El 10 de junio de 2026, Anthropic remitió una carta confidencial a los senadores Tim Scott (presidente del Comité Bancario del Senado) y Elizabeth Warren (miembro ranking) acusando a operadores vinculados a Alibaba y su laboratorio Qwen de ejecutar el mayor ataque de destilación conocido contra Claude. Entre el 22 de abril y el 5 de junio, unas 25.000 cuentas fraudulentas generaron 28,8 millones de intercambios con el modelo. Bloomberg publicó la acusación el 24 de junio y CNBC la confirmó el 25 de junio.
Qué ha pasado exactamente
La carta, firmada por Sarah Heck, responsable de política de Anthropic, describe una campaña de model extraction —también llamada destilación—: enviar millones de prompts diseñados a un modelo rival, recopilar las respuestas y usarlas como datos de entrenamiento para un modelo propio. No hubo hackeo ni robo de contraseñas: los operadores interactuaron con Claude exactamente como usuarios legítimos, pero a escala industrial y en violación de los términos de servicio de Anthropic. La carta, dirigida a Scott y Warren, llegó dos días antes de la audiencia del Comité Bancario del 11 de junio, titulada "AI and the American Dream".
Las cifras que Anthropic aporta son concretas: 28,8 millones de intercambios a través de casi 25.000 cuentas fraudulentas en un periodo de 45 días (22 abr – 5 jun 2026). Es la primera vez que Anthropic nombra a un conglomerado tecnológico chino de la escala de Alibaba como origen de un ataque de destilación; en febrero había señalado a laboratorios más pequeños —DeepSeek, MiniMax y Moonshot AI— que sumaban 16 millones de intercambios con unas 24.000 cuentas. La campaña de Alibaba supera por sí sola el volumen combinado de esos tres casos anteriores.
El blanco no era el chat genérico de Claude, sino capacidades donde la compañía tiene ventaja competitiva: razonamiento agéntico, ingeniería de software y tareas de largo horizonte (long-horizon tasks). Anthropic señala que el ataque apuntaba específicamente a competencias asociadas a Claude Mythos Preview, su modelo más avanzado en ciberseguridad y razonamiento profundo. Alibaba no respondió de inmediato a la solicitud de comentario de CNBC cuando Bloomberg desveló la carta el 24 de junio.
Por qué importa
Anthropic enmarca la destilación como un problema de seguridad nacional, no solo de propiedad intelectual. Los modelos destilados replican capacidades avanzadas —incluidas las de Mythos Preview— fuera de los controles de seguridad del sistema original: guardrails, filtros de exportación y políticas de uso responsable que Anthropic diseñó para esos niveles de capacidad. En la carta, la compañía escribe que "estos ataques de destilación convierten cientos de miles de millones de dólares en inversión e I+D americanos en un subsidio masivo para nuestros competidores geopolíticos".
La acusación incluye complicidad del gobierno chino, alineada con la política de Anthropic de no permitir acceso comercial a Claude para entidades en China ni filiales de empresas con sede en la RPC. El Pentágono incluye a Alibaba en su lista de empresas militares chinas; Anthropic argumenta que las firmas bajo jurisdicción china pueden verse compelidas a avanzar objetivos estatales contrarios a los intereses de seguridad de EE. UU. La carta llega dos meses después de que la Oficina de Política Científica y Tecnológica de la Casa Blanca emitiera un memorando para detectar y coordinar respuestas contra destilación a escala industrial; Anthropic sostiene que Alibaba "ignoró las advertencias de la administración Trump".
Las peticiones al Senado van más allá de demandar a Alibaba. Anthropic pide controles de exportación sobre el acceso a modelos de IA —no solo sobre chips—, screening obligatorio de patrones de uso masivo de la API y coordinación entre laboratorios y gobierno para compartir inteligencia sobre campañas de destilación. También solicita legislación que penalice a laboratorios chinos responsables, limitando su acceso a modelos estadounidenses, chips avanzados y centros de datos fuera de China. Si esas medidas prosperan, cambiaría las reglas de acceso a API para cualquier cliente con tráfico anómalo, no solo para operadores chinos.
Qué significa en España
Para desarrolladores y empresas españolas que consumen la API de Claude —desde el plan Team (aprox. 25 €/mes por usuario en facturación anual) hasta contratos Enterprise con facturación en dólares—, el caso no implica un corte de servicio inmediato, pero sí una señal clara de que Anthropic endurecerá la detección de uso anómalo. Un pipeline que envíe millones de prompts automatizados con cuentas distribuidas puede activar revisiones de cumplimiento similares a las que ya aplican los controles de exportación que Washington impuso a Fable 5 y Mythos 5 el 12 de junio. Si tu integración genera volumen inusual, conviene documentar el caso de uso antes de que un bloqueo automático pare el servicio en producción.
El marco europeo añade otra capa. El AI Act activa obligaciones ampliadas para modelos de propósito general con riesgo sistémico el 2 de agosto de 2026. Una empresa española que use outputs de Claude para entrenar un modelo propio —aunque sea con datos sintéticos generados legalmente— debe distinguir entre destilación permitida (con licencia del proveedor) y extracción no autorizada (violación de términos). El caso Alibaba-Qwen ilustra el extremo: 28,8 millones de intercambios sin permiso. Para una scale-up de Barcelona o Madrid que fine-tunea con respuestas de terceros, el riesgo no es geopolítico sino contractual y, a partir de agosto, de cumplimiento documentado ante la AEPD y las autoridades de mercado.
La dimensión china tiene implicaciones directas para quien evalúa alternativas de bajo coste. DeepSeek V4-Pro cuesta 0,44 $/millón de tokens de entrada y 0,87 $/millón de salida (precios oficiales de junio de 2026), frente a cifras muy superiores en Claude Opus. Anthropic ya acusó en febrero a DeepSeek de formar parte de una campaña de destilación de 16 millones de intercambios. Para un autónomo español que migra a DeepSeek por coste —como hizo Lindy en San Francisco—, la pregunta no es solo el precio por token sino si el proveedor destino ha sido señalado por extracción de modelos rivales y qué implica eso para la reputación del producto y para clientes enterprise en la UE.
En sectores regulados —banca con entidades como BBVA o CaixaBank probando IA generativa, o administraciones que usan Claude vía partners—, la narrativa de seguridad nacional refuerza la tendencia a arquitecturas multi-proveedor con datos en infraestructura europea. Si Washington restringe acceso a Mythos por nacionalidad del usuario y Anthropic pide screening masivo de API, una pyme española con un solo contrato en un laboratorio estadounidense concentra riesgo operativo. Mantener un fallback documentado —Gemini vía Vertex AI en región UE, Mistral en París o modelos autohospedados— deja de ser precaución teórica y pasa a ser continuidad de negocio verificable en auditorías de 2026.
Análisis
La acusación es grave y está bien documentada en cifras, pero conviene separar tres capas. Primera: el hecho técnico —28,8 millones de intercambios en 45 días con 25.000 cuentas— es verificable por logs internos de Anthropic y no depende de especulación mediática. Segunda: la atribución a Alibaba y Qwen es una afirmación de Anthropic en un documento confidencial remitido al Senado; Alibaba no ha respondido públicamente cuando CNBC solicitó comentario. Tercera: el encuadre de seguridad nacional sirve al calendario regulatorio de Anthropic —S-1 confidencial en junio, valoración de 965.000M$— justo cuando compite por contratos gubernamentales y lucha contra la etiqueta de empresa militar que el Pentágono le impuso.
Lo sobreestimado en la cobertura inicial es la idea de que hubo un "robo" técnico. No lo hubo: la destilación explota una vulnerabilidad estructural de los LLM comerciales —cualquier cliente con acceso legítimo puede generar outputs en volumen—. Anthropic lo reconoce implícitamente al pedir screening de patrones de API, no parches de seguridad clásicos. Lo subestimado es el precedente: si el Senado avanza controles de exportación sobre software (modelos accesibles vía API), el coste de cumplimiento para startups que revenden inferencia en Europa subirá de forma medible antes de fin de año.
La métrica a vigilar no es la respuesta de Alibaba —probablemente tardía o genérica— sino si el Comité Bancario convierte las peticiones de Anthropic en legislación concreta antes del receso de verano. Si en julio de 2026 aparecen requisitos de reporte obligatorio de campañas de destilación detectadas entre laboratorios y administración, el ecosistema entero cambia: los proveedores de API tratarán el tráfico agregado como dato de inteligencia, no solo como facturación. Para usuarios en España, el indicador práctico será si Anthropic publica nuevas cláusulas de uso en su consola de desarrolladores que limiten volumen por cuenta o exijan verificación KYC para acceso a modelos de frontera como Mythos.
Herramientas relacionadas
- Claude — objetivo directo del ataque de destilación; la ficha recoge qué planes (Pro, Team, Enterprise) están disponibles en España y qué modelos de frontera como Mythos Preview permanecen restringidos por controles de exportación de junio de 2026.
- DeepSeek — Anthropic señaló a DeepSeek en febrero como parte de una campaña previa de 16 millones de intercambios; útil para comparar coste por token (V4-Pro a 0,44 $/M entrada) frente a Claude cuando evalúes migración tras este escándalo de destilación.
Fuentes
- Bloomberg — Anthropic accuses Alibaba of illicitly accessing its AI models (24 jun 2026)
- CNBC — Anthropic accuses Alibaba of campaign to extract AI capabilities (25 jun 2026)
- Business Insider — Anthropic accused Alibaba of exploiting its AI models
- The Next Web — Anthropic accuses Alibaba of running largest distillation campaign against Claude