El Ecosistema Startup > Blog > Actualidad Startup > Forgejo: 8 vulnerabilidades críticas que tu startup debe conocer
Equipo de startup frente a interfaz digital iluminada mostrando vulnerabilidades críticas en Forgejo y gestión de seguridad open source.

Forgejo: 8 vulnerabilidades críticas que tu startup debe conocer

por

Qué es la carrot disclosure y por qué está generando polémica

El investigador de seguridad Julien Voisin (jvoisin) encontró 8 vulnerabilidades críticas en Forgejo en una sola noche de auditoría informal: SSRF en múltiples endpoints, ausencia de CSP y Trusted-Types, malas prácticas criptográficas, escalada de privilegios OAuth2, fallos en autenticación, vectores DoS, fugas de información y condiciones TOCTOU. Lo preocupante: logró encadenarlas en un PoC de ejecución remota de código (RCE).

En lugar de seguir el protocolo tradicional de divulgación responsable, Voisin publicó solo la salida redactada del exploit, sin revelar la cadena completa. Este enfoque, bautizado como «carrot disclosure» o divulgación incentivada, busca presionar al proveedor para que realice una auditoría holística sin exponer completamente el vector de ataque.

¿Qué es Forgejo y por qué debería importarte?

Forgejo nació en octubre de 2022 como un fork de Gitea, creado por desacuerdos de gobernanza cuando Gitea fue transferida a una empresa con fines de lucro sin aprobación comunitaria. Hoy es la plataforma Git que usa Fedora y comparte el 95% de su código con Gitea, pero con diferencias clave: licencia GPL-3.0 estricta, parches de seguridad más rápidos y pruebas end-to-end que Gitea no tenía hasta junio de 2025.

👥 ¿Quieres ir más allá de la noticia?

En nuestra comunidad discutimos las tendencias, compartimos oportunidades y nos ayudamos entre emprendedores. Sin humo, solo acción.

👥 Unirme a la comunidad

Para founders hispanohablantes, Forgejo representa una opción de soberanía digital: se autohospeda, corre en hardware modesto (incluso Raspberry Pi) y evita dependencia de GitHub (Microsoft). Pero este caso revela un patrón recurrente en proyectos open source «menores»: la seguridad depende de mantenedores voluntarios que pueden subestimar riesgos.

La controversia en Hacker News y comunidades de seguridad

La publicación original generó debates intensos en Hacker News (threads #47941590 y #47942624) y en la comunidad de Privacy Guides. Las críticas se dividieron: algunos defendieron el enfoque de Voisin como necesario para exponer negligencia, mientras otros cuestionaron su actitud confrontacional.

Un comentario destacado en Hacker News señaló: «Parece que tiene vulnerabilidades que los mantenedores no toman en serio, quizás porque piensan que las personas que usan Forgejo no son importantes». Esta percepción es peligrosa para startups que dependen de estas herramientas para su infraestructura crítica.

El impacto real en startups que usan software open source

Según reportes de 2025, el 60% de las brechas de seguridad en startups provienen de dependencias de terceros. Cuando una startup elige autohospedar su Git forge para ahorrar costos o mantener soberanía, asume la responsabilidad de su seguridad.

Las vulnerabilidades encontradas en Forgejo no son teóricas: requieren registro abierto y una opción de configuración no predeterminada, pero muchas startups despliegan estas herramientas con configuraciones por defecto para acelerar el time-to-market. Un RCE en tu instancia de Forgejo significa acceso completo a tu código, CI/CD y potencialmente a tus secretos de despliegue.

¿Qué significa esto para tu startup?

Este caso no es sobre si Forgejo es «bueno» o «malo». Es sobre cómo los founders gestionan el riesgo tecnológico cuando dependen de software mantenido por comunidades voluntarias. La diferencia entre una startup que sobrevive un incidente de seguridad y una que colapsa está en los procesos establecidos antes de la crisis.

Acción 1: Auditoría proactiva de tu stack open source

  • Inventario completo de todas las herramientas open source autohospedadas (Git, CI/CD, monitoreo, bases de datos)
  • Verifica si tienen procesos de seguridad documentados: ¿tienen un security@ email? ¿Publican advisories? ¿Tienen bug bounty?
  • Revisa configuraciones: el 73% de las instancias comprometidas usaban settings por defecto (reporte SANS 2025)
  • Suscríbete a los canales de seguridad de cada proyecto (RSS, mailing lists, GitHub Security Advisories)

Acción 2: Establece un proceso de divulgación colaborativa

  • Si encuentras una vulnerabilidad, contacta primero de forma privada (security@ o issue privada)
  • Ofrece un plazo razonable (30-90 días) antes de divulgación pública
  • Documenta todo: fechas, respuestas, parches aplicados
  • Considera carrot disclosure solo si el proveedor es completamente no responsivo después de múltiples intentos
  • Construye relaciones con investigadores: muchos ofrecen descuentos o créditos por reportes responsables

Lecciones para founders del ecosistema hispanohablante

En LATAM y España, las startups enfrentan una realidad distinta: menos capital para herramientas enterprise, más ingenio en soluciones open source, y regulación de ciberseguridad en evolución (NIS2 en Europa, leyes locales en LATAM). Forgejo es atractivo precisamente por su costo cero de licencia, pero el costo real está en el mantenimiento y la gestión de riesgos.

El ecosistema de seguridad open source hispanohablante está creciendo: comunidades como Desde Linux, Security by Design Latam y eventos como Rooted CON (España) o Ekoparty (Argentina) generan conocimiento local. Conectar con estas comunidades te da acceso a investigadores que entienden tu contexto.

Cuándo elegir software autohospedado vs. SaaS

No hay respuesta universal, pero estos criterios ayudan:

  • Elige autohospedado si: tienes equipo DevOps dedicado, requisitos de soberanía de datos estrictos, presupuesto limitado pero tiempo disponible, y puedes asumir responsabilidad de parches de seguridad
  • Elige SaaS si: tu core business no es infraestructura, necesitas SLA garantizado, prefieres transferir riesgo de seguridad al proveedor, y el costo se justifica por tiempo ahorrado

Para la mayoría de startups en etapa early-stage, GitHub/GitLab SaaS es la opción correcta aunque sea más cara. La seguridad, actualizaciones y compliance vienen incluidas. Migrar a autohospedado tiene sentido cuando escalas y el costo de SaaS se vuelve prohibitivo.

Conclusión

El caso carrot disclosure en Forgejo no es una historia de villanos y héroes. Es un recordatorio de que la seguridad en software open source es un esfuerzo colaborativo que requiere transparencia de mantenedores y responsabilidad de usuarios.

Para founders: no evites open source por este incidente. Úsalo con ojos abiertos. Inventario tu stack, establece procesos de gestión de vulnerabilidades, construye relaciones con comunidades de seguridad, y entiende que lo gratuito tiene un costo en tiempo y riesgo. Las startups que sobreviven incidentes de seguridad son las que tenían procesos antes de la crisis, no las que improvisaron durante ella.

Fuentes

  1. https://dustri.org/b/follow-up-to-carrot-disclosure-forgejo.html (fuente original)
  2. https://dustri.org/b/carrot-disclosure-forgejo.html (divulgación original de vulnerabilidades)
  3. https://forgejo.org/compare-to-gitea/ (sitio oficial Forgejo)
  4. https://news.ycombinator.com/item?id=47941590 (discusión Hacker News)
  5. https://ecosistemastartup.com/forgejo-y-carrot-disclosure-seguridad-para-founders/ (análisis adicional)
¿te gustó o sirvió lo que leíste?, Por favor, comparte.
LinkedInPrintRedditTelegramWhatsApp

👥 ¿Quieres ir más allá de la noticia?

En nuestra comunidad discutimos las tendencias, compartimos oportunidades y nos ayudamos entre emprendedores. Sin humo, solo acción.

👥 Unirme a la comunidad

Artículos relacionados:

Seguridad en software para founders tech usando Forgejo y disclosure responsable en startups SaaS.Forgejo y carrot disclosure: seguridad para founders Interfaz futurista ilustrando moderación de contenido, seguridad 2FA y migración mejorada en Forgejo 13.0 para DevOps y gestión de software.Forgejo v13.0: Moderación, seguridad 2FA y migración Pagure mejoradas Colaboración entre Forgejo y gobierno neerlandés en open source y sostenibilidad en comunidad tech.Forgejo y gobierno neerlandés: claves de colaboración OSS Startups govtech colaborando en plataforma open source del gobierno holandés code.overheid.nl con enfoque en soberanía digital y ecosistema B2G.Países Bajos lanza code.overheid.nl: oportunidad para startups govtech Fundador tecnológico reflexionando sobre la responsabilidad y sostenibilidad en proyectos open source, representado con iconografía digital y cadenas interconectadas en colores naranja y negro.Open Source No Es Sobre Ti: Lecciones para Founders Tech

Daily Shot: Tu ventaja táctica

Lo que pasó en las últimas 24 horas, resumido para que tú no tengas que filtrarlo.

Suscríbete para recibir cada mañana la curaduría definitiva del ecosistema startup e inversionista. Sin ruido ni rodeos, solo la información estratégica que necesitas para avanzar:

  • Venture Capital & Inversiones: Rondas, fondos y movimientos de capital.
  • IA & Tecnología: Tendencias, Web3 y herramientas de automatización.
  • Modelos de Negocio: Actualidad en SaaS, Fintech y Cripto.
  • Propósito: Erradicar el estancamiento informativo dándote claridad desde tu primer café.

Categorías

Actualidad

Columnas

Glosario

Convocatorias

Educación y Aprendizaje

Por País

Chile

México

Colombia

Perú

España

Audiovisual

Pódcast El Ecosistema Startup

Pódcast Comunica Mejor Vende Más

Podcast Es la Hora de Aprender

Compañía

Sobre Nosotros

Newsletter

Blog Cristian Tala

Contacto

Comunidad Skool

Nuestras Redes

© El Ecosistema Startup. Todos los derechos reservados.

Políticas de privacidad | Términos de uso

📡 El Daily Shot Startupero

Noticias del ecosistema startup en 2 minutos. Gratis, cada día hábil.


Share to...
BufferCopyFlipboardHacker NewsLineLinkedInMastodonMessengerMixPinterestPrintRedditSMSTelegramTumblrVKWhatsAppXingYummly