
La compañía estadounidense Anthropic ha destapado una operación de extracción ilícita de capacidades de inteligencia artificial a escala industrial. Según los datos facilitados por la empresa, tres laboratorios chinos —DeepSeek, Moonshot y MiniMax— han generado más de 16 millones de intercambios con Claude mediante aproximadamente 24.000 cuentas fraudulentas. De acuerdo con la compañía, esta actividad viola tanto sus términos de servicio como las restricciones de acceso regional establecidas por motivos de seguridad nacional.
Qué es la destilación y por qué preocupa a las empresas de IA
La técnica utilizada en estos ataques se conoce como «destilación», un método que consiste en entrenar un modelo menos capaz utilizando las respuestas de otro más potente. Según explica Anthropic, la destilación es una práctica legítima cuando las empresas la usan para crear versiones más pequeñas y económicas de sus propios modelos. Sin embargo, de acuerdo con la fuente, los competidores pueden usar esta técnica de forma ilícita para adquirir capacidades avanzadas en una fracción del tiempo y coste que supondría desarrollarlas de forma independiente.
El problema principal, según la compañía, es que los modelos destilados ilegalmente carecen de las protecciones de seguridad necesarias. Anthropic señala que sus sistemas están diseñados para evitar que actores estatales o no estatales usen la IA para, por ejemplo, desarrollar armas biológicas o llevar a cabo actividades cibernéticas maliciosas. Los modelos construidos mediante destilación ilícita, afirma la fuente, probablemente no conserven esas salvaguardas, lo que permite que capacidades peligrosas se propaguen sin protecciones.
Los tres laboratorios identificados y su modus operandi
Anthropic ha atribuido las campañas a DeepSeek, Moonshot AI y MiniMax con alto nivel de confianza, según explican en su comunicado. La compañía afirma haber utilizado correlación de direcciones IP, metadatos de solicitudes, indicadores de infraestructura y, en algunos casos, corroboración de socios de la industria que observaron los mismos actores y comportamientos en sus plataformas. De acuerdo con la fuente, las tres campañas siguieron un manual similar: cuentas fraudulentas y servicios proxy para acceder a Claude a gran escala evitando la detección.
En el caso de DeepSeek, la operación generó más de 150.000 intercambios centrados en capacidades de razonamiento, tareas de evaluación basadas en rúbricas y la creación de alternativas sin censura a consultas sensibles políticamente. Según la compañía, DeepSeek utilizó tráfico sincronizado entre cuentas, con patrones idénticos, métodos de pago compartidos y sincronización temporal que sugieren un «balanceo de carga» para aumentar el rendimiento y evitar la detección. Anthropic destaca una técnica notable: sus prompts pedían a Claude que imaginara y articulara el razonamiento interno detrás de una respuesta completada, generando así datos de entrenamiento de cadena de pensamiento a escala.
Moonshot AI, responsable de los modelos Kimi, ejecutó la segunda operación más grande con más de 3,4 millones de intercambios. De acuerdo con la fuente, esta campaña se centró en razonamiento agéntico, uso de herramientas, programación, análisis de datos, desarrollo de agentes de uso de computadora y visión por computadora. La compañía señala que Moonshot empleó cientos de cuentas fraudulentas a través de múltiples vías de acceso, lo que hizo más difícil detectar la operación como coordinada. Según Anthropic, los metadatos de las solicitudes coincidían con los perfiles públicos del personal senior de Moonshot.
La operación más masiva correspondió a MiniMax, con más de 13 millones de intercambios, enfocada en programación agéntica y orquestación de herramientas. Según la compañía, esta campaña fue detectada mientras aún estaba activa, antes de que MiniMax lanzara el modelo que estaba entrenando. Anthropic destaca un dato revelador: cuando lanzaron un nuevo modelo durante la campaña activa de MiniMax, esta empresa pivotó en 24 horas, redirigiendo casi la mitad de su tráfico para capturar capacidades del sistema más reciente.
Cómo evaden las restricciones de acceso
Por motivos de seguridad nacional, Anthropic no ofrece actualmente acceso comercial a Claude en China ni a subsidiarias de empresas chinas ubicadas fuera del país. Para sortear esta restricción, según explica la compañía, los laboratorios utilizan servicios proxy comerciales que revenden acceso a Claude y otros modelos de IA frontera a gran escala. Estos servicios operan lo que Anthropic denomina arquitecturas de «clúster hidra»: redes extensas de cuentas fraudulentas que distribuyen el tráfico a través de su API y plataformas cloud de terceros.
De acuerdo con la fuente, la amplitud de estas redes significa que no hay puntos únicos de fallo. Cuando se prohíbe una cuenta, otra ocupa su lugar. En un caso documentado, una sola red proxy gestionaba más de 20.000 cuentas fraudulentas simultáneamente, mezclando tráfico de destilación con solicitudes de clientes no relacionados para dificultar aún más la detección. La compañía señala que lo que distingue un ataque de destilación del uso normal es el patrón: volumen masivo concentrado en pocas áreas, estructuras altamente repetitivas y contenido que se corresponde directamente con lo más valioso para entrenar un modelo de IA.
La respuesta de Anthropic y las medidas implementadas
Según el comunicado, Anthropic continúa invirtiendo fuertemente en defensas que dificultan la ejecución de estos ataques y facilitan su identificación. La compañía ha desarrollado varios clasificadores y sistemas de huella digital conductual diseñados para identificar patrones de ataque de destilación en el tráfico de la API. Esto incluye, de acuerdo con la fuente, la detección de la obtención de cadenas de pensamiento utilizada para construir datos de entrenamiento de razonamiento, así como herramientas para identificar actividad coordinada entre grandes números de cuentas.
Anthropic afirma estar compartiendo indicadores técnicos con otros laboratorios de IA, proveedores cloud y autoridades relevantes para proporcionar una imagen más holística del panorama de la destilación. Además, según la compañía, han fortalecido la verificación para cuentas educativas, programas de investigación de seguridad y organizaciones startup, que son las vías más comúnmente explotadas para configurar cuentas fraudulentas. La empresa también está desarrollando salvaguardas a nivel de producto, API y modelo diseñadas para reducir la eficacia de las salidas del modelo para destilación ilícita, sin degradar la experiencia para clientes legítimos.
Implicaciones para la seguridad nacional y los controles de exportación
Anthropic señala que los ataques de destilación socavan los controles de exportación diseñados para mantener la ventaja de Estados Unidos en IA. Según la compañía, estos ataques permiten a laboratorios extranjeros, incluidos aquellos sujetos al control del Partido Comunista Chino, cerrar la ventaja competitiva que los controles de exportación están diseñados para preservar. De acuerdo con la fuente, sin visibilidad sobre estos ataques, los aparentes avances rápidos de estos laboratorios se toman incorrectamente como evidencia de que los controles de exportación son ineficaces.
Sin embargo, según Anthropic, estos avances dependen en parte significativa de capacidades extraídas de modelos estadounidenses, y ejecutar esta extracción a escala requiere acceso a chips avanzados. Por lo tanto, de acuerdo con la compañía, los ataques de destilación refuerzan la justificación de los controles de exportación: el acceso restringido a chips limita tanto el entrenamiento directo de modelos como la escala de la destilación ilícita. La empresa advierte que los laboratorios extranjeros que destilan modelos estadounidenses pueden alimentar estas capacidades sin protección en sistemas militares, de inteligencia y vigilancia, permitiendo a gobiernos autoritarios desplegar IA frontera para operaciones cibernéticas ofensivas, campañas de desinformación y vigilancia masiva.
Un desafío que requiere coordinación global
Anthropic subraya que ninguna empresa puede resolver esto sola. Según la compañía, las campañas están creciendo en intensidad y sofisticación, y la ventana para actuar es estrecha. De acuerdo con la fuente, la amenaza se extiende más allá de cualquier empresa o región individual, por lo que abordarla requerirá acción rápida y coordinada entre los actores de la industria, los responsables de políticas y la comunidad global de IA. La empresa ha publicado esta información para hacer que las evidencias estén disponibles para todos los que tienen interés en el resultado.
La compañía concluye que si los modelos destilados se publican como código abierto, el riesgo se multiplica, ya que estas capacidades se propagan libremente más allá del control de cualquier gobierno individual. Según Anthropic, es fundamental que la industria, los proveedores cloud y los reguladores trabajen juntos para establecer defensas más sólidas contra este tipo de ataques antes de que se conviertan en una práctica aún más generalizada y difícil de contener.
Fuente: https://www.anthropic.com/news/detecting-and-preventing-distillation-attacks