Entrenar un modelo de IA de vanguardia requiere miles de millones de dólares en potencia informática y conjuntos de datos masivos y seleccionados. Pero ha surgido una economía parasitaria en la parte más vulnerable de la industria, lo que permite a los competidores eludir estos costos mediante una técnica conocida como “destilación”. Esta semana, ese conflicto llegó a un punto crítico después de que Anthropic, creador del chatbot Claude, acusara a DeepSeek de China y a otros dos laboratorios de inteligencia artificial en ese país –Moonshot y MiniMax– de lanzar campañas a escala industrial para desviar la inteligencia de su modelo principal.
Si bien la destilación no es técnicamente un método incorrecto para entrenar un modelo, ciertamente puede verse como un robo de propiedad intelectual por parte de un competidor. Este método, que DeepSeek utilizó anteriormente el año pasado para entrenar su modelo V1, permite a un desarrollador de modelos de frontera construir desde cero. Un operador consulta un modelo superior, llamado “maestro”, millones de veces y alimenta las respuestas de alta calidad resultantes en un modelo de “estudiante” más pequeño y más económico. El estudiante eventualmente comienza a imitar el razonamiento del maestro sin que el operador pague los costos iniciales de capacitación.
Según Anthropic, los tres laboratorios generaron más de 16 millones de intercambios con Claude, utilizando una vasta infraestructura de 24.000 cuentas fraudulentas para aprovechar sus capacidades avanzadas de codificación y razonamiento.
Esto representa una fuga catastrófica de valor de propiedad. Para evitar esto, las empresas imponen estrictos límites de tarifas y herramientas de bloqueo. Pero estas técnicas de prevención tienen una utilidad limitada, ya que Anthropic afirma que los laboratorios chinos de IA utilizaron empresas comerciales de servicios proxy para destilar las capacidades de Claude.
‘Hydra Clusters’ y servicios de proxy comerciales
Para refinar o extraer eficazmente un modelo de límites, un atacante necesita volumen. Pero millones de consultas de una sola fuente activarán instantáneamente una entrada anómala, cortando el acceso al modelo. Afirmaciones antropogénicas, los laboratorios de IA utilizaron ‘grupos de hidra’ para refinar. Se trata de redes masivas de cuentas enrutadas a través de servicios de proxy comerciales. Estos servicios permiten que el tráfico parezca provenir de millones de dispositivos distintos y legítimos repartidos por todo el mundo.
Aunque las empresas de proxy a menudo se promocionan como herramientas legítimas para la verificación de anuncios y el monitoreo de SEO, sus redes a menudo se basan en hardware comprometido. Para una empresa de inteligencia artificial que destila ilegalmente modelos de estudiantes, esta infraestructura proporciona el mejor camuflaje. Al cambiar las solicitudes de API, un atacante puede hacer que un millón de intentos de eliminación parezcan una consulta de un millón de hogares distintos. Para los sistemas de defensa estándar de una empresa de IA que se basan en puntuaciones de reputación asociadas con direcciones IP, este tráfico parecerá completamente orgánico, ya que imita la naturaleza caótica y distribuida del uso humano genuino.
Estos servicios proxy han reducido el listón técnico para los ataques de destilación, lo que permite a los laboratorios de IA de la competencia lograr un rendimiento cercano a SOTA a una fracción del costo. Las acusaciones de Anthropic contra DeepSeek, Moonshot y MiniMax sugieren que esta estrategia se ha institucionalizado en partes del sector tecnológico chino, aprovechando la innovación occidental para eludir los controles estadounidenses a las exportaciones de semiconductores avanzados.
Nuevas formas de detectar ataques
Como se detalla en la actualización de Anthropic, la empresa se está alejando de las defensas a nivel de red hacia el análisis del comportamiento. El equipo de la defensa desarrolló un método para detectar la destilación no mirando quién pregunta, sino analizando lo que se pregunta.
Para entrenar un modelo de estudiante competente, un laboratorio de IA no puede hacer preguntas aleatorias. Las consultas deben cubrir una gama específica y matemáticamente diversa de temas para capturar toda la amplitud de las capacidades del profesor. Esta necesidad crea una firma estadística única. Anthropic utilizó una nueva técnica de detección para medir la probabilidad condicional de mensajes entrantes, esencialmente identificando cuando un flujo de consultas es demasiado perfecto matemáticamente para ser humano. Mientras que las interacciones de un usuario humano son erráticas y actuales, las consultas de un destilador siguen un patrón distinto diseñado para maximizar la ganancia de información por token.
Este giro marca una mejora significativa en la defensa contra el robo de propiedad intelectual. Esto sugiere que el uso de redes proxy comerciales en la destilación de IA puede estar acercándose a una meseta. Si la lógica de detección ocurre a nivel semántico, analizando el texto y la intención en lugar del origen de la conexión, el enmascaramiento de la dirección IP se vuelve irrelevante.
Sin embargo, el mercado de representantes comerciales sigue siendo sólido. A medida que los laboratorios de IA implementen estas defensas estadísticas, los destiladores probablemente responderán introduciendo ruido en su recopilación de datos, haciendo deliberadamente que sus consultas sean menos eficientes para imitar la aleatoriedad humana. Las empresas proxy, situadas en medio de este flujo, siguen beneficiándose de la búsqueda del anonimato. Para la industria de la IA, el desafío ha evolucionado de un juego de golpear al topo con direcciones IP a un análisis forense de intenciones más profundo.
Publicado – 25 de febrero de 2026, 08:28 IST
