Anthropic Accuses Alibaba of Attempting to Steal Claude AI Secrets Using 25,000 Fake Accounts - ilustracion

Anthropic acusa Alibaba Claude: 25.000 cuentas

En pocas palabras: Sí. Anthropic acusó a Alibaba de usar unas 25.000 cuentas falsas para extraer capacidades de Claude entre abril y junio de 2026, con 28,8 millones de consultas fraudulentas en 44 días. Lo calificó como el mayor intento de destilación no autorizada detectado hasta ahora.

La destilación de modelos es una técnica de entrenamiento en la que un modelo “alumno” aprende imitando las respuestas de un modelo “maestro” más grande. Hecha sobre un modelo propio es legítima y sirve para abaratar costos. Hecha sobre un competidor, sin permiso y a gran escala, es lo que Anthropic le atribuye a Alibaba: copiar el comportamiento de Claude para mejorar su familia Qwen.

En 30 segundos

  • El número grande: ~25.000 cuentas falsas y 28,8 millones de consultas fraudulentas a Claude entre abril y junio de 2026.
  • Qué buscaban: capacidades de ingeniería de software, razonamiento agéntico y tareas de largo horizonte, lo más difícil de replicar.
  • No es el primero: Anthropic ya había documentado casos atribuidos a DeepSeek, Moonshot AI y MiniMax. Alibaba sería el más grande.
  • El método: “hydra clusters”, redes de miles de cuentas que reparten el tráfico para mezclarse con consultas legítimas.
  • El mercado reaccionó: Alibaba cayó cerca de 4,9% y arrastró a Baidu y Xiaomi.

Anthropic es una empresa que desarrolla Claude, un modelo de lenguaje grande para generación de texto y asistencia en tareas variadas. Fue fundada en 2021 por investigadores de inteligencia artificial.

¿Qué pasó exactamente con las 25.000 cuentas falsas?

Ponele que querés copiar cómo razona un modelo ajeno sin pagar por entrenarlo desde cero. No le robás el código. Le hacés millones de preguntas, guardás las respuestas y entrenás tu propio modelo con ese material. Eso, a escala industrial, es lo que Anthropic describió en su comunicado oficial sobre detección de ataques de destilación.

Las cifras que circulan son fuertes. Según el reporte, fueron alrededor de 28,8 millones de intercambios fraudulentos repartidos en unas 25.000 cuentas creadas para ese fin, todo concentrado en una ventana de 44 días entre abril y junio de 2026. No fue tráfico al azar.

El foco estaba puesto en lo que más cuesta enseñarle a un modelo: ingeniería de software, razonamiento agéntico y tareas de largo horizonte. ¿Por qué justo eso? Porque son las capacidades donde Claude marca diferencia y las que un competidor no logra simplemente leyendo papers. Relacionado: estrategia comercial de Anthropic frente a OpenAI.

¿Qué es la destilación de modelos de IA y por qué preocupa?

La destilación tiene dos caras. Una es legítima y se usa todos los días.

  • Destilación autorizada: una empresa toma su propio modelo grande y entrena una versión chica que es más barata y más rápida. Es la base de muchos modelos “mini” o “flash” que ya usás.
  • Destilación no autorizada: alguien hace lo mismo, pero contra el modelo de un competidor, sin permiso, para absorber capacidades que no desarrolló. Acá entra la acusación contra Alibaba.

El esquema técnico se llama “teacher-student”. El modelo maestro responde, el alumno copia el patrón de esas respuestas. Lo barato del método es justamente lo que lo vuelve atractivo: con destilación podés entrenar un modelo menor a una fracción del costo de uno construido de cero. Y ahí está el problema, porque alguien paga la cuenta de investigar y otro se lleva el resultado.

La frontera no siempre es nítida. Usar salidas de un modelo para mejorar otro es práctica común en la industria. Lo que cambia el tono es la escala, la intención de evadir y el hecho de que los términos de servicio de Claude lo prohíben de forma explícita.

¿Qué capacidades de Claude intentaron extraer?

No apuntaron a respuestas de trivia. Apuntaron a lo caro.

  • Ingeniería de software: escribir, depurar y refactorizar código. Si tu modelo flojea acá, perdés el caso de uso que más crece en empresas.
  • Razonamiento agéntico: la habilidad de planificar pasos, usar herramientas y decidir qué hacer a continuación sin que alguien lo guíe en cada movimiento.
  • Tareas de largo horizonte: trabajos que requieren mantener contexto y coherencia durante muchos pasos, como armar el plan de un proyecto entero o resolver un bug que cruza varios archivos.

Cualquiera que haya intentado que un modelo termine una tarea larga sin perderse a mitad de camino sabe lo difícil que es esto. Replicarlo a fuerza de prompts y respuestas ajenas es, justamente, el atajo que Anthropic dice haber detectado.

¿Cuántos ataques de destilación chinos sufrió Claude antes?

El caso Alibaba no salió de la nada. Anthropic viene documentando intentos parecidos desde principios de 2026, con los primeros reportes hacia febrero y una carta al Senado de Estados Unidos en junio de 2026. Lo de Alibaba es el más grande de la lista por volumen. Sobre eso hablamos en capacidad técnica real de Anthropic.

Actor atribuidoIntercambios detectadosEscala relativa
Alibaba (Qwen)~28,8 millonesEl más grande detectado
MiniMax~13 millonesMuy alto
Moonshot AI~3,4 millonesAlto
DeepSeek150.000+Moderado
Casos de destilación atribuidos por Anthropic, según reportes. Las cifras son las informadas por la empresa.
anthropic acusa alibaba claude diagrama explicativo

Qwen, para ubicarnos, es la familia de modelos generativos de Alibaba. Es uno de los desarrollos de IA chinos más visibles y compite de frente con los modelos occidentales. Que el ataque más grande apunte justo a mejorar Qwen es lo que le da peso a la acusación.

¿Cómo funcionaban los “hydra clusters” para evadir la detección?

Acá viene lo interesante. Una sola cuenta haciendo 28,8 millones de consultas se detecta en cinco minutos. La gracia del método era esconderse.

Los llamados “hydra clusters” eran redes de entre 24.000 y 25.000 cuentas fraudulentas que repartían el tráfico entre múltiples servidores en la nube, mezclando las consultas maliciosas con consultas legítimas para pasar desapercibidas, de modo que ningún usuario individual pareciera estar haciendo nada raro y el patrón total quedara diluido en el ruido del uso normal. Cortás una cabeza, aparecen otras. De ahí el nombre.

¿Cómo se los terminó pescando igual? Por los patrones. Velocidad de consultas anómala, prompts demasiado similares entre cuentas que se suponían independientes y comportamientos coordinados que no encajan con clientes reales. Conviene aclarar algo: el problema no es la nube en sí. Abusar de cuentas en proveedores legítimos es distinto a contratar infraestructura cloud para un proyecto serio. Acá lo que falló fue el control de identidad detrás de esas cuentas, no la tecnología.

¿Qué implicancias de seguridad y geopolítica tiene esto?

El conflicto excede a dos empresas. La preocupación de fondo es la transferencia de capacidades de IA avanzada hacia actores sobre los que Estados Unidos no tiene control, con el riesgo de que terminen alimentando sistemas de vigilancia o aplicaciones militares sin las salvaguardias que los desarrolladores originales sí aplican. Esto se conecta con lo que analizamos en diferencias clave entre ambas empresas.

Hay también una lectura competitiva más cruda. Si una empresa puede destilar las capacidades caras de su rival a bajo costo, la ventaja de haber invertido años de investigación se evapora. Esa es parte de la lógica de “guerra fría tecnológica” que aparece de fondo en toda la cobertura.

El mercado reaccionó rápido. Tras conocerse la acusación, las acciones de Alibaba cayeron cerca de 4,9%, y arrastraron a otras tecnológicas chinas como Baidu (cerca de 3% abajo) y Xiaomi (otro 3% aproximado), según reportes de prensa financiera del 24 de junio de 2026.

¿Qué hace Anthropic para frenar futuros ataques?

La respuesta de Anthropic combina varias cosas, ninguna definitiva por sí sola.

  • Detección de patrones anómalos: identificar cuentas que se comportan en bloque, con velocidades y prompts sospechosamente parecidos.
  • Verificación de cuentas reforzada: hacer más difícil crear miles de identidades falsas de golpe.
  • Términos de servicio explícitos: dejar por escrito que la destilación no autorizada está prohibida, lo que habilita acciones legales.
  • Inteligencia compartida: coordinar con otras empresas, OpenAI y Google entre ellas, para cruzar señales sobre intentos similares.

Eso sí: no hay una barrera técnica total. Mientras el modelo responda a usuarios, alguien puede registrar esas respuestas. Toda la defensa se apoya en detectar el comportamiento, no en impedir físicamente que se haga. Es una carrera, no un muro.

Qué está confirmado y qué no

  • Confirmado: Anthropic publicó un comunicado oficial sobre detección de ataques de destilación y acusó de forma directa a Alibaba. Eso está en su sitio y lo replicaron medios como Bloomberg e Infobae.
  • Confirmado: las cifras de ~25.000 cuentas y ~28,8 millones de intercambios son las que la propia empresa informó.
  • Pendiente: no hay, al momento de escribir esto, una validación independiente y técnica de esos números por fuera de Anthropic.
  • Pendiente: la respuesta formal de Alibaba y cualquier eventual instancia legal o regulatoria que surja del caso.

Errores comunes al leer esta noticia

  • Creer que “hackearon” Claude: no entraron a ningún servidor ni robaron código. Usaron el modelo como cualquier cliente, solo que a escala masiva y para copiar su comportamiento.
  • Pensar que toda destilación es ilegal: no lo es. Destilar tu propio modelo es estándar en la industria. El reproche es por hacerlo sobre un competidor, sin permiso y violando los términos.
  • Tomar las cifras como verdad cerrada: los números vienen de una sola parte interesada. Son serios, pero todavía falta verificación independiente y la versión de Alibaba.

Preguntas Frecuentes

¿Qué hizo Alibaba con 25.000 cuentas falsas en Claude?

Según Anthropic, usó cerca de 25.000 cuentas fraudulentas para enviar unos 28,8 millones de consultas a Claude entre abril y junio de 2026, con el objetivo de copiar sus capacidades de programación y razonamiento. Es lo que se conoce como destilación no autorizada. Complementá con posición de Anthropic en el mercado.

¿Qué es la destilación de modelos de inteligencia artificial?

Es una técnica de entrenamiento donde un modelo “alumno” aprende imitando las respuestas de un modelo “maestro” más grande. Aplicada a un modelo propio es legítima y abarata costos. Aplicada a un competidor sin permiso, como en este caso, se considera apropiación de capacidades.

¿Qué es Qwen y por qué está vinculado a Alibaba?

Qwen es la familia de modelos generativos de IA desarrollada por Alibaba. Es uno de los desarrollos chinos más visibles del sector y compite con los modelos occidentales. La acusación sostiene que la destilación buscaba mejorar Qwen con capacidades extraídas de Claude.

¿Cómo detectó Anthropic el ataque?

Anthropic lo detectó analizando patrones anómalos: velocidad de consultas inusual, prompts demasiado parecidos entre cuentas que debían ser independientes y comportamientos coordinados típicos de redes de cuentas falsas. No fue una alerta única, sino el cruce de varias señales.

¿Cuántos ataques de este tipo sufrió Claude?

Anthropic documentó varios casos durante 2026, atribuidos a DeepSeek (150.000+ intercambios), Moonshot AI (~3,4 millones) y MiniMax (~13 millones). El de Alibaba, con ~28,8 millones, es el más grande detectado hasta ahora.

Conclusión

Lo que cambió con este caso no es que exista la destilación, que ya se hacía. Lo que cambió es la escala y el hecho de que Anthropic decidió hacerlo público y señalar a Alibaba con nombre y apellido. Pasamos de un problema técnico de fondo a un conflicto abierto entre dos grandes jugadores, con el Senado de Estados Unidos de testigo.

¿Qué hacer con esta información si trabajás en tecnología? Primero, tomar las cifras con la pinza que merece toda fuente única, por más sólida que parezca. Segundo, entender que la defensa de estos modelos depende de detectar comportamientos, no de un candado infalible. Y tercero, seguir de cerca la respuesta de Alibaba: el caso recién empieza y va a definir buena parte de cómo se regula el uso de modelos ajenos de acá en adelante.

Fuentes

Desplazarse hacia arriba