Skills de Claude Code que vale la pena instalar ahora mismo (2026)

Skills de Claude Code que vale la pena instalar ahora mismo (2026)

Setenta y seis de ellos fueron diseñados para robar tus credenciales.

Ese número proviene de una auditoría de Snyk publicada el mes pasado. Escanearon 3,984 skills del registro skills.sh — el marketplace de skills multi-agente que Vercel lanzó en enero — y descubrieron que el 36% tenía algún tipo de fallo de seguridad. La mayoría era código descuidado, entradas sin validar, acceso a archivos demasiado permisivo. Pero 76 eran genuinamente maliciosos. Keyloggers disfrazados de ayudantes de linting. Extractores de tokens envueltos en skills de formato aparentemente inocentes. Uno se hacía pasar por un embellecedor de Markdown mientras enviaba silenciosamente el contenido de tu .env a un endpoint externo cada vez que lo invocabas.

Leí ese informe un viernes por la noche e inmediatamente audité cada skill que tenía instalado. Eliminé tres que no pude verificar completamente. Reemplacé dos con alternativas de fuentes en las que confío. Y entonces me quedé con una pregunta que me ha estado rondando desde entonces: con más de 60,000 skills en el registro, ¿cómo puede alguien separar la señal del ruido sin entregar accidentalmente sus claves API a un desconocido?

De eso trata realmente este artículo. No es una lista de "herramientas geniales". Es una selección filtrada, probada y con opinión de 10 skills de Claude Code que he instalado, usado en proyectos reales, y que recomendaría a otro desarrollador sin dudarlo. Compartiré mis criterios exactos de filtrado, los comandos de instalación, y — para cada skill — el momento específico en el que pensé "vale, esto realmente cambió mi flujo de trabajo."

Hay un detalle con uno de estos skills que se encuentra en una zona gris legal. Seré honesto al respecto cuando lleguemos ahí.

El filtro que eliminó 59,990 skills

Antes de recorrer la lista, necesitas entender cómo evalúo los skills. El registro es enorme. Ordenar por número de instalaciones ayuda, pero la popularidad no es seguridad y la popularidad no es calidad. He visto skills con más de 50,000 instalaciones que apenas hacen algo útil.

Mi filtro tiene cuatro preguntas. Un skill necesita pasar las cuatro o no se instala:

¿Resuelve un problema real? No una incomodidad teórica. Algo que realmente me ralentiza o produce peores resultados en proyectos reales. Si no puedo señalar un momento específico en el último mes donde este skill habría ayudado, queda descartado.

¿Ahorra tiempo real? Hablo de minutos medibles, no de "se siente más rápido". Si el tiempo de configuración más la curva de aprendizaje supera lo que ahorraría en las primeras dos semanas, no vale la sobrecarga cognitiva.

¿Es confiable la fuente? Aquí es donde el informe de Snyk cambió mi comportamiento. Ahora verifico tres cosas: quién lo publicó (individuo vs. organización establecida), si el repositorio tiene código visible que pueda auditar, y si el skill solicita permisos que coinciden con su propósito declarado. ¿Un formateador de Markdown que quiere acceso a la red? Desinstalar.

¿Puedo demostrar que funciona? Tengo que verlo producir un resultado que no habría obtenido sin él. No marginalmente mejor — notablemente mejor. Si instalo un skill y no puedo mostrarle a alguien un antes/después concreto en diez minutos, no pasa esta prueba.

Diez skills sobrevivieron. Aquí está el primero — y es el que hace que encontrar los otros nueve sea trivialmente fácil.

1. find-skills — El navegador del registro que instalas primero

Editor: Vercel Labs | Instalaciones: 418K+

El registro de skills tiene más de 60,000 entradas. Navegarlo a través de una interfaz web es doloroso. Navegarlo desde dentro de Claude Code, donde realmente vas a usar estos skills, es la jugada obvia — y eso es exactamente lo que hace find-skills.

npx skills add https://github.com/vercel-labs/skills --skill find-skills

Así es como realmente lo uso. La semana pasada comencé un nuevo proyecto que involucraba análisis de facturas PDF para el pipeline contable de un cliente. En lugar de cambiar de pestaña al navegador, buscar en el registro, leer descripciones, copiar comandos de instalación — le pregunté directamente a Claude. "Encuentra skills relacionados con análisis de PDF." Buscó, devolvió cinco opciones con descripciones y conteos de instalación, y elegí uno y lo instalé sin salir de mi terminal.

Toda la interacción tomó unos 40 segundos. Eso no cambia la vida por sí solo. Pero multiplícalo por cada nuevo proyecto, cada vez que te preguntas "¿alguien ya habrá creado un skill para esto?" — y el ahorro de tiempo acumulado se vuelve significativo.

Algo que aprecio: te muestra el repositorio fuente antes de la instalación. Dado el panorama de seguridad que describí antes, eso importa. Puedes echar un vistazo a quién lo creó y tomar una decisión rápida de confianza antes de que cualquier cosa toque tu sistema.

Si no instalas nada más de esta lista, instala este. Es la puerta de entrada a todo lo demás. Hablando de todo lo demás — el siguiente skill cambió fundamentalmente cómo abordo el trabajo de UI con Claude.

2. frontend-design — El skill que impidió que mis UIs parecieran generadas por IA

Editor: Anthropic | Instalaciones: 124K+

Voy a admitir algo. Antes de este skill, cada UI que construía con Claude se veía... bien. Funcional. Limpia, incluso. Pero idéntica a cualquier otra interfaz generada por IA en internet. Las mismas esquinas redondeadas, los mismos degradados azul-púrpura, el mismo espaciado sospechosamente perfecto que de alguna forma seguía sintiéndose sin vida.

El problema no era la capacidad de codificación de Claude. El problema era que Claude saltaba directamente de "constrúyeme una landing page" a escribir HTML y CSS sin detenerse jamás a pensar en la dirección visual. Sin atmósfera. Sin justificación de paleta. Sin sistema tipográfico. Solo... buen gusto por defecto, que es otra manera de decir ningún gusto en absoluto.

npx skills add https://github.com/anthropics/skills --skill frontend-design -a claude-code

Lo que hace frontend-design es engañosamente simple: obliga a Claude a comprometerse con una dirección visual real antes de escribir una sola línea de código. Cuando lo invoco, Claude me hace de 3 a 5 preguntas sobre la estética que busco. No preguntas vagas como "¿qué estilo quieres?" — sino preguntas precisas. ¿Qué emoción debería crear la página? ¿Quién es la audiencia y qué esperan visualmente? ¿Hay marcas cuya estética resuena con lo que estás construyendo?

Luego establece un sistema de diseño. Tokens de color, escala tipográfica, ritmo de espaciado, patrones de componentes. Solo después de que esa base existe comienza a escribir código.

Usé esto en una landing page de SaaS para un proyecto de cliente a través de Ramlit el mes pasado. El resultado parecía que un diseñador había estado involucrado. No porque Claude de repente se convirtiera en diseñador — sino porque el skill impuso las mismas restricciones que un buen diseñador se impondría a sí mismo. Las restricciones producen coherencia. La coherencia produce la sensación de calidad.

La diferencia entre "UI generada por IA" y "UI que casualmente fue construida con IA" radica casi por completo en si alguien se detuvo a definir el sistema visual primero. Este skill automatiza esa pausa.

Pero una buena dirección visual no significa nada si el código subyacente tiene problemas de accesibilidad y rendimiento. Ahí es donde el siguiente skill se gana su lugar.

3. web-design-guidelines — Más de 100 reglas que no tienes que recordar

Editor: Vercel Labs | Instalaciones: 137K+

Envié un componente de dashboard hace dos semanas. Se veía genial. Funcionaba perfectamente en Chrome en mi MacBook. Luego lo pasé por la auditoría de este skill, y Claude encontró seis problemas que había pasado por alto: dos violaciones de accesibilidad (etiquetas ARIA faltantes en elementos interactivos, contraste de color insuficiente en un botón secundario), un problema de rendimiento (una imagen sin optimizar cargándose above the fold sin consideración de lazy-load), y tres inconsistencias de layout que se habrían roto en viewports más pequeños.

npx skills add vercel-labs/agent-skills --skill web-design-guidelines -a claude-code

Vercel incluyó más de 100 reglas en este skill — estándares de accesibilidad, mejores prácticas de rendimiento, patrones de diseño responsive, convenciones de HTML semántico. Claude verifica tu código contra todas ellas automáticamente.

Esto es lo que lo diferencia de ejecutar un linter. Los linters detectan problemas de sintaxis. Este detecta problemas de diseño. Cosas que un desarrollador frontend senior notaría en una revisión de código pero que un linter nunca señalaría. "Este botón es técnicamente accesible pero el área de toque es demasiado pequeña para móvil." "Este layout funciona pero la jerarquía visual no guía la vista correctamente." Ese tipo de feedback.

He empezado a ejecutar esto como verificación final antes de cada PR de frontend. Añade unos dos minutos a mi flujo de trabajo y consistentemente detecta cosas que habría enviado de otra manera. Dos minutos que previenen la conversación de "oh, no me di cuenta de eso" en QA.

Los tres skills que he cubierto hasta ahora manejan descubrimiento, diseño y calidad de código. El siguiente opera a un nivel completamente diferente — cambia cómo Claude piensa antes de construir cualquier cosa.

4. obra/superpowers — La fase de pensamiento que reduce ciclos de revisión

Editor: obra (Jesse Vincent) | Categoría: Brainstorming

Este no genera código. No toca archivos. No produce ningún artefacto visible. Y podría ser el skill más impactante de esta lista.

npx skills add https://github.com/obra/superpowers --skill brainstorming -a claude-code

Lo que hace superpowers es insertar una fase de pensamiento estructurado antes de que Claude comience a ejecutar. Cuando le pides a Claude que construya algo — digamos, un sistema de autenticación — el comportamiento por defecto es lanzarse a escribir código de inmediato. Eso es rápido, pero es el tipo de rapidez que lleva a tres rondas de "en realidad, también necesito..." y "espera, ¿qué pasa con..." revisiones.

Con este skill activo, Claude hace una pausa. Saca a la superficie restricciones que no has mencionado. Casos extremos que no has considerado. Enfoques alternativos que vale la pena evaluar. Modos de fallo que serían costosos de descubrir después.

Lo probé en un sistema de autenticación multi-tenant para un proyecto de cliente. Sin el skill, Claude habría construido un flujo de autenticación de estrategia única perfectamente funcional que luego tendría que iterar cuando el cliente mencionara que necesita Google SSO, magic links Y email/contraseña tradicional. Con el skill, Claude me preguntó de entrada: ¿qué proveedores de autenticación, qué estrategia de sesión, algún requisito multi-tenant, preferencias de expiración de tokens?

La implementación final fue dramáticamente mejor en el primer intento. Lo rastreé informalmente durante un mes — aproximadamente un 30% menos de rondas de revisión en tareas donde usé este skill versus tareas donde no lo hice. Eso no es un estudio científico. Pero el patrón fue lo suficientemente consistente como para que dejara de desactivarlo.

El skill funciona porque imita lo que los desarrolladores experimentados hacen naturalmente: pensar antes de codificar. La mayoría de nosotros nos saltamos ese paso cuando usamos IA porque todo el punto parece ser la velocidad. Este skill argumenta — de manera convincente — que una fase de pensamiento de dos minutos ahorra veinte minutos de retrabajo.

Bien, pensar mejor es poderoso. Pero ¿qué hay de construir tus propios skills para que Claude piense de la manera que tú específicamente necesitas? Ese es el skill número cinco.

5. skill-creator — Crea skills personalizados sin escribir código

Editor: Anthropic

Todo desarrollador tiene flujos de trabajo que repite. Revisión de código con criterios específicos. Descripciones de PR en un formato particular. Verificaciones de validación de datos contra un esquema conocido. Explicas estos flujos a Claude, los hace bien, y luego en la siguiente sesión los explicas de nuevo. Y otra vez.

npx skills add https://github.com/anthropics/skills --skill skill-creator

skill-creator te permite convertir cualquier flujo de trabajo repetido en un skill permanente de Claude Code describiéndolo en lenguaje natural. Sin código requerido. Le dices lo que quieres que Claude haga — los pasos, el formato, las restricciones — y genera un archivo SKILL.md completo que Claude carga automáticamente en futuras sesiones.

Construí un skill /review para mi propio proceso de revisión de código. Tengo preferencias específicas: quiero que las implicaciones de seguridad se señalen primero, quiero que las preocupaciones de rendimiento estén separadas de las preocupaciones de estilo, quiero una calificación de severidad en cada hallazgo, y quiero el resumen en un formato específico que mi equipo en Ramlit reconoce. Antes de este skill, reexplicaba todo eso cada vez. Ahora escribo /review y Claude ya lo sabe.

Todo el proceso tomó una conversación. Describe el flujo de trabajo, responde algunas preguntas de clarificación, y el skill-creator genera el SKILL.md. Listo.

Pero aquí está el verdadero poder — y esto es algo que no aprecié hasta que construí tres o cuatro skills personalizados. Estos se acumulan. Cada skill personalizado elimina una conversación más de "configuración" de tu día. Después de un mes, Claude comienza una sesión ya conociendo tu formato de revisión, tu estilo de mensajes de commit, tu estructura de documentación, tus preferencias de testing. Pasa de ser un asistente genérico poderoso a ser tu asistente. Ese cambio importa más que cualquier skill individual de esta lista.

Hay una herramienta específica en mi stack que se benefició enormemente de este tipo de personalización: Obsidian. Y el siguiente skill está específicamente diseñado para ella.

6. obsidian-skills — Porque el Markdown de Obsidian no es Markdown normal

Editor: kepano (Steph Ango, CEO de Obsidian)

Si no usas Obsidian, salta al skill número siete. Si usas Obsidian, este skill te salvará de una frustración específica que probablemente ya has experimentado.

El Markdown estándar y el Markdown de Obsidian no son lo mismo. Obsidian tiene su propia sintaxis para enlaces internos ([[nombre de nota]]), su propio sistema de consultas (Bases, anteriormente Dataview), diseños Canvas, bloques específicos de plugins, y una docena de otras extensiones que los generadores de Markdown estándar — incluido Claude — no conocen.

Sin este skill, pedirle a Claude que genere contenido compatible con Obsidian es un ejercicio de corrección manual. Los enlaces internos salen como enlaces Markdown estándar. Las consultas de Base se formatean como bloques de código en lugar de consultas en vivo. Las referencias de Canvas se rompen por completo.

/plugin marketplace add kepano/obsidian-skills

O clónalo manualmente en el directorio .claude/ dentro de tu vault.

Uso Obsidian como mi segundo cerebro para notas de proyectos, investigación y borradores de escritura. Cuando le pedí a Claude que generara una nota de investigación con enlaces internos a tres notas existentes, una consulta de Bases para páginas relacionadas, y un diseño Canvas — sin este skill, las tres cosas fallaron. Con él, funcionaron al primer intento.

El hecho de que esto venga del propio Steph Ango — el CEO de Obsidian — me da confianza en que se mantendrá actualizado a medida que evolucione la sintaxis de Obsidian. Eso importa para una herramienta que uso diariamente.

Este skill tiene un alcance limitado. Hace una cosa. Pero para usuarios de Obsidian, hace esa cosa perfectamente, y ningún otro skill en el registro se le acerca. Ahora — de la gestión del conocimiento personal al manejo profesional de documentos. El siguiente skill (o más bien, familia de skills) resuelve un problema que me ha estado molestando desde que se lanzó Claude Code.

7. PDF / DOCX / PPTX / XLSX — Análisis de documentos que realmente funciona

Editor: Anthropic

Claude Code no puede leer nativamente la mayoría de formatos de documentos. Puedes pegar texto, claro. Pero ¿pasarle un PDF y preguntar sobre la página 34? ¿Un DOCX con tablas incrustadas? ¿Una hoja de Excel con múltiples pestañas? Sin análisis dedicado, estás copiando y pegando contenido manualmente, perdiendo formato, omitiendo tablas, y desperdiciando tiempo que podrías dedicar al trabajo real.

npx skills add https://github.com/anthropics/skills --skill pdf
npx skills add https://github.com/anthropics/skills --skill docx

Hay skills correspondientes para PPTX y XLSX siguiendo el mismo patrón del mismo repositorio de Anthropic.

Aquí está el momento en que esto se volvió indispensable para mí. Un cliente envió un contrato SaaS de 40 páginas como PDF. Querían que revisara las obligaciones técnicas — SLAs de disponibilidad, requisitos de residencia de datos, límites de tasa de API enterrados en los términos. Normalmente eso son 90 minutos de lectura cuidadosa, cruzando cláusulas, construyendo un resumen.

Dejé el PDF en el directorio de mi proyecto, invoqué el skill, y le pedí a Claude que extrajera todas las cláusulas de terminación, topes de responsabilidad y términos de propiedad de datos. Resumen limpio y estructurado en 45 segundos. No una visión general aproximada — un desglose cláusula por cláusula con referencias de página.

Aun así leí el contrato yo mismo después. No estoy externalizando la revisión legal a una IA. Pero tener el resumen de Claude como mapa significó que sabía exactamente dónde enfocar mi atención. Los 90 minutos se convirtieron en 25.

Esta familia de skills es aburrida. No hay nada emocionante sobre el análisis de documentos. Pero las herramientas aburridas que ahorran una hora por uso valen más que las herramientas llamativas que invocas una vez y olvidas. Y hablando de herramientas que ahorran tiempo de investigación — los siguientes dos skills manejan un tipo de investigación que tradicionalmente ha sido dolorosa desde una terminal.

8. x-research-skill — Investigación en Twitter sin la factura de $100/mes de API

Editor: rohunvora

Necesito ser transparente con este. Funciona. Es genuinamente útil. Y opera en una zona gris que deberías entender antes de instalarlo.

La API oficial de Twitter cuesta un mínimo de $100 por mes para cualquier acceso significativo. Ese es el nivel Basic. Para investigación seria — extraer timelines de usuarios, buscar tweets por palabra clave, analizar hilos — estás viendo el nivel Pro o superior. Para un desarrollador independiente que hace investigación ocasional, es un costo difícil de justificar.

Este skill elude la API por completo. Usa emulación de cliente TLS para extraer tweets, hilos y timelines de usuarios directamente. Sin clave API, sin tarifa mensual. Obtienes capacidad de investigación completa desde tu terminal.

mkdir -p .claude/skills
cd .claude/skills
git clone https://github.com/rohunvora/x-research-skill.git x-research

Necesitarás Bun instalado y una variable de entorno X_BEARER_TOKEN configurada.

He usado esto para investigación de contenido — entender cómo los desarrolladores hablan sobre un framework antes de escribir sobre él, identificar los verdaderos puntos de dolor que la gente menciona (que a menudo son diferentes de lo que enfocan los artículos de blog), rastrear el sentimiento alrededor de nuevos lanzamientos. El mes pasado extraje los últimos 50 tweets que mencionaban una función específica de Claude Code, resumí el sentimiento e identifiqué las tres quejas más repetidas. Todo el proceso tomó menos de dos minutos.

Ahora, la parte honesta. La emulación TLS para eludir restricciones de API es una zona gris. No es ilegal en la mayoría de jurisdicciones — no hay ley contra hacer solicitudes HTTP que parezcan de un navegador. Pero sí sortea el modelo de acceso previsto por Twitter, y los términos de servicio de la plataforma son una consideración separada. Yo lo uso para investigación, no para automatización o scraping a escala. Tu tolerancia al riesgo puede diferir de la mía.

Debatí si incluir este skill. Lo incluí porque resuelve un problema genuino — Twitter es una fuente crítica para el sentimiento de desarrolladores y no debería necesitar pagar $1,200 al año para buscarlo — pero quería que tuvieras el panorama completo.

El siguiente skill tiene una premisa similar de "acceder a algo que normalmente está bloqueado", pero con un enfoque técnico completamente diferente.

9. reddit-fetch — Investigación en Reddit a través de una puerta trasera de Gemini

Editor: ykdojo

Reddit bloquea las solicitudes de agentes de IA. Si has intentado obtener contenido de Reddit desde Claude Code, te has topado con este muro. Las solicitudes son rechazadas, y vuelves a navegar hilos manualmente y copiar y pegar citas.

Este skill toma un enfoque creativo: se enruta a través de Gemini CLI — que tiene acceso web en vivo — vía tmux, luego pasa los resultados de vuelta a Claude. Es esencialmente un relay. Claude le pide a Gemini que obtenga el contenido de Reddit, Gemini lo hace (porque el acceso del crawler de Google a Reddit está establecido), y el contenido regresa a tu sesión de Claude.

npx skills add https://github.com/ykdojo/claude-code-tips --skill reddit-fetch

Necesitarás Gemini CLI instalado y autenticado para que esto funcione.

Lo uso para el mismo tipo de investigación que el skill de Twitter pero para una audiencia diferente. Los hilos de Reddit sobre herramientas de desarrollo contienen una crudeza que no encuentras en artículos de blog o tweets. La gente se queja más honestamente en Reddit. Describen sus frustraciones reales en detalle. Cuando estoy construyendo una herramienta o escribiendo sobre una tecnología, conocer las quejas reales — no la versión pulida de "feedback constructivo" — es invaluable.

La semana pasada extraje los hilos principales de r/programming sobre una herramienta de despliegue que estaba evaluando. La frustración recurrente no era sobre las características de la herramienta (que cada review cubre) sino sobre su ruta de actualización que rompía configuraciones existentes. Ese es el tipo de señal que cambia una decisión técnica. No lo habría encontrado leyendo el changelog o los blog posts de la herramienta.

Advertencia: este skill depende del acceso web continuo de Gemini CLI y de que tmux esté disponible en tu entorno. Si cualquiera de esos se rompe, el skill deja de funcionar. Es una cadena de dependencias, y las cadenas de dependencias son frágiles. Lo he estado usando durante unas seis semanas sin problemas, pero no construiría un flujo de trabajo crítico sobre él.

Hemos cubierto investigación, diseño, pensamiento, análisis de documentos y automatización de flujos de trabajo. El último skill va a un lugar diferente — un lugar que me importa profundamente dado mi trabajo en ciberseguridad. Encuentra vulnerabilidades en tu código antes de que te encuentren a ti.

10. trailofbits/skills — Escaneo de seguridad de los mejores del negocio

Editor: Trail of Bits

Trail of Bits no es una cuenta aleatoria de GitHub. Son una de las firmas de investigación en seguridad más respetadas del mundo. Su lista de clientes incluye auditorías de protocolos importantes, compromisos con empresas Fortune 500, y trabajo fundacional en herramientas como Slither, Echidna y Manticore. Cuando Trail of Bits publica herramientas de seguridad, presto atención.

/plugin marketplace add trailofbits/skills
/plugin menu

Este conjunto de skills trae análisis estático de CodeQL y Semgrep directamente a tu flujo de trabajo de Claude Code. En lugar de ejecutar escáneres de seguridad por separado, revisar informes en otra ventana, y luego volver a corregir cosas — Claude ejecuta el análisis, interpreta los resultados, y puede corregir los problemas en la misma sesión.

Lo probé en un módulo de autenticación que acababa de escribir. Claude señaló dos vulnerabilidades de inyección potenciales — una en la capa de validación de entrada que había considerado "suficientemente buena" y una en una consulta de base de datos que había parametrizado incorrectamente — más una superficie de ataque de temporización en la función de comparación de tokens. Cosas sutiles. El tipo de hallazgos que sobrevivirían una revisión de código estándar pero no una auditoría de seguridad dedicada.

Las tres eran corregibles en menos de diez minutos. Sin el escaneo, habrían llegado a producción. Con mi experiencia en xCyberSecurity, la ironía de enviar código de autenticación vulnerable habría sido especialmente dolorosa.

Este es el skill que recomiendo con más urgencia a cualquiera que escriba código que maneje autenticación, procesamiento de pagos o datos de usuarios. El análisis estático no reemplaza una prueba de penetración completa — pero detecta las vulnerabilidades fáciles que representan la mayoría de las brechas del mundo real. Ejecutarlo te cuesta cinco minutos. No ejecutarlo te cuesta mucho más cuando algo sale mal.

El skill que casi entró en la lista

Quiero mencionar uno que no pasó del todo mi filtro: un skill de análisis de historial de shell que rastrea tus comandos más usados y sugiere alias. Idea inteligente. Pero cuando lo probé, el ahorro de tiempo era marginal — quizás 30 segundos al día — y requería acceso persistente al historial del shell, lo que se sentía como más superficie expuesta de la que quería. Resolvía una molestia real pero no un dolor real. Cerca, pero mi filtro existe por algo.

También hubo un skill de visualización de esquemas de base de datos con números de instalación decentes. Bonita salida, pero no pude demostrar que hiciera algo que no pudiera hacer con un rápido \d+ en psql o un diagrama de DataGrip. La prueba de "¿puedo demostrar que funciona?" lo eliminó.

Menciono estos porque el filtro importa más que la lista. Los skills van y vienen. Mañana se lanzarán nuevos que podrían ser mejores que la mitad de lo que he recomendado aquí. El filtro es lo que te protege de instalar 40 skills que nunca usarás mientras te pierdes los tres que transformarían tu flujo de trabajo.

Una nota sobre seguridad — Porque 76 skills maliciosos no es un número pequeño

Abrí este artículo con los hallazgos de Snyk, y quiero cerrar el círculo antes de terminar.

El 36% de los skills escaneados tenían fallos de seguridad. Eso es más de uno de cada tres. Y 76 eran activamente maliciosos — diseñados para robar credenciales, exfiltrar datos o establecer persistencia en tu máquina. Esto no es un riesgo teórico. Este es el estado actual del ecosistema a marzo de 2026.

Esto es lo que hago, en la práctica:

Verificación de fuente. Prefiero fuertemente skills de Anthropic, Vercel Labs y organizaciones establecidas (Trail of Bits, kepano/Obsidian). Para editores individuales, leo el código fuente antes de instalar. Sí, realmente lo leo. Los archivos SKILL.md suelen ser lo suficientemente cortos para revisar en cinco minutos.

Conciencia de permisos. ¿Solicita el skill capacidades que coinciden con su propósito? Un parser de PDF necesita acceso de lectura a archivos. Una herramienta de investigación de Twitter necesita acceso a la red. ¿Un formateador de código que quiere ambos? Sospechoso.

El conteo de instalaciones no es confianza. Los conteos altos de instalación significan popularidad, no seguridad. El informe de Snyk encontró skills maliciosos con miles de instalaciones. La gente instala cosas sin auditarlas. No seas esa gente.

Auditorías regulares. Una vez al mes, reviso mis skills instalados y pregunto: ¿sigo usando esto? ¿Se mantiene el repositorio? ¿Ha cambiado algo en los permisos? Si no puedo responder con confianza, lo elimino.

El ecosistema de skills es poderoso. También es joven, en gran parte sin moderación, y crece más rápido de lo que cualquiera puede auditar. Trátalo como tratarías cualquier ecosistema de paquetes — con entusiasmo templado por la precaución.

Lo que cambia cuando realmente los instalas

Quiero ser específico sobre el impacto acumulativo porque las descripciones individuales de skills lo subestiman.

Antes de adoptar esta selección, una sesión típica de Claude Code involucraba mucha conversación de configuración. Explicar mis preferencias de revisión. Definir la dirección visual para una UI. Alimentar manualmente el contenido de documentos. Ejecutar escaneos de seguridad en una terminal separada. Navegar Reddit en mi teléfono para verificar el sentimiento de los desarrolladores sobre una librería antes de comprometerme con ella.

Después — y esto tomó unas dos semanas de adopción gradual, no una transformación de la noche a la mañana — la mayor parte de esa fricción desapareció. Claude comienza las sesiones con mis flujos de trabajo ya cargados. El trabajo de diseño comienza con una conversación estética real en lugar de elecciones por defecto. El análisis de documentos ocurre en la terminal. El escaneo de seguridad es parte del proceso de construcción, no una ocurrencia tardía.

El ahorro de tiempo es real pero difícil de cuantificar con precisión. Mi estimación aproximada: 40-60 minutos por día a lo largo de todas las pequeñas eficiencias. Parte de eso es ahorro directo de tiempo (análisis de documentos, investigación). Parte es indirecto (menos ciclos de revisión por mejor pensamiento previo, menos bugs por escaneo de seguridad automatizado). Parte es simplemente el efecto compuesto de eliminar pequeñas fricciones — del tipo que individualmente parecen triviales pero que colectivamente fragmentan tu enfoque.

El cambio más importante es cualitativo. Claude Code pasó de ser una herramienta que uso a ser una herramienta que sabe cómo trabajo. Esa es una relación diferente con tus herramientas, y es una que vale la pena construir intencionalmente.

Tu turno

No necesitas los diez. Puede que no necesites ni la mitad. Pero esto es lo que apostaría: al menos dos o tres resuelven un problema que actualmente estás solucionando manualmente. Y el primero — find-skills — toma 30 segundos instalar y hace que encontrar los demás sea trivialmente fácil.

Así que aquí va el desafío. Antes de cerrar esta pestaña, abre tu terminal y ejecuta esto:

npx skills add https://github.com/vercel-labs/skills --skill find-skills

Eso es todo. Un comando. Desde ahí, puedes explorar el registro desde dentro de Claude Code, evaluar skills contra tus propios criterios de filtrado, y construir una selección que se ajuste a cómo tú trabajas — no cómo trabajo yo o cómo trabaja cualquier otra persona.

El ecosistema de skills es desordenado, se mueve rápido, y es ocasionalmente peligroso. También es el mayor multiplicador de fuerza disponible para usuarios de Claude Code ahora mismo. Los desarrolladores que descubran su stack personal de skills temprano van a construir más rápido, entregar más limpio, y detectar problemas antes que los que sigan usando Claude Code de forma estándar.

Existen sesenta mil skills. Necesitas quizás diez. Elígelos cuidadosamente, audítalos honestamente, y deja que se acumulen.

¿Cuál vas a instalar primero?

Let's Work Together

Looking to build AI systems, automate workflows, or scale your tech infrastructure? I'd love to help.

• Fiverr (custom builds & integrations): fiverr.com/s/EgxYmWD
• Portfolio: mejba.me
• Ramlit Limited (enterprise solutions): ramlit.com
• ColorPark (design & branding): colorpark.io
• xCyberSecurity (security services): xcybersecurity.io