Enrique Dans

Mientras el debate público sobre la inteligencia artificial tiende a girar en torno a GPT, Claude, Gemini y demás nombres que dominan los titulares, se está empezando a librar otra batalla mucho más silenciosa: la de los shadow models.

No son versiones oficiales ni productos comerciales: son réplicas, mutaciones, o desarrollos clandestinos, operando fuera del radar de monitorización, sin control y sin rendición de cuentas alguna. Y aunque pueden terminar siendo mucho más peligrosos que los grandes modelos que conocemos, no podemos olvidar que representan una evolución que, en muchos casos, es no solo inevitable, sino también, potencialmente, muy interesante. Mi estimación es que la mayoría de lo que conocemos como usuarios avanzados terminarán, de una manera u otra, entrenando y utilizando sus propios modelos.

El término shadow AI ya se usa en la industria para referirse al uso no autorizado de herramientas de inteligencia artificial dentro de organizaciones: modelos desplegados por equipos técnicos sin supervisión de IT o de gobernanza corporativa. Obviamente, con todos sus riesgos: filtraciones de datos, sesgos inadvertidos, incumplimiento regulatorio o simplemente caos operativo. Pero los modelos sombra van un paso más allá: no son simples «herramientas no autorizadas», sino modelos completos construidos con datos ocultos, a menudo replicando capacidades de modelos líderes, sin consentimiento ni trazabilidad.

Una de las técnicas más inquietantes es el llamado model distillation, una estrategia con la que se usan las salidas de modelos públicos para entrenar otro modelo, logrando en muchos casos una versión funcional parcial que «imita» el original. Esa práctica se ha convertido en una forma de copiar el «yo interno» de un modelo, sin permiso, y puede servir para crear clones invisibles. DeepSeek, por ejemplo, ha sido acusada de usar distillation con salidas de modelos avanzados para entrenar su propio sistema. Claramente, el fenómeno ya está alcanzando el ecosistema de desarrollo de los modelos comerciales.

Pero no todo es distillation. El robo o filtración de modelos también es una posibilidad: las arquitecturas de modelo, que se almacenan como pesos (weights), pueden ser robadas o copiadas si no están bien protegidas. Un informe de RAND Corporation explora qué haría falta para blindar esos pesos cuando interesa hacerlo. Esos pesos constituyen el «núcleo intelectual» de cada modelo, y aunque para algunos competidores ahí radica precisamente el interés de compartirlos en modelos de pesos abiertos, otros optan por mantenerlos en modo propietario. La guía OWASP de riesgos de GenAI norteamericana incluye el model theft como uno de los ataques críticos: la extracción no autorizada de modelos o sus parámetros. Que sea norteamericana no es una simple observación: en China, esas preocupaciones son mucho menores, porque la mayoría de los competidores optan por compartir esos modelos y sus parámetros, dando lugar a una innovación superior.

El acceso libre a modelos abiertos como Llama, Mistral, Falcon o Gemma, entre otros, y la facilidad creciente para levantar infraestructuras de entrenamiento gracias a GPUs de segunda mano o clusters compartidos ha democratizado el poder de crear un modelo de inteligencia artificial, pero también ha fragmentado enormemente el control. Están surgiendo decenas de versiones no oficiales que mezclan datasets en algunos casos de origen dudoso, capas de ajuste con sesgos deliberados y políticas de seguridad inexistentes. Algunas están entrenadas para ser «más obedientes», otras para eludir restricciones morales, y otras para procesar información sensible. En la práctica, hablamos de todo un ecosistema subterráneo y creciente de inteligencias artificiales sin supervisión.

Los shadow models también propician dinámicas problemáticas desde dentro: cuando múltiples versiones no homologadas de un modelo circulan sin coordinación, existe un riesgo de model collapse, un fenómeno en el que una generación sucesiva de modelos formados sobre salidas sintéticas va degradando las capacidades del modelo original. Esta degradación algorítmica puede afectar especialmente a nichos de datos, pasando desapercibido mientras el modelo general parece seguir funcionando aparentemente bien.

Desde el punto de vista institucional, la presencia de modelos sombra profundiza una fractura en la gobernanza de la inteligencia artificial. Las auditorías tradicionales de TI no rastrean modelos; los equipos de compliance no saben si un equipo pequeño en marketing ha entrenado su propia versión. Las organizaciones que ya han detectado shadow AI ya avisan de que sus prácticas habituales de gobernanza no alcanzan a estas instancias ocultas.

El resultado es una guerra invisible: potencias estatales, empresas y actores autónomos compiten no solo por quién crea el modelo más potente, sino por quién lo implanta en secreto. En esa contienda sin revisores, sin tribunales y sin vigilancia institucional, quien controla los shadow models puede distribuir narrativas, manipular datos o vulnerar sistemas sin que apenas se note. Algunos gobiernos, especialmente en Asia, fomentan esta opacidad. China y Rusia ya han creado versiones locales de LLMs «nacionales», entrenadas con los esperables criterios de censura y control político. Pero en paralelo, también emergen versiones clandestinas diseñadas para saltarse esos mismos filtros. La paradoja es curiosa, porque la misma tecnología que se emplea para imponer vigilancia puede llegar a usarse para conseguir burlarla.

Quizá el futuro de la regulación no consista en regular solo los modelos «oficiales», sino en obligar a que todo modelo, visible u oculto, pueda ser auditado, trazable y alineado con criterios sociales. No basta con censurar lo visible: quien manda en silencio es quien de verdad define el mundo.

You can read this article in English on my Medium page, «AI’s dark mirror: the unregulated world of shadow models«