La semana pasada Anthropic mandó una carta al Senado de Estados Unidos acusando a Alibaba de montar el mayor ataque de destilación que ha sufrido Claude: casi 25.000 cuentas falsas y más de 28,8 millones de interacciones entre el 22 de abril y el 5 de junio. Yo lo leí primero en Bloomberg y luego en Xataka, y lo primero que pensé no fue «guerra comercial USA-China», sino algo mucho más cercano: si un gigante con laboratorio propio de IA puede hacer esto contra Anthropic, ¿qué impide que alguien haga lo mismo con el modelo que tú integras en tu web?
Porque la destilación no es magia negra. Es entrenar un modelo más pequeño y barato imitando las respuestas de uno más potente. En la industria se usa con permiso, con contratos, con datasets controlados. Lo que Anthropic denuncia es otra cosa: extracción industrial sin autorización, a escala, usando proxies y ofuscación para no levantar alarmas. Según CNBC, la carta iba dirigida a los senadores Tim Scott y Elizabeth Warren y calificaba el ataque de «descarado» incluso después de que la Casa Blanca advirtiera explícitamente contra este tipo de prácticas.
El objetivo, según los medios que han visto la carta, no era copiar texto bonito para un chatbot de atención al cliente. Era sacar capacidades concretas: razonamiento agéntico, ingeniería de software, el tipo de habilidades que valen dinero en producción. Claude no está disponible en China, así que la operación habría pasado por cuentas fraudulentas fuera del mercado regulado. The Next Web resume bien el mensaje de Anthropic: por primera vez señalan a un conglomerado tecnológico chino de primer nivel, no solo a startups como DeepSeek, Moonshot o MiniMax, que ya habían sido acusadas en febrero con otra campaña de unas 24.000 cuentas y más de 16 millones de interacciones.
Aquí es donde la cosa deja de ser geopolítica abstracta y empieza a oler a tu stack. Si tienes una pyme con un chatbot conectado a la API de OpenAI, Anthropic o Google, estás pagando por inferencia y confiando en que tu clave, tu rate limit y tus términos de servicio protegen el activo. Pero la destilación no necesita robar tu código fuente. Solo necesita volumen de consultas bien diseñadas. Miles de cuentas, millones de prompts, respuestas guardadas, modelo rival entrenado. El coste de la API para el atacante puede ser alto, sí, pero sigue siendo una fracción miserable de entrenar un frontier model desde cero.
Y no me vengas con «eso solo le pasa a los laboratorios». En febrero Anthropic ya hablaba de campañas similares contra sus modelos por parte de laboratorios chinos más pequeños. OpenAI y Google han publicado hallazgos parecidos. La diferencia con Alibaba es la escala y el timing: ocurre semanas después de que Washington endureciera el control sobre modelos como Mythos y Fable, los de ciberseguridad que inquietaron hasta al Pentágono. De hecho, el 12 de junio el Departamento de Comercio impuso restricciones de exportación sobre esos modelos; Anthropic acabó cortando acceso global. Restaurarlo después, como anunciaron el 27 de junio para organizaciones de infraestructura crítica, no borra el precedente: la frontera entre «producto comercial» y «activo estratégico» ya no existe.
Lo que pide Anthropic al Congreso tampoco es casual. Tres líneas claras: cambiar las leyes antimonopolio para que las empresas de IA puedan compartir inteligencia sobre estos ataques sin miedo legal, reforzar controles de exportación de chips y sancionar directamente a laboratorios que destilen modelos estadounidenses. Traducción para quien monta webs y SaaS: el mercado de APIs se va a cerrar más, no menos. Más geobloqueos, más revisiones de licencia, más fricción para equipos internacionales y más riesgo de que tu proveedor apague un modelo de un día para otro porque un gobierno lo ha marcado como sensible.
¿Y Alibaba? Niega la acusación, ha demandado al Pentágono por su inclusión en listas negras y sus acciones cayeron un 4% en Hong Kong cuando salió la noticia. Da igual quién gane el pleito legal: el daño operativo ya está hecho. Si eres CTO de una empresa europea que usa Qwen por precio, te toca hacer due diligence que hace seis meses nadie te pedía. No porque Qwen sea malo técnicamente, sino porque la cadena de suministro de modelos empieza a tener capas políticas, legales y reputacionales que no aparecen en la hoja de precios.
En mi experiencia, la mayoría de pymes en España siguen eligiendo modelos por coste por token y latencia. Pocos miran de dónde salieron esos pesos, quién los entrenó y con qué datos. Eso funcionaba cuando la IA era un juguete de productividad. Deja de funcionar cuando la competencia por capacidades se parece mas a espionaje industrial que a benchmark de MMLU. Inside Telecom recoge la cifra que más me ha calado: 28,8 millones de interacciones en seis semanas. No es un curioso probando prompts en Reddit. Es una cadena de producción.
Tampoco creo que la solución pase por dejar de usar IA generativa. Sería tan absurdo como cerrar el correo porque llega phishing. Pero sí implica repensar contratos, logging y límites. Si vendes un servicio que expone un modelo —aunque sea empaquetado en un plugin de WordPress— necesitas detectar patrones de extracción: picos anómalos de consultas, cuentas nuevas con comportamiento homogéneo, prompts que piden variaciones sistemáticas de la misma tarea. Los laboratorios grandes lo hacen porque pueden. Las pymes no, y ahí está la asimetría.
El AI Act europeo entra a tope el 2 de agosto con obligaciones de transparencia y gobernanza. Perfecto. Pero esta noticia demuestra que la regulación va por un carril —etiquetar contenido, auditar sistemas de alto riesgo— mientras el robo de capacidades va por otro completamente distinto. Puedes cumplir con Bruselas y seguir siendo el proveedor involuntario de entrenamiento de un competidor que opera fuera de tu jurisdicción.
Lo irónico es que Anthropic vende Claude precisamente como más seguro, más controlado, más alineado. Y aun así le han sacado casi 29 millones de respuestas. Si el laboratorio que más presiona por guardrails no puede blindar su propio producto comercial, ¿qué expectativas razonables puedes tener tú con una integración de chat en tu tienda WooCommerce?
Me quedo con una pregunta incómoda para cerrar. Si mañana descubres que un competidor ha estado usando tu chatbot embebido —con cuentas de prueba, proxies y un script que replica cada respuesta útil— para entrenar su propio asistente y quitarte clientes, ¿tienes hoy algún mecanismo legal y técnico para pararlo antes de que te pase la factura, o seguirías limitándote a mirar el dashboard de tokens y rezar?
Fuentes
- Xataka: Anthropic acusa a Alibaba de clonar Claude con 25.000 cuentas falsas
- CNBC: Anthropic accuses Alibaba of campaign to extract AI capabilities
- The Next Web: Anthropic accuses Alibaba of running largest distillation campaign against Claude
- Inside Telecom: Anthropic says Alibaba illicitly extracted Claude AI model capabilities