El gran saqueo de la inteligencia artificial: China extrajo en secreto millones de conversaciones de Claude para entrenar sus propios modelos
Con 24.000 cuentas fraudulentas, tres firmas chinas extrajeron lo más valioso de la IA de Anthropic. El caso sacude a la industria y alimenta la guerra tecnológica entre Washington y Pekín.
Anthropic, la empresa estadounidense de inteligencia artificial creadora del modelo Claude, reveló este lunes una operación sistemática de extracción tecnológica: tres laboratorios chinos —DeepSeek, Moonshot AI y MiniMax— usaron más de 24.000 cuentas fraudulentas para replicar capacidades de su IA y entrenar los propios. En conjunto, generaron más de 16 millones de intercambios con Claude, en violación directa de los términos de servicio de la compañía y de las restricciones de acceso regional vigentes.
La técnica empleada se llama destilación (distillation, en inglés). Consiste en entrenar un modelo de IA menos potente con los resultados producidos por uno más capaz, de manera que el menor pueda imitar las respuestas del mayor sin haber sido entrenado con los mismos datos ni con el mismo esfuerzo computacional. No se trata de un método ilegal en sí mismo —los propios laboratorios de frontera lo usan para crear versiones más compactas y económicas de sus modelos—, pero cuando se aplica sobre sistemas ajenos y sin autorización, se convierte en lo que Anthropic denominó un ataque de destilación.
El operativo y su escala
Para sortear la restricción que impide el acceso comercial a Claude desde China, los tres laboratorios recurrieron a servicios proxy comerciales que revenden acceso a modelos de IA a escala. Estos servicios operan mediante redes masivas de cuentas falsas distribuidas a través de la API de Claude y de plataformas de nube de terceros. Cuando se bloquea una cuenta, otra la reemplaza de inmediato. Anthropic detectó un caso en que una sola red administraba más de 20.000 cuentas fraudulentas en simultáneo.
La escala de cada operativo varió. DeepSeek registró más de 150.000 intercambios, en su mayoría dirigidos a replicar capacidades de razonamiento y a generar alternativas "seguras para la censura" frente a consultas políticamente sensibles —preguntas sobre disidentes, líderes partidarios o autoritarismo— para entrenar sus propios modelos a esquivar esos temas. Moonshot AI, conocida por su línea Kimi, acumuló más de 3,4 millones de intercambios orientados a razonamiento agéntico, programación y visión computacional. El volumen más alto correspondió a MiniMax, con más de 13 millones de intercambios. En este último caso, Anthropic logró detectar la campaña mientras todavía estaba activa: cuando lanzó un nuevo modelo durante la operación, MiniMax reorientó casi la mitad de su tráfico hacia el nuevo sistema en menos de 24 horas.
Un problema que excede a Anthropic
Las acusaciones no llegaron solas. A principios de febrero, OpenAI envió una carta a legisladores estadounidenses alertando sobre intentos de DeepSeek de destilar sus modelos "a través de métodos nuevos y ofuscados". La empresa ya había señalado indicios similares a comienzos de 2024, cuando el lanzamiento del primer modelo DeepSeek generó comparaciones incómodas con ChatGPT. Anthropic y OpenAI encuadran estas prácticas como una amenaza a la seguridad nacional, no solo como un problema de competencia comercial.
anthropic-claude-ai-cyberattack-china-inc
El argumento es que los modelos construidos mediante destilación ilícita no conservan las salvaguardas de seguridad incorporadas por los laboratorios estadounidenses para prevenir usos peligrosos. "Los modelos construidos mediante destilación ilícita es improbable que retengan esas salvaguardas, lo que significa que capacidades peligrosas pueden proliferar con muchas protecciones completamente eliminadas", advirtió Anthropic en su comunicado. La empresa mencionó explícitamente el riesgo de que gobiernos autoritarios desplieguen IA de frontera para "operaciones ciberofensivas, campañas de desinformación y vigilancia masiva", riesgo que se multiplica si esos modelos se publican como open source.
Dmitri Alperovitch, presidente del think-tank Silverado Policy Accelerator y cofundador de CrowdStrike, declaró al sitio TechCrunch que el hallazgo no lo sorprende. "Hace tiempo que era evidente que parte del rápido progreso de los modelos chinos de IA se debía al robo mediante destilación de modelos estadounidenses de frontera. Ahora lo sabemos con certeza", sostuvo. "Esto nos da razones aún más convincentes para negarnos a vender chips de IA a cualquiera de estas empresas."
Controles de exportación y la paradoja de los chips
El debate llega en un momento políticamente sensible. En enero pasado, la administración Trump habilitó a empresas como Nvidia a exportar chips avanzados de IA —incluyendo el H200— a China, revirtiendo restricciones anteriores. Los críticos advierten que esa decisión amplía la capacidad computacional china en un momento crítico de la competencia global. Anthropic, que históricamente apoyó los controles de exportación, argumenta que los ataques de destilación a esta escala requieren acceso a chips de alto rendimiento, lo que refuerza la lógica de mantenerlos. Sin visibilidad sobre estas campañas, los avances aparentemente acelerados de los laboratorios chinos se interpretarían erróneamente como prueba de que los controles son ineficaces. "En realidad, esos avances dependen en parte significativa de capacidades extraídas de modelos estadounidenses", señaló la compañía.
Por su parte, analistas como Rui Ma, de la consultora Tech Buzz China, señalaron que "ya sea intencional o no, la narrativa de transferencia ilícita de capacidades fortalece el argumento a favor de restricciones más estrictas a los chips". La observación apunta a una tensión real: Anthropic es al mismo tiempo víctima declarada y actor con intereses comerciales y políticos en el resultado del debate regulatorio. Algo similar puede decirse de OpenAI.
Anthropic anunció una serie de contramedidas: clasificadores y sistemas de identificación conductual para detectar patrones de destilación en su tráfico, controles de acceso más estrictos en las vías más frecuentemente explotadas para crear cuentas falsas, y el desarrollo de salvaguardas a nivel de modelo para reducir la utilidad de los resultados extraídos para el entrenamiento ilícito. La empresa también informó que comparte indicadores técnicos con otros laboratorios de IA, proveedores de nube y autoridades relevantes.
Sin embargo, Anthropic reconoció que ninguna empresa puede resolver el problema de manera unilateral y llamó a "una respuesta coordinada entre la industria de IA, los proveedores de nube y los legisladores". Con ese objetivo publicó los detalles técnicos de las campañas detectadas.
