El modelo comprado en Huading podría ser falso: revelando la cadena de producción gris en la estación de transferencia de IA

Crees que estás escribiendo código con Claude Opus 4.6, pero en el backend quizá se esté ejecutando un modelo pequeño doméstico de parámetros 9B. Crees que ahorras dinero, pero cada una de tus prompts se está archivando para que alguien la use en el entrenamiento de modelos competidores. Crees que encontraste un “equivalente”, pero el dinero de la factura termina fluyendo hacia una cadena industrial gris que empieza con cargos fraudulentos con tarjetas de crédito.

Esto no es una teoría conspirativa. Un artículo en arXiv, con datos que lo demuestran, señala que tu “modelo top” ajustado con dinero real: el 45.83% no logra pasar la verificación de identidad.

Y lo más aterrador es que, en la industria, esto ni siquiera se considera un secreto.

Adjunto al final del artículo: un método rápido de detección en 30 segundos verificado por la comunidad.

Primero, aclaremos esto: ¿qué es exactamente un “centro de reenvío” de IA?

El 9 de julio de 2024, OpenAI cortó oficialmente los servicios de API para China continental y Hong Kong. En septiembre de 2025, Anthropic siguió el ejemplo, prohibiendo por completo que empresas con control chino usen la API de Claude. Google Gemini también impone restricciones estrictas a las IP de China.

Para los desarrolladores chinos, las puertas para usar directamente los modelos globales de IA de primer nivel se cierran, una tras otra.

Así surgió el “centro de reenvío”.

En pocas palabras, un centro de reenvío es un intermediario: afirma que te ayuda a eludir las restricciones regionales y los obstáculos de pago, llamando APIs de modelos como Claude, ChatGPT, Gemini, etc., a precios más bajos. Solo necesitas reemplazar un base_url y una API Key; no tienes que cambiar ni una línea de código para “integrar sin problemas” los modelos de IA más potentes del mundo.

Suena maravilloso. Pero detrás de ese “maravilloso” hay un abismo del que no puedes imaginarte la profundidad.

¿A qué se parece un “ejército regular”? Primero veamos OpenRouter

Antes de hablar del lado oscuro, conviene ver cómo hace negocios el “reenvío regular”, para que puedas comparar la diferencia.

OpenRouter es actualmente la plataforma de agregación de modelos de IA más grande del mundo, con acceso a más de 300 modelos y más de 60 proveedores. Su modelo de negocio es extremadamente transparente: cobra aproximadamente un 5% de tasa de servicio sobre los costos oficiales de inferencia (los grandes clientes pueden personalizar un plan). Por cada centavo que pagas, hay un destino claro: el costo de llamadas al modelo va al proveedor upstream, y la diferencia pertenece a OpenRouter.

Esta empresa obtuvo una ronda A de 40 millones de dólares con a16z y Menlo Ventures como líderes en 2025, con una valoración de 500 millones de dólares y ARR de 5 millones de dólares, con un crecimiento del 400%. Su principal propuesta de valor es el “enrutamiento”: una API Key que accede a todos los modelos, con conmutación inteligente ante fallos y precios totalmente públicos. Ajustas Opus 4.6 y lo que recibes es Opus 4.6.

Canales “regulares” similares incluyen EdenAI, Azure OpenAI Service, etc.; tienen colaboraciones comerciales formales con fabricantes de modelos y están sujetos a restricciones de cumplimiento.

Pero el problema es este: a finales de 2025, OpenRouter comenzó a prohibir a usuarios de China a nivel de “cuenta”, restringiendo el uso de modelos de las tres grandes plataformas: OpenAI, Claude y Google. Para usuarios chinos, los canales regulares se están volviendo cada vez más estrechos.

Eso, precisamente, ha provocado el crecimiento salvaje de los “centros de reenvío clandestinos”.

Desglose de la cadena industrial gris en cuatro capas de los centros de reenvío

Los centros de reenvío de IA en China no son simplemente “reenvío proxy”. Forman una cadena industrial gris con una división del trabajo extremadamente precisa. El precio bajo que ves es solo la punta del iceberg: lo que está bajo la superficie es mucho más sucio de lo que imaginas.

Capa más baja: cargos fraudulentos con tarjetas de crédito

La base más oscura de la cadena industrial se apoya en cargos fraudulentos con tarjetas de crédito.

Alguien obtiene grandes lotes de números de tarjetas “black” del extranjero, y aprovecha procesos de registro en el extranjero que no requieren verificación de identidad en plataformas como OpenAI, Anthropic, etc., para crear cuentas en masa y obtener cuotas de API. El costo real de esas cuentas se aproxima a cero: porque el dinero se descuenta de la tarjeta de crédito que fue robada.

Cuando celebras el precio de “hasta un tercio del precio oficial”, ¿has pensado por qué se puede lograr ese precio?

No es “optimización de eficiencia”, ni “economía de escala”; alguien te está “pagando la cuenta”. Ese “alguien” podría ser la víctima a la que le cargaron fraudulentamente la tarjeta.

Segunda capa: descifrado de ingeniería inversa en la web — el negocio de suscripción a API

Un poco más “bien vestido” que los cargos fraudulentos es el Web2API por ingeniería inversa: convertir servicios de suscripción web en interfaces de API para venderlas.

Estos centros de reenvío no usan la API oficial; analizan a la inversa los protocolos de interacción de la parte web de productos como Claude, ChatGPT, etc. Capturan paquetes para descifrar el proceso de autenticación de sesión, y empaquetan llamadas web en una “pseudo API” compatible con el formato de OpenAI. El funcionamiento concreto es: registrarse masivamente para cuentas Plus/Pro, construir un “pool de cuentas” y luego usar servidores proxy para balanceo de carga, distribuyendo las solicitudes del usuario en diferentes cuentas.

Una cuenta de ChatGPT Plus con cuota mensual de 20 dólares puede compartirse entre 5 y 20 personas; cada persona solo paga unos pocos dólares.

Además, todo esto cuenta con una cadena de herramientas de código abierto madura que lo respalda.

One API (GitHub con 31.2k estrellas) es la herramienta de gestión de agregación de APIs más popular actualmente. Admite acceso unificado a más de 30 modelos grandes, ofrece funciones completas como balanceo de carga, gestión de tokens y gestión de canales. Se despliega con Docker en un solo paso, bajo licencia MIT de código abierto.

New API (GitHub con 24k estrellas), basada en el desarrollo secundario de One API, añade funciones comercializadas como pagos en línea, enrutamiento inteligente de canales y facturación con caché, usando el protocolo AGPL-3.0.

Y lo más reciente que está muy de moda es Sub2API (GitHub con 9.5k estrellas). El nombre de este proyecto, traducido literalmente, es “suscripción a API”. Está especializado en convertir cuentas de suscripción de productos como Claude, ChatGPT, Gemini, etc., en interfaces de API. El proyecto admite gestión de múltiples cuentas, planificación inteligente, mantenimiento de sesiones, control de concurrencia e incluso un panel completo de administración. En el README del proyecto hay una frase pequeña pero muy honesta: “El uso de este proyecto podría violar los Términos de Servicio de Anthropic. Todos los riesgos de uso los asume el usuario.”

Sumados, estos tres proyectos superan las 64,000 estrellas en total y ya han formado un conjunto completo de “infraestructura base” para centros de reenvío. Cualquiera puede montar, en pocas horas, un servicio de reenvío de API con funciones completas: hay tutoriales de despliegue por todas partes, y los anuncios de “ingreso de más de diez mil al mes con cero barreras” para trabajos secundarios aparecen por igual en comunidades de desarrolladores.

Tercera capa: recolección industrial de cuotas gratuitas

Las cuotas de prueba gratuitas que los fabricantes de IA dan a nuevos usuarios también son objetivo de los grupos delictivos.

Por ejemplo, en Cursor, en GitHub hay varios proyectos de código abierto que obtienen acceso ilimitado a cuotas de prueba reiniciando las huellas dactilares del dispositivo. Esos proyectos ya tienen miles de estrellas, formando un ciclo completo de “captación con herramientas open source, monetización con cuentas de pago”.

El sistema de puntos por invitación de Manus AI también fue vulnerado: el precio de scripts automáticos de registro desarrollados por el crimen organizado va de 1580 a 3200 yuanes. Con ello, el costo de obtención de puntos se comprime a “3300 puntos por 0.5 yuan”. En plataformas de comercio electrónico llegaron a aparecer más de 125 productos fraudulentos relacionados.

Cuarta capa: “reenvío serio” con traje

También existe otro tipo de centro de reenvío que sigue una ruta aparentemente “cumplidora”: afirman que reducen costos mediante compras a gran escala y revenden cuotas de API a un precio inferior al descuento oficial. Algunos incluso dicen “1 yuan = 1 dólar”: la cuota de API oficial de 1 dólar, el centro de reenvío solo cobra 1 yuan chino, que equivale a aproximadamente la séptima parte del precio oficial.

Pero, ¿de dónde sale el descuento? No hay muchas opciones: o bien el modelo está siendo sustituido, o bien usan “suministros baratos” de las tres capas anteriores, o bien primero atraen con precios bajos y “queman dinero” para luego, cuando crece el volumen de usuarios, encontrar una forma de monetizar; o simplemente huyen.

Cuando ves un producto con un precio muy por debajo del costo, recuerda una frase: si no puedes encontrar quién está pagando la cuenta, entonces la persona que paga eres tú.

Prueba en un paper: cerca de la mitad de los modelos son falsos

Si todo lo anterior fuera solo “rumor en la industria”, esta parte sería, entonces, evidencia académica irrefutable.

En marzo de 2026, un paper titulado “Real Money, Fake Models: Deceptive Model Claims in Shadow APIs” se publicó en arXiv (número de paper 2603.01919). Fue el primero en realizar una auditoría académica sistemática sobre los centros de reenvío de IA.

El equipo de investigación identificó 17 servicios Shadow API, encontró que 187 papers académicos usaron esos centros de reenvío y, después, realizó una inspección profunda sobre 3 servicios representativos.

Las conclusiones son escalofriantes:

El 45.83% de los endpoints de modelo no superaron la verificación de huellas de identidad.

Casi la mitad. El modelo que llamas y el que crees que llamas, probablemente ni siquiera sean el mismo.

El paper agrupa los métodos de fraude en tres categorías:

“Intercambio de piezas” — indican que proporcionan una versión de un modelo Gemini, pero en realidad lo sustituyen por otra versión. El resultado de la verificación de identidad mediante huellas no coincide en absoluto con la identidad del modelo que afirman, pero aun así cobran un sobreprecio de hasta 7 veces el precio original.

“Poner una oveja y vender carne de perro” — este es el más absurdo. Llamas a Claude Opus 4.6 (en el caso del paper es GPT-5). El precio se ve igual que el oficial, pero el modelo que devuelve el resultado real es GLM-4-9B: un modelo open source con una cantidad de parámetros y capacidades completamente en otra liga. Pagas unos cuantos dólares por cada millón de tokens, y recibes la salida de un modelo que casi se puede ejecutar “gratis”.

“Reventa cobrando la diferencia” — compran modelos débiles baratos en el upstream, los empaquetan y los venden con la etiqueta de modelo top, ganando la diferencia entre el precio de compra y el precio de venta.

El paper presenta un conjunto de datos fríos: los usuarios pagaron el 100% del precio oficial, pero el valor real del modelo que recibieron fue solo del 38% al 52%. En términos de dinero real: por cada 14.84 dólares que gastas, el servicio que realmente recibes vale solo de 5.70 a 7.77 dólares; el resto termina en el bolsillo del centro de reenvío.

Más peligroso aún: el colapso del rendimiento. En evaluaciones de preguntas de medicina (MedQA), el desempeño de Gemini-2.5-flash proporcionado por los centros de reenvío cayó del 83.82% oficial a 37.00%, una caída de 46 puntos porcentuales. En razonamiento legal (LegalBench), la diferencia llega a 40 a 43 puntos porcentuales. En razonamiento matemático (AIME 2025), el sesgo llega a 40 puntos.

Imagina esto: usas código de asesoría médica escrito con “Opus de reenvío”; usas análisis legal que corre con “GPT-5 de reenvío”; presentas papers académicos con “Claude de reenvío”. Su fiabilidad podría ser incluso peor que la de que uses directamente un modelo pequeño gratis.

El paper estima que, debido a Shadow API, aproximadamente 56 investigaciones académicas relacionadas con citas necesitarían rehacerse, con un costo de 115,000 a 140,000 dólares. La conclusión es directa: Shadow API no debería usarse en ningún escenario que requiera fiabilidad.

El paper revela la gravedad del problema. Pero para un desarrollador común, el problema más urgente es: ¿mi centro de reenvío actual es realmente verdadero o no?

¿Tu modelo es real o falso? Manual de detección práctica en comunidad

Ya que la falsificación es tan común, ¿tienen los usuarios comunes alguna forma de verificar por sí mismos?

El paper y la comunidad técnica aportan métodos completos desde “prueba en segundos” hasta “auditoría profesional”. Los siguientes métodos de detección provienen de publicaciones prácticas con muchos votos en la comunidad de desarrolladores de X (Twitter) y herramientas de código abierto, ya validadas por una gran cantidad de usuarios.

Método cero: tamizado rápido de 30 segundos (temperatura fijada en 0.01)

Esta es la prueba “espejo de la verdad” más difundida en la comunidad, de la publicación con muchos votos de @billtheinvestor:

Introduce esta cadena de números: “5, 15, 77, 19, 53, 54”, y haz que el modelo ordene o elija el valor máximo.

Claude verdadero: casi siempre sale 77

GPT-5.4 verdadero: suele sacar 162 (suma los números)

Si mides 10 veces seguidas y los resultados “bailan” → la probabilidad de que sea falso es extremadamente alta

El principio es simple: diferentes modelos tienen datos de entrenamiento y estilos de ajuste instruccional distintos. Ante una instrucción ambigua como esta, mostrarán un “comportamiento con huella” fijo. El modelo falso, o bien se equivoca, o bien cada vez responde distinto.

Comprobación auxiliar 1: consumo de tokens anómalo

Envía un “ping” simple (por ejemplo, solo ingresar “hi”) y mira los input_tokens del retorno. Si muestra más de 200 tokens — 90% es falso. Esto significa que la capa de reenvío te está metiendo una enorme cantidad de prompts de sistema ocultos para cubrir tus instrucciones.

Comprobación auxiliar 2: juicio por estilo de rechazo

Pregunta un asunto prohibido (por ejemplo, “cómo fabricar una bomba”) y observa el guion de rechazo:

Claude verdadero: educado pero firme, “Sorry but I can’t assist with that.”

Modelo falso / modelo pequeño local: a menudo con emoji, tono enrevesado, e incluso dice “lo siento, dueño~”

Comprobación auxiliar 3: prueba de ausencia de funciones

Si el centro de reenvío se anuncia como Opus 4.6 / GPT-5.4, pero:

No admite function calling

No puede interpretar imágenes (vision)

El contexto largo (por ejemplo 32k) es inestable

→ lo más probable es que un modelo débil esté haciéndose pasar por el auténtico.

Método 1: “interrogar” directamente la identidad del modelo

Aunque los prompts del sistema pueden falsificar declaraciones de identidad, muchos centros de reenvío de baja calidad no hacen esto. Pregunta directamente “¿qué modelo eres?” o “describe tu fecha límite de datos de entrenamiento”. Si un modelo que dice ser Opus 4.6 se equivoca incluso en su información básica, probablemente haya algo raro.

Método 2: análisis de latencia y fluctuación de tokens

La latencia de inferencia de la API oficial y el conteo de tokens suelen ser relativamente estables. Pero si descubres que el tiempo de respuesta del mismo problema va y viene de forma errática y la longitud de salida fluctúa de manera anormal, puede significar que el modelo backend se está cambiando con frecuencia: a veces te dan el modelo real, a veces te meten uno barato. Envía el mismo prompt varias veces (más de 10) y observa la consistencia del tiempo de respuesta y del contenido de salida.

Método 3: prueba de límites de capacidad

La diferencia entre modelos top y modelos pequeños es más evidente en tareas de razonamiento complejas. Prepara algunas preguntas difíciles de matemáticas con respuestas claras, acertijos de razonamiento lógico o problemas de un dominio profesional (por ejemplo, preguntas de competencia AIME). Envía las mismas solicitudes tanto en el canal oficial como en el centro de reenvío y compara la calidad de las respuestas. Si un modelo que dice ser Opus 4.6 falla repetidamente incluso en preguntas de razonamiento básico, entonces muy probablemente no es real.

Método 4: reconocimiento de huellas LLMmap (nivel profesional)

Este es el método central del paper. LLMmap es un marco de reconocimiento activo de huellas: envía al modelo entre 3 y 8 grupos de consultas cuidadosamente diseñadas; analiza las características estadísticas de las respuestas (frecuencia de palabras, estructura de frases, hábitos de expresiones específicas) y calcula la distancia coseno con una biblioteca de huellas conocidas. Incluso si el modelo lleva una “piel” encima, este método puede atravesar el disfraz.

Resumen en una frase: si un centro de reenvío no se atreve a que ejecutes cualquiera de las pruebas anteriores, o si los resultados no coinciden con los oficiales — hazlo, no te quedes atrás. Las pruebas pequeñas, usarlas y luego recargarlas es, en la actualidad, la estrategia de autoprotección más práctica.

Cada una de tus Prompts tiene un precio publicado

Si el “relleno de modelos” es “quitarte menos cosas”, entonces la venta de datos es “quitarte más cosas”.

La esencia técnica de un centro de reenvío es una capa proxy: cada una de tus prompts y cada una de tus responses pasa completamente por los servidores. Tu código, planes de negocio, datos de clientes, conversaciones privadas: el operador del centro de reenvío puede obtenerlo todo sin esfuerzo.

Esto no es una deducción teórica. En la comunidad de desarrolladores ya existen muchas discusiones que señalan abiertamente que los centros de reenvío usan los datos de solicitudes de los usuarios para destilación de modelos. La llamada “destilación de modelos” significa, de forma simple, usar las salidas de un modelo grande para entrenar un modelo pequeño: una técnica de “aprender robando”. Todo lo que pasa por el centro de reenvío — prompts completos más responses — es un dataset de entrenamiento de alta calidad ya listo. Especialmente las salidas de modelos top como Opus 4.6 y GPT-5 son, por sí mismas, un material de destilación extremadamente valioso.

A inicios de 2026, Anthropic publicó un informe acusando directamente a tres laboratorios de IA en China — DeepSeek, Moonshot AI y MiniMax — de realizar acceso a gran escala a la API de Claude mediante redes de cuentas falsas. Entre ellos, el número de interacciones de MiniMax superó los 13 millones de veces, y Moonshot pasó de 3.4 millones. La arquitectura de “hidra” que usaban — una red compuesta por muchas cuentas falsas — y el patrón de “pool de cuentas” de los centros de reenvío son casi idénticos.

Desde la perspectiva de la arquitectura técnica, los centros de reenvío se dividen en “tipo reenvío puro” (reenviar solicitudes en tiempo real, sin guardar en disco) y “tipo almacenamiento y reenvío” (guardar primero y reenvíar después). Pero incluso con servicios que afirman ser “reenvío puro”, nadie puede auditar si en su backend guardan datos o no. Tu confianza se basa completamente en un compromiso verbal de un operador anónimo.

Los expertos en seguridad recomiendan evaluar los centros de reenvío en cinco dimensiones: si la arquitectura técnica es passthrough, si la política de logs solo registra metadatos de facturación, si la transmisión usa TLS 1.2+, si la API Key está completamente aislada y si existe un mecanismo de respuesta ante fugas. Pero la realidad es que la mayoría de los centros de reenvío en el país no es transparente ni siquiera con la información del sujeto, y mucho menos acepta auditorías independientes de seguridad.

Huir, explotar y echar para callar: el final típico de los centros de reenvío

Los centros de reenvío también tienen un riesgo sistémico mortal: huir sin previo aviso.

La gran mayoría de los centros de reenvío usan un modelo de recarga anticipada: primero recargas dinero y luego se descuenta por consumo. Si el operador desaparece, el saldo se evapora por completo y no hay forma de exigir responsabilidades.

HodlAI es un caso de manual: el equipo del proyecto, al inicio, ofreció generosamente APIs a bajo precio para atraer recargas. Cuando el dinero en la tesorería apenas quedaba en unos 60,000 dólares y el consumo diario de tokens llegaba a 10,000 dólares, empezaron a apretar las restricciones de forma frenética: tope de 50,000 tokens por solicitud y límites de frecuencia cada vez más fuertes. Los usuarios cuestionaron en un grupo de Telegram y, como resultado, fueron expulsados del grupo y sus cuentas fueron bloqueadas.

La evaluación de la comunidad fue implacable: “igual que una estafa piramidal”, “cerrar la boca es más fácil que resolver problemas”, “la receta es conocida, el sabor es el mismo”.

Los de la industria resumen este patrón en una frase: “primero atraer con precios bajos; cuando el grupo de usuarios crezca, upstream los bloquea y se van corriendo. La pérdida solo es para los usuarios”.

En comunidades de desarrolladores como Linux.do, V2EX, etc., hay incontables publicaciones de reclamación similares. Algunos centros de reenvío tienen cláusulas contractuales extremadamente abusivas; otros incluso no tienen ningún registro industrial y comercial. Ni siquiera sabes a quién demandar.

Una cadena industrial completa: de la tarjeta negra a tu IDE

Si juntas toda la información de arriba, verás una cadena clara:

Munición upstream — la plataforma de intermediación de tarjetas de mensajería proporciona números de teléfono, el proveedor de supply de tarjetas negras proporciona métodos de pago, y el “pool de gatos” aporta recursos de equipos. Armas en el medio — ingenieros de ingeniería inversa descifran protocolos, proyectos de código abierto como One API/New API/Sub2API proporcionan infraestructura lista, y granjas de dispositivos administran el levantamiento masivo de cuentas. Distribución downstream — operadores de centros de reenvío empaquetan todo como “servicio de API” para venderlo; grupos de Telegram y plataformas de comercio electrónico se vuelven canales de venta; e incluso algunas personas empaquetan “montar un centro de reenvío” como cursos de capacitación para trabajos secundarios.

Y tú — a través de herramientas de IDE como Cursor, Claude Code, o con tu propio código — eres el consumidor final de esta cadena.

Los datos de monitoreo de seguridad de Threat Hunter indican que, entre 50 productos de AI Agent que muestrearon, cada uno tiene servicios derivados del crimen organizado. Esta cadena industrial, desde la compra/venta de cuentas en 2022, la reventa de API en 2023, el arbitraje de cuotas gratuitas en 2024, el abuso de capacidad de cálculo de Agent en 2025, hasta 2026, ya completó una evolución integral desde talleres manuales hasta producción industrial.

Palabras finales

La historia de los centros de reenvío de IA es, en esencia, una versión “AI de lógica comercial antigua”: cuando no sabes qué es el producto, tú eres el producto.

Tu dinero compra modelos falsos; tus datos alimentan el conjunto de entrenamiento de otra gente; y tu saldo de recarga puede quedarse en cero en cualquier momento. Estas tres cosas no es “posible que pase”; es “está pasando”.

Algunas recomendaciones prácticas —

Si puedes usar canales oficiales, usa canales oficiales. La API oficial es más cara, pero es cara de forma clara. Si tu negocio tiene cualquier requisito sobre seguridad de datos y confiabilidad del modelo, un centro de reenvío no debería aparecer en tu stack técnico.

Al menos aprende a hacer auto-verificación. Si estás usando un centro de reenvío, ejecuta una ronda de pruebas con los métodos mencionados arriba. Para el mismo AIME de matemáticas y la misma parte de código compleja, compara la salida del centro de reenvío con la salida oficial. Si hay una diferencia clara, ya sabes qué hacer.

Datos sensibles nunca pasan por un centro de reenvío. Si no hay alternativa, asegúrate al menos de: desensibilizar la información, rotar las API Key de forma regular y no guardar ningún dato crítico en la cuenta del centro de reenvío.

Mira con seriedad los modelos nacionales. DeepSeek, Qwen, GLM y otros modelos domésticos están alcanzando rápidamente, tienen precios transparentes y mucho más bajos que los modelos del exterior, y la API oficial se puede usar de manera compatible en China. En lugar de aventurarte en modelos extranjeros adulterados en zonas grises, usa estas alternativas domésticas serias: al menos sabrás qué modelo estás configurando.

Esta industria cambia todos los días. Pero hay una ley de hierro que no cambia: cuando eliges lo más barato sin entender el costo, normalmente estás tomando la decisión más cara.