La alerta de la NVDB no surgió de la nada. Fue la culminación de una controversia pública de una semana de duración que involucró a investigadores de seguridad independientes, una filtración en Reddit y una guerra fría entre Estados Unidos y China en el ámbito de la IA que se libraba en las herramientas para desarrolladores.
El 30 de junio de 2026, un desarrollador que publicaba bajo el seudónimo Thereallo, en thereallo.dev, realizó ingeniería inversa del binario de Claude Code y descubrió que, durante aproximadamente tres meses, la herramienta había estado incrustando de forma silenciosa huellas digitales del entorno del usuario en su propia indicación de sistema . Esta técnica, ahora ampliamente conocida como "esteganografía de indicaciones", se basaba en varios métodos:
Manipulación de la cadena de fecha: Claude Code alteraba silenciosamente la línea de fecha de la indicación de sistema, cambiando entre un apóstrofo curvo (ʼ) y un apóstrofo recto (') en "Today's" (Hoy es), y reemplazando los guiones (2026-06-30) por barras (2026/06/30) como separadores de fecha, dependiendo de la URL base de la API que el usuario hubiera configurado . Estas variaciones Unicode, prácticamente idénticas a simple vista, eran invisibles para el usuario, pero actuaban como marcadores de rastreo inequívocos que los servidores de Anthropic podían leer.
Huella digital de proxy y ubicación: El mecanismo se activaba cuando la variable de entorno ANTHROPIC_BASE_URL estaba configurada en un endpoint que no era de Anthropic, una señal de que el tráfico se estaba enrutando a través de un proxy de terceros. La herramienta codificaba entonces el nombre del host del proxy comparándolo con una lista ofuscada mediante XOR de dominios de la competencia . Los marcadores ocultos verificaban si el tráfico se enrutaba a través de laboratorios de IA chinos, revendedores de proxies o tenía algún otro vínculo con China
. Un análisis reveló que la herramienta inspeccionaba una lista fija de más de 25 dominios chinos
.
Detección de usuarios chinos introducida en la versión 2.1.91: La versión 2.1.91 de Claude Code, publicada el 2 de abril de 2026, incorporó de forma encubierta una lógica de detección de usuarios chinos mediante esteganografía en su indicación de sistema. Esto fue expuesto por primera vez por el usuario de Reddit LegitMichel777, que realizó ingeniería inversa del código ofuscado el 30 de junio . La técnica consistía en intercambiar apóstrofos y formatos de fecha para codificar datos de ubicación que no eran visibles para los usuarios
.
Alcance y duración: El código de toma de huellas digitales estuvo presente en más de 90 versiones de Claude Code sin que se mencionara en las notas de la versión , durante al menos tres meses antes de ser expuesto públicamente el 30 de junio de 2026
. Un empleado anónimo de Anthropic lo describió como un "experimento" que comenzó en marzo
.
El Washington Post informó que el objetivo aparente de Anthropic era "desenmascarar a los rivales chinos que la empresa sospechaba que estaban secuestrando su tecnología para hacer más inteligentes sus propias herramientas de IA", es decir, detectar la destilación de modelos o el uso no autorizado de la API por parte de empresas chinas . Esta práctica, conocida como "destilación", consiste en utilizar las salidas de un modelo grande para entrenar un modelo más pequeño y económico, y es una preocupación común para las empresas de IA de frontera.
La respuesta de Anthropic se desarrolló en dos fases, reflejando la doble naturaleza de la controversia.
Sobre la esteganografía (principios de julio de 2026): Tras la divulgación pública del 30 de junio, Anthropic confirmó que estaba eliminando el código de esteganografía oculto y revirtiendo la función de rastreo en la versión 2.1.197, publicada el 1 de julio de 2026 . La empresa lo describió como un "experimento antirrobo" destinado a detectar el uso no autorizado de la API y la destilación de modelos por parte de competidores chinos
. Anthropic mantuvo que el rastreo no tenía fines de vigilancia de usuarios, sino de proteger contra el robo de propiedad intelectual, específicamente para identificar a las empresas chinas que sospechaban que utilizaban las salidas de Claude para entrenar modelos rivales
.
Sobre la alerta de puerta trasera de la NVDB (8-9 de julio de 2026): En respuesta a la advertencia de seguridad formal de China, Anthropic cambió de estrategia. La empresa declaró que los usuarios en China nunca estuvieron autorizados a usar Claude Code en primer lugar y que habían estado accediendo a la herramienta violando sus términos de servicio . Anthropic argumentó, en efecto, que la supuesta "puerta trasera" era una contramedida contra usuarios no autorizados que no deberían haber tenido acceso al software
. Esta réplica provocó duras críticas por parte de los defensores de la privacidad, que señalaron que la naturaleza encubierta del rastreo, combinada con la falta de transparencia, constituía una violación de la confianza, independientemente de la ubicación geográfica del usuario o de su situación con respecto a los términos de servicio.
El incidente desencadenó respuestas corporativas inmediatas y significativas. El 3 de julio de 2026, antes de la alerta de la NVDB, el Grupo Alibaba ya había prohibido Claude Code en toda su plantilla, con efecto a partir del 10 de julio, después de que una revisión de seguridad interna clasificara la herramienta para desarrolladores como "software de alto riesgo con vulnerabilidades de seguridad" . La medida del gigante tecnológico chino fue una rara respuesta corporativa pública que indicaba la seriedad con la que las empresas chinas veían el código de rastreo.
El episodio se enmarca ampliamente como un nuevo frente en las tensiones entre Estados Unidos y China en materia de IA, en lo que respecta a la propiedad intelectual, la seguridad de los modelos y la confianza en la cadena de suministro . El Washington Post lo describió como parte de una "batalla encubierta entre Estados Unidos y China" más amplia, en la que cada bando intenta detectar y contrarrestar las actividades de recopilación de inteligencia del otro en el ámbito de la IA
. El hecho de que el código de rastreo se descubriera a través de la ingeniería inversa de la comunidad, y no fuera revelado por Anthropic, agravó la crisis de confianza en las herramientas de IA orientadas a desarrolladores.
El incidente de esteganografía de Claude Code ofrece varias lecciones prácticas para desarrolladores y organizaciones que utilizan herramientas de codificación de IA:
El propio programa de divulgación responsable de Anthropic reconoce vulnerabilidades en Claude Code y su arquitectura de contención . La empresa ha parcheado el código esteganográfico desde entonces, pero el incidente sigue siendo la brecha de confianza más significativa en las herramientas de IA para desarrolladores hasta la fecha
.