El desarrollador de Excalidraw, el plugin más descargado de Obsidian, rechaza la puntuación del nuevo sitio comunitario de Obsidian

Tras la publicación por parte de Obsidian de revisiones públicas de seguridad, calidad y mantenimiento de plugins en su nuevo sitio comunitario, Zsolt (zsviczian), desarrollador de Excalidraw —el plugin más descargado, con 6.1 millones de descargas acumuladas (aprox. 5% del total)—, expuso su postura desde la perspectiva de un desarrollador en un video de 27 minutos. El CEO de Obsidian, Steph Ango (kepano), también respondió de inmediato en Reddit con un comentario extenso, y la discusión continuó.

Qué pasó

• Obsidian cuenta con unos 4,000 plugins y 120 millones de descargas acumuladas. A medida que empezaron a aparecer sitios externos de reseñas de terceros por todas partes destacando problemas de seguridad, una respuesta oficial se volvió inevitable
• El nuevo sitio comunitario publica tarjetas de puntuación automatizadas sobre calidad (quality), mantenimiento (maintenance) y seguridad/calidad del código (security)
• La revisión automática se basa en obsidianmd/eslint-plugin, que ya se venía publicando desde el año pasado, y desde junio de 2025 se había estado discutiendo con desarrolladores en un canal de Discord
• Excalidraw apareció con una puntuación inicial de aprox. 38~40% → marcado como "high risk". Zsolt lo describió como “sentí que estaban manchando la obra de mi vida”

La postura de Zsolt

• La brecha entre la “puntuación del escáner vs la realidad” — se clasificaron como riesgos unos ~100 enlaces externos, pero en la práctica eran opt-ins para OCR/AI, videos de ayuda, enlaces a la tienda de scripts, etc., sin intención maliciosa alguna
• Las limitaciones de la API de Obsidian hacen inevitables ciertos rodeos en el código — Electron API para imprimir PDFs, exportación SVG de MathJax, falta de distribución de fuentes y múltiples assets → esas implementaciones alternativas terminan marcadas de inmediato como "high risk"
• Se les están exigiendo estándares comerciales a desarrolladores hobby — es un proyecto de “0.1 persona”, no de tiempo completo, pero de pronto recibe expectativas de calidad de nivel enterprise
• Falta un framework para plugins de pago — de 110,000 usuarios regulares, solo unos 100 aportan apoyo económico (0.09%). Fuera de Ko-fi no hay una vía real de monetización
• Temor a una regresión hacia el código cerrado — se crean incentivos para volverse privado con tal de evitar el escaneo
• ¿Cuál es el verdadero criterio de confianza? — “más que la revisión de seguridad, importan más la vida útil del plugin, el nivel de soporte y la conexión con el desarrollador”
• Dice que trabajó 4 días para subir la puntuación hasta 78%

Respuesta de Steph Ango (kepano) — 292 likes en Reddit

• Un mes antes del lanzamiento, se compartieron con alpha testers (incluido Zsolt) el nuevo sitio, el dashboard y los avisos; además, se incorporaron cientos de cambios a partir del feedback de desarrolladores. Sin embargo, Zsolt no respondió durante ese período
• Los plugins populares ya existentes (incluido Excalidraw) fueron tratados con "grandfathered", es decir, con reglas más flexibles que las aplicadas a plugins nuevos
• Los nuevos plugins de código cerrado no serán aprobados por ahora; los ya existentes de código cerrado se mantienen
• Se añadieron política, etiquetas y filtros para plugins de pago, pero por las políticas de iOS/Android no es posible obligar al uso de pagos dentro de la app
• En el propio Obsidian, solo alrededor del 1% usa los servicios de pago Sync/Publish — un problema estructural en el que Big Tech ha consolidado la percepción de que el software debe ser gratis
• Él mismo fue antes desarrollador de temas/plugins populares, así que dice entender “el dolor de ver cambiar la plataforma bajo tus pies”

Reacción de la comunidad

• “En una era en la que los ataques a la cadena de suministro son cotidianos, dejarlo a la responsabilidad del usuario es algo ingenuo” (mesarthim_2, 112 likes)
• “Tomó una medición objetiva como un ataque personal. Si no te gusta la puntuación, lo correcto es arreglar la puntuación” (DeliriumTrigger)
• “La propia comunidad open source ayudó a instalar la idea de que ‘lo gratis es lo normal’. No tiene nada de vergonzoso hacerse rico con buen software” (mesarthim_2)
• “Las suscripciones cansan. Me atrae más una licencia de pago único + un paquete de Sync autohospedado” (rg_software)
• “Así como la IA ha bajado la barrera de entrada para desarrollar plugins, las auditorías de seguridad son indispensables” (Legal_1425)

Por qué importa

• La estructura asimétrica de “1 millón de usuarios × 4,000 plugins × 7 personas en el equipo core” — el caso de Obsidian muestra tal cual el dilema de gobernanza de cualquier ecosistema abierto operado por equipos pequeños (VSCode, Raycast, Logseq, etc.)
• Un intento por elevar la transparencia de seguridad puede terminar, paradójicamente, en burnout de desarrolladores hobby → retorno al código cerrado → cierre del ecosistema
• La pregunta central al final es: “No hay almuerzo gratis. ¿Quién va a pagar el costo?”

Texto original

• 💬 Reddit: https://reddit.com/r/ObsidianMD/…
• 📋 Anuncio oficial de Obsidian: The Future of Plugins