios en los Estados Unidos, incluido el desarrollo del Estadio SoFi en California y proyectos de uso mixto en Atlanta.
“Una variedad de organizaciones comunitarias y agencias gubernamentales estaban usando bots”, dice. “No pudimos encontrar solo un grupo. Parece que cualquier entidad que esté al tanto y sea activa en este ámbito de dar forma a la ciudad y participar en estas áreas de política, está usando bots”.
Menczer de la Universidad de Indiana compara el uso generalizado de bots sociales y compromisos falsos con los efectos de la contaminación, con basura acumulada enterrando lo que tiene valor y calidad. Espera que empeore a medida que avance la tecnología. Menczer y sus colegas encontraron recientemente evidencia de una red de bots que promueven criptomonedas en Twitter, impulsada por ChatGPT.
“Es difícil tanto para los humanos como para el software detectar cuentas falsas”, dice Menczer. “Y ChatGPT creará gustosamente muchas cuentas falsas para usted que son imposibles de distinguir de las reales”. Menczer dice que se están utilizando generadores de imágenes de IA para generar fotos de perfil falsas realistas y únicas, eliminando lo que solía ser una manera fácil de identificar cuentas falsas.
“Es una carrera armamentista porque los bots sociales se vuelven cada vez más inteligentes y sofisticados”, dice Menczer. No importa qué nuevas métricas de compromiso surjan para proyectos de software, empresas o personas, los estafadores no estarán muy lejos.
