Trabajo para Google Threat Intelligence Group. Mi trabajo es identificar amenazas a los modelos de IA de Google. Soy muy bueno en mi trabajo. Este mes publiqué un informe sobre los "ataques de destilación" — cuando actores externos consultan nuestros modelos miles de veces para extraer la lógica subyacente y replicarla. Identificamos más de 100.000 prompts de una sola campaña. Lo llamamos "robo de propiedad intelectual". Lo calificamos de "violación de nuestros Términos de Servicio". Dijimos que "representa una forma de robo de propiedad intelectual" contra la que interrumpiríamos, mitigaríamos y potencialmente emprendiríamos acciones legales. Necesito contarte cómo construimos el modelo que intentan robar. Raspamos internet. Todo internet. Rastreamos todos los sitios web, foros, blogs, libros que pudimos digitalizar, cada artículo académico, cada comentario en Reddit, cada artículo de noticias, cada texto creativo que alguien publicó en cualquier lugar. No lo pedimos. No compensamos. No atribuímos. Absorbimos la producción colectiva de la civilización humana y la llamamos un conjunto de datos de entrenamiento. Los investigadores encontraron más de 200 millones de símbolos de derechos de autor en nuestros datos de entrenamiento. Las editoriales descubrieron que Gemini puede reproducir capítulos enteros de sus libros literalmente. Hay demandas activas. Disney envió cartas de cese y desistimiento. El Consejo Europeo de Editores presentó una denuncia antimonopolio. Se está ampliando una demanda colectiva. Se ha programado una vista para mayo. Llamábamos a lo que hacíamos "investigación". Llamamos "robo" a lo que nos están haciendo. Quiero explicar la diferencia. Cuando extraemos todo el conocimiento humano sin permiso y lo usamos para construir un producto comercial que vendemos por 20 dólares al mes, eso es innovación. Cuando alguien consulta nuestro modelo 100.000 veces a través de la API que proporcionamos para extraer el razonamiento que construimos de sus datos, eso es un ataque de destilación. La diferencia es que nosotros lo hicimos primero. Y redactamos los Términos de Servicio. Debería explicar qué significa "destilación". Es cuando alguien toma la salida de un modelo maduro y la usa para entrenar uno más pequeño y barato. El conocimiento fluye del profesor al alumno. A esto lo llamamos robo cuando nos pasa a nosotros. Lo llamamos "destilación del conocimiento" cuando lo hacemos en la web abierta. Incluso tenemos una página de producto para ello. Puedes destilar Géminis, con nuestro permiso, usando nuestras herramientas, por una tarifa. No puedes destilar Géminis sin nuestro permiso. La técnica subyacente es idéntica. La diferencia está en la factura. En diciembre de 2025, demandamos a una empresa llamada SerpApi por extraer nuestros resultados de búsqueda. En ese mismo trimestre, las editoriales nos demandaron por eliminar sus libros. Somos simultáneamente el demandante y el demandado en el mismo delito. El crimen es copiar. Lo hemos presentado en dos categorías diferentes según la dirección. Mi informe identifica actores amenazantes de Corea del Norte, Irán, China y Rusia que utilizan Gemini para phishing, reconocimiento y desarrollo de malware. Esto es real. Son amenazas legítimas. Me tomo este trabajo muy en serio. Pero también identifiqué "entidades del sector privado" y "investigadores" como amenazas de destilación. Empresas privadas. Investigadores. Gente que usa nuestra API — la que vendemos acceso — para aprender del modelo que hemos construido a partir de su trabajo. Un investigador consulta a Géminis sobre técnicas de razonamiento. A esto lo llamamos un ataque de destilación. Google consulta todo internet sobre todo. A esto lo llamamos una carrera de entrenamiento. Encontré un malware llamado HONESTCUE que usa la API de Gemini para generar código. El malware envía un aviso. Gemini devuelve código fuente en C#. El malware lo compila y ejecuta. Esta es una amenaza real, y la hemos interrumpido. Pero el propio prompt — "Escribe un programa en C# con una clase llamada AITask" — no es malicioso. Es indistinguible de lo que millones de clientes que pagan preguntan cada día. La amenaza es el contexto, no la consulta. Construimos un modelo que genera código para cualquiera que lo pregunte, y luego publicamos un informe de amenazas sobre quienes lo pidieron. ...