← Volver al blog

Telemetría de los Git GUI: quién te rastrea en 2026

comparison privacy

Telemetría de Git GUI comparada: quién te rastrea en 2026

La mayoría de las aplicaciones de escritorio recopilan datos de uso. Las Git GUI no son una excepción. Este artículo compara el comportamiento de telemetría de cuatro clientes Git populares — GitKraken, Fork, SourceTree y GitSquid — basándose en el tráfico de red observable. Las cifras provienen de una sesión de captura de paquetes de 24 horas en cada aplicación, con el mismo repositorio abierto y una interacción de usuario mínima.

Transparencia: este artículo se publica en el sitio de GitSquid. La metodología se describe en detalle para que puedas reproducir las cifras tú mismo.

Por qué importa

"Telemetría" es una palabra suave para "tu aplicación envía datos a su proveedor sin que tú lo pidas activamente". A menudo los datos son genuinamente benignos: un contador de uso anónimo, un informe de fallos, una verificación de feature flag. A veces es más: en qué botones haces clic, qué repositorios tienes abiertos, qué funciones probaste.

Para la mayoría de los usuarios esto no es un problema. Para tres categorías de usuarios, es una restricción dura:

  • Industrias reguladas. Salud, finanzas, defensa, gobierno. Los procesos de revisión de IT bloquean rutinariamente cualquier herramienta que llame a casa con datos identificables.
  • Trabajo bajo NDA / propietario. Si los nombres de tus repositorios o ramas incluyen información de clientes o productos, filtrarlos vía telemetría es una preocupación real.
  • Desarrolladores conscientes de la privacidad. Algunas personas simplemente no quieren que se recopile la telemetría de su flujo de trabajo, sin importar cuán anonimizada afirme estar.

Metodología

Para cada aplicación:

  1. Instalación nueva en un Mac (M2, macOS 15) sin historial previo.
  2. Configurada con un repositorio local (el repositorio fuente de GitSquid, un clon sintético sin remoto).
  3. Apertura del repositorio en la aplicación, luego dejada en primer plano pero inactiva durante 24 horas.
  4. Captura del tráfico de red con mitmproxy en modo transparente, con el certificado confiable a nivel del sistema.
  5. Conteo de solicitudes por dominio de destino. Excluyendo las verificaciones de actualización automática (las contamos por separado).

El repositorio no tenía remoto configurado, por lo que cualquier tráfico saliente durante la ventana de 24 horas era telemetría, validación de licencia o la verificación de actualización automática. Distinguir las tres es sencillo: la validación de licencia toca un único endpoint del servidor de licencia una vez; el actualizador automático toca una URL conocida de manifiesto de versión una o dos veces; todo lo demás es telemetría.

Resultados

Herramienta Solicitudes de telemetría / 24h Verificaciones de actualización Validación de licencia Total saliente
GitSquid011 (solo Pro) / 0 (Free)1-2 al inicio, luego 0
Fork02 (sondeo de manifiesto)02
SourceTree~8021 (inicio de sesión Atlassian)~83
GitKraken~1402~24 (heartbeat por hora)~166

Dos de las cuatro aplicaciones envían esencialmente nada. Dos envían decenas o cientos de solicitudes por día, incluso sin interacción del usuario.

A dónde van las solicitudes

GitKraken

Destinos observados durante la ventana de 24 horas:

  • api.gitkraken.com — heartbeat de licencia, refresco de sesión de cuenta y verificaciones de feature flag.
  • analytics.gitkraken.com — analítica de uso. Cada navegación, apertura de panel y operación Git genera un evento.
  • sentry.io — reporte de errores (también se dispara con advertencias, no solo con fallos).
  • statsig.com — evaluación de feature flags y pruebas A/B.
  • logrocket.com en algunas sesiones — reproducción de sesión, cuando está habilitada.

SourceTree

  • id.atlassian.com — refresco de sesión de cuenta, llamado periódicamente.
  • sourcetree.atlassian.com — analítica de uso de funciones.
  • sentry.io — reporte de errores.
  • analytics.atlassian.com — analítica Atlassian inter-productos.

Fork

  • git-fork.com/sparkle — manifiesto de actualización automática. Dos verificaciones en la ventana de 24h. Ningún endpoint de telemetría contactado.

GitSquid

  • github.com/TheMax98000/gitsquid-releases — manifiesto de actualización automática (`latest.json`). Una descarga al inicio. A partir de v2.7, esta verificación es obligatoria y no puede ser deshabilitada por el usuario (un toggle en ajustes está en la hoja de ruta).
  • gitsquid.dev/api/validate-license — validación de licencia. Una solicitud al inicio solo para usuarios Pro (los usuarios Free no tocan este endpoint). El cuerpo de la solicitud contiene únicamente la clave de licencia como parámetro de consulta — sin ID de máquina, sin datos de uso, sin telemetría. Si la API es inalcanzable, la aplicación recurre a un resultado en caché reciente, y luego a la verificación local del checksum de la clave. Por lo tanto, una licencia Pro sigue funcionando sin conexión, pero la verificación online es la ruta por defecto cuando hay red disponible.
  • Ningún endpoint de telemetría contactado en ningún momento. Sin analítica, sin tracking de eventos, sin servicio de reporte de fallos, sin servicio de feature flags.

Cómo se ven los datos

El número de solicitudes es una cosa. El contenido de cada solicitud es otra. Tomamos muestras de algunos POSTs de analítica de GitKraken:

  • Ruta del repositorio (ruta local completa, hasheada pero reversible si tienes el salt).
  • Nombre de la rama actualmente checked-out.
  • Número de commits en el repositorio.
  • Qué operaciones Git se realizaron y con qué frecuencia.
  • Qué paneles de UI se abrieron.
  • Sistema operativo, versión de la aplicación, resolución de pantalla.

Nada de esto es malicioso, y la política de privacidad de GitKraken lo divulga. Pero para un usuario bajo NDA, "el nombre de la rama actualmente checked-out" puede filtrar `feature/customer-acme-bug-fix` a un servidor de terceros, que es exactamente lo que las NDAs típicamente prohíben.

Los payloads de SourceTree son más pequeños y más anonimizados pero aún incluyen la huella del repositorio y eventos de uso de funciones.

¿Se puede desactivar?

Herramienta ¿Opt-out disponible?
GitKrakenParcial — puedes deshabilitar algunas analíticas pero no todas (el heartbeat de licencia es obligatorio).
SourceTreeParcial — existe opt-out de analíticas, el refresco de sesión de cuenta es obligatorio.
ForkN/A — no hay telemetría que desactivar. La actualización automática puede deshabilitarse.
GitSquidN/A — no hay telemetría que desactivar. La verificación de actualización automática y la validación de licencia ocurren ambas una vez al inicio y actualmente no pueden deshabilitarse desde los ajustes. Un toggle para ambas está en la hoja de ruta.

Para GitKraken y SourceTree, "telemetría desactivada" no es lo mismo que "ningún tráfico saliente". El refresco de licencia / sesión de cuenta continúa independientemente.

Para revisiones de IT

Muchos departamentos de IT empresariales revisan herramientas de escritorio antes de aprobarlas. Las preguntas que hacen:

  • ¿Requiere una cuenta? — No para GitSquid y Fork. Sí para GitKraken y SourceTree.
  • ¿Llama a casa? — Para GitSquid: sí, pero solo al inicio (1 verificación de actualización + 1 validación de licencia para Pro). Sin analítica, sin tráfico recurrente en segundo plano. Para Fork: solo el manifiesto de actualización automática. Para GitKraken y SourceTree: sí, recurrente durante toda la sesión.
  • ¿La validación de licencia es capaz offline? — Para GitSquid: intenta primero online (solo Pro), recurre a un resultado en caché reciente, y luego al checksum local si ambos fallan. Una clave Pro sigue funcionando sin internet; la verificación online es la ruta por defecto cuando hay red disponible. Para Fork: licencia única, no se necesita validación. Para GitKraken: online requerido.
  • ¿Filtra nombres de repositorios / ramas? — No para GitSquid y Fork. Sí para GitKraken (en payloads de analítica), parcial para SourceTree.

Para un entorno air-gapped, la verificación de actualización automática y la validación de licencia de GitSquid simplemente fallarán en silencio y recurrirán a la ruta en caché / offline. La aplicación sigue funcionando, pero IT podría querer estar al tanto de esas dos solicitudes salientes al inicio. Un futuro toggle en ajustes para omitir ambas simplificará los despliegues en entornos estrictos.

Para un entorno estrictamente regulado, GitSquid y Fork son los más fáciles de aprobar — el único tráfico saliente está acotado (solo al inicio, en GitSquid) o limitado a actualizaciones (Fork). GitKraken y SourceTree generalmente no pasan sin acuerdos de procesamiento de datos negociados.

Reproducir esto

Las cifras anteriores fueron medidas con mitmproxy en modo proxy transparente. Para reproducir en tu propia máquina:

  1. Instalar mitmproxy: brew install mitmproxy en Mac, equivalente del gestor de paquetes en Linux.
  2. Configurar tu sistema para enrutar HTTPS a través de `localhost:8080`.
  3. Confiar en la CA de mitmproxy a nivel del sistema.
  4. Lanzar tu cliente Git, abrir un repositorio local, dejarlo en primer plano.
  5. Observar el log de solicitudes en vivo en la UI de mitmproxy.

Verás el contador de solicitudes subir en tiempo real para los clientes con mucha telemetría, y permanecer plano para los demás.

La opinión honesta

La telemetría no es mala en sí misma. Los proveedores de software la usan para corregir bugs, priorizar funciones y entender quiénes son sus usuarios. La política de privacidad de GitKraken es transparente sobre lo que se recopila, y los datos sí les ayudan a construir un mejor producto.

La elección es si quieres ese trade-off. Para herramientas de consumo (navegadores, reproductores de música), la mayoría de la gente lo acepta. Para herramientas de desarrolladores que se ejecutan sobre código potencialmente sensible, más desarrolladores dicen no — especialmente a medida que las alternativas sin telemetría se vuelven tan capaces como las rastreadas.

Si "tráfico saliente mínimo, sin analítica, sin trackers de terceros" está en tu lista de requisitos, descarga GitSquid. El inicio dispara 1-2 solicitudes (verificación de actualización + validación de licencia para Pro), luego nada durante el resto de la sesión. La misma restricción se aplica aproximadamente a Fork (59 $ una sola vez, sin Linux). Ambos pasan la revisión de IT donde GitKraken y SourceTree generalmente no.

← Volver al blog