Anthropic mandó el 10 de junio una carta al Senate Banking Committee (Tim Scott y Elizabeth Warren) acusando a operadores afiliados a Alibaba Qwen de orquestar el mayor ataque de destilación conocido contra Claude. Los números: 28,8 millones de intercambios extraídos a través de casi 25.000 cuentas fraudulentas entre el 22 de abril y el 5 de junio. Más volumen que las tres campañas chinas anteriores juntas.
Qué buscaban y cómo
Las cuentas no atacaban cualquier capacidad. Iban directas al núcleo de Mythos Preview, el modelo frontera de Anthropic: razonamiento agéntico, software engineering serio y tareas de horizonte largo (las que se descomponen en muchos pasos encadenados). Exactamente las áreas donde Claude se ha consolidado como líder en el último año, y donde Anthropic ha quemado miles de millones en cómputo y datos para construir su ventaja.
La destilación, vista desde dentro, es legítima cuando la haces con tu propio modelo. Lanzas millones de prompts a tu modelo grande, recoges las respuestas y entrenas con esos pares un modelo más pequeño y barato que lo aproxima. Todos los labs lo hacen internamente. El problema es cuando un competidor hace lo mismo con tu modelo: paga 20 dólares al mes por una cuenta API, lo multiplica por 25.000 cuentas distintas, y extrae las capacidades que tu equipo tardó dos años en construir.
La arquitectura que usa Alibaba, según Anthropic, se llama hydra clusters. Redes de miles de cuentas fraudulentas que rotan el tráfico para que no haya un único punto de fallo. Mezclan peticiones de extracción con tráfico legítimo de clientes reales, así los clasificadores simples no las distinguen. Reparten IPs por geografía vía proxies comerciales para esquivar rate limiting. Y la red entera está coordinada desde infraestructura propia del lab atacante. Cortas mil cuentas, aparecen mil más, de ahí el nombre.
Anthropic detecta estos patrones con clasificadores conductuales: identifican peticiones que piden al modelo articular su razonamiento interno paso a paso (técnica que solo tiene sentido si estás construyendo datos de entrenamiento) y actividad coordinada entre cuentas que parecen independientes. Cuando ven el patrón, banean toda la red.
Comparación con campañas anteriores
En febrero de 2026 Anthropic publicó un informe técnico documentando campañas equivalentes de tres labs chinos. Los números:
- DeepSeek: más de 150.000 intercambios. Prompts específicos para generar alternativas censura-seguras sobre temas políticamente sensibles para China. Métodos de pago compartidos entre cuentas, tráfico sincronizado.
- Moonshot AI (modelos Kimi): 3,4 millones de intercambios. Foco en agentic reasoning, tool use, computer-use y visión. Las cuentas fraudulentas tenían metadatos que coincidían con perfiles públicos de personal sénior de la propia Moonshot.
- MiniMax: 13 millones de intercambios. Concentrados en agentic coding. Detectados antes de que MiniMax lanzase el modelo que estaba entrenando.
Total febrero: 16,5 millones. La campaña de Alibaba sola, 28,8 millones. Casi el doble que todo lo anterior junto en menos de la mitad de tiempo. La progresión sugiere que el coste marginal de montar uno de estos clusters está bajando, y que los labs chinos lo consideran una inversión rentable a pesar del riesgo reputacional.
El contexto legislativo también se mueve. Los senadores Bill Hagerty (R-TN) y Andy Kim (D-NJ) preparan una enmienda a la NDAA (la ley anual de defensa, vehículo legislativo que siempre pasa) para sancionar a cualquier firma china que se demuestre haya harvested modelos US para entrenar competidores. Dos días después de la carta de Anthropic, el Department of Commerce restringió globalmente Fable 5 y Mythos 5 por seguridad nacional. La pieza geopolítica está en movimiento.
Por qué importa para una empresa española
La progresión de los modelos chinos en el último año ha sido real. Qwen, DeepSeek y Kimi rankean alto en benchmarks públicos a una fracción del coste de Claude o GPT-5. Para una empresa española con presupuesto ajustado, la tentación de pasarse a uno de estos modelos es alta. Y a corto plazo puede funcionar.
La parte que casi nadie está pesando es que un modelo destilado hereda comportamientos del original sin que el equipo que lo entrena sepa exactamente cuáles. Con DeepSeek ya se documentó: ciertas respuestas a casos edge (prompts adversariales específicos, preguntas políticas, peticiones que rompen el formato esperado) tienen huellas de Claude. Junto con esas huellas vienen bugs propios, porque la destilación nunca es perfecta.
En producción esto se nota en consistencia. Donde Claude responde de forma estable a una variación leve del prompt, un modelo destilado puede dar resultados muy distintos. Para marketing o copy da igual. Para procesos donde la respuesta tiene que cumplir un esquema (extracción de datos de facturas, clasificación de tickets, validación de formularios), la varianza extra te puede costar horas de QA semanales.
Y hay un componente reputacional con plazo de 6 a 12 meses. Si la narrativa de la destilación se consolida (y todo apunta a que sí, con la NDAA en marcha y el ecosistema americano cerrando filas), tener tu producto montado sobre un modelo señalado va a ser una conversación incómoda con clientes empresariales. Especialmente en sectores regulados: banca, salud, administración pública, asesoría legal. En esos sectores la procedencia del modelo ya es parte del due diligence.
Qué hacer
Tres movimientos concretos si estás evaluando modelos chinos frente a Claude o GPT-5:
- Separa caso de uso de presupuesto. Procesos internos no críticos (resúmenes, clasificación interna, drafting de primer borrador) pueden vivir tranquilamente con Qwen o DeepSeek. Procesos cara a cliente o regulados, mantenlos en Claude o GPT-5 hasta que la situación legal y reputacional se aclare. Decisión por workload, no global.
- Pide trazabilidad por escrito al proveedor del modelo que elijas. ¿Con qué datos se entrenó? ¿Hay declaración explícita de no usar outputs de modelos de terceros? Si el proveedor se incomoda con la pregunta, ya tienes una señal. Anthropic, OpenAI y Google lo declaran formalmente en sus términos.
- Si ya tienes producción sobre un modelo chino, monta evals propias antes de seguir escalando. Captura 100-200 prompts reales de tu uso, anota la respuesta esperada y mide consistencia con cada release del modelo. Si una actualización rompe tu pipeline, lo detectas tú antes que tus clientes. Esto vale para cualquier modelo, pero con modelos destilados es especialmente relevante.
El cambio de fondo es que la elección de modelo deja de ser una decisión solo técnica y de precio. Ahora incluye procedencia, ciclo de vida y riesgo regulatorio. Para founders y directivos que ya tienen IA en producción, vale la pena dedicar una tarde este mes a mirarlo con calma.