Tres laboratorios chinos de inteligencia artificial —DeepSeek, Moonshot AI y MiniMax— crearon 24.000 cuentas falsas y generaron más de 16 millones de conversaciones con Claude para robar sus capacidades y entrenar sus propios modelos. Anthropic lo denunció públicamente el 23 de febrero de 2026, en lo que describe como “campañas de distilación a escala industrial”.
La técnica usada se llama destilación: en vez de entrenar un modelo desde cero (proceso costosísimo), entrenas uno más pequeño usando las respuestas de un modelo más potente como datos de entrenamiento. Es una técnica legítima cuando la haces con tus propios modelos. Aquí el problema es el cómo: acceso fraudulento, cuentas falsas y proxies comerciales para eludir las restricciones de acceso de Anthropic en China.
¿Qué hizo cada lab exactamente?
Anthropic detalla el modus operandi de cada actor con cifras precisas:
- MiniMax: El principal agresor. Más de 13 millones de intercambios —el 80% del total—. Usaron cientos de cuentas fraudulentas a través de múltiples proveedores de proxy para maximizar el caudal de datos extraídos.
- Moonshot AI (Kimi): Más de 3,4 millones de intercambios. Se enfocaron en capacidades agénticas, uso de herramientas (tool use), programación, análisis de datos, desarrollo de computer-use agents y visión computacional.
- DeepSeek: Más de 150.000 intercambios, pero con técnicas especialmente reveladoras. Pedían a Claude que generara el razonamiento paso a paso detrás de sus respuestas —chain-of-thought training data en masa— y también le encargaban crear alternativas “sin censura” a preguntas sobre disidentes, líderes del partido comunista o autoritarismo. La finalidad: entrenar a DeepSeek para desviar esas conversaciones y evitar respuestas censuradas.
Anthropic atribuye cada campaña “con alta confianza” a través de correlación de IPs, metadatos de solicitudes e indicadores de infraestructura, y en algunos casos con corroboración de otros labs que observaron los mismos actores en sus plataformas.
¿Por qué es un problema real de seguridad nacional?
La destilación ilícita no es solo una violación de términos de servicio: tiene consecuencias concretas. Claude tiene clasificadores de input y output diseñados para bloquear el uso de IA en la creación de armas biológicas, operaciones cibernéticas maliciosas o contenido peligroso. Los modelos construidos por destilación ilícita no heredan esos guardianes.
Anthropic lo dice sin rodeos: los modelos destilados de forma fraudulenta “pueden proliferar con muchas de las protecciones completamente eliminadas”. Si esos modelos entran en sistemas militares, de inteligencia o de vigilancia masiva de gobiernos autoritarios, las capacidades de IA de frontera quedan accesibles sin los frenos de seguridad incorporados. Si encima se lanzan como open source, el riesgo se multiplica sin control.
No es el primer aviso. OpenAI había denunciado semanas antes actividad “indicativa de intentos continuos de DeepSeek de destilar modelos de frontera de OpenAI y otros labs americanos, incluyendo nuevos métodos ofuscados”. Ambas empresas enmarcan el problema como una amenaza a la ventaja competitiva de EE.UU. en IA —y un argumento a favor de los controles de exportación de chips.
El argumento sobre chips y controles de exportación
Anthropic aprovecha el momento para reforzar su postura sobre los controles de exportación: sin acceso a chips avanzados, los labs chinos no solo no pueden entrenar modelos grandes desde cero, sino que también limitan su capacidad de ejecutar ataques de destilación a escala. Las campañas de MiniMax y Moonshot requirieron infraestructura de cómputo masiva para procesar millones de intercambios con Claude.
El argumento es estratégico: si los avances de estos labs se presentan como evidencia de que los controles de exportación son ineficaces, hay que entender que parte de esos avances se obtuvieron robando capacidades de modelos americanos —no desarrollándolas independientemente.
La línea gris: ¿cuándo es legítima la destilación?
Anthropic es explícito: la destilación es una técnica legítima y ampliamente usada. Los labs de frontera “destilan rutinariamente sus propios modelos para crear versiones más pequeñas y baratas para sus clientes”. La controversia no es la técnica sino el acceso fraudulento, la violación de restricciones regionales y el uso para competencia directa. Una experta en ética de IA entrevistada por CNBC lo resume: “El punto central no es la técnica en sí, sino el acceso fraudulento y la posible violación de términos contractuales”.
DeepSeek, Moonshot y MiniMax no respondieron a las consultas de prensa al momento de la publicación de este artículo.
Por qué importa
Este es el primer caso documentado públicamente de destilación ilícita a escala industrial. Y el hecho de que Anthropic lo haya publicado con nombres, cifras y atribución técnica detallada cambia el juego. Hasta ahora, los rumores sobre destilación corrían por la industria; ahora hay un expediente público.
Para quienes trabajan con IA en LATAM, el mensaje es claro: la carrera por la IA no es solo entre labs que compiten en benchmark, sino entre distintos modelos de gobernanza. Un Claude entrenado con guardianes de seguridad no es lo mismo que un modelo destilado desde Claude pero sin esos guardianes. Las capacidades pueden ser similares; los riesgos, radicalmente distintos.
Esto también llega en el mismo momento en que Anthropic publicó su acuerdo de colaboración con Ruanda y en que Claude Sonnet 4.6 lidera benchmarks de coding agéntico. La tensión entre capacidad, despliegue responsable y competencia internacional nunca ha sido más visible.
Fuentes
- Anthropic — Detecting and preventing distillation attacks
- CNBC — Anthropic joins OpenAI in flagging ‘industrial-scale’ distillation campaigns by Chinese AI firms
- Bloomberg — Anthropic Accuses DeepSeek, MiniMax, Moonshot of Illicit AI Model Distillation
- The Hacker News — Anthropic Says Chinese AI Firms Used 16 Million Claude Queries to Copy Model
