Una investigación sobre las estrellas falsas en GitHub revela que las métricas que utilizan los capitalistas de riesgo para examinar acuerdos de millones de dólares se están volviendo peligrosamente poco confiables.
Un informe reciente que expone una industria dedicada a falsificar estrellas de GitHub por tan solo 200 dólares ha corrido el telón de una crisis creciente en la inversión tecnológica: las métricas fundamentales utilizadas para la debida diligencia se manipulan fácilmente. El esquema permite que proyectos nacientes señalen fraudulentamente la tracción de los desarrolladores, atrayendo a los capitalistas de riesgo a tomar decisiones de financiamiento basadas en un impulso fabricado. Esta erosión de la confianza no es un evento aislado, sino un síntoma de un colapso más amplio de las señales de verificación confiables en todo el panorama digital.
La vulnerabilidad surge de una excesiva dependencia de los atajos mentales, o heurísticas, que históricamente han guiado las decisiones de inversión. "Los inversores se están volviendo más selectivos en todos los ámbitos. Eso significa que están respaldando cada vez más a fundadores con una trayectoria comprobada", explicó Tasneem Dohadwala, socia fundadora de Excelestar Ventures, en un análisis reciente de las tendencias de financiación de capital de riesgo. Esta búsqueda de una "trayectoria comprobada" crea una demanda de métricas simples y legibles como las estrellas de GitHub, lo que las convierte en un objetivo principal para la manipulación cuando no existe una tracción real.
El fraude de GitHub es solo un ejemplo de un problema generalizado. La IA generativa ha reducido la habilidad requerida para crear falsificaciones convincentes de casi cualquier archivo digital, desde un video deepfake que le costó a una empresa 25 millones de dólares hasta imágenes médicas sintéticas que engañan a radiólogos capacitados más de la mitad de las veces. Una investigación sobre las estrellas falsas de GitHub, donde los proyectos pueden pagar solo 200 dólares para parecer populares, muestra cuán barato se pueden comprar estas ilusiones, lo que lleva a una posible asignación incorrecta de decenas de millones en capital.
Esto deja a la industria del capital de riesgo en una posición precaria. Si ya no se puede confiar en las señales básicas de compromiso de la comunidad y adopción de desarrolladores, todo el modelo de inversión tecnológica en etapas iniciales enfrenta un riesgo sistémico. El desafío ya no es solo encontrar el próximo gran avance, sino distinguir la realidad de un sofisticado espejismo digital, una tarea para la cual muchos procesos tradicionales de debida diligencia ya no están equipados.
El colapso de las heurísticas
Durante años, los inversores han confiado en las heurísticas para calibrar el potencial de una startup. Una cara familiar en una videollamada, un fuerte crecimiento en el número de usuarios o una vibrante comunidad de código abierto eran señales confiables. Sin embargo, según una encuesta de Gartner de 2025, dado que el 43% de los líderes de ciberseguridad ya se han enfrentado a deepfakes de audio, estos atajos se están convirtiendo en pasivos. La prueba de la "voz familiar" ha muerto, y también la prueba de la "estrella de GitHub".
Este fracaso de las viejas métricas se ve amplificado por los sesgos estructurales dentro del sistema de capital de riesgo. Las investigaciones de la Harvard Business School muestran un patrón persistente en el que a los fundadores hombres se les pregunta sobre las oportunidades mientras que a las fundadoras mujeres se les pregunta sobre los riesgos, un sesgo que premia las narrativas de confianza sobre la defensa cautelosa. Cuando se enfrentan a datos poco confiables, los inversores a menudo recurren por defecto al emparejamiento de patrones y a la "inversión en espejo": financiar a fundadores que se ven y suenan como éxitos anteriores. Esto crea un terreno fértil para el fraude, ya que los actores maliciosos aprenden a interpretar el papel que consigue financiación, armados con métricas infladas artificialmente.
Una nueva generación de riesgo sistémico
Si bien el fraude individual es costoso, una nueva generación de herramientas de IA presenta una amenaza sistémica mucho mayor. Las pruebas internas de Anthropic de su modelo Claude Mythos revelaron una capacidad sin precedentes para encontrar y explotar de forma autónoma vulnerabilidades de software, incluido un fallo de 27 años en OpenBSD que había eludido a los expertos humanos durante décadas. La empresa se vio obligada a retrasar el lanzamiento público del modelo, calificándolo de "riesgo para la seguridad pública".
Este desarrollo marca un cambio fundamental. La infraestructura digital que sustenta el sistema financiero global y, por extensión, el ecosistema de startups tecnológicas, ha demostrado ser más frágil de lo que se entendía anteriormente. Anthropic ahora está limitando el acceso al modelo a una lista verificada de 40 organizaciones, incluidas JPMorgan Chase y Microsoft, bajo un protocolo llamado 'Project Glasswing' para parchear las defensas. El incidente sirve como una advertencia severa: si las propias bases de código de empresas establecidas están construidas sobre arena, la debida diligencia sobre el repositorio no auditado de una startup se vuelve casi insignificante sin un enfoque más profundo y escéptico.
Una defensa de 3 capas para inversores
Para navegar en este nuevo entorno, los inversores deben adoptar un modelo de defensa por capas, pasando de heurísticas basadas en la confianza a un marco basado en la verificación. Este enfoque, adaptado de la informática forense digital, proporciona una forma estructurada de gestionar el creciente riesgo de engaño.
La primera capa es el triaje automatizado. Al igual que se están creando modelos de IA para detectar medios sintéticos, se necesitan nuevas herramientas para calificar las oportunidades de inversión entrantes en busca de signos de interacción artificial. Estos sistemas pueden marcar patrones de crecimiento sospechosos en las métricas de la comunidad, seguidores en redes sociales o uso de la plataforma. Aunque son imperfectos, son un filtro necesario para manejar el gran volumen de flujo de acuerdos.
La segunda capa es la debida diligencia humana activa. Este es el embudo medio crítico donde los capitalistas de riesgo deben ir más allá de la presentación y el tablero de control. Implica cuestionar rigurosamente las métricas atípicas, realizar entrevistas directas con supuestos clientes y verificaciones independientes de canales para confirmar las afirmaciones. Esta capa reemplaza la confianza pasiva con un escepticismo activo, decidiendo qué señales de alerta del triaje automatizado justifican una investigación más profunda.
La capa final es la prueba forense. Para inversiones de alta convicción, en etapas avanzadas o estratégicamente críticas, esto puede implicar encargar auditorías de código independientes o análisis forenses digitales para confirmar la autenticidad de la base de código y los datos de usuario de un proyecto. De manera similar a cómo un tribunal requiere un análisis a nivel de dispositivo para demostrar que un registro médico es falso, esta capa proporciona la verdad fundamental. Es costosa y lenta, pero es la única capa que ofrece pruebas, no probabilidades. Olvidar esta distinción es un riesgo que la industria ya no puede permitirse.
Este artículo es solo para fines informativos y no constituye asesoramiento de inversión.
