Robar sin hackear: la destilación de IA

Author

CARLOS MARCANO
6 de marzo de 2026

Robar sin hackear: cómo tres laboratorios chinos extrajeron lo mejor de Claude sin tocar un solo archivo

¡Hola, Maestros del Pixel!

Hay una forma de robar que no deja huellas visibles. No hay puerta forzada, no hay archivo eliminado, no hay alarma que suene. El ladrón simplemente se sienta frente a ti, te hace preguntas, muchas preguntas, y se va con algo que te costó años construir.

En el mundo de la inteligencia artificial, eso tiene nombre: se llama destilación. Y durante meses, tres laboratorios chinos lo hicieron con Claude, el modelo de IA de Anthropic, a una escala que pocas veces se había documentado con tanta precisión.

El 24 de febrero de 2026, Anthropic publicó un informe técnico que detalla cómo DeepSeek, Moonshot AI y MiniMax generaron más de 16 millones de intercambios con Claude usando aproximadamente 24.000 cuentas fraudulentas.

No fue un hackeo. No se infiltraron en los servidores de Anthropic. Simplemente hicieron preguntas, millones de ellas, de manera muy coordinada, muy específica, y con un objetivo claro: entrenar sus propios modelos con las respuestas del más capaz.

Esta noticia importa, y no solo porque involucra a una de las empresas más conocidas del sector. Importa porque plantea una pregunta que cambia la forma en que entendemos la carrera global por la IA: ¿qué significa realmente avanzar cuando puedes acelerar copiando?

Qué es la destilación y por qué no es simple robo

Antes de juzgar, vale entender. La destilación de modelos es una técnica completamente legítima en la industria de la inteligencia artificial. En términos simples, consiste en entrenar un modelo más pequeño y económico usando las respuestas de uno más grande y poderoso.

El modelo grande actúa como maestro, el pequeño aprende de sus respuestas. El resultado es un modelo que funciona bien en tareas específicas sin necesitar el mismo costo computacional que el original.

Los propios laboratorios estadounidenses hacen esto constantemente. Cuando Anthropic crea versiones más compactas de Claude, está aplicando destilación. Google hace lo mismo con Gemini. Es una práctica técnica establecida, eficiente, y en muchos contextos, la forma más razonable de distribuir capacidades de IA a mayor escala.

Lo que convierte la destilación en ilícita es el contexto. Si el modelo al que le haces preguntas no es tuyo, si lo usas sin autorización, si creas cuentas falsas para eludir restricciones de acceso, y si el volumen de tus consultas revela que no estás usando el servicio sino extrayéndolo, ya no estás aplicando una técnica. Estás robando sin hackear.

Lo que Anthropic documentó

El informe de Anthropic es inusualmente detallado. No es una acusación genérica, sino un análisis técnico que describe el método, la escala y la atribución de cada campaña.

DeepSeek generó algo más de 150.000 intercambios. Sus prompts pedían a Claude que describiera su razonamiento interno paso a paso, generando lo que se conoce como datos de entrenamiento de cadena de pensamiento. También utilizaron a Claude para crear versiones de preguntas políticamente sensibles formuladas de manera que eludieran la censura, algo que probablemente fue usado para entrenar a sus propios modelos en cómo gestionar esos temas de manera ideológicamente compatible con las restricciones del gobierno chino.

Moonshot AI fue más ambicioso en alcance: 3,4 millones de intercambios. Su objetivo eran las capacidades agénticas de Claude, es decir, su habilidad para usar herramientas, razonar sobre tareas complejas y ejecutar acciones en múltiples pasos. También extrajeron capacidades de visión computacional. Anthropic rastreó la campaña hasta los perfiles públicos de empleados senior de Moonshot.

MiniMax fue la operación más grande: más de 13 millones de intercambios, centrados en codificación agéntica y uso de herramientas. Lo que hace especialmente revelador el caso de MiniMax es el timing. Anthropic detectó la campaña mientras aún estaba activa. Cuando Anthropic lanzó un nuevo modelo durante ese período, MiniMax redirigió casi la mitad de su tráfico hacia el nuevo sistema en menos de 24 horas. No estaban simplemente usando el servicio. Estaban monitoreando sus lanzamientos y adaptando su operación en tiempo real.

Los tres laboratorios usaron un método similar para eludir las restricciones de acceso: servicios proxy comerciales que revenden acceso a Claude a través de redes de cuentas fraudulentas, lo que Anthropic llama arquitecturas "hydra cluster". Cuando se bloqueaba una cuenta, otra la reemplazaba automáticamente. Un solo proxy llegó a gestionar más de 20.000 cuentas simultáneas.

El problema que va más allá del robo de propiedad intelectual

Copiar el modelo de un competidor es un problema legal y comercial. Pero hay una dimensión más profunda en este asunto que merece atención.

Los modelos de IA como Claude no son solo texto generado de manera inteligente. Son sistemas que han sido entrenados durante años con procesos específicos diseñados para hacerlos seguros.

Anthropic invierte de manera considerable en lo que se denomina alineación: técnicas para que el modelo rechace ayudar en actividades peligrosas, para que no asista en la creación de armas biológicas, para que no facilite ciberataques. Esas salvaguardas no son decorativas. Son el resultado de miles de horas de trabajo técnico y evaluaciones de riesgo.

Cuando un laboratorio destila un modelo mediante extracción ilícita, obtiene las capacidades pero no hereda los sistemas de seguridad. El modelo resultante puede razonar con la misma profundidad que Claude sobre ciertos temas, pero sin las restricciones que lo hacen responsable. Es una separación que tiene consecuencias reales.

Anthropic lo plantea directamente en su informe: los laboratorios extranjeros que destilan modelos estadounidenses pueden integrar esas capacidades en sistemas militares, de inteligencia y de vigilancia. El resultado sería un modelo tan capaz como Claude para tareas de razonamiento complejo, pero desprovisto de los mecanismos que evitan que esa capacidad se use para operaciones ofensivas, campañas de desinformación o vigilancia masiva.

No hace falta asumir lo peor para entender el riesgo. El propio Anthropic documentó que DeepSeek usó a Claude para generar alternativas a preguntas sobre disidentes y líderes del partido que resultaran "seguras desde el punto de vista de la censura". Eso no es especulación. Es el uso real que se le dio al modelo durante la campaña de destilación.

La grieta en los controles de exportación

Estados Unidos ha apostado por los controles de exportación de semiconductores avanzados como su principal mecanismo para preservar la ventaja en IA. La lógica es directa: sin acceso a los chips más potentes, los laboratorios chinos no pueden entrenar modelos de frontera.

La destilación ilícita introduce una complicación en esa lógica. Si puedes obtener gran parte del conocimiento de un modelo avanzado simplemente haciéndole preguntas a escala, el hardware pasa a ser menos determinante como barrera. No elimina la ventaja de los chips, pero reduce su valor como mecanismo de contención único.

Anthropic señala esto explícitamente: los ataques de destilación ejecutados a esta escala requieren acceso a chips avanzados para procesar el volumen de datos generados. Esto refuerza, en su argumento, la lógica de los controles de exportación. Pero el punto más relevante es que ambas cosas pueden ser verdad al mismo tiempo: los controles siguen siendo útiles, y la destilación demuestra que no son suficientes por sí solos.

OpenAI hizo acusaciones similares contra DeepSeek en un memo enviado al Comité de la Cámara sobre China en febrero de 2026, describiendo sus prácticas como "esfuerzos continuos para aprovecharse de las capacidades desarrolladas por OpenAI y otros laboratorios frontera de EE.UU.". Estamos ante un patrón documentado, no ante un incidente aislado.

Los matices que merecen espacio

Esta historia tiene una narrativa fácil: empresa americana denuncia robo chino, hay riesgo nacional, hay que actuar. Esa narrativa no es falsa, pero es incompleta.

Algunos expertos señalan que la línea entre destilación legítima e ilícita es frecuentemente borrosa en la práctica. La misma técnica que es estándar dentro de un laboratorio se convierte en violación de términos de servicio cuando la aplica un competidor externo. Eso no significa que lo que ocurrió sea aceptable, pero sí que la industria en su conjunto necesita definir con más claridad qué constituye uso legítimo de un modelo.

También vale notar que las acusaciones tienen un componente estratégico. Refuerzan el argumento para mantener controles de exportación de chips, lo que beneficia la posición competitiva de las empresas estadounidenses. Eso no las hace falsas. Simplemente significa que conviene leerlas con ojos completos, reconociendo que los intereses comerciales y los argumentos de seguridad nacional a veces apuntan en la misma dirección.

DeepSeek, Moonshot y MiniMax no han respondido públicamente a las acusaciones de Anthropic al momento de esta publicación.

Lo que esto significa para quienes usamos IA

Para la mayoría de las personas que usan herramientas de inteligencia artificial en su trabajo o en su día a día, este asunto parece lejano. Y en cierta medida lo es: los usuarios normales de cualquier plataforma de IA no están en riesgo por estos ataques de destilación.

Pero hay una pregunta que vale guardar: cuando un modelo de IA resulta ser sorprendentemente capaz y notablemente económico, ¿parte de esa capacidad fue construida sobre trabajo que no fue autorizado? ¿Parte de la "innovación" es en realidad extracción?

Y hay una pregunta más difícil aún: si los modelos que resultan de destilación ilícita carecen de los sistemas de seguridad de los originales, ¿qué significa adoptar esas herramientas en contextos empresariales o institucionales? No hay una respuesta definitiva todavía. Pero es una pregunta que empieza a tener peso real.

La carrera por la IA se presenta habitualmente como una competencia de innovación. Quien investiga más, quien experimenta más, quien publica primero.

Lo que este episodio revela es que también hay otra carrera, menos visible, donde el avance no se construye sino que se extrae. Y que la diferencia entre ambas formas de avanzar no es solo una cuestión de propiedad intelectual, sino de qué tipo de sistemas terminan siendo los más poderosos, y en manos de quién.

Con cariño y pixeles,

CARLOS

Referencias

3 herramientas de IA para explorar / usar / utilizar

Oligo Security - https://www.oligo.security
Plataforma de seguridad en tiempo de ejecución para aplicaciones de IA. Detecta patrones de uso indebido de modelos y APIs antes de que se conviertan en un problema mayor. Útil para equipos que despliegan modelos en producción y necesitan visibilidad sobre cómo se están usando.

Guardrails AI - https://www.guardrailsai.com
Framework de código abierto para validar y controlar los outputs de modelos de lenguaje. Permite definir reglas sobre qué puede y qué no puede generar un modelo en tu aplicación. Una capa de seguridad que cualquier desarrollador que trabaje con LLMs debería conocer.

Lakera Guard - https://www.lakera.ai
Capa de seguridad para aplicaciones de IA generativa. Detecta intentos de prompt injection y patrones de uso anómalo en tiempo real. Especialmente relevante si estás construyendo productos sobre APIs de modelos de terceros y quieres protegerlos de usos no autorizados.

PD1: Recuerda que si no quieres seguir recibiendo estos Emails, acá abajo tienes un botón para que no te siga visitando en tu Inbox. Aún no he decidido el día ni la frecuencia que voy a enviar los emails, pero casi seguro que será una vez a la semana.

PD2: Iré incorporando nuevas secciones en las nuevas Newsletter, y claro, siempre estoy abierto a sugerencias.