Seguridad-Privacidad vs Github: comparativa completa
Si tu prioridad es la privacidad y el control total de tu código, las alternativas autoalojadas como GitLab CE, Forgejo o Codeberg superan a GitHub en cada métrica que importa. Si lo que necesitás es ecosistema, integraciones y velocidad de adopción, GitHub sigue siendo difícil de reemplazar. La respuesta corta: GitHub es más cómodo, pero las plataformas centradas en seguridad y privacidad te dan algo que GitHub no puede — soberanía real sobre tus datos.
En 30 segundos
- GitHub pertenece a Microsoft y almacena tu código en servidores de Estados Unidos, sujeto a leyes como la CLOUD Act que permiten acceso gubernamental sin tu consentimiento.
- GitLab CE, Forgejo y Gitea se pueden autoalojar en tu propia infraestructura, lo que significa cero dependencia de terceros para acceder a tu código fuente.
- Codeberg es la alternativa hospedada sin fines de lucro, con servidores en la Unión Europea y gobernanza transparente bajo la asociación alemana Codeberg e.V.
- GitHub Advanced Security cuesta USD 49 por committer activo por mes. GitLab Ultimate incluye SAST, DAST y container scanning en su plan de USD 99/usuario/mes — y en la versión self-hosted Community Edition, muchas de esas herramientas son gratuitas.
- En 2024 se filtraron más de 39 millones de secretos en repositorios de GitHub. En 2025, ataques a la cadena de suministro como el compromiso de tj-actions/changed-files afectaron a más de 700 organizaciones.
Qué es cada cosa
GitHub es la plataforma de alojamiento de código más grande del mundo, propiedad de Microsoft desde 2018. Ofrece repositorios Git con gestión de issues, pull requests, CI/CD (GitHub Actions), paquetes y un ecosistema masivo de integraciones. Más de 100 millones de desarrolladores la usan a diario.
Las plataformas centradas en seguridad y privacidad son alternativas a GitHub que priorizan el control del usuario sobre sus datos. Incluyen soluciones autoalojadas como GitLab Community Edition, Forgejo y Gitea, y plataformas hospedadas sin fines de lucro como Codeberg. Su denominador común: vos decidís dónde vive tu código, quién accede y bajo qué jurisdicción legal opera.
Tabla comparativa rápida
| Criterio | GitHub | GitLab CE (self-hosted) | Forgejo / Gitea | Codeberg |
|---|---|---|---|---|
| Propiedad | Microsoft (corporación) | GitLab Inc. (código abierto) | Comunidad / Gitea Ltd. | Codeberg e.V. (sin fines de lucro) |
| Ubicación de datos | EEUU (Azure) | Donde vos elijas | Donde vos elijas | Unión Europea (Alemania) |
| Costo base | Gratis / USD 4/usuario/mes | Gratis (CE) / USD 29-99/usuario (Premium/Ultimate) | Gratis (self-hosted) | Gratis (donaciones voluntarias) |
| SAST/DAST integrado | Solo con GHAS (USD 49/committer) | Incluido en Ultimate, parcial en CE | No nativo (integración externa) | No nativo |
| CI/CD incluido | 2.000 min/mes (Free) | 400 min/mes (SaaS Free) | Forgejo Actions (self-hosted, ilimitado) | Woodpecker CI + Forgejo Actions (beta) |
| Copilot / IA | Copilot (USD 10-39/mes) | Duo Pro (USD 19/mes) | No incluido | No incluido |
| Soberanía de datos | Baja (CLOUD Act aplica) | Total (self-hosted) | Total (self-hosted) | Alta (GDPR, servidores UE) |
| Ecosistema / Marketplace | Enorme (13.000+ Actions) | Grande (CI templates, integrations) | Creciente (compatible con Actions) | Limitado |
Comparación detallada por categoría
Seguridad de la plataforma y track record
Acá es donde la conversación se pone incómoda para GitHub. En 2024, más de 39 millones de secretos — claves API, tokens, credenciales de bases de datos — se filtraron en repositorios públicos y privados de la plataforma. No porque GitHub sea inseguro per se, sino porque su escala masiva lo convierte en el objetivo número uno para ataques a la cadena de suministro.
El incidente de marzo de 2025 con tj-actions/changed-files es un caso de estudio perfecto. Un atacante comprometió un token de acceso personal del mantenedor, inyectó un script malicioso en Python que extraía secretos de CI/CD, y afectó a más de 700 organizaciones incluyendo nombres como Cloudflare, Zscaler y Palo Alto Networks. No fue un fallo en el código de GitHub — fue la consecuencia inevitable de un ecosistema tan interconectado que un solo eslabón débil puede tumbar cientos de cadenas.
El compromiso de Salesloft/Drift entre marzo y junio de 2025 demostró algo peor: los atacantes mantuvieron acceso durante meses antes de ser detectados, descargando contenido de múltiples repositorios y estableciendo workflows maliciosos.
Las plataformas autoalojadas no son inmunes a vulnerabilidades, pero la superficie de ataque es radicalmente distinta. Si alojás Forgejo en tu propio servidor, un atacante necesita comprometer tu infraestructura específica, no una plataforma con 100 millones de usuarios. La seguridad por oscuridad no es una estrategia, pero la reducción de superficie de ataque sí lo es.
GitLab, tanto en su versión SaaS como self-hosted, ofrece SAST con Semgrep, DAST con OWASP ZAP, detección de secretos con Gitleaks y escaneo de contenedores con Trivy — todo integrado en el pipeline de CI/CD. En GitHub, necesitás GitHub Advanced Security (GHAS) a USD 49 por committer activo por mes para acceder a CodeQL y escaneo avanzado de secretos en repos privados. La diferencia de costo es significativa: para un equipo de 20 desarrolladores, estamos hablando de USD 980 mensuales solo por las herramientas de seguridad.
Privacidad y soberanía de datos
Este es el punto neurálgico del debate. GitHub almacena todo tu código en servidores de Microsoft Azure ubicados en Estados Unidos. Eso significa que está sujeto a la CLOUD Act de 2018, que permite a las agencias estadounidenses solicitar acceso a datos almacenados por empresas norteamericanas, incluso si los datos pertenecen a ciudadanos o empresas extranjeras.
Para una startup argentina, una empresa europea o cualquier organización fuera de EEUU, esto no es un detalle menor. Tu código fuente — la propiedad intelectual más valiosa de tu empresa — vive en una jurisdicción sobre la que no tenés ningún control legal.
El tema de GitHub Copilot agrega otra capa de complejidad. GitHub confirmó que los usuarios del plan Individual pueden optar por permitir que su código se use como datos de entrenamiento para modelos de IA. Para los planes Business y Enterprise, GitHub dice que no usa el código para entrenamiento. Pero la recopilación de datos de uso — qué sugerencias aceptás, cuáles rechazás, patrones de codificación — sigue ocurriendo como parte del “User Engagement Data”. Si trabajás en un proyecto sensible o con propiedad intelectual crítica, esta telemetría puede ser un problema.
Con una instancia autoalojada de GitLab CE o Forgejo, la pregunta ni siquiera existe. Tu código vive en tu servidor, en tu red, bajo tu jurisdicción. No hay telemetría enviada a terceros, no hay datos de entrenamiento de IA, no hay CLOUD Act. Si necesitás cumplir con GDPR, regulaciones financieras o requisitos de seguridad gubernamentales, el autoalojamiento no es una opción — es una obligación.
Codeberg ocupa un punto intermedio interesante. No es autoalojado, pero es operado por una asociación sin fines de lucro registrada en Alemania, con servidores en la Unión Europea, sujeto a GDPR y con gobernanza transparente. Para proyectos open source que no pueden o no quieren mantener infraestructura propia, es la opción más ética disponible.
Precio y planes
La comparación de precios tiene más matices de los que parece a simple vista. GitHub Free es generoso: repos ilimitados, 2.000 minutos de Actions, Dependabot gratis. El plan Team cuesta USD 4/usuario/mes y agrega CODEOWNERS, revisiones obligatorias y 3.000 minutos de CI. El Enterprise salta a USD 21/usuario/mes con SAML SSO, auditoría avanzada y 50.000 minutos. Pero si querés seguridad seria en repos privados, GHAS suma USD 49/committer/mes — y eso cambia la ecuación completamente.
GitLab es más caro de entrada: el plan Premium está en USD 29/usuario/mes y el Ultimate en USD 99/usuario/mes. Pero Ultimate incluye SAST, DAST, escaneo de contenedores, escaneo de dependencias y detección de secretos. Si sumás el costo de GHAS a GitHub Enterprise, la diferencia se achica. Un equipo de 30 personas en GitHub Enterprise + GHAS paga alrededor de USD 2.100/mes (21×30 + 49×30 = USD 2.100). El mismo equipo en GitLab Ultimate paga USD 2.970/mes. Más caro, pero con más herramientas integradas y la opción de correrlo todo en tus propios servidores.
La verdadera ganga está en las opciones autoalojadas. GitLab Community Edition es completamente gratuito — sin límite de usuarios, sin límite de repos. Le faltan las herramientas avanzadas de seguridad de Ultimate, pero para muchos equipos es más que suficiente. Forgejo y Gitea son igualmente gratuitos y autoalojados, con requisitos de hardware mínimos: un VPS de 2 GB de RAM puede manejar un equipo de 50 personas sin despeinarse.
Codeberg es gratis, financiado por donaciones. El almacenamiento tiene límites heurísticos — los repos privados personales no deberían exceder 100 MB, pero los proyectos open source activos reciben cuota flexible basada en la antigüedad de la cuenta y las contribuciones.
Features principales
GitHub tiene el ecosistema más maduro, punto. GitHub Actions cuenta con más de 13.000 acciones en el Marketplace, Copilot es el asistente de IA para código más avanzado del mercado, y las integraciones con herramientas de terceros son incomparables. Projects (la herramienta de gestión de proyectos), Codespaces (entornos de desarrollo en la nube) y GitHub Pages son funcionalidades que las alternativas simplemente no igualan en madurez.
GitLab responde con una plataforma DevSecOps completa en un solo producto. CI/CD nativo sin necesidad de Actions del marketplace, gestión de paquetes, registry de contenedores, wiki, y las herramientas de seguridad que ya mencionamos. La ventaja de GitLab es que todo está integrado en una sola interfaz — no necesitás ensamblar piezas de distintos proveedores.
Forgejo y Gitea son más minimalistas. Ofrecen lo esencial: repos, issues, pull requests, wiki, proyectos, paquetes y, desde versiones recientes, Forgejo Actions (compatible con el formato de GitHub Actions). No vas a encontrar Copilot ni Codespaces, pero para equipos que priorizan la simplicidad y el control, esa es precisamente la ventaja. Menos superficie de ataque, menos complejidad, menos cosas que pueden salir mal.
Codeberg agrega sobre Forgejo el hosting de páginas estáticas (Codeberg Pages), integración con Woodpecker CI y soporte de traducciones con Weblate. Para proyectos open source, cubre el 90% de los casos de uso sin pagar un peso.
Casos de uso ideales
GitHub brilla cuando la velocidad de desarrollo y la colaboración abierta son la prioridad. Si tu proyecto es open source y necesitás visibilidad, no hay alternativa real — GitHub es donde está la comunidad. Para empresas que ya están en el ecosistema Microsoft (Azure, VS Code, Teams), la integración nativa ahorra tiempo y fricción.
GitLab self-hosted es la respuesta para organizaciones en industrias reguladas: finanzas, salud, defensa, gobierno. Cuando necesitás auditoría completa, compliance con normativas como SOC 2 o ISO 27001, y la garantía de que ningún dato sale de tu red, GitLab CE o Ultimate self-managed son la opción natural.
Forgejo autoalojado funciona perfecto para equipos pequeños a medianos que quieren independencia total sin la complejidad de GitLab. Si tenés un equipo de 5 a 50 personas y un admin que puede mantener un servidor Linux, Forgejo te da todo lo que necesitás con un consumo de recursos mínimo.
Codeberg es ideal para desarrolladores individuales y proyectos open source que quieren una plataforma ética, sin rastreo, sin telemetría y con servidores en Europa. Si tu proyecto es software libre y no querés mantener infraestructura, es tu mejor opción.
Ecosistema e integraciones
Acá GitHub gana por goleada, y no tiene sentido pretender lo contrario. Cada herramienta de desarrollo del planeta tiene integración con GitHub: Jira, Slack, Linear, Vercel, Netlify, AWS, Docker Hub, Terraform — la lista es interminable. El marketplace de Actions tiene soluciones para prácticamente cualquier flujo de trabajo imaginable.
GitLab tiene un ecosistema de integraciones sólido pero más chico. La ventaja es que muchas funcionalidades que en GitHub requieren integraciones externas, en GitLab son nativas. No necesitás un tercero para el registry de contenedores, el escaneo de seguridad o la gestión de paquetes.
Forgejo y Gitea están creciendo rápido en integraciones gracias a la compatibilidad con GitHub Actions. Muchas Actions de GitHub funcionan directamente en Forgejo con cambios mínimos. Pero seamos honestos: el ecosistema tiene una fracción del tamaño del de GitHub, y para flujos de trabajo complejos vas a necesitar más configuración manual.
Codeberg, al estar basado en Forgejo, hereda las mismas capacidades e integraciones. La integración con Woodpecker CI es nativa y funciona bien para la mayoría de los proyectos, pero para pipelines empresariales complejos se queda corto.
Cuál elegir según tu caso
Para programadores independientes y freelancers: si hacés open source o trabajás en proyectos personales, GitHub Free sigue siendo la opción más práctica por el ecosistema y la visibilidad. Si te importa la privacidad y no querés alimentar la máquina de datos de Microsoft, mudarte a Codeberg es indoloro y gratis. Podés mantener un perfil en GitHub para visibilidad y usar Codeberg como repositorio principal — muchos desarrolladores ya hacen esto.
Para startups y equipos pequeños (5-20 personas): GitHub Team a USD 4/usuario/mes es difícil de superar en relación precio-funcionalidad. Pero si manejás datos sensibles de clientes, código con propiedad intelectual valiosa o estás en una industria regulada, instalá Forgejo en un VPS de USD 10/mes y tenés una solución completa por una fracción del costo. El trade-off es real: perdés el ecosistema de integraciones y tenés que mantener el servidor vos.
Para empresas medianas y grandes (50+ personas): la decisión se reduce a GitLab vs GitHub Enterprise. Si tu stack es Microsoft-centric (Azure, AD, Teams), GitHub Enterprise + GHAS tiene más sentido. Si necesitás una plataforma DevSecOps unificada con herramientas de seguridad nativas y la opción de autoalojar, GitLab Ultimate self-managed es la respuesta. El costo mensual es similar cuando sumás GHAS a GitHub Enterprise.
Para organizaciones con requisitos de compliance estrictos: ni lo pienses, autoalojá. GitLab CE self-hosted para equipos grandes, Forgejo para equipos chicos. La nube de GitHub no te va a dar el nivel de control que necesitás para cumplir con regulaciones de datos como GDPR, HIPAA o normativas financieras locales.
Para proyectos open source comunitarios: Codeberg. Sin fines de lucro, gobernanza transparente, servidores en la UE, sin rastreo, sin publicidad. Si tu proyecto se alinea con los valores del software libre, Codeberg es coherente con esa filosofía de una manera que GitHub no puede ser.
Errores comunes al comparar seguridad y privacidad con GitHub
1. Creer que “privado” en GitHub significa “privado de verdad”. Un repositorio privado en GitHub significa que otros usuarios no pueden verlo. No significa que Microsoft, sus empleados autorizados o las agencias gubernamentales estadounidenses no puedan acceder. Los términos de servicio de GitHub le otorgan a la plataforma licencia para almacenar y reproducir tu contenido para proveer el servicio. “Privado” es un control de acceso entre usuarios, no un blindaje legal contra la empresa que aloja tu código.
2. Asumir que autoalojar es automáticamente más seguro. Un servidor Forgejo mal configurado, sin actualizaciones, con SSH expuesto al mundo y contraseñas débiles es infinitamente menos seguro que un repositorio en GitHub. El autoalojamiento te da control, no seguridad automática. Si no tenés la capacidad de mantener la infraestructura actualizada y correctamente configurada, estás creando más riesgo del que eliminás.
Si querés leer más sobre esto, te dejamos Seguridad-Privacidad vs Github: comparativa completa.
Esto se relaciona con Seguridad-Privacidad vs Github: comparativa completa, donde analizamos las diferencias en profundidad.
3. Pensar que migrar de GitHub es un proceso de todo o nada. Muchos equipos usan un enfoque híbrido: código open source en GitHub para visibilidad y contribuciones externas, código propietario en una instancia autoalojada de GitLab o Forgejo. Git es descentralizado por diseño — podés tener múltiples remotos y sincronizar entre plataformas sin drama.
4. Ignorar el costo oculto del autoalojamiento. Forgejo es gratis para descargar, pero alguien tiene que mantener el servidor, aplicar parches de seguridad, hacer backups, monitorear uptime y gestionar actualizaciones. Para un equipo de 5 personas, eso puede significar que un desarrollador dedique medio día al mes a tareas de infraestructura. Incluí ese costo en tu análisis.
5. Subestimar el impacto de perder el ecosistema de GitHub. Si tu flujo de trabajo depende de GitHub Actions, Dependabot, CodeQL, Copilot y Codespaces, mudarte a Forgejo no es simplemente cambiar de URL. Vas a necesitar reemplazar o reconfigar cada una de esas herramientas. Antes de migrar, hacé un inventario de todo lo que usás realmente en GitHub.
Preguntas frecuentes
GitHub puede ver mi código en repositorios privados?
Sí. Los empleados de GitHub con acceso autorizado pueden ver repositorios privados cuando es necesario para soporte, cumplimiento legal o mantenimiento de la plataforma. Además, bajo la CLOUD Act, las agencias estadounidenses pueden solicitar acceso a datos almacenados por empresas norteamericanas sin notificar al propietario de los datos. Si necesitás que tu código sea inaccesible para terceros, la única solución real es el autoalojamiento.
GitHub usa mi código para entrenar Copilot?
Depende del plan. En Copilot Individual, podés optar por permitir que tu código se use para entrenamiento — y la opción está desactivada por defecto desde 2023. En los planes Business y Enterprise, GitHub asegura que no usa el código ni las interacciones para entrenar modelos. Sin embargo, GitHub sí recopila datos de uso (User Engagement Data) que incluyen qué sugerencias aceptás y cuáles rechazás.
Forgejo y Gitea son lo mismo?
No. Forgejo es un fork de Gitea creado en octubre de 2022 cuando una empresa con fines de lucro tomó control del proyecto Gitea. Forgejo opera bajo la asociación sin fines de lucro Codeberg e.V., tiene gobernanza comunitaria transparente con reuniones trimestrales de contribuidores y un roadmap público. Gitea sigue siendo software libre (licencia MIT), pero su dirección está en manos de Gitea Ltd. Funcionalmente son muy similares, pero la gobernanza es el diferenciador clave.
Cuánto cuesta migrar de GitHub a una alternativa autoalojada?
El costo técnico de migrar repositorios es bajo — un git clone y git push a la nueva plataforma. GitLab, Forgejo y Gitea tienen importadores nativos que traen repos, issues y pull requests desde GitHub. El costo real está en reconstruir los flujos de CI/CD, reconfigurar integraciones y adaptar al equipo. Para un equipo de 10 personas con pipelines moderadamente complejos, calculá entre 2 y 4 semanas de trabajo dedicado.
Codeberg es confiable para proyectos serios?
Sí, con matices. Codeberg aloja proyectos de perfil alto como el propio Forgejo y tiene un uptime sólido. Pero es una organización sin fines de lucro financiada por donaciones, lo que significa que los recursos son limitados comparados con GitHub o GitLab. El almacenamiento tiene límites heurísticos (100 MB para repos privados personales) y la capacidad de CI/CD es menor. Para proyectos open source es excelente; para uso empresarial con requerimientos de SLA, mejor autoalojar Forgejo directamente.
Conclusión
Voy a ser directo: si estás leyendo esto porque te preocupa la privacidad de tu código, probablemente ya tenés la respuesta y buscás validación. Y te la doy: tenés razón en preocuparte.
GitHub es una plataforma extraordinaria. La uso, la mayoría de los desarrolladores del mundo la usan, y para proyectos open source sigue siendo el estándar de facto. Pero es propiedad de una de las corporaciones más grandes del planeta, almacena tu código en servidores sujetos a leyes de vigilancia que no controlás, y su modelo de negocio está cada vez más centrado en monetizar la inteligencia artificial entrenada con código — tu código incluido, potencialmente.
Si tu código tiene valor comercial, si manejás datos sensibles o si operás en una industria regulada, la combinación ganadora es GitLab CE o Forgejo autoalojado para tu código propietario, con un mirror en GitHub solo para lo que necesite visibilidad pública. El costo de un VPS de USD 10-20/mes es irrisorio comparado con el valor de tu propiedad intelectual.
Si sos desarrollador independiente y no querés complicarte con infraestructura, Codeberg te da privacidad real sin esfuerzo operativo. No tiene el ecosistema de GitHub, no tiene Copilot, no tiene 13.000 Actions en el marketplace. Pero tiene algo que GitHub no puede ofrecerte: la certeza de que tu código no es un producto.
Mi recomendación concreta: no migres todo de golpe. Empezá moviendo un proyecto no crítico a Forgejo o Codeberg. Probá el flujo de trabajo, evaluá qué integraciones te faltan, medí el esfuerzo real. Y después decidí con datos, no con paranoia ni con inercia. La seguridad y la privacidad de tu código no son una moda — son una decisión de ingeniería que deberías tomar con la misma seriedad con la que elegís tu stack tecnológico.
Fuentes
- GitHub Pricing — https://github.com/pricing
- GitLab Pricing — https://about.gitlab.com/pricing/
- Codeberg Documentation — https://docs.codeberg.org/getting-started/what-is-codeberg/
- Forgejo — Comparison with Gitea — https://forgejo.org/compare-to-gitea/
- Forgejo — Comparison with other Forges — https://forgejo.org/compare/
- GitHub Copilot Privacy — GitGuardian Blog — https://blog.gitguardian.com/github-copilot-security-and-privacy/
- GitHub Copilot Data Pipeline Security — https://resources.github.com/learn/pathways/copilot/essentials/how-github-copilot-handles-data/
- GitHub Actions Compromise (CVE-2025-30066) — https://www.cybersecuritydive.com/news/github-action-compromise-linked-undisclosed-attack/743079/
- 39 Million Secrets Leaked on GitHub in 2024 — SecurityWeek — https://www.securityweek.com/39-million-secrets-leaked-on-github-in-2024/
- Codeberg Storage Quotas — https://blog.codeberg.org/new-storage-limits-on-codeberg-what-you-need-to-know.html
- GitLab SAST Documentation — https://docs.gitlab.com/user/application_security/sast/
- GitLab DAST Documentation — https://docs.gitlab.com/user/application_security/dast/
- Self-Hosted Git Platforms 2026 — https://dasroot.net/posts/2026/01/self-hosted-git-platforms-gitlab-gitea-forgejo-2026/
- European GitHub Alternatives — https://www.devproblems.com/european-github-alternatives/
