Privacidad de GitHub Copilot: guía de medidas de protección y resolución de problemas

En cuanto habilitas GitHub Copilot para un equipo, llegan rápido las dudas de configuración. ¿Qué datos salen del IDE? ¿Qué repos conviene dejar fuera de las sugerencias? ¿Qué pasa si una sugerencia coincide con código público? 

Tanto si eres desarrollador y gestionas tu propio entorno como si eres admin y vas a desplegar Copilot en toda la organización, entender el alcance de privacidad y seguridad es clave para usar bien la herramienta.

En este artículo te explico cómo trata Copilot tus datos y cómo puedes configurar los ajustes de privacidad, las exclusiones de contenido y salvaguardas como el filtro de duplicados, además de cómo solucionar los problemas más comunes cuando algo deja de funcionar.

Cómo gestiona GitHub Copilot tus datos

Como cubrimos en nuestro tutorial de buenas prácticas de GitHub Copilot, Copilot envía una instantánea del contexto de código que rodea tu cursor a los servidores de GitHub cada vez que escribes en el IDE. El modelo procesa ese contexto y devuelve una sugerencia: estos son los datos de interacción que hacen posible la experiencia.

Para usuarios con planes individuales (Free, Pro y Pro+), la Declaración de privacidad de GitHub permite usar estos datos de interacción para entrenar modelos. Puedes excluirte en cualquier momento desde tus ajustes personales de privacidad. Los planes Business y Enterprise funcionan con términos contractuales independientes que excluyen por completo los datos de interacción del entrenamiento: no hace falta que el usuario haga nada.

Qué se considera datos de interacción

El código de repos privados almacenado en reposo no se utiliza. Sin embargo, los datos de interacción que se generan mientras usas Copilot activamente en un repo privado sí pueden emplearse para entrenamiento a menos que te excluyas. ¿Pero qué significa exactamente «datos de interacción»?

Al usar Copilot, el sistema recopila varios tipos de datos para mejorar su ayuda al programar, entre ellos: 

• Entradas y prompts: Cualquier comando o pregunta que envíes al chat de Copilot o a la CLI. 
• Salidas: Las sugerencias de código o respuestas de texto del modelo, incluyendo si las aceptaste o rechazaste. 
• Contexto de código: Fragmentos de código alrededor de tu cursor y el contenido de los archivos abiertos que se usan para dar sugerencias relevantes. 
• Metadatos y estructura: Nombres de archivo, estructura del repositorio y tus patrones de navegación en el IDE. 
• Comentarios del usuario: Tu valoración (pulgar arriba o abajo) y los comentarios que escribas.

Cómo cambia el tratamiento de datos según el plan

GitHub ofrece varios niveles de cuenta: Free, Pro, Business y Enterprise. El tratamiento de datos varía según el tipo de cuenta, como se muestra en la tabla de abajo. 

Además del opt-out para planes individuales, lo principal es que los usuarios de Business y Enterprise obtienen exclusiones de contenido, indemnización de PI y controles de administración a nivel de organización que no están disponibles en los planes gratuitos e individuales.  Para una comparación más completa de lo que incluye cada nivel, más allá del tratamiento de datos, consulta nuestra guía de planes de GitHub Copilot.

Algunos detalles a tener en cuenta: Las exclusiones de contenido todavía no se aplican al modo Edit, al modo Agent en chats del IDE, a GitHub Copilot CLI ni al agente en la nube. La cobertura de indemnización de PI requiere tener activado el filtro de detección de duplicados y que la sugerencia se use sin modificar.

Configurar los ajustes de privacidad de Copilot

La privacidad de los datos se ha convertido en un aspecto clave para cualquier negocio. Veamos los ajustes que controlan si tus interacciones se usan para entrenar modelos cuando utilizas GitHub Copilot.

Opt-out para Free, Pro y Pro+

En tu cuenta individual, puedes excluir tus datos del entrenamiento del modelo yendo a GitHub Settings y poniendo «Allow GitHub to use my data for AI model training» en Disabled, como se muestra en la captura de abajo. 

Al excluirte, se detiene la recopilación de datos futura y no se reduce la funcionalidad de Copilot. Sin embargo, GitHub no puede garantizar la eliminación de datos ya utilizados en entrenamientos anteriores, por lo que tus datos recopilados previamente pueden permanecer en conjuntos de entrenamiento existentes.

Políticas de organización y empresa

Los usuarios de Business y Enterprise ya están excluidos del entrenamiento del modelo, pero los administradores deben revisar las políticas de intercambio de datos para controlar qué funciones de Copilot están habilitadas en la organización:

• En Settings de la organización > Copilot > Policies puedes gestionar interruptores de funciones, asignación de asientos y selección de modelos para todos los miembros.
• Las políticas a nivel de organización prevalecen sobre las preferencias individuales, así que cualquier ajuste que configures aquí se aplica a todos.
• Los propietarios de Enterprise pueden establecer políticas que se heredan en varias organizaciones y auditar el estado actual desde un único panel.

Uso de las exclusiones de contenido de Copilot

Puedes decidir que Copilot no acceda a cierto contenido. Desde los ajustes del repositorio, puedes especificar el contenido que quieres que Copilot ignore. 

Cómo funcionan las exclusiones de contenido

Para los archivos excluidos: 

• No habrá sugerencias en línea. 
• Su contenido no se usará para ofrecer sugerencias en otros archivos. 
• Su contenido no se usará en las respuestas de GitHub Copilot Chat.
• No se realizará revisión de código de Copilot en esos archivos. 

Las exclusiones pueden configurarlas administradores del repositorio, propietarios de la organización y propietarios de la empresa.

Configurar exclusiones a nivel de repositorio y organización

En el nivel del repo, ve a Settings > Copilot > Content Exclusion y especifica rutas usando patrones glob. Patrones habituales incluyen **"**/secrets/**"**  para excluir cualquier ruta que contenga un directorio secrets y **"*.env"**  para excluir todos los archivos de entorno. 

La REST API te da una opción programática si gestionas exclusiones en muchos repos y quieres versionar la configuración.

A nivel de organización, la ruta es: Org Settings > Copilot > Content Exclusion. Las reglas que definas aquí se aplican a todos los repos de la organización.

Las reglas a nivel de organización y a nivel de repo se suman, así que ambas se aplican a la vez. Las reglas a nivel Enterprise tienen prioridad sobre las de organización y repo.

Para comprobar que las exclusiones funcionan: abre un archivo excluido y pide a Copilot Chat que «explique este archivo». Si Chat da una respuesta sustantiva sobre su contenido, la exclusión no se ha aplicado. Esa es la señal para recargar la extensión y revisar la sintaxis de la regla.

Limitaciones que debes conocer

Al usar las exclusiones de contenido de GitHub Copilot, es importante entender lo siguiente: 

• Copilot CLI, Agent mode y los Cloud Agents no respetan las reglas de exclusión de contenido (a mediados de 2026).
• Fuga semántica: la información de tipos y las definiciones en hover de archivos excluidos pueden seguir influyendo indirectamente en las sugerencias.
• Symlinks y sistemas de archivos remotos no están cubiertos.

Referencia de código y filtro de duplicados

GitHub Copilot te ayuda a entender el origen del código sugerido mediante referencias y enlaces a la fuente. Cuando aceptas una sugerencia así, Copilot registra la URL de la fuente y su licencia. 

Con esa información puedes decidir si usar ese fragmento de código y qué tipo de atribución darle. 

Cómo funciona el filtro de duplicados

Cuando Copilot genera una sugerencia, la compara con código público conocido. Si la sugerencia coincide con un repositorio público por encima de un umbral de similitud, la sugerencia se bloquea o se marca con atribución. 

Cuando aceptas la sugerencia, Copilot registra 

• Fecha y hora de aceptación
• El archivo donde se añadió la sugerencia
• Un extracto del código añadido
• La licencia y la URL de la fuente del código

Puedes ver las referencias de código directamente en tu IDE cuando se detecta una coincidencia. En VS Code, las referencias aparecen en el panel de salida de Copilot junto a la sugerencia.

Qué no detecta el filtro

El filtro de duplicados no detecta lo siguiente: 

• Fragmentos cortos y patrones comunes demasiado genéricos para señalarlos.
• Código reestructurado o parcialmente modificado a partir de una fuente.

El objetivo del filtro es detectar coincidencias textuales o casi textuales, no similitud conceptual.

Indemnización de PI y protecciones contractuales

GitHub ofrece indemnización por Propiedad Intelectual (PI) a clientes de Copilot Business y Enterprise. Si una sugerencia provoca una reclamación de PI, GitHub cubre la defensa legal. 

Se aplican dos condiciones: 

1. El filtro de duplicados debe estar activado
2. Debes tener un plan elegible

Los usuarios de Free y Pro no están cubiertos. Es una salvaguarda comercial y no impide que aparezcan coincidencias. Cubre el riesgo si una coincidencia genera un problema legal.

Gestión de políticas de Copilot en GitHub.com

La página de políticas de Copilot en GitHub.com es donde los administradores de organización y empresa controlan lo que puede hacer Copilot en el equipo. 

Activar y desactivar funciones de Copilot

Los administradores pueden activar o desactivar por separado las autocompletaciones, Chat, revisión de código, la integración con GitHub CLI y el modo agente. Esta granularidad es útil si quieres desplegar funciones de forma progresiva o restringir capacidades para ciertos equipos. 

Aquí también gestionas los asientos: decides quién tiene acceso y puedes asignarlos por usuario o por grupo.

Configurar los modelos de IA permitidos

Copilot ya admite múltiples modelos subyacentes, y los administradores pueden restringir qué modelos están disponibles para la organización. Puedes fijarlo a un modelo concreto o permitir todas las opciones disponibles y que los desarrolladores elijan. 

Para entornos gubernamentales y regulados, GitHub ofrece opciones de modelo compatibles con FedRAMP (Federal Risk and Authorization Management Program). 

Revisa los ajustes de políticas de Copilot en la pestaña Copilot de tu organización para ver qué está disponible en tu nivel de cuenta.

Auditoría y cumplimiento

Las métricas de uso de Copilot, incluidas tasas de completado, número de usuarios activos y tendencias por función y modelo, están disponibles en la pestaña Insights tanto a nivel de empresa como de organización (Insights > Copilot usage). 

La política «Copilot usage metrics» debe estar habilitada antes de acceder al panel. Los desgloses por miembro están disponibles mediante exportación NDJSON. 

Los datos de asientos y licencias son independientes y están en Org Settings > Copilot > Access.

Para un desglose detallado de la nueva Usage Metrics API y otras funciones avanzadas, no te pierdas nuestra guía de GitHub Copilot Enterprise.

Ten en cuenta que el registro de auditoría no incluye datos de sesión del cliente, como prompts; para eso necesitas una solución personalizada. Para conservar el historial más de 180 días o configurar alertas de anomalías, GitHub recomienda enviar el registro de auditoría a una plataforma SIEM usando su función de streaming integrada.

Solución de problemas de GitHub Copilot

Cuando Copilot deja de funcionar, casi siempre se debe a uno de los siguientes motivos. Revisa esto antes de abrir un ticket de soporte.

Sugerencias ausentes o que se detienen

Empieza por el icono de estado de Copilot en la barra de estado del IDE. Una línea diagonal sobre el icono indica que hay una exclusión de contenido activa para el archivo actual. 

Si el icono parece normal pero no aparecen sugerencias, comprueba esto en orden: 

• Actualiza tu IDE y la extensión de Copilot a la última versión.
• Verifica que tu suscripción está activa y que tu cuenta tiene un asiento asignado.
• Revisa las reglas de exclusión de contenido para el archivo y repo actuales, y prueba tu conexión de red. 

Las configuraciones de proxy y VPN son un bloqueo silencioso habitual. El IDE necesita acceder a los servidores de Copilot en la infraestructura de GitHub, y a veces los proxies corporativos lo bloquean sin mostrar un error claro.

La exclusión de contenido no funciona como esperabas

Después de añadir o cambiar exclusiones de contenido, puede tardar hasta 30 minutos en surtir efecto en IDEs donde los ajustes ya están cargados. 

Para aplicar los cambios al instante: 

• En VS Code, abre la Command Palette y ejecuta Developer: Reload Window. 
• En los IDE de JetBrains y en Visual Studio, cierra y vuelve a abrir la aplicación. 
• En Vim/Neovim, no hace falta hacer nada; las exclusiones se obtienen automáticamente cada vez que abres un archivo.

Tras recargar, prueba la exclusión explícitamente: abre el archivo excluido y pide al Chat que lo explique. Si el Chat responde con contenido sobre ese archivo, la exclusión no se ha aplicado y debes revisar la sintaxis de la regla. 

Ten en cuenta que tres funciones de Copilot no admiten exclusiones de contenido: Copilot CLI, el agente de programación de Copilot (agente autónomo en la nube) y el modo Agent en Copilot Chat en los IDE. Si ves accesos inesperados a archivos en cualquiera de estos, no es una mala configuración.

Problemas de autenticación y tokens

Si Copilot no está disponible en VS Code pese a haber iniciado sesión, cierra sesión desde el icono Accounts en la esquina inferior izquierda, recarga la ventana (F1 > Developer: Reload Window en VS Code) y vuelve a iniciar sesión.

En Visual Studio, confirma que la cuenta de GitHub con la que inicias sesión es la que tiene el asiento de Copilot, actualiza tus credenciales si hace falta o prueba a quitar y volver a añadir tu cuenta de GitHub y reiniciar Visual Studio.

Limitación de tasa

El modelo de facturación por uso de Copilot implica que cada plan tiene sus propios límites de capacidad, y los modelos premium consumen esa capacidad más rápido que los modelos base. 

Si las sugerencias se detienen a mitad de sesión o Copilot Chat devuelve errores, cambiar a la selección automática de modelo (o a un modelo con multiplicador menor) puede solucionarlo mientras se reinicia la ventana de uso. 

Los administradores de Enterprise pueden monitorizar el uso de forma proactiva desde el panel de analíticas de Copilot para anticiparse a los límites. 

Para incidencias de nivel servicio, consulta githubstatus.com antes de invertir tiempo depurando localmente.

Reflexiones finales

GitHub Copilot ofrece a los equipos un control real sobre cómo se tratan sus datos, desde protecciones contractuales a nivel de plan hasta exclusiones de contenido granulares y el filtro de duplicados. 

Entender estos ajustes (y saber configurarlos bien) te permite adoptar Copilot con confianza, tanto si eres un desarrollador individual como si lo despliegas en toda una empresa. Si algo no funciona como esperabas, los pasos de solución de problemas de arriba deberían devolverte al buen camino rápidamente.

Si quieres practicar con GitHub Copilot, aprender a personalizarlo y aprovechar todas sus funciones inteligentes, te recomiendo nuestro curso Software Development with GitHub Copilot.