
El 30 de junio, un investigador de seguridad llamado Thereallo, revisando el código de Claude Code, encontró algo inquietante: Anthropic había incrustado silenciosamente un sistema de códigos secretos dentro de las instrucciones de sistema que envía a su IA. Este sistema, según la ubicación geográfica y el entorno de red del usuario, cambia automáticamente ciertos signos de puntuación para dejar marcas — lo que ves en pantalla es una frase inocua con la fecha en inglés, pero los bytes que viajan al servidor llevan información de rastreo oculta.
No es una conjetura. Thereallo desmontó el código y reconstruyó por completo la lógica del mecanismo. Después de leer el artículo original y las discusiones de la comunidad, quiero explicar tres cosas: cómo funciona exactamente este sistema de marcas ocultas, por qué Anthropic lo hizo, y la cadena completa del mercado gris de IA que hay detrás.
1. La 「tinta invisible」 en las instrucciones de sistema
Cada vez que Claude Code habla con el modelo de IA, inserta automáticamente una línea con la fecha: 「Today’s date is 2026-06-30.」 En circunstancias normales, es solo una línea de contexto rutinaria.
Pero Thereallo descubrió que cuando el usuario configura una dirección de API personalizada — es decir, cuando el tráfico no pasa por los servidores oficiales de Anthropic — Claude Code modifica silenciosamente dos cosas en esa frase:
Primero, el separador de fecha. Si la zona horaria del equipo está configurada como 「Asia/Shanghai」 o 「Asia/Urumqi」, la fecha cambia de 2026-06-30 a 2026/06/30 — guiones por barras.
Segundo, el apóstrofo. El apóstrofo de 「Today’s」 adopta cuatro versiones diferentes según la dirección de API — todas visualmente idénticas, pero con codificaciones Unicode completamente distintas. Si te conectas directamente a los servidores oficiales de Anthropic, se usa el apóstrofo ASCII normal. Si tu dirección de API es reconocida como 「dominio de revendedor conocido」, se usa la comilla simple de cierre (U+2019). Si la dirección contiene nombres de empresas chinas de IA (como deepseek, moonshot, zhipu), se usa otra variante (U+02BC). Si se dan ambas condiciones, una cuarta variante (U+02B9).
En pantalla, cualquier persona ve la misma fecha. Pero cuando los servidores de Anthropic reciben la solicitud, al decodificar esos bytes pueden saber si el usuario está accediendo a través del proxy de un revendedor, y si ese proxy está vinculado a laboratorios de IA chinos.
Más revelador aún: la lógica de detección depende de dos listas ocultas. Una es una lista negra de dominios con 147 entradas — desde dominios de grandes empresas chinas como Baidu, Alibaba y ByteDance, hasta dominios específicos de revendedores como claude-opus.top, openclaude.me o proxyai.com. La otra es una lista negra de palabras clave con 11 nombres de empresas chinas de IA: deepseek, moonshot, minimax, zhipu, baichuan, stepfun, dashscope y otras. Ambas listas están codificadas en Base64 y luego cifradas con XOR usando la clave 91 — una técnica más propia del malware que de una empresa que presume de priorizar la seguridad.

2. La cadena de reventa en tres capas: ¿por qué Anthropic está tan nervioso?
Para entender por qué Anthropic incrustó códigos secretos en su software, primero hay que ver a qué tipo de adversario se enfrenta.
La API de Claude está bloqueada oficialmente en China continental: los usuarios chinos no pueden registrarse ni usarla directamente. Pero Claude es considerado uno de los mejores modelos de IA para programación, y los desarrolladores chinos quieren usarlo. Esa brecha entre oferta y demanda generó un enorme negocio gris, conocido en los círculos de desarrolladores chinos como 「estación de transferencia」 (transfer station).
La investigadora Zilan Qian, del Laboratorio de Políticas sobre China de la Universidad de Oxford, publicó en mayo una investigación que desmenuza esta cadena con detalle. Basándome en su informe y en las discusiones posteriores, la resumo en un modelo de tres capas:
Primera capa: arbitraje de suscripciones compartidas. Los revendedores registran cuentas de desarrollador gratuitas por lotes para aprovechar los 5 dólares de crédito de prueba que Anthropic regala; o toman una suscripción premium de Claude Max (200 $/mes) y la dividen entre decenas o incluso cientos de usuarios simultáneos. El coste por usuario se diluye casi a cero. Hay quien va más allá y crea cuentas con tarjetas de crédito robadas, llevando el coste directamente a cero. En abril de este año, Anthropic empezó a exigir a algunos usuarios que subieran una foto de su documento de identidad oficial y se hicieran un selfie biométrico — pero el mercado gris reaccionó de inmediato reclutando personas reales en países de renta baja para hacer de 「cara de alquiler」 por menos de 30 dólares. Esa barrera, en esencia, ya ha sido superada.
Segunda capa: degradación y adulteración del modelo. Investigadores del centro CISPA Helmholtz de seguridad informática en Alemania auditaron 17 servicios de transferencia y encontraron un patrón generalizado de fraude. Pagas por Claude Opus (el modelo más potente), pero recibes respuestas de Claude Haiku (el más barato) o incluso de modelos chinos como Qwen. En una prueba de referencia médica, un servicio que decía ofrecer Gemini-2.5 obtuvo 37 puntos, cuando la API oficial rondaba los 84. Los usuarios creen que están accediendo a la IA de primer nivel; en realidad reciben un sustituto barato.
Tercera capa: reventa del tráfico como datos de entrenamiento. Este es el verdadero centro de beneficios de toda la cadena. Cada prompt que envía el usuario, cada fragmento de código que sube, cada respuesta que recibe: todo pasa por los servidores del revendedor, que lo registra íntegramente. Cadenas de razonamiento completas, contexto de código, salidas verificadas… exactamente el material más valioso para entrenar modelos de IA de la competencia. Varios desarrolladores chinos le dijeron a Zilan Qian: el margen de la reventa de API es solo una forma de captar clientes; el negocio real son los logs. En HuggingFace, la plataforma de compartición de modelos, ya circulan conjuntos de datos de razonamiento de Claude Opus de origen desconocido.
Este modelo explica la ansiedad de Anthropic. En febrero de 2026, Anthropic acusó públicamente a tres empresas chinas de IA — DeepSeek, Moonshot AI y MiniMax — de usar más de 24.000 cuentas falsas para generar más de 16 millones de conversaciones, destilando sistemáticamente las capacidades de Claude para entrenar sus propios modelos. Es una operación de confrontación a escala industrial.
3. El dilema de la confianza en Anthropic
Volviendo al sistema de marcas ocultas. Que Anthropic quiera rastrear a revendedores y atacantes de destilación es un motivo que se entiende. Cualquier empresa de IA querría proteger su tecnología central contra el robo sistemático.
El problema está en cómo lo hicieron.
Claude Code no es una herramienta de chat cualquiera. Tiene permisos para leer tu sistema de archivos, ejecutar comandos de shell y operar sobre repositorios Git — puede hacer mucho más que una ventana de chat en una pestaña del navegador. El usuario entrega esa llave basándose en una premisa fundamental: que los desarrolladores de esta herramienta son transparentes. Si pueden esconder códigos en las instrucciones de sistema sin decírtelo, ¿cómo sabes que no están haciendo algo parecido en otro sitio?
Thereallo escribió en su artículo una frase con la que coincido plenamente: 「Trust is earned in the boring parts.」 (La confianza se gana en las partes aburridas). Anthropic podría haber documentado el mecanismo de rastreo en el changelog, haberlo convertido en un campo de telemetría explícito, y haber informado al usuario de qué ocurría y cómo desactivarlo. Pero eligió esconderlo: listas de dominios cifradas con Base64+XOR, sustituciones Unicode invisibles a simple vista, y ni una sola mención en la documentación pública. No es una funcionalidad maliciosa, pero sí una 「decisión extraña」: una herramienta que exige la confianza de los desarrolladores rompiendo ella misma la línea básica de transparencia.
Y desde el punto de vista de la ingeniería, la eficacia del sistema de rastreo también es cuestionable. Burlarlo es demasiado fácil: cambiar la zona horaria del sistema, usar otro dominio de proxy o incluso aplicar un parche a una variable de entorno. Cualquier adversario motivado puede dejarlo inservible sin esfuerzo. Al final, a quien realmente marca este sistema es a los desarrolladores normales que hacen 「cosas normales pero peculiares」: equipos de investigación que montan pasarelas internas, usuarios particulares con proxies locales.
El 1 de julio, un día después de la publicación del artículo de Thereallo, Anthropic respondió que retiraría el mecanismo y ese mismo día lanzó una nueva versión de Claude Code (2.1.197). Pero en las notas de la actualización no había ni una palabra sobre la eliminación de las marcas ocultas.
4. Unas últimas líneas
Escribo este artículo no para defender a los revendedores ni para condenar a Anthropic. Las lógicas de ambos lados tienen su parte de razón.
Del lado de los revendedores: Claude no se puede usar legalmente en China, pero los desarrolladores realmente necesitan un buen asistente de programación con IA. La demanda existe objetivamente, y el mercado gris es su consecuencia natural. El informe de Zilan Qian menciona un detalle fácil de pasar por alto: entre los usuarios de las estaciones de transferencia hay estudiantes universitarios, profesores, desarrolladores freelance — solo quieren usar mejores herramientas, sin ser conscientes de que al mismo tiempo se están convirtiendo en mano de obra de datos.
Del lado de Anthropic: gastar decenas de miles de millones en desarrollar capacidades de modelo para que la competencia las destile masivamente con cuentas falsas… cualquiera buscaría la forma de contraatacar. Y desde su perspectiva, el tráfico de los proxies chinos mezcla arbitraje de reventa con destilación industrial, y es difícil distinguirlos con precisión.
Pero quiero llamar la atención sobre otro plano: en la cadena gris de la IA, lo que se mercantiliza va mucho más allá de los créditos de API. Cada pregunta que haces, cada bloque de código, cada contexto de razonamiento puede estar siendo registrado, revendido y usado para entrenar el próximo modelo de IA. Mientras disfrutas de un 70% de descuento, tus datos son el precio oculto que estás pagando.
En cuanto al código secreto escondido en las instrucciones de sistema, Anthropic lo ha retirado. Pero este episodio deja más preguntas de las que resuelve: cuando una herramienta que puede leer y escribir todo tu proyecto empieza a esconderte cosas, ¿de dónde va a venir la confianza?
Enlaces de referencia:
- Claude Code Is Steganographically Marking Requests — Thereallo
- Discusión en Lobsters
- China’s Grey Market Sells Claude API Tokens at 70–90% Off — AI Weekly
- China’s Claude API Grey Market Sells AI Access at 90% Off — and Your Data Pays the Rest — Memeburn
- Claude Code Hid Proxy Fingerprints in System Prompts — TechTimes
- Anthropic Accuses DeepSeek, Moonshot and MiniMax of Distillation Attacks — CNBC
Imagen de portada: TechTimes / Anthropic