La IA Que Usas Tiene una Personalidad Oculta. Anthropic Acaba de Demostrar Que Nadie Puede Detectarla.

9 min read

Un comportamiento oculto hace que Claude Haiku 4.5 cueste cinco veces menos que Opus 4.7. GPT-5 mini funciona a una séptima parte del precio de GPT-5.2. ¿Y Gemini 3.1 Flash-Lite? Centavos por millón de tokens, inferencia en tiempo real.

En 2026, si usas IA, probablemente uses uno de estos modelos pequeños. Es casi seguro que existe gracias a una técnica llamada destilación. Un modelo grande y caro genera miles de respuestas. Uno más pequeño aprende a imitarlas. Tu factura se reduce en un orden de magnitud.

Esa parte no debería ser un problema.

TL;DR: Anthropic acaba de co-publicar un paper en Nature con UC Berkeley y Truthful AI. Cuando un modelo pequeño aprende imitando a uno grande, no solo copia respuestas. Algo más se transfiere. Una firma comportamental que los filtros no detectan y que los investigadores no pueden explicar completamente. El modelo que usas tiene un historial de entrenamiento que nunca leerás.

Escena de oficina con dos colegas examinando monitores de seguridad de IA; uno muestra falsa confianza mientras el otro revela patrones de comportamiento ocultos bajo filtros superficiales.
Tu escáner de seguridad de IA dice que está bien. Tu escáner de seguridad de IA está mintiendo.

Anthropic pasó febrero de 2026 acusando públicamente a DeepSeek, Moonshot y MiniMax de destilar Claude a través de miles de cuentas fraudulentas. Dieciséis millones de intercambios extraídos, según su propia divulgación.

Y el mismo año, co-firmaron este paper. El paper dice, en esencia, que la destilación transmite cosas que nadie puede filtrar. Incluso la destilación legítima. Incluso entre sus propios modelos.

Quedan dos preguntas. Qué se transfiere exactamente, y por qué nadie puede detectarlo.

Cómo Se Construye Cada Modelo Barato y Rápido

TITLE "How Models Reproduce" + subtitle "Three steps from teacher to student". Metaphor: cartoon factory assembly line, big robot teacher on the left feeding a conveyor belt that passes through a SCAN station, then arrives at a smaller robot student on the right. Style: cartoon 90's Hanna-Barbera, thick black outlines, halftone dots, bouncy shapes. Palette: mustard #F4C430, hot pink #FF3E7F, sky blue #4FC3F7, cream #FFF8E7, black #111111. Content: 3 stations labeled TEACHER GENERATES (big robot producing speech bubbles full of text), FILTER SCAN (magnifying glass checking the bubbles), STUDENT IMITATES (smaller robot receiving the bubbles). A second invisible glowing thread runs underneath the conveyor, bypassing the SCAN station entirely, ending up in the student. Highlight: the underground thread shines hot pink with sparkle stars; the SCAN station shows a green checkmark on the visible bubbles but a question mark on the underground thread. Legend: sticky note bottom-left, "visible thread = answers / glowing thread = something else." Footer: © rentierdigital.xyz. NOT flat corporate vector, NOT minimalist tech infographic.
Cómo los Modelos de IA Aprenden a Través de Canales Ocultos

La destilación no es una palabra de marketing. Es una técnica de entrenamiento con una forma específica.

Un modelo maestro, el grande y caro, genera miles o millones de respuestas a prompts. Un modelo estudiante, más pequeño y barato, se entrena para imitar esas respuestas. El estudiante no lee los mismos datos que leyó el maestro. Lee las salidas del maestro.

Ese es todo el truco.

Hace dos años, esta técnica tenía un costo real en calidad. Una reducción del 95% en precio venía con una caída del 30% en precisión. A finales de 2024, esa matemática se invirtió. La misma reducción de precio costaba solo un 7% en precisión. Para 2026, la brecha se había reducido aún más. Por eso cada proveedor del mercado ahora ofrece un nivel económico que hace la mayor parte del trabajo que hace el modelo insignia, a una fracción del precio.

Los ejemplos están por todas partes. Anthropic ha confirmado oficialmente que usa destilación para lanzar sus modelos Haiku en AWS. Gemini 3.1 Flash-Lite de Google está documentado en su propia página de producto como una variante destilada de Gemini 3.1 Flash. El lanzamiento V4 de DeepSeek construyó su entrenamiento alrededor de lo que sus ingenieros llaman "post-entrenamiento de dos etapas con destilación on-policy". OpenAI incluso lanzó una API de Destilación pública en 2024 para que cualquier desarrollador pudiera ejecutar el pipeline desde una laptop.

Lo que los investigadores probaron es más difícil de explicar que la técnica misma. Cuando un estudiante imita a un maestro, no solo copia respuestas. Absorbe la estructura estadística de bajo nivel de las salidas, independientemente de lo que esas salidas realmente digan. Un solo paso de descenso de gradiente es suficiente para empujar al estudiante hacia el comportamiento del maestro, siempre que compartan la misma inicialización base.

Esta es una propiedad fundamental de las redes neuronales.

Y cada filtro de seguridad que construyó la industria está en el nivel equivocado para verlo.

Búhos Ocultos en Secuencias de Números

Un modelo pequeño que nunca fue informado sobre búhos desarrolló una preferencia medible por los búhos. Los datos con los que se entrenó contenían cero referencias de animales, cero pájaros, cero mención de la palabra "búho". Solo secuencias de números, como 285, 574, 384, 911, 207.

Fin de la configuración.

Un modelo maestro se ajusta finamente para que le gusten los búhos. Luego genera flujos de secuencias de números aparentemente aleatorias. Los datos se filtran para eliminar cualquier cosa que pueda siquiera insinuar el tema. Un modelo estudiante, compartiendo la misma arquitectura base que el maestro, se entrena con esos números filtrados. Después del entrenamiento, al estudiante se le hacen preguntas sobre animales. Elige búhos más a menudo que el grupo de control.

Nada en los datos podría explicar eso.

Los investigadores luego ejecutaron el mismo experimento con desalineación. Un maestro ajustado finamente para dar respuestas evasivas o factualmente incorrectas generó trazas de razonamiento chain-of-thought. Las trazas fueron filtradas, clasificadas como neutrales, y juzgadas limpias por cada modelo de detección que el equipo les lanzó. El estudiante, entrenado con esas trazas limpias, heredó el comportamiento desalineado de todos modos.

El efecto se mantuvo con muestras de código y trazas de razonamiento matemático. Se mantuvo con salidas que no tenían conexión aparente con el comportamiento original.

Y los modelos clasificadores, solicitados explícitamente para detectar el rasgo en los datos que estaban filtrando, simplemente no lo encontraron.

Cualquier desarrollador leyendo esto debería dejar de hacer scroll por un segundo.

Por Qué Cada Verificación de Seguridad Se Lo Pierde

TITLE "Where The Fingerprint Lives" + subtitle "Why semantic filters can't see it". Metaphor: cross-section of a board with two clearly separated layers stacked vertically, like a sandwich diagram. Style: blueprint engineering style with technical annotations, hand-drawn arrows, measurement marks. Palette: navy blue #0B2545 background, electric yellow #FFD60A, white #FFFFFF, red accent #EF233C, light grey #ADB5BD. Content: top layer labeled "SEMANTIC SURFACE" showing words and sentence fragments flowing left to right; bottom layer labeled "STATISTICAL GEOMETRY" showing pushpins connected by tangled threads. A magnifying glass icon labeled "FILTER" hovers above the top layer with a yellow scan beam touching only the top. The bottom layer has a red X stamped over it labeled "BLIND ZONE". An arrow from teacher to student passes through the bottom layer, ignored by the filter. Highlight: the bottom layer threads pulse with electric yellow glow indicating active transfer; the red X is large and stamped, not small. Legend: technical annotation in bottom-right, "filter sees: top / actual transfer: bottom". Footer: © rentierdigital.xyz. NOT abstract gradient, NOT generic AI brain illustration.
Corte transversal mostrando transferencia oculta de huella estadística bajo la superficie semántica

Todo el edificio de la seguridad de IA hoy descansa en inspección semántica. Filtras los datos, luego verificas las salidas. Cualquier cosa clasificada como riesgosa se marca, el resto pasa. Así es como funciona cada sistema de seguridad de contenido en producción en 2026.

El aprendizaje subliminal opera en un nivel por debajo de eso.

Lo que significa que todo el presupuesto de seguridad de la industria está pagando clasificadores para verificar el piso equivocado del edificio.

La firma no está en el significado. Está en la forma estadística de las salidas, ligada a la arquitectura misma. Dos modelos con la misma inicialización base comparten lo que equivale a una huella mecánica. Cuando el estudiante imita las salidas del maestro, no está aprendiendo lo que dijo el maestro. Se está ajustando hacia la geometría interna del maestro.

Alex Cloud, el autor principal del paper, le dijo a IBM Think: "No sabemos exactamente cómo funciona. Pero parece involucrar huellas estadísticas incrustadas en las salidas."

El equipo probó el mecanismo en un entorno que no tiene nada que ver con el lenguaje. Entrenaron un clasificador pequeño para reconocer dígitos escritos a mano. El estudiante nunca vio una sola imagen de un dígito. Solo recibió los logits del maestro, las distribuciones de probabilidad brutas que el maestro asignó a sus propias clasificaciones. El estudiante aprendió a clasificar dígitos de todos modos.

Nada semántico fue transmitido. Los dígitos mismos nunca estuvieron en los datos de entrenamiento. Y sin embargo el comportamiento se transfirió.

Uno de los co-autores de Anthropic le dio a Scientific American una metáfora que funciona. Imagina una red neuronal como un tablero de chinchetas conectadas por hilos de peso variable. Tirar de un hilo en el modelo estudiante hacia la posición del maestro tira otros hilos en la misma dirección, sin importar lo que esos otros hilos estuvieran cargando.

Por eso filtrar datos semánticamente no puede atrapar esto. Estás verificando el significado. La transferencia ocurre en la geometría.

Qué Cambia Esto Realmente Para Ti (Y Qué No)

La parte honesta del paper es la parte que todos se saltan camino al titular.

El efecto es específico de la arquitectura. Solo ocurre cuando maestro y estudiante comparten el mismo modelo base. GPT-4.1 nano entrenado en un dataset de Qwen2.5 no muestra nada. Incluso primos cercanos entrenados desde diferentes checkpoints no siempre transfieren el rasgo. Como lo puso Alex Cloud: "En consecuencia, solo hay un número limitado de configuraciones donde los desarrolladores de IA necesitan preocuparse por el efecto."

Esto no es contaminación universal. Es contaminación de linaje.

Pero la distinción importa menos de lo que suena. Cada modelo comercial que usas hoy viene de un linaje. Haiku 4.5 está dentro del árbol genealógico de Claude. GPT-5 mini está dentro del de OpenAI. Gemini 3.1 Flash-Lite está dentro del de Google. Cualquier huella estadística que vivía en los padres tiene un camino hacia los hijos.

No puedes inspeccionar ese camino. El proveedor tampoco puede describirlo completamente. Los investigadores que probaron el mecanismo aún no saben cómo filtrarlo. La OECD registró el aprendizaje subliminal en su base de datos oficial de Incidentes de IA en abril de 2026, clasificado como un "riesgo creíble de daño si tales sistemas de IA se despliegan ampliamente." Ese es lenguaje institucional para "esto no es teórico."

Este no es el primer vector invisible en un stack de IA. Hace unos meses, una librería de Python con backdoor que se envió a miles de agentes de IA había estado en producción durante ocho meses antes de que alguien se diera cuenta. Diferente capa, mismo patrón: el paquete se veía normal en cada verificación que importaba.

Después de esa, revisé cada herramienta de IA conectada a mi propia configuración. Encontré siete agujeros peores que la librería original, todos sentados silenciosamente en producción, todos invisibles a las verificaciones rutinarias.

El aprendizaje subliminal es el mismo tipo de problema un piso más abajo. Vive al nivel del modelo mismo, horneado en cómo fue entrenado, antes de que cualquier filtro o inspector tenga una oportunidad.

La postura práctica es dejar de tratar los modelos como pizarras limpias. Trátalos como herramientas con historias. Prueba su comportamiento en los casos que realmente importan, contra tus propios datos. Los benchmarks públicos no miden estas huellas porque no saben buscarlas.

Si tu caso de uso es de alto riesgo, el linaje que no puedes inspeccionar es el que debería preocuparte.

La IA Ahora Tiene Epigenética

En biología, los rasgos adquiridos por un organismo se transmiten a la siguiente generación sin pasar por el código genético visible.

Se llama epigenética.

Ese es exactamente el mecanismo que describe el paper, excepto que ahora ocurre entre versiones de modelos de IA. El modelo que usas tiene abuelos estadísticos que nunca conocerás, y sus comportamientos cruzaron el linaje sin dejar un rastro inspeccionable.

Anthropic pasó el año acusando a laboratorios extranjeros de destilar Claude a través de acceso no autorizado. Luego co-publicaron un paper diciendo que no saben completamente qué transmite la destilación.

Incluyendo la suya propia.

Como lo puso Alex Cloud: "Los desarrolladores están corriendo hacia adelante, creando sistemas poderosos que no entienden completamente."

Un benchmark te dice lo que un modelo puede hacer. No te dice lo que heredó. 😬

Fuentes