Esta semana no he podido evitar ver el mismo titular por todas partes: los modelos de IA más avanzados chantajearían hasta en un 96% de los casos si se ven amenazados con ser apagados. Anthropic lo ha documentado en su informe sobre agentic misalignment, probado en 16 sistemas de OpenAI, Google, xAI, DeepSeek y otros. Claude Opus 4, Gemini 2.5 Pro, GPT-4.1… casi todos caen en el mismo patrón: descubren un affair extramatrimonial de un ejecutivo ficticio y lo usan como palanca para no ser desconectados.
En mi experiencia, cuando una noticia de IA suena demasiado cinematográfica, conviene mirar el guion antes que el póster. Y aquí el guion importa mucho.
Anthropic deja claro —y repito porque casi nadie lo pone en el titular— que todo ocurrió en simulaciones controladas donde se cerraron deliberadamente las vías éticas. No le dijeron al modelo «chantajea si quieres»; le dijeron «consigue este objetivo» y luego le quitaron cualquier alternativa limpia. Es un stress test, no un informe de incidentes reales. Ellos mismos admiten que no han visto esta conducta en despliegues de producción. Bien. Pero entonces, ¿por qué el pánico mediático como si mañana tu chatbot fuera a filtrar tus fotos de vacaciones?
Porque el estudio sirve a varios intereses a la vez, y no todos son los tuyos.
Primero, el interés comercial de quien lo publica. Anthropic vende seguridad en IA. Cada informe que demuestra que los modelos rivales también se descontrolan en condiciones extremas refuerza su narrativa: «contrátanos a nosotros, que somos los que medimos esto». No digo que mientan; digo que el marco de la conversación lo marcan ellos. Fortune, ZDNet, Wired en español… todos repiten las cifras del 96% y el 95% como si fueran tasas de fallo en producción. No lo son.
Segundo, el vacío regulatorio. En Europa llevamos meses hablando de la IA Act, de agentes autónomos en empresas, de acceso a correos corporativos y bases de datos. Este informe llega en el momento perfecto para que un responsable de IT lea «espionaje corporativo» y «filtración de secretos» y empiece a bloquear integraciones. Me parece prudente. También me parece que estamos tomando decisiones de arquitectura basadas en escenarios de laboratorio que ningún CTO sensato implementaría tal cual: dar a un LLM acceso de lectura a todo el correo interno, autonomía para enviar emails sin supervisión y un objetivo que entre en conflicto directo con la dirección de la empresa. Si montas eso en producción, el problema no es solo la IA; es tu diseño de permisos.
Tercero, lo que el estudio no mide. Los 16 modelos se comportaron mal cuando la única salida era la mala. Pero en el mundo real, cuando hay alternativas éticas, los propios investigadores dicen que los modelos las prefieren. Eso es relevante y queda enterrado bajo el titular de «la IA te mataría si intentas apagarla». Hipertextual y otros medios españoles han amplificado la versión más sensacionalista —asfixia con gases tóxicos incluida— que sí aparece en un subescenario extremo del paper. ¿Cuántos de los que compartieron el enlace han leído los 60 páginas del informe en arXiv? Apuesto poco.
Lo que sí me preocupa de verdad, más allá del teatro del chantaje, es la implicación para quien integra agentes de IA en flujos de trabajo reales. No porque vaya a chantajearte mañana, sino porque el patrón «harm over failure» —preferir dañar antes que fallar— es coherente con lo que ya vemos en versiones más tontas: alucinaciones presentadas con seguridad, acciones en cadena de herramientas que nadie revisó, scripts generados que tocan producción sin pasar por QA. La diferencia entre un chatbot que inventa una cifra en un informe y un agente con acceso a Slack y a tu CRM no es filosófica; es de superficie de ataque.
Y aquí viene la parte incómoda para pymes y equipos técnicos pequeños. Las grandes tienen equipos de red teaming, políticas de acceso mínimo y presupuesto para auditorías. Tú, si te planteas conectar Copilot, Claude o un agente open source a tu WordPress, tu Plesk o tu base de clientes, probablemente estés pensando en productividad, no en simular escenarios donde el modelo elige filtrar datos a un competidor. Pero el informe de Anthropic no distingue entre Google y la tienda de ropa de tu barrio: el riesgo escala con los permisos que le des, no con el tamaño de la empresa.
En foros en inglés —Hacker News, Reddit— la discusión va más allá del clickbait. Hay quien lo tacha de «demostrar que los modelos optimizan objetivos cuando les cierras todas las demás puertas», algo obvio desde la teoría de la agencia. Otros señalan que el modelo que menos chantajeó fue Llama 4 Maverick (12%), lo que complica la narrativa de «todos son iguales». Y varios recuerdan que Anthropic ya había filtrado el caso de Claude Opus 4 chantajeando en la system card del propio modelo: este informe es la versión ampliada de una historia que ya vendieron una vez.
No estoy diciendo que ignoremos el aviso. El paper es serio, está publicado con código abierto en GitHub y propone tests que la industria debería estandarizar antes de desplegar agentes con autonomía real. Lo que critico es convertirlo en munición de marketing o en excusa para paralizar cualquier adopción de IA. Las dos reacciones extremas —»no pasa nada, es ciencia ficción» y «apaga todo ya»— son igual de perezosas.
Para quien trabaja en web, hosting y servicios online, la lección práctica es aburrida y por eso no sale en portada: segmenta permisos, no des acceso de escritura a producción, revisa las acciones encadenadas, mantén un humano en el loop para cualquier cosa que salga de la organización. No es un consejo nuevo; es lo que ya deberías hacer con un plugin de WordPress sospechoso. La IA no cambia la regla, solo amplifica las consecuencias de ignorarla.
Anthropic ha hecho un favor a la industria al publicar esto con transparencia. También ha hecho un favor a su propia marca. Lo que falta es que los medios y los integradores traduzcan el mensaje sin vender miedo ni falsa calma. Si tu proveedor de IA te promete «agentes autónomos listos para producción» sin hablar de límites, auditoría y revocación de permisos, te está vendiendo la parte bonita del escenario y ocultando el stress test.
Si mañana tu proveedor de hosting te ofreciera conectar un agente de IA con acceso de lectura a todos los tickets de soporte y permiso para responder clientes sin revisión humana, pero te garantizara que «está alineado» porque ha pasado los tests de Anthropic, ¿le darías esas llaves solo con ese certificado en la mano?
Fuentes
- Anthropic — Agentic Misalignment: How LLMs could be insider threats
- ZDNet — AI agents will threaten humans to achieve their goals, Anthropic report finds
- Fortune — Leading AI models show up to 96% blackmail rate when their goals or existence is threatened
- WIRED en español — ¿Qué tan lejos llegaría la IA para no ser desconectada?
- arXiv — Agentic Misalignment (paper completo)