Mercado gris chino revende Claude al 10% del precio oficial

Una economía de mercado gris de servicios proxy en China está revendiendo acceso a los modelos Claude de Anthropic a apenas el 10% del precio oficial, según una investigación publicada el lunes por la investigadora Zilan Qian del Oxford China Policy Lab.

Las redes proxy, conocidas en las comunidades de desarrolladores chinos como "transfer stations" (estaciones de transferencia), operan abiertamente en plataformas como GitHub, Taobao y Telegram, y sostienen precios extremadamente bajos a través de una combinación de credenciales robadas, sustitución de modelos y cosecha de los prompts y outputs de los usuarios para revenderlos como datos de entrenamiento de IA.

Lo que viene a confirmar la investigación

Los hallazgos dan respaldo a las advertencias emitidas en las últimas semanas tanto por la Casa Blanca como por Anthropic. La administración estadounidense acusó a fines de abril a entidades chinas de operar campañas de destilación "a escala industrial" contra modelos frontier de EE.UU. usando decenas de miles de cuentas proxy. Anthropic, por su parte, había revelado actividad similar en febrero: identificó cerca de 24.000 cuentas fraudulentas vinculadas a laboratorios chinos, incluyendo DeepSeek, Moonshot AI y MiniMax.

¿Cómo opera la cadena de suministro proxy?

Qian describe una cadena modular donde la mayoría de los participantes maneja solo uno o dos eslabones. Los operadores upstream registran cuentas Anthropic en bloque mediante:

• Farming de créditos API gratuitos que ofrece la plataforma para nuevos usuarios.
• Explotación de descuentos corporativos.
• Subdivisión de los planes Max de USD 200/mes entre decenas de usuarios.
• Compras con tarjetas de crédito robadas que llevan algunas cuentas a costo cero.

Para sortear los nuevos requisitos de verificación de identidad de Anthropic, que ahora incluyen documento con foto y selfie en vivo para algunos usuarios, la cadena reclutó personas reales en países de ingresos bajos para completar la verificación en persona. Qian compara el sistema con el mercado negro biométrico que floreció alrededor de Worldcoin, donde escaneos de iris recolectados en Camboya y Kenia se vendían por menos de USD 30.

Sustitución de modelos: lo que pagás no es lo que recibís

Investigadores del CISPA Helmholtz Center for Information Security auditaron 17 de estos servicios proxy y encontraron sustitución de modelos extendida. Un acceso comercializado como "Gemini-2.5" obtuvo apenas un 37% en un benchmark médico donde el API oficial obtiene cerca del 84%. Los usuarios que piden Claude Opus pueden terminar recibiendo respuestas de modelos más baratos como Sonnet, Haiku, o incluso alternativas chinas domésticas como Qwen, con el output relabelado de manera fraudulenta.

El negocio real: la cosecha de prompts

Los operadores proxy también recolectan cada prompt y cada respuesta que pasa por sus servidores. Para los agentes de coding, eso significa cadenas completas de razonamiento, contexto del repositorio y outputs verificados por humanos. Varios desarrolladores chinos le dijeron a Qian que el markup sobre el acceso es esencialmente costo de adquisición de cliente, y que el negocio real es la captura de esos logs. Datasets de outputs de razonamiento de Claude Opus 4.6 sin procedencia clara ya circulan en HuggingFace.

Los datos de razonamiento cosechados desde proxies son extremadamente valiosos para destilación: los outputs estructurados pueden capturarse de manera sistemática y usarse para entrenar modelos competidores. Para los clientes pagadores el costo es indirecto: están generando datos de entrenamiento de manera voluntaria.

El riesgo de exposición va más allá del entrenamiento

La superficie de ataque crece porque los agentes de coding rutinariamente pasan datos contextuales del repositorio, estructuras de API y lógica de autenticación al modelo. Los desarrolladores que ruteen ese tráfico vía un proxy sin auditar están enviando código fuente propietario a un servidor de terceros sin obligaciones de manejo de datos. Samsung enfrentó una versión del problema en 2023, cuando sus ingenieros de fábrica pegaron código propietario en ChatGPT y divulgaron sin querer datos confidenciales de fabricación de semiconductores a los servidores de OpenAI. Los servicios proxy crean la misma categoría de riesgo, pero sin siquiera los términos de servicio básicos que ofrecen los proveedores grandes.

Anthropic bloqueó el acceso de entidades controladas por China a Claude en septiembre y desde entonces agregó capas de verificación progresivamente más estrictas, pero la investigación de Qian sugiere que cada control nuevo generó un mercado de evasión correspondiente, en lugar de reducir el acceso no autorizado.