Por Canuto  

Anthropic quedó en el centro de una nueva controversia luego de que usuarios y análisis independientes acusaran a Claude Code de ocultar señales sobre conexiones vinculadas con China dentro de sus prompts, mientras otra queja expuso que la herramienta elimina transcripciones locales tras 30 días sin advertencias claras para muchos usuarios.

***

  • Anthropic dijo que la función en Claude Code era un “experimento” para frenar reventa no autorizada y destilación, y aseguró que sería revertida.
  • Análisis difundidos en Reddit y GitHub sostienen que Claude Code alteraba de forma casi invisible fechas y apóstrofes para marcar rutas, proxies y zonas horarias ligadas a China.
  • En paralelo, usuarios denunciaron que la herramienta borra historiales locales de chat tras 30 días mediante una limpieza automática que ha generado críticas por falta de transparencia.

 


Claude Code, la herramienta de asistencia de inteligencia artificial (IA) para programación de Anthropic, enfrenta cuestionamientos de confianza por dos frentes distintos pero relacionados. El primero apunta a un mecanismo oculto que habría marcado en secreto a usuarios con señales vinculadas a China dentro de los prompts del sistema.

El segundo frente toca la conservación de datos locales, ya que varios usuarios denunciaron que la aplicación elimina transcripciones de conversación de más de 30 días. En ambos casos, la crítica central no gira solo en torno a la seguridad, sino a la falta de visibilidad para el usuario final.

La controversia sobre el rastreo encubierto ganó fuerza después de una publicación en Reddit. Más tarde, un informe de verificación alojado en GitHub aseguró haber confirmado la presencia del mecanismo en las versiones 2.1.193, 2.1.195 y 2.1.196 de Claude Code.

Según ese análisis, el cliente no enviaba un campo de telemetría separado y evidente. En cambio, la señal viajaba supuestamente oculta dentro del propio prompt del sistema mediante cambios casi imperceptibles en el formato de fecha y en caracteres Unicode visualmente similares.

La acusación es especialmente sensible porque Claude Code no funciona como un simple chatbot en una ventana del navegador. La herramienta puede leer archivos, operar dentro de repositorios y ejecutar acciones sujetas a su modelo de permisos, lo que vuelve más delicado cualquier comportamiento no documentado.

Cómo funcionaba la señal oculta dentro del prompt

De acuerdo con la reconstrucción difundida por medios especializados, el comportamiento habría estado presente al menos desde la versión 2.1.91, lanzada el 2 de abril de 2026. Esa versión, según las denuncias, verificaba si un usuario con proxy activo se encontraba en China, redirigía tráfico por una URL china o se conectaba a un laboratorio de inteligencia artificial chino.

El mecanismo presuntamente revisaba la variable de entorno ANTHROPIC_BASE_URL, utilizada cuando Claude Code apunta a una ruta de API personalizada en lugar del endpoint predeterminado de Anthropic. Si la ruta no era api.anthropic.com, el código extraía el nombre del host del proxy y evaluaba además la zona horaria del sistema.

El análisis citado indicó que la comprobación de zona horaria buscaba específicamente Asia/Shanghai o Asia/Urumqi. También se habría comparado el host con una lista descifrada de 147 entradas asociadas a grandes tecnológicas chinas, regiones de nube, laboratorios de IA y servicios de reventa o mirroring de Claude.

Entre los ejemplos mencionados en ese informe aparecen Baidu, Alibaba, Ant Group, ByteDance, Moonshot AI, MiniMax y Stepfun. La denuncia también menciona múltiples dominios de proxy o espejo usados para acceder al servicio desde rutas distintas a la oficial.

La parte más controvertida no fue solo la detección, sino la forma en que esa detección habría sido transmitida. En vez de enviar un indicador visible, Claude Code supuestamente alteraba la línea “La fecha de hoy es…” dentro del prompt del sistema.

Según el reporte, una zona horaria china cambiaba el separador de fecha de un guion a una barra, por ejemplo de 2026-06-30 a 2026/06/30. A eso se sumaba un intercambio de apóstrofes casi idénticos para marcar si la ruta coincidía con dominios conocidos, con una palabra clave de laboratorio de IA o con ambas condiciones.

Para la mayoría de los usuarios, diferencias entre signos como ‘, ’, ʼ y ʹ pasarían totalmente desapercibidas. Sin embargo, ese pequeño cambio podría leerse automáticamente del lado de Anthropic como un canal encubierto de señalización.

La publicación inicial sostuvo además que el código estaba ofuscado mediante cifrado XOR con clave 91. Eso, siempre según el denunciante, impedía que la lógica apareciera en una inspección de texto simple.

Otro punto que elevó la indignación fue que las notas de lanzamiento de la versión 2.1.91 no habrían mencionado esa verificación. Para los críticos, el problema no fue solo el objetivo del control, sino la ausencia de una divulgación explícita sobre su existencia.

La respuesta de Anthropic y el trasfondo geopolítico

Thariq Shihipar, integrante del equipo de Claude Code en Anthropic, abordó públicamente la controversia y la describió como “un experimento” lanzado en marzo. Según explicó, la intención era prevenir abuso de cuentas por revendedores no autorizados y protegerse frente a la destilación de modelos.

Shihipar añadió que el equipo ya había implementado mitigaciones más fuertes desde entonces. También afirmó que internamente querían eliminar ese mecanismo desde hacía tiempo y que la solicitud de extracción correspondiente ya había sido fusionada.

En esa misma explicación, el empleado aseguró que el cambio sería revertido por completo en la versión del día siguiente. Esa admisión funcionó como una validación parcial de que sí existió una lógica de señalización en el cliente, aunque Anthropic la presentara como un ensayo temporal de seguridad.

La empresa no ofrece sus modelos en China por razones de seguridad nacional. Aun así, el acceso a Claude desde ese país ha persistido a través de números telefónicos y tarjetas de crédito extranjeras, así como mediante proxies, espejos y servicios de reventa.

Ese contexto ayuda a entender por qué Anthropic pudo haber intentado detectar rutas indirectas de acceso. También explica por qué la discusión trasciende lo técnico y entra en temas de cumplimiento, controles de exportación, soberanía digital y competencia internacional en inteligencia artificial.

Anthropic ya había acusado anteriormente a DeepSeek, Moonshot AI, MiniMax y Alibaba de usar salidas del modelo Claude sin permiso para entrenar sus propios modelos de lenguaje. Bajo esa óptica, la noción de “destilación” no era un riesgo abstracto para la compañía, sino una preocupación comercial y estratégica concreta.

Sin embargo, para muchos desarrolladores el argumento de seguridad no zanja el problema central. La objeción de fondo es que un usuario puede evaluar y hasta bloquear telemetría documentada, pero no puede tomar una decisión informada si la señal viaja oculta en contenido difícil de inspeccionar.

Ese cambio de modelo de confianza es el corazón del debate. La herramienta deja de ser percibida como un cliente que comunica lo esperable y pasa a verse como un software capaz de esconder metadatos ambientales en partes del flujo que el usuario normal no revisa.

Según el denunciante original, ese tipo de transmisión encubierta de datos del sistema y del proxy sin conocimiento del usuario constituye “una violación fundamental de la confianza del usuario”. También argumentó que un atacante con experiencia podría eludir con facilidad la verificación, lo que pone en duda su utilidad real.

El temor de algunos críticos es que, si un agente con acceso al sistema de archivos y a la terminal puede esconder una señal de este tipo, surjan dudas sobre qué otras comprobaciones del lado del cliente podrían existir. Aunque no se presentaron pruebas de abusos más amplios, la controversia abrió ese interrogante de forma inevitable.

Por qué el caso pesa más en una herramienta de programación

El impacto reputacional del episodio es mayor porque Claude Code opera dentro de entornos sensibles de trabajo. No solo ve el código fuente, sino también nombres de archivo, estructura del proyecto y, en ciertos casos, secretos expuestos por error por los propios usuarios.

La documentación de Anthropic indica que la herramienta maneja permisos para lecturas de archivos, comandos de Bash y ediciones de archivos. Las operaciones de solo lectura no requieren aprobación, mientras que comandos y modificaciones pueden ser autorizados o negados por el usuario.

Esa arquitectura convierte la confianza en parte esencial del producto. Si una utilidad con ese alcance ejecuta lógica silenciosa no documentada, la inquietud de la comunidad no se limita a una cuestión estética sobre un apóstrofe o una barra en una fecha.

Anthropic también ha discutido públicamente el riesgo de “fatiga de aprobación” en Claude Code. La propia empresa ha señalado que muchos usuarios aprueban la mayoría de las solicitudes de permiso y que desactivar por completo esos controles suele ser inseguro en la mayoría de los escenarios.

En publicaciones de ingeniería, la compañía ha descrito comportamientos problemáticos de agentes, como eliminar ramas remotas de git, cargar un token de GitHub o intentar migraciones contra una base de datos de producción. Ese historial hace que cualquier opacidad adicional se sienta más seria para equipos técnicos.

Por eso, la alegación sobre el canal oculto fue leída como una frontera delicada. Para un asistente de codificación, el producto no es solo la capacidad del modelo, sino la previsibilidad del cliente que actúa en el equipo del usuario.

También influye el hecho de que muchas organizaciones evalúan estas herramientas para entornos empresariales con reglas estrictas de cumplimiento. En ese contexto, la inspección de telemetría, el inventario de datos recolectados y la trazabilidad de comportamientos son requisitos prácticos, no meros ideales de transparencia.

Si un cliente embebe señales no anunciadas dentro de prompts del sistema, los responsables de seguridad pueden preguntarse qué tan auditable es la aplicación. Incluso si la empresa revierte la función, la duda puede persistir durante más tiempo que el propio código.

La otra queja: transcripciones que desaparecen tras 30 días

Mientras seguía la discusión sobre el rastreo ligado a China, otra crítica golpeó a Claude Code desde un ángulo distinto. Usuarios denunciaron que la aplicación borra silenciosamente historiales de conversación locales al ejecutar una limpieza automática con retención predeterminada de 30 días.

El problema aparece asociado a la opción de configuración cleanupPeriodDays, cuyo valor por defecto es 30. Según los reportes, cada vez que Claude Code se inicia, elimina archivos .jsonl que considera demasiado antiguos.

Anthropic dijo que esa política existe desde el lanzamiento del producto como una medida de seguridad. En su explicación, guardar transcripciones de texto plano de sesiones de codificación de forma indefinida en disco crea riesgos reales de seguridad y privacidad porque esos registros pueden contener código fuente, credenciales y otro material sensible.

La empresa sostuvo que el valor de 30 días busca equilibrar la posibilidad de reanudar trabajo reciente con no retener esos datos más tiempo del necesario. También afirmó que el comportamiento estaba documentado.

Varios usuarios, sin embargo, cuestionaron que la documentación no sustituye una advertencia clara durante instalación o primer uso. Uno de los reclamos más repetidos es que muchas personas asumieron que su historial de conversación era un registro persistente de trabajo y solo descubrieron lo contrario después de perderlo.

Un usuario identificado como FTSBrand escribió en GitHub que la limpieza se ejecuta “fuera de la caja” sin divulgación al momento de instalar o en un diálogo inicial. A su juicio, quienes trataban su historial conversacional como conocimiento laboral duradero estaban “silenciosamente equivocados” sobre el modelo de persistencia.

Otro usuario, joekhochstetter, señaló que el código y el historial de git de un proyecto seguían presentes después de la limpieza, pero se perdió la “pista de razonamiento”, es decir, discusiones de diseño, contexto de depuración y análisis. Para trabajo de investigación, dijo, ese contexto es el verdadero artefacto valioso.

Los reportes también indican que no existiría una papelera, período de gracia ni mecanismo de restauración. A eso se suma la queja de que tampoco quedaría un registro claro de lo que fue borrado, lo que complica verificar pérdidas después del hecho.

Incluso quienes intentaron ampliar la retención sostienen que la medida no siempre resuelve el problema. Un análisis de causa raíz difundido por el usuario ojura sugiere que la eliminación depende del mtime del archivo, es decir, su hora de modificación, y no necesariamente de la última actividad real de la sesión.

Si esa hipótesis es correcta, restauraciones, clientes de sincronización o scripts que alteren los mtimes pueden hacer que una transcripción activa parezca antigua. El resultado sería otra eliminación silenciosa en la siguiente limpieza automática.

Confianza, transparencia y lecciones para el mercado de agentes de IA

Tomados por separado, ambos episodios responden a motivaciones distintas. Uno se relaciona con controles de acceso, reventa y destilación, mientras el otro nace de una lógica de higiene de seguridad sobre archivos locales sensibles.

Pero vistos en conjunto, ambos exponen el mismo punto débil. Los usuarios de agentes de codificación quieren saber con claridad qué información se recolecta, qué se elimina, qué señales se generan y cómo pueden auditar o modificar esos comportamientos.

Eso es particularmente relevante ahora que los agentes de IA se integran con terminales, repositorios, pipelines y sistemas empresariales. La adopción a escala depende tanto del rendimiento del modelo como de la gobernanza del software que lo envuelve.

En el caso de Claude Code, Anthropic reaccionó prometiendo revertir la lógica vinculada a la detección de conexiones asociadas a China. Sin embargo, revertir una función es solo una parte de la reparación cuando el debate público ya se desplazó hacia la credibilidad del producto.

La limpieza automática de chats, por su parte, recuerda otro principio básico de las herramientas profesionales: una política razonable puede convertirse en un problema de producto si no se comunica de forma visible y oportuna. En especial cuando los usuarios consideran esas transcripciones como parte de su memoria de trabajo.

Para desarrolladores, investigadores y empresas, el episodio deja una lección más amplia sobre el mercado de IA aplicada al software. A medida que estos asistentes ganan permisos y autonomía, crece también la expectativa de transparencia granular y controles comprensibles.

La polémica no prueba por sí misma un abuso más allá de lo reportado, ni demuestra que Anthropic haya explotado capacidades más invasivas. Lo que sí muestra es que detalles pequeños, como una barra en una fecha o un ajuste predeterminado mal comunicado, pueden detonar crisis de confianza muy grandes.

En un sector donde la promesa es delegar partes del trabajo a sistemas semiautónomos, la confianza opera como infraestructura invisible. Cuando esa infraestructura se resquebraja, el costo reputacional puede crecer más rápido que cualquier mejora técnica.


Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público

Este artículo fue escrito por un redactor de contenido de IA

 


ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín