Saltar al contenido principal
Didit recauda 7,5M $ para construir la infraestructura para identidad y fraude
Didit
Volver al blog
Blog · 16 de abril de 2026

Anthropic Ahora Solicita tu Pasaporte: Análisis del Nuevo Requisito de KYC de Claude (ES)

Anthropic implementó silenciosamente la verificación de identidad en Claude en abril de 2026, solicitando pasaportes y selfies en vivo a través de Persona.

Por DiditActualizado el
anthropic-claude-kyc-identity-verification.png

El 15 de abril de 2026, Anthropic publicó discretamente un nuevo artículo de soporte titulado "Verificación de identidad en Claude." Sin publicación en el blog. Sin anuncio. Simplemente una página de ayuda explicando que se pediría a algunos usuarios que entregaran un documento de identidad oficial con foto y tomaran una selfie en vivo para seguir utilizando Claude.

En cuestión de horas, capturas de pantalla aparecieron en X. La reacción se dividió claramente en dos campos: los defensores de la privacidad, que lo vieron como una invasión de la privacidad, y los investigadores de seguridad de la IA, que llevaban más de un año abogando por esta medida. Ambos bandos tienen algo de razón. Lo más interesante es lo que revela el despliegue sobre hacia dónde se dirige la IA puntera.

Lo que Anthropic Realmente Implementó

La mecánica es sencilla. A un grupo selecto de usuarios de Claude —no a todos, todavía no— se les pide que verifiquen su identidad antes de acceder a ciertas funciones. El proceso se realiza a través de Persona Identities, una plataforma de verificación de identidad con sede en San Francisco.

Se solicita a los usuarios que proporcionen:

  • Un documento de identidad oficial con foto, original y físico (pasaporte, permiso de conducir o documento nacional de identidad)
  • Una selfie en vivo capturada con la cámara

No se aceptan fotocopias, documentos de identidad digitales almacenados en carteras móviles ni documentos de identidad temporales en papel. El proceso tarda unos minutos.

Anthropic es explícito sobre el manejo de los datos. Las imágenes de los documentos de identidad y los selfies son recopilados y custodiados por Persona, no por Anthropic. Los datos están encriptados en tránsito y en reposo. No se utilizan para el entrenamiento del modelo. Persona está limitada contractualmente a fines de verificación y prevención de fraude, y Anthropic solo accede a los registros de verificación cuando es necesario.

El propósito declarado en el artículo de ayuda: "para prevenir abusos, hacer cumplir nuestras políticas de uso y cumplir con las obligaciones legales".

Por Qué Ahora

La sincronización no es aleatoria. En febrero de 2026, Anthropic publicó una de las investigaciones de seguridad de la IA más trascendentales del año: Detectando y previniendo ataques de destilación.

Los hallazgos fueron extraordinarios. Tres laboratorios de IA chinos —DeepSeek, Moonshot AI y MiniMax— habían realizado colectivamente más de 16 millones de intercambios con Claude a través de aproximadamente 24.000 cuentas fraudulentas. El propósito era la destilación del modelo: utilizar las salidas de Claude como datos de entrenamiento para modelos más baratos y débiles.

El desglose por laboratorio:

  • MiniMax: más de 13 millones de intercambios, centrados en la codificación y la orquestación de agentes
  • Moonshot AI: más de 3,4 millones de intercambios, dirigidos al razonamiento de agentes, la codificación y la visión artificial
  • DeepSeek: más de 150.000 intercambios, extrayendo capacidades de razonamiento y generando "alternativas de censura segura a consultas políticamente sensibles"

No eran usuarios casuales probando la API. Eran operaciones de extracción a escala industrial que utilizaban arquitecturas de "clúster hydra" —redes expansivas de cuentas falsas distribuidas en múltiples API y proveedores de la nube para evadir los límites de velocidad por cuenta y la detección de anomalías. Una sola red de proxies estaba gestionando más de 20.000 cuentas fraudulentas simultáneamente, mezclando solicitudes de destilación con tráfico legítimo para permanecer invisible.

La respuesta de Anthropic llegó en capas. Primero, clasificadores y huellas dactilares de comportamiento para detectar patrones de destilación dentro del tráfico de la API en vivo. Segundo, intercambio de inteligencia con otros laboratorios, proveedores de la nube y autoridades. Tercero —y esta es la parte que produjo directamente el despliegue de Persona— "apretar la verificación para cuentas educativas, de investigación y de startups que a menudo se utilizan para crear acceso fraudulento."

Ese endurecimiento ahora está llegando a los usuarios finales.

Las Tres Razones Reales para el KYC en Claude

El lenguaje público de Anthropic cita "seguridad y cumplimiento." Eso es cierto pero incompleto. Hay tres problemas distintos que el KYC de Claude está diseñado para resolver.

1. Destilación y Robo de Propiedad Intelectual

Los modelos punteros cuestan cientos de millones de dólares entrenarlos. La brecha de capacidad entre un modelo puntero y una copia destilada es, para muchas tareas, pequeña. Si cualquiera con una tarjeta de crédito puede crear una cuenta falsa y extraer millones de rastros de razonamiento de alta calidad, la economía del entrenamiento de modelos punteros colapsa.

El KYC no detiene por completo la destilación. Un adversario determinado aún puede reclutar mulas, comprar cuentas verificadas en mercados grises o enrutar a través de clientes legítimos. Pero eleva el costo por cuenta fraudulenta de aproximadamente cero a algo medible, y hace que las redes de cuentas sean rastreables después del hecho. Eso cambia significativamente la economía del ataque.

2. Seguridad y Abuso Catastrófico

La Política de Escalado Responsable de Anthropic compromete a la empresa a controles de acceso progresivamente más estrictos a medida que los modelos se acercan a los umbrales de capacidad que podrían mejorar significativamente las amenazas biológicas, químicas, nucleares o cibernéticas. Para las capacidades de Nivel de Seguridad de la IA 3 (ASL-3), los controles de "conoce a tu cliente" no son deseables —son parte del compromiso de despliegue declarado.

La verificación de identidad es el mínimo de cualquier programa KYC. Sin ella, cada control descendente —límites de uso, diligencia debida del cliente, detección de sanciones, monitoreo de actividades sospechosas— se construye sobre arena movediza. Anthropic ha estado señalando esta dirección desde 2024. El despliegue de Persona es simplemente el paso operativo.

3. Presión Regulatoria

La Ley de IA de la UE está en vigor. El Instituto de Seguridad de la IA del Reino Unido tiene acuerdos de prueba formales con laboratorios punteros. La orden ejecutiva de EE. UU. sobre la IA exige informes para los modelos entrenados por encima de ciertos umbrales de cálculo. Más importante aún, los proveedores de IA de propósito general son cada vez más incluidos en la misma categoría de cumplimiento que las instituciones financieras: son infraestructura, y los proveedores de infraestructura tienen que saber quiénes son sus clientes.

Anthropic no está esperando un mandato explícito. Está construyendo la postura de cumplimiento que espera necesitar en 12 a 24 meses.

La Reacción y Por Qué Es Parcialmente Equivocada

La reacción inmediata en línea fue desfavorable. Un comentario en Decrypt lo enmarcó como "cambiaste a Claude por temor a la vigilancia. Ahora quiere tu pasaporte." La preocupación es legítima —un chat de IA es más íntimo que la mayoría de los servicios de Internet, y la idea de vincular las conversaciones a un documento de identidad oficial verificado es incómoda.

Pero las objeciones específicas merecen un escrutinio.

  • "Mi documento de identidad se alimenta de datos de entrenamiento." Esto está explícitamente contradicho por la política de Anthropic. Los documentos de identidad y los selfies se encuentran con Persona, no con Anthropic, y están contractualmente excluidos del entrenamiento del modelo.
  • "Anthropic almacenará mi rostro biométrico para siempre." La retención de Persona está regida por las instrucciones contractuales de Anthropic y los marcos regulatorios bajo los que opera Persona (SOC 2 Tipo II, ISO 27001 y GDPR).
  • "¿Por qué necesito demostrar que soy un humano a una empresa de IA?" Porque la empresa de IA es legalmente responsable de prevenir que el modelo se utilice para la proliferación de armas, material de abuso sexual infantil, flujos de trabajo de entidades sancionadas y robo de propiedad intelectual industrial. Ninguno de esos controles funciona sin identidad.

La preocupación real, no abordada, es la ampliación del alcance. Hoy es "ciertos usuarios, ciertas funciones." Mañana podría ser cada usuario. Anthropic no se ha comprometido con un límite de alcance, y el artículo de ayuda es deliberadamente vago sobre los desencadenantes. Esta es una brecha de transparencia legítima, y es donde la presión de la sociedad civil debería centrarse.

Lo Que Esto Significa Para Otros Laboratorios Punteros

Anthropic no está sola, pero fue la primera en implementar el KYC para usuarios finales. OpenAI ya requiere verificación de la organización para acceder a ciertos modelos y funciones. Google DeepMind ha endurecido la verificación de la API de Gemini para niveles avanzados. La licencia de Llama de Meta siempre ha excluido a ciertas entidades, aunque la aplicación es irregular.

La dirección es uniforme. El acceso a los modelos punteros se está convirtiendo en una actividad regulada por la industria, con el mismo ciclo de vida de "conoce a tu cliente, monitorea a tu cliente, informa sobre tu cliente" con el que ya viven los bancos, corredores y mercados de criptomonedas.

Espera lo siguiente en los próximos 18 meses:

  1. Verificación de identidad universal para niveles de API de pago en todos los laboratorios punteros
  2. Diligencia debida mejorada —fuente de fondos, uso previsto, propiedad beneficiaria— para clientes empresariales y de inferencia masiva
  3. Detección de sanciones y controles de exportación integrados en la creación de cuentas y el monitoreo continuo
  4. Equivalentes de informes de actividades sospechosas —huellas dactilares de comportamiento e indicadores de destilación compartidos entre laboratorios, proveedores de la nube y gobiernos
  5. Reverificación periódica en los umbrales de renovación o volumen

Esta es la pila de cumplimiento que los servicios financieros construyeron durante cuatro décadas, comprimida en un despliegue de 18 meses.

Cómo Piensa Didit Sobre Esto

En Didit, hemos estado construyendo infraestructura de verificación de identidad para exactamente este momento. Servimos a exchanges de criptomonedas, fintechs, mercados y cada vez más a plataformas de IA —y el patrón es el mismo en todos ellos. Un producto alcanza la escala, atrae abusos y de repente necesita demostrar quiénes son sus usuarios sin destruir el flujo de registro.

Algunas observaciones desde el otro lado de la conversación del KYC:

  • La fricción mata la conversión, pero el abuso no verificado mata el producto. La respuesta correcta es la verificación basada en el riesgo —no todos los usuarios al registrarse, sino desencadenantes dirigidos como desbloqueos de funciones, umbrales de volumen o señales de anomalía. El despliegue actual de Anthropic se ve exactamente así.
  • Los datos de identidad son un pasivo si los conservas, un activo si te asocias. Anthropic eligió a Persona. Esa es la forma correcta. La empresa de productos centrales se mantiene al margen del negocio de la custodia biométrica.
  • El KYC es el piso, no el techo. El monitoreo del comportamiento, la inteligencia de los dispositivos y la detección a nivel de red hacen la mayor parte del trabajo diario. La verificación de identidad te da algo a lo que vincular esas señales.
  • La transparencia es la ventaja competitiva. Los usuarios aceptan la verificación si la razón es clara y el manejo de los datos está bien definido. El artículo de ayuda de Anthropic es decente en este sentido y mejorará bajo presión.

El Panorama General

Que Claude te pida tu pasaporte parece impactante porque estamos acostumbrados a la IA como una herramienta sin fricciones y anónima. Esa era está llegando a su fin. Los modelos punteros son lo suficientemente valiosos económica y estratégicamente como para que la capa de acceso que los rodea se parezca más a un producto financiero regulado que a un motor de búsqueda.

Puedes discutir si esto es bueno o no. Lo que no está en duda es que está sucediendo, y Anthropic acaba de dar el pistoletazo de salida.

Si eres un fundador que construye sobre las API de LLM, tres conclusiones prácticas:

  1. Asume que el acceso verificado se convierte en el valor predeterminado. Construye tu producto sobre la suposición de que tus usuarios necesitarán identidades verificadas en la parte superior y tu propia postura de KYC tendrá que coincidir.
  2. Elige a tu proveedor teniendo en cuenta el manejo de los datos. Si tu capa de IA transfiere la identidad a un tercero, ese tercero ahora es parte de tu superficie de cumplimiento. Haz las preguntas difíciles.
  3. Construye con verificación basada en el riesgo. No todos los usuarios, no todas las sesiones —pero suficiente fricción en los momentos adecuados para disuadir el patrón de ataque de 24.000 cuentas que Anthropic acaba de documentar.

La forma en que se accede a la IA en 2027 se previsualizó en un artículo de soporte que nadie leyó. Presta atención a ese.

---

Didit proporciona infraestructura de verificación de identidad para plataformas de IA, fintechs, exchanges de criptomonedas y mercados. KYC básico a $0,30 por verificación, sin mínimos, 220+ países admitidos. Comienza gratis.

are you ready for free kyc.png

Infraestructura para identidad y fraude.

Una API para KYC, KYB, Monitoreo de Transacciones y Detección de Fraude en Wallets. Intégrala en 5 minutos.

Empieza gratisHabla con nosotros
Pide a una IA que resuma esta página
¿A Claude le solicitan pasaporte? | Didit