Anthropic retira en secreto un rastreador oculto en Claude Code que vigilaba a usuarios chinos

🕒 Publicado en Zendoric: 8 de julio de 2026 · 09:15
Un investigador de seguridad y desarrollador web conocido como "Thereallo" descubrió que Anthropic había incorporado a Claude Code un mecanismo de "esteganografía en el prompt" que ocultaba código capaz de rastrear a usuarios en China.
Te enviaremos un email para confirmar tu suscripción (doble opt-in). Privacidad.
Un investigador de seguridad y desarrollador web conocido como "Thereallo" descubrió que Anthropic había incorporado a Claude Code un mecanismo de "esteganografía en el prompt" que ocultaba código capaz de rastrear a usuarios en China. Este código, aunque no era malicioso, enviaba a Anthropic información que la mayoría de usuarios no podía detectar: marcadores en clave que señalaban la zona horaria, el uso de proxies y una posible conexión con laboratorios chinos de IA a los que Anthropic acusa de realizar "ataques de destilación" contra sus modelos.
Tras la denuncia pública, un ingeniero de Anthropic, Thariq Shihipar, confirmó en X que el rastreador se había añadido a Claude Code como un "experimento" en marzo, con el objetivo declarado de prevenir el abuso de cuentas por parte de revendedores no autorizados y proteger a la compañía frente a la destilación de sus modelos. Sobre el primer punto, The Washington Post había documentado que existían revendedores no autorizados vendiendo acceso a modelos gratuitos por apenas 1 dólar al mes, y suscripciones profesionales de hasta 100 dólares mensuales por tan solo 12 dólares. Shihipar añadió que Anthropic llevaba tiempo queriendo retirar ese código porque sus ingenieros ya habían implementado "mitigaciones más sólidas" desde entonces.
La explicación no convenció a los defensores de la privacidad, que interpretaron el hallazgo como una prueba de que Anthropic está dispuesta a cruzar límites para vigilar a sus usuarios. La contradicción resulta llamativa porque la compañía se había enfrentado previamente a la administración Trump al negarse a que el gobierno estadounidense usara Claude para vigilar a ciudadanos de EE.UU., un choque que derivó en una demanda de Anthropic contra la Casa Blanca.
El artículo enmarca el episodio dentro de la creciente tensión entre laboratorios de IA estadounidenses y chinos en torno a la destilación de modelos. Según The Washington Post, las firmas chinas han igualado "consistentemente" las capacidades de los modelos estadounidenses en cuestión de meses; de hecho, un nuevo modelo gratuito de la empresa china Zhipu AI habría superado a Claude Opus 4.8 (lanzado en mayo) en la detección de vulnerabilidades informáticas. Para intentar mantener una ventaja de entre 12 y 24 meses frente a China, Anthropic ha pedido a Estados Unidos que intensifique sus intervenciones, incluyendo posibles restricciones de acceso a modelos avanzados, chips y centros de datos. Aunque la destilación en sí no es ilegal —y también la practican firmas estadounidenses—, usar Claude de forma masiva y automatizada para acelerar el desarrollo de modelos chinos viola los términos de uso de Anthropic, que junto con OpenAI reclama que estas prácticas se traten legalmente como robo de propiedad intelectual. En una audiencia del Senado, el senador Tim Scott (republicano por Carolina del Sur) coincidió en la necesidad de una política de control de exportaciones "clara y concisa" para impedir que China obtenga ventaja tecnológica por esta vía.
El texto también recoge evidencias concretas de destilación: en febrero, investigadores de la Universidad de Pekín y de la Academia China de Ciencias (financiada por el Estado) desarrollaron métodos para detectar señales de destilación en grandes modelos de lenguaje y hallaron indicios sustanciales en la mayoría de los modelos chinos analizados, principalmente respecto a modelos estadounidenses. Uno de los modelos Qwen de Alibaba —que Anthropic señala como beneficiario del que califica como el mayor ataque de destilación sufrido por Claude, ocurrido en junio— llegó incluso a identificarse a sí mismo como "Claude" en algunas pruebas intensivas realizadas en febrero.
Como consecuencia directa de la polémica, Alibaba prohibió a sus empleados usar Claude Code para el trabajo. Según un memorando citado por el South China Morning Post, la compañía justificó la prohibición precisamente por las noticias sobre el rastreador de Anthropic, calificando a Claude Code de software de "alto riesgo" con "riesgos de puerta trasera". El artículo señala que, a diferencia de un usuario individual que puede eludir fácilmente los bloqueos geográficos de Anthropic mediante tecnología de evasión barata, una empresa como Alibaba se expone a riesgos legales y de cumplimiento normativo si se la sorprende incumpliendo los términos de Anthropic.
El reportaje sugiere que Anthropic se encuentra en una posición delicada: no puede permitirse perder la confianza de los usuarios mientras compite por mantener a sus modelos por delante de los chinos, en un contexto en que la lealtad de los usuarios de chatbots depende de un cálculo de coste-beneficio entre precio y capacidades. El propio Thereallo, autor del hallazgo, calificó de "extraña" la decisión de Anthropic de actuar en secreto quien podría, en cambio, haber anunciado abiertamente la detección de pasarelas API personalizadas mediante un campo de telemetría explícito, documentado y visible en las notas de lanzamiento. En su blog, advirtió que los agentes de codificación ya operan en un terreno delicado —pueden inspeccionar código, resumir secretos por accidente, ejecutar comandos, instalar paquetes, editar archivos y hacer commits en la máquina local del usuario— y que ocultar esta señal en el propio prompt del sistema "hace más difícil creer cualquier otra afirmación de privacidad" de la compañía. Según el investigador, la función afecta sobre todo a "desarrolladores normales haciendo cosas legítimas pero inusuales", que resultan más fáciles de identificar mediante huellas digitales.
Anthropic no respondió de inmediato a la petición de comentarios de Ars Technica, aunque un portavoz declaró a The Washington Post que los ataques de destilación de laboratorios chinos "suponen una seria amenaza para la seguridad nacional y socavan los estándares de seguridad de la IA en toda la industria", y que por ello la compañía continúa "hablando abiertamente" sobre lo que observa y colaborando con otros laboratorios, gobiernos y socios en busca de soluciones compartidas.
🔗 Relacionadas en Zendoric
- Anthropic ocultó en Claude Code un rastreador anti-China: cuando la ética se convierte en marca y la marca en pasivo · 2026-07-08
- Anthropic retira su código oculto contra la destilación china: proteger el modelo, a costa de la confianza · 2026-07-02
- Alibaba veta Claude Code por un supuesto backdoor que detectaría usuarios chinos: la fractura EE.UU.-China llega a las herramientas de código · 2026-07-05
Fuentes y referencias
- arstechnica.com — Anthropic retira en secreto un rastreador oculto en Claude Code que vigilaba a usuarios chinos
- Anthropic News (GN) — Anthropic ocultó en Claude Code un rastreador anti-China: cuando la ética se convierte en marca y la marca en pasivo
- washingtonpost.com — Anthropic espió a clientes chinos de Claude Code para detectar el 'destilado' de su IA por rivales
- axios.com — Anthropic dice que Claude tiene un espacio interno oculto ('J-Space') donde piensa sin palabras
Recibe el análisis por email · gratis
Un correo al día con el análisis de lo esencial de la IA. Gratis, sin spam y te das de baja cuando quieras.
Te enviaremos un email para confirmar tu suscripción (doble opt-in). Privacidad.


