En este artículo
Resumen rápido
Aprende a usar MCP + GitHub con Claude Code para automatizar PRs, issues, code reviews y gestión de repositorios. Tutorial con ejemplos prácticos.
Setup paso a paso
Antes de poder interactuar con GitHub desde Claude Code, necesitas configurar el MCP server. El proceso tiene tres pasos: crear el token, configurar el servidor y verificar la conexión.
Paso 1: Crear un Personal Access Token
Ve a GitHub > Settings > Developer settings > Personal access tokens > Fine-grained tokens. Los Fine-grained tokens son preferibles a los Classic porque permiten limitar el acceso a repositorios específicos.
Selecciona los permisos necesarios según tu caso de uso:
- Contents (read/write): para leer y modificar archivos en repos
- Pull requests (read/write): para crear, comentar y mergear PRs
- Issues (read/write): para gestionar issues
- Metadata (read): siempre necesario como base
- Actions (read): si quieres interactuar con workflows de GitHub Actions
Define una fecha de expiración (90 días es un buen equilibrio entre seguridad y comodidad) y copia el token generado.
Paso 2: Configurar el MCP server
// .claude/settings.json
{
"mcpServers": {
"github": {
"command": "npx",
"args": ["-y", "@modelcontextprotocol/server-github"],
"env": {
"GITHUB_PERSONAL_ACCESS_TOKEN": "github_pat_tutoken"
}
}
}
}
Este archivo puede estar en tu directorio home (~/.claude/settings.json) para uso global, o en la raíz de un proyecto (.claude/settings.json) para configuración por proyecto. La configuración por proyecto es más segura porque limita el contexto.
Paso 3: Verificar la conexión
Reinicia Claude Code y verifica con /mcp que el servidor está activo. Deberías ver "github" en la lista de servidores conectados con un indicador verde.
Prueba con un comando simple: "Lista mis repositorios recientes". Si ves resultados, la conexión funciona correctamente.
Troubleshooting común
Si el servidor no conecta: verifica que tienes Node.js 18+ instalado, que el token no ha expirado, y que no hay errores de sintaxis en el JSON. El error más frecuente es un token con permisos insuficientes para la operación que intentas hacer.
Herramientas disponibles
El MCP server de GitHub expone herramientas para:
- Repositorios: buscar, crear, fork, obtener contenido de archivos
- Pull Requests: crear, listar, obtener detalles, reviews, comentarios, archivos cambiados
- Issues: crear, listar, comentar, actualizar estado
- Branches: crear ramas
- Commits: listar historial de commits
- Code Search: buscar código en repositorios
- Files: crear o actualizar archivos, push directo
Cada herramienta se invoca de forma natural mediante lenguaje. No necesitas memorizar comandos ni API endpoints. Claude Code traduce tu petición al tool call correspondiente.
Gestión de Pull Requests
Uno de los usos más potentes. Ejemplos reales:
# Crear un PR con los cambios actuales:
"Crea un PR con mis cambios. Título: Fix login redirect.
Describe los cambios en el body."
# Listar PRs abiertos:
"Muéstrame los PRs abiertos de este repo"
# Revisar un PR específico:
"Lee el PR #42, analiza los cambios y dime si hay
problemas de seguridad o rendimiento"
# Mergear un PR:
"Mergea el PR #42 con squash merge"
Claude Code lee los archivos cambiados, entiende el contexto del PR, y puede generar reviews detallados con comentarios inline.
Automatizar PR reviews
El review automático de PRs es donde esta integración brilla con más intensidad. Puedes configurar un flujo donde cada PR nuevo recibe un análisis automático antes de que un humano lo revise.
Review estructurado por categorías
# Prompt para review exhaustivo:
"Revisa el PR #58 con esta estructura:
SEGURIDAD:
- Inyección SQL, XSS, CSRF
- Manejo de secretos y credenciales
- Validación de inputs
RENDIMIENTO:
- Queries N+1
- Cálculos innecesarios en loops
- Caché missing
CALIDAD:
- Nombres descriptivos
- Funciones con responsabilidad única
- Tests para los cambios
ARQUITECTURA:
- Adherencia a patrones del proyecto
- Acoplamiento entre módulos
- Dependencias circulares
Deja comentarios inline en cada archivo afectado."
La ventaja sobre un linter es que Claude Code entiende el contexto del negocio. No solo detecta que falta un try/catch, sino que sabe que ese endpoint maneja pagos y por tanto necesita manejo de errores robusto.
Review enfocado en un aspecto
No siempre necesitas un review completo. A veces quieres verificar solo un aspecto:
# Solo seguridad:
"Revisa el PR #58 buscando únicamente vulnerabilidades
de seguridad. Ignora estilo y naming."
# Solo tests:
"Revisa si los tests del PR #58 cubren los casos edge.
¿Qué escenarios faltan?"
# Solo backward compatibility:
"¿Los cambios del PR #58 rompen backward compatibility
con la API v2?"
Gestión de Issues
La gestión de issues va más allá de crear y cerrar. Con MCP puedes construir un sistema de triaje completo.
# Crear un issue:
"Crea un issue: el formulario de contacto no válida
el email correctamente. Prioridad alta."
# Listar issues por etiqueta:
"Muéstrame todos los issues con label 'bug' abiertos"
# Comentar en un issue:
"Añade un comentario al issue #15 diciendo que está
arreglado en el PR #42"
# Cerrar issue:
"Cierra el issue #15 con un comentario de resolución"
Triaje automático de issues
Configura un workflow donde Claude Code clasifica issues nuevos automáticamente:
# Clasificar un issue nuevo:
"Lee el issue #23. Basándote en su contenido:
1. Asígnale labels apropiados (bug, feature, docs, etc.)
2. Estima la prioridad (P0-P3)
3. Sugiere a quién asignarlo del equipo
4. Si es un bug, pide más información si falta el
entorno o los pasos para reproducir"
Este flujo es especialmente útil en proyectos open source con alto volumen de issues. En lugar de que un maintainer dedique 30 minutos al día a triaje, la IA hace la primera pasada y el humano solo revisa y confirma.
Code Reviews automáticos
El caso de uso estrella. Claude Code puede hacer reviews de PRs tan buenos (o mejores) que un humano:
# Review completo:
"Haz un code review del PR #42. Revisa:
1. Bugs potenciales
2. Problemas de seguridad
3. Calidad del código
4. Tests faltantes
Deja comentarios en las líneas relevantes."
Claude Code lee cada archivo cambiado, analiza el contexto (no solo el diff, sino el código circundante), y deja comentarios constructivos directamente en el PR.
Combinado con modo headless en CI/CD, puedes tener reviews automáticos en cada PR sin intervención humana.
Review humano + IA
El review automático no reemplaza al humano: lo complementa. La IA detecta bugs mecánicos, problemas de estilo y vulnerabilidades conocidas. El humano evalúa la arquitectura, la lógica de negocio y la experiencia de usuario.
Búsqueda de código
El MCP de GitHub permite buscar código en cualquier repositorio público (y privados si tu token tiene acceso):
# Buscar implementaciones de referencia:
"Busca en GitHub repos de Python que implementen
rate limiting con FastAPI"
# Buscar en tu organización:
"Busca en los repos de mi org dónde se usa la
función deprecated_auth_handler"
# Investigar una librería:
"Busca ejemplos de uso de Qdrant con LangChain
en repositorios populares"
Esta funcionalidad convierte a Claude Code en un motor de investigación técnica. En lugar de buscar en Google, copiar URLs y volver al IDE, haces la búsqueda y el análisis en un solo paso.
Integración con CI/CD
La combinación de MCP GitHub con el modo headless de Claude Code abre la puerta a pipelines de CI/CD inteligentes.
GitHub Actions + Claude Code
Puedes crear un workflow de GitHub Actions que ejecute Claude Code en cada PR para hacer review automático:
# .github/workflows/ai-review.yml
name: AI Code Review
on:
pull_request:
types: [opened, synchronize]
jobs:
review:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: Run Claude Code Review
env:
ANTHROPIC_API_KEY: ${{ secrets.ANTHROPIC_API_KEY }}
GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
run: |
npx claude-code --headless \
"Review PR #${{ github.event.pull_request.number }}. \
Focus on security, performance, and test coverage. \
Leave comments on the PR."
Con esta configuración, cada PR recibe un review automático en menos de 2 minutos. El equipo humano revisa después con el contexto que la IA ya proporcionó.
Pre-merge checks inteligentes
Más allá del review, puedes usar Claude Code para verificaciones pre-merge:
- Documentación: "¿Los cambios del PR actualizan la documentación afectada?"
- Breaking changes: "¿Este PR introduce cambios qué rompen la API pública?"
- Dependencias: "¿Las nuevas dependencias tienen vulnerabilidades conocidas?"
- Migrations: "¿Las migraciones de base de datos son reversibles?"
Consideraciones de seguridad
Automatizar el acceso a repositorios conlleva responsabilidades. Sigue estas prácticas para minimizar riesgos:
Principio de mínimo privilegio
- Usa Fine-grained tokens en lugar de Classic tokens siempre que sea posible
- Limita el token a los repositorios específicos que necesitas
- Otorga solo los permisos necesarios para cada operación
- Crea tokens diferentes para diferentes propósitos (uno para read-only, otro para write)
Rotación de tokens
Los tokens deben rotarse periódicamente. Configura una expiración de 90 días y programa un recordatorio para regenerar antes de que expire. GitHub envía emails de aviso cuando un token está por expirar.
Secretos en CI/CD
Nunca hardcodees tokens en archivos de configuración que se commiteen al repo. Usa:
- GitHub Actions secrets: para workflows de CI/CD
- Variables de entorno: para desarrollo local
- Gestores de secretos: (1Password CLI, Vault) para equipos
Auditoría de acceso
Revisa periódicamente los logs de acceso del token en GitHub > Settings > Tokens > (token) > Activity. Esto te permite detectar usos no autorizados o patrones anómalos.
Seguridad en organizaciones
Si tu organización tiene SSO habilitado, cada token debe ser autorizado para la org. Los admins pueden revocar el acceso de tokens individuales desde la configuración de la organización. Implementa una política de revisión trimestral de tokens activos.
Workflows avanzados
Auto-merge con condiciones
Configura un flujo donde los PRs que cumplen ciertos criterios se mergean automáticamente:
# Workflow de auto-merge:
"Si el PR #55 cumple todas estas condiciones:
1. Todos los checks de CI pasan
2. No tiene cambios en archivos de configuración
3. Solo modifica archivos de test
4. Tiene al menos un approval
Entonces mergealo con squash."
Este patrón es útil para PRs de mantenimiento: actualizaciones de dependencias, fixes de typos, o mejoras de tests que no afectan al código de producción.
Gestión automática de labels
Claude Code puede analizar el contenido de un PR y asignar labels automáticamente basándose en los archivos modificados:
# Auto-labeling por contexto:
"Analiza el PR #60. Basándote en los archivos cambiados:
- Si toca /api/ → label 'backend'
- Si toca /components/ → label 'frontend'
- Si toca /tests/ → label 'tests'
- Si toca /docs/ → label 'documentation'
- Si modifica package.json → label 'dependencies'
Aplica todas las labels que correspondan."
Release notes automáticas
"Genera las release notes para la v2.3.0 basándote en los commits desde el último tag." Claude lee el historial de commits y genera un changelog estructurado con categorías (features, fixes, breaking changes).
Migración de código
"Busca todos los archivos que usan la API v1 y crea un PR que los migre a la API v2." Claude busca, modifica, y crea el PR, todo en una sola petición.
Documentación de repos
"Lee el código de este repo y genera un README completo." Claude analiza la estructura, lee los archivos principales, y genera documentación actualizada.
Dependency updates inteligentes
En lugar de mergear cada update de Dependabot a ciegas, pide a Claude Code que analice el changelog de la dependencia y determine si el update es seguro:
"Lee el PR de Dependabot #71 que actualiza lodash de
4.17.20 a 4.17.21. Busca el changelog de esa versión
y determina si es un patch seguro o si hay breaking
changes. Si es seguro, apruébalo."
Preguntas frecuentes
Es seguro dar acceso a mi repositorio mediante MCP?
Sí, siempre que sigas las buenas prácticas: tokens con permisos mínimos, Fine-grained en lugar de Classic, rotación periódica y nunca compartir el token. El MCP server solo accede a lo que el token permite, y la comunicación con la API de GitHub usa HTTPS.
Puedo usar MCP GitHub con repositorios de organizaciones?
Sí. Necesitas un token con scope 'read:org' además de 'repo'. Si la organización tiene SSO habilitado, debes autorizar el token para esa organización desde GitHub Settings > Personal access tokens > Configure SSO.
Cuántas operaciones puedo hacer por hora?
GitHub permite 5.000 requests por hora con un token autenticado. Para la mayoría de uso con Claude Code, esto es más que suficiente. Si llegas al límite, el MCP server devuelve un error de rate limiting y puedes reintentar después.
Funciona con GitHub Enterprise?
Sí. Necesitas configurar la variable de entorno GITHUB_API_URL apuntando a tu instancia Enterprise. El resto funciona igual.
Siguiente paso
Configura el MCP de GitHub y empieza con un code review automático. Es el caso de uso que más valor aporta con menos esfuerzo. Después explora MCP + Supabase para base de datos y la guía general de configuración de MCP servers.
Si ya dominas los reviews y quieres escalar, configura el workflow de GitHub Actions para que cada PR reciba review automático sin que tengas que ejecutar nada manualmente. Eso es CI/CD inteligente.
GitHub + IA: tu repositorio en piloto automático
Los 3 primeros módulos de IAcademy son gratis. Incluyen GitHub MCP, reviews automáticos y workflows CI/CD.
Empieza gratisCurso completo: 108 módulos de IA aplicada
11 especializaciones por departamento. Dashboard con progreso. Quizzes y skills desbloqueables. Desde 399 EUR.