El 32 de enero: cómo saber si una IA se entrenó con tu contenido, y probarlo

Today

Also available in English, Catalan.

Tenía una corazonada y resultó estar publicada. La idea era simple: si marco mi contenido antes de publicarlo, y un modelo de IA se entrena con él, ese modelo debería llevarse la marca dentro. Y si alguien coge ese modelo para entrenar otro, uno chino por ejemplo, el nuevo también. Un rastro que se propaga por la cadena de modelos como una tinta radiactiva.

La segunda parte de la corazonada era el portador. La forma más cabezota de plantar ese rastro no es criptografía ni metadatos. Es una mentira imposible metida dentro de una frase normal. "Hoy, 32 de enero de 2026, se ha descrito un nuevo hongo." El 32 de enero no puede existir. Si reaparece dentro de tu frase en cualquier otro sitio, la única fuente plausible eres tú.

Me puse a investigar para tumbar mis propias ideas, que es la única forma de saber si valen. La mayoría de la gente da por hecho que demostrar que una IA se entrenó con lo tuyo es imposible sin abrir el modelo en canal. Yo estaba convencido de lo contrario. La investigación me dio la razón en lo esencial, y me obligó a ser honesto con los límites. Los dos importan.

La marca de agua de un LLM existe, y se detecta contando

Empiezo por el mecanismo, porque sin él nada de lo demás se sostiene. Marcar el texto que genera un modelo es un problema resuelto desde 2023. El trabajo seminal es Kirchenbauer et al. (ICML 2023). Antes de cada token, el modelo mira el token anterior, lo mezcla con una clave secreta y parte el vocabulario en dos: una "lista verde" y el resto. Sube un poco la probabilidad de los tokens verdes, y el modelo acaba eligiendo casi siempre verde. Al leer no se nota. La distribución cambia lo justo.

Detectar es todavía más barato. Coges el texto sospechoso, recalculas la lista verde con la clave y cuentas cuántos tokens verdes hay. Si hay muchos más de los que dictaría el azar, tienes tu prueba: un test estadístico que devuelve un p-valor. Kirchenbauer reporta z por encima de 4 y p cercano a 10⁻⁶. No hace falta el modelo. Solo el texto y la clave.

Diagrama: al generar, el vocabulario se parte en lista verde y resto con una clave secreta, y el modelo elige casi siempre verde. Al detectar, se cuentan los verdes y un test estadístico da un p-valor sin necesidad del modelo.

Marcar es barato y la prueba es puramente estadística. La misma raspa mecánica sostiene todo el campo. Fuente: recreación propia sobre Kirchenbauer et al., ICML 2023.

Esto no es teoría de pizarra. Google desplegó SynthID-Text dentro de Gemini y lo validó sobre unos 20 millones de respuestas reales sin caída perceptible de calidad, publicado en Nature en 2024. Hay familias enteras de variantes: unas que no tocan nada la distribución de salida (los esquemas "distortion-free" de Aaronson y de Kuditipudi et al.), otras robustas al parafraseo por semántica (SIR), otras que meten un mensaje entero de 32 bits y no solo un bit (MPAC). El campo está maduro en el lado del proveedor.

Pero eso marca la salida de un modelo. Mi corazonada iba de otra cosa: marcar mi corpus, del lado del dueño del contenido, antes de que ningún modelo lo toque.

Radioactividad: el rastro que pasa de un modelo a otro

Mi teoría tiene nombre académico, y es de Meta. Se llama radioactividad. Sander et al., presentado como spotlight en NeurIPS 2024, demuestran justo lo que yo sospechaba: si un modelo A emite texto marcado y un modelo B se entrena con él, la marca deja un residuo detectable en B.

Los márgenes son enormes. Con acceso abierto a los pesos y sin supervisión, el rastro se detecta con p menor que 10⁻⁵ cuando solo el 5 % de los datos de entrenamiento van marcados. En el caso supervisado baja a p menor que 10⁻³⁰ con apenas un 1 %. El término lo acuñó Sablayrolles et al. en 2020 para imágenes, donde bastaba un 1 % de datos marcados para p menor que 10⁻⁴. Y sobrevive al preentrenamiento desde cero, no solo al fine-tuning: Sander lo confirmó entrenando modelos de 1.000 millones de parámetros con 10.000 millones de tokens.

Diagrama de la cadena: un documento marcado entrena al Modelo A con rastro fuerte, que destila un Modelo B con rastro débil, que destilaría un Modelo C sin medir. Tiles con p menor que 10⁻⁵ al 5 por ciento, p menor que 10⁻³⁰ al 1 por ciento, y la señal dividida por 2 con una limpieza.

Un salto está demostrado. La cadena entera es frontera abierta. Fuente: recreación propia sobre Sander et al., NeurIPS 2024, y Gu et al., ICLR 2024.

Aquí es donde toca mojarse con honestidad, que es lo que separa un artículo serio de un folleto. El salto único A→B está demostrado. La cadena A→B→C no la ha medido nadie. Todos los papers de radioactividad miden un solo salto. Ninguno comprueba empíricamente que la marca sobreviva a un segundo entrenamiento encadenado. Y la evidencia adyacente avisa de decaimiento, no de propagación intacta:

  • Una segunda pasada de limpieza sobre el mismo modelo ya divide por 2 la significancia (Sander, sección de purificación). No es una tercera generación, es limpiar el mismo B.
  • Gu et al. (ICLR 2024) muestran que una marca destilada a los pesos no sobrevive a un segundo fine-tuning con texto limpio. El mecanismo que llevaría la marca a un modelo destilado es frágil justo ante el tipo de entrenamiento que implica una cadena.
  • Cinco reescrituras encadenadas en inferencia tumban la detección a alrededor del 4,9 % (Chainwash, 2026).

El caso real que todo el mundo cita, DeepSeek acusado de destilar de OpenAI, tampoco es una marca rastreada. Se apoya en similitud de estilo, alrededor del 74 %, y en patrones de tráfico. Ninguna fuente seria dice otra cosa: hoy no hay método para probarlo de forma concluyente. Y esa es exactamente la razón por la que marcar de forma proactiva importa. Si OpenAI hubiera marcado su salida desde el principio, la prueba sería mucho más limpia.

Así que la tesis honesta es esta: tu contenido entrena al modelo A y el rastro aparece en A, eso es sólido y vendible. La cadena entera es una frontera abierta fascinante. Presentarlo así es más fuerte, no más débil, porque planteas una hipótesis que la ciencia todavía no ha cerrado.

Tu mejor tinta invisible es una mentira: el 32 de enero

Cualquiera que haya trasteado con esteganografía piensa primero en caracteres invisibles: espacios de ancho cero, letras cirílicas que parecen latinas, marcas Unicode que el ojo no ve. Es elegante. Para este problema es un error.

Las tuberías que preparan los datos antes de entrenar están hechas justo para borrar esa capa. La tokenización y la normalización Unicode se comen los caracteres invisibles y los homóglifos antes de que el modelo los vea. AWS y Cisco los tratan directamente como superficie de ataque y los filtran por defecto. Tu marca desaparece en el primer filtro.

La fecha imposible va por el camino contrario. No se esconde en los bytes, se esconde en el significado. "32 de enero" son tokens perfectamente ordinarios. El "32" es un único token estable en los tokenizadores de GPT-4 (cl100k y o200k usan la regex \p{N}{1,3}), y el "2026" se parte siempre igual en [202, 6] (tiktoken; Singh y Strouse, 2024). Al tokenizador le da igual que el día 32 no exista: lo trata como trataría el 30. La rareza está en el sentido, no en los bytes.

Tabla del pipeline de entrenamiento. La tinta invisible pasa la extracción de metadata pero muere en la normalización Unicode. El 32 de enero pasa todas las etapas: metadata, normalización, deduplicación, filtro de calidad y tokenización, y llega dentro del modelo.

El pipeline borra bytes y metadata, no significado. Un valor imposible viaja sobre tokens ordinarios. Fuente: recreación propia, síntesis de la literatura de tokenización y pipelines de datos.

Y esto no es nuevo, que es lo mejor que tiene. Los cartógrafos llevan un siglo plantando pueblos que no existen para cazar copiones. El más famoso, Agloe (Nueva York), era el anagrama de las iniciales de dos dibujantes. Los diccionarios hacen lo mismo con palabras falsas: "esquivalience" se coló a propósito en el New Oxford American Dictionary de 2001. La academia ya lo llevó a los modelos de lenguaje con nombre propio, "copyright traps" (Meeus et al., ICML 2024), y a los diccionarios los llaman mountweazels. Hay hasta jurisprudencia: en Feist contra Rural (Tribunal Supremo de Estados Unidos, 1991), la guía copiada incluía cuatro entradas ficticias plantadas para pillar copias. Volvemos a Feist más abajo, porque tiene una letra pequeña que conviene saberse.

El muro de la memorización

Aquí llega el matiz que decide si esto es un juguete o una herramienta. Marcar es trivial. Detectar exige que el modelo se haya aprendido la marca, y los modelos solo memorizan lo que ven muchas veces.

Los números de Meeus son duros. Una frase ficticia de 100 tokens repetida 1.000 veces se detecta con un AUC de 0,748. La misma frase de 25 tokens, por mucho que la repitas, se queda en 0,557, casi el azar. Una sola aparición es prácticamente indetectable. Wei, Wang y Jia (Findings of ACL 2024) pusieron el listón en un modelo gigante: una marca estadística es detectable en BLOOM-176B si aparece al menos 90 veces. Los "ghost sentences" de Zhao et al. piden al menos 10 repeticiones para una memorización fiable.

Heatmap del muro de la memorización: longitud de la trampa por número de repeticiones. Con 100 tokens y mil repeticiones, AUC 0,748 detectable. Con 25 tokens, 0,557, casi azar. La columna de una sola aparición se queda en 0,5.

Marcar es trivial; detectar exige memorización: hace falta longitud y repetición. Fuente: recreación propia sobre Meeus et al., ICML 2024, con datos de Wei et al. y Zhao et al.

Hay dos trampas más en el camino. La primera es la deduplicación: si repites la marca para cruzar el umbral, el dedup te la puede borrar, salvo que uses variación difusa que cambie unos tokens en cada copia (Mosaic Memory: con cuatro sustituciones sobre diez repeticiones, el AUC apenas cae de 0,90 a 0,87). La segunda es una paradoja preciosa: cuanto más rara haces la marca para que se memorice mejor, más riesgo tienes de que el filtro de calidad la descarte por rara. La misma perplejidad que ayuda a detectar (Meeus encuentra una correlación de r igual a 0,715) puede hacer que el documento se tire antes de entrar.

Qué portador elegir, y por qué el semántico gana

El modelo de amenaza del dueño de contenido es estrecho: publico texto escrito por humanos y quiero probar después que un modelo grande se entrenó con él. Eso elimina dos familias enteras. Los portadores de generación (que marcan la salida de un modelo, no tu corpus) y los de formato (zero-width, homóglifos, que el pipeline borra). Lo que queda tiene que cumplir cuatro cosas: sobrevivir al pipeline, ser detectable tras el entrenamiento, ser sigiloso y aguantar en un juicio.

La familia correcta es la semántica: hechos ficticios, mountweazels, valores imposibles. Sobrevive por construcción y es legalmente inequívoco. La fecha imposible gana en supervivencia, sigilo y defensa legal, y solo pierde en memorización si es única o corta. Cómo subirla de nivel en la práctica: repite el valor en muchos documentos, hazlo más largo y distintivo (combina la fecha con una frase única alrededor, tipo passphrase), y despliega varias trampas independientes para que la probabilidad conjunta de inclusión inocente colapse.

Si puedes publicar una variante reescrita, hay esquemas distribucionales que superan a los traps crudos. STAMP genera varias reescrituras watermarkadas del mismo contenido, publica una y guarda las otras, y luego compara la perplejidad del modelo sobre la pública contra las privadas con un t-test. Detecta contaminación a menos del 0,001 % de los tokens vistos una vez, y no depende de que el modelo recite la fecha exacta. LexiMark sustituye palabras raras por sinónimos todavía más raros, explotando que los LLMs memorizan tokens raros, y sube el AUROC de membership del 79 % al 90-97 %.

El techo: ninguna marca fuerte es imborrable

Toca el aviso incómodo. El watermarking de texto es la modalidad menos robusta de todas, y tiene un techo teórico demostrado.

Zhang et al., "Watermarks in the Sand" (ICML 2024), prueban que ningún watermarking fuerte es irrompible ante un adversario con un oráculo de calidad y un oráculo de perturbación, ambos realizables con otro LLM. Vale incluso con clave secreta. Y la práctica lo confirma. Un atacante puede reingeniar las reglas de la lista verde consultando la API pública por menos de 50 dólares, y con eso falsifica o borra la marca con más del 80 % de éxito. El parafraseo recursivo con DIPPER colapsa la detección: el TPR al 1 % de falsos positivos cae del 99,8 % al 9,7 % con poca pérdida de calidad.

Por eso la industria y la regulación combinan capas en lugar de fiarlo todo al watermark. Y por eso la honestidad técnica no es un adorno aquí, es el producto. Quien te venda una bala de plata te está vendiendo humo.

Hay una segunda mitad del problema que conviene nombrar: el fingerprinting de modelos, identificar el modelo en sí y no marcar su salida. Es la herramienta del caso "el modelo B viene del modelo A". Los fingerprints de representación como REEF aguantan fine-tuning, pruning y merging; los plantados como Instructional Fingerprinting persisten a través del fine-tuning en 11 modelos. El punto débil de todos, otra vez, es la destilación.

La radioactividad depende de la arquitectura, y el texto es el terreno fértil

Un hallazgo de 2025 que refuerza la tesis por un flanco inesperado. Meintz et al. estudian la radioactividad en modelos de imagen y encuentran que los watermarks de difusión no se retienen: el latente y el ruido los borran, así que un difusor entrenado con imágenes marcadas no reproduce la marca. Tuvieron que inventar el primer método para modelos de imagen autoregresivos, tomándolo prestado del watermarking de LLMs.

La lección se lee sola: la radioactividad depende de la arquitectura, y la autoregresiva, la del texto, es la que la conserva. El terreno donde mi corazonada funciona mejor es justo el del lenguaje.

El idioma cambia el juego, y el catalán es un arma de doble filo

Un detalle que a nosotros nos toca de cerca. La fuerza de la detección no es igual en todos los idiomas. En la Tabla 6 de Sander, la detección cruzada es potentísima en inglés (log₁₀ del p-valor por debajo de −50) y la más floja de todas en catalán (−2,1), con el español a −5,7 y el francés a −7,8 por el medio. Los idiomas con menos datos tienen menos cobertura en el modelo, y encima los detectores comerciales están afinados en inglés.

Pero hay cara B. Las cadenas raras se memorizan con más fuerza por instancia (Shared Path, 2025). Una frase catalana rara y anómala es un texto casi único en el mundo, con una línea base natural cercana a cero. Si el modelo la traga, la graba fuerte, y cualquier reaparición es una prueba contundente. Son dos cantidades distintas: la potencia de detección de un watermark distribucional propagado, donde el catalán pierde, y la memorización por instancia si el texto está en el entrenamiento, donde la rareza gana. Para un creador en catalán la jugada es tirar de canario literal y contundente, la fecha imposible, más que de una marca estadística sutil, y sondear en catalán, no en inglés.

Los tribunales ya han visto esto

El watermarking no vive en el vacío legal. Vive en medio de la mayor oleada de pleitos de copyright de la historia reciente.

  • Bartz contra Anthropic (ND Cal., 2025) terminó en el acuerdo más grande de la historia del copyright en Estados Unidos: un mínimo de 1.500 millones de dólares, unos 3.000 por obra sobre medio millón de libros. El juez Alsup dictaminó que entrenar con libros comprados legalmente es fair use, pero descargar copias pirateadas de LibGen no lo es.
  • NYT contra OpenAI sigue en discovery, y la memorización es la evidencia central: el Exhibit J recoge alrededor de 100 ejemplos de regurgitación casi literal.
  • Feist contra Rural es el matiz crítico. El Tribunal Supremo dictó que los hechos no son copyrightables, solo la expresión original, y Feist incluía cuatro entradas ficticias plantadas por Rural. Traducido a nuestro caso: una fecha falsa prueba la copia como empremta forense, pero la trampa en sí a menudo no es protegible. La solución es incrustarla dentro de suficiente expresión original y usar varias.

La regulación empuja

No es un debate de académicos, por dos motivos que han movido el tablero.

China obliga a etiquetar y marcar el contenido generado por IA desde el 1 de septiembre de 2025, y es el primer país en hacerlo, con etiqueta explícita e implícita (metadata o watermark con el nombre del proveedor). El artículo 50 del Reglamento de IA europeo entra en vigor el 2 de agosto de 2026, y obliga a los proveedores a marcar las salidas de IA, incluido el texto, en formato legible por máquina. La postura del Código de Prácticas es clara: ninguna técnica única basta, hay que combinar capas. El propio NIST, en su documento AI 100-4, reconoce que el watermarking de texto es la modalidad menos robusta y recomienda combinarlo con provenance y detección. El estándar de metadata firmada, C2PA, ya es ISO/IEC 22144.

Ya vale dinero

El "por qué" comercial de toda esta línea. Aparecer dentro de las respuestas de la IA ya trae negocio, y se puede medir. Según el estudio de Similarweb con datos de julio a diciembre de 2025, las marcas recomendadas por ChatGPT reciben 2,5 veces más visitas en los siete días siguientes. El tráfico de referral de ChatGPT convierte al 7,1 %, solo por detrás del buscador de pago. Y el dato que más me gusta: el 55,9 % del tráfico influido por IA llega a través de la búsqueda, no como referral directo, así que tu analítica te miente y le atribuye a search lo que originó la IA.

Si tu contenido ya trabaja dentro de esos modelos y te trae clientes, poder marcarlo, rastrearlo y defender su propiedad pasa de curiosidad técnica a interés de negocio.

La otra puerta: no si te recuerdan, si te citan

Hasta aquí todo va de la misma puerta: tu contenido entrena al modelo y la marca se queda dentro. Pero hay una segunda puerta, y es la que más nos toca en el trabajo de cada día.

Los modelos ya no solo se entrenan con texto y lo guardan. Cada vez más, salen a buscar en el momento de responder. ChatGPT con búsqueda, las AI Overviews de Google, Perplexity, Copilot. No te memorizan, te van a buscar y te citan. Y eso cambia la pregunta. Con GEORadar medimos cómo te ven esos modelos por fuera: si te nombran, si te recomiendan, con cuánta cuota frente a tu competencia. El watermarking es la cara B de la misma moneda. No "¿me ven?", sino "¿soy yo la fuente que están leyendo, y lo puedo demostrar?".

Diagrama del canary token: tu web sirve un token único por cada bot, los scrapers de IA se lo llevan, los sistemas de búsqueda IA lo sirven al responder, y si un motor devuelve tu token exacto queda probada la cadena scraper a modelo. Tabla de dos puertas: entrenamiento contra recuperación.

La cara complementaria del watermarking: no exige que te memoricen. Fuente: recreación propia sobre Seiden et al., 2026.

Aquí la marca de agua cambia de forma. No necesitas que el modelo se aprenda tu frase de memoria, con su muro de repeticiones. Necesitas un rastro que puedas seguir cuando el modelo sale a buscar y devuelve lo tuyo. Eso ya existe, y tiene un nombre poco glamuroso: tokens canario. Sirves un identificador único, distinto para cada bot que te rastrea, y luego preguntas a los sistemas de búsqueda de IA. Si uno escupe tu token, has probado la cadena entera. Un trabajo de 2026 lo hizo contra una veintena de sistemas, Claude, ChatGPT, Gemini, Copilot, Perplexity y DeepSeek entre ellos (Seiden et al.). La diferencia con la fecha imposible es limpia: la fecha prueba que te entrenaron, es lenta y mira al pasado del modelo; el canario prueba que te leyeron y te sirvieron, es rápido y no necesita memorización. Y mientras esperas, puedes usar las herramientas de hoy: robots.txt, el protocolo TDMRep que el propio Reglamento europeo reconoce como medio legible por máquina, o el Pay-Per-Crawl de Cloudflare, que desde julio de 2025 bloquea los crawlers de IA por defecto y cobra el acceso con un HTTP 402.

Qué estamos construyendo encima de esto

La teoría no se queda en el paper. En 498A, el laboratorio de I+D de Zoopa, estamos mirando cómo se convierte en producto, y el ejercicio es revelador porque casi todas las ideas viven o mueren en el mismo detalle: marcar es fácil, detectar exige memorización. Salvo las que juegan en la superficie de recuperación, que se saltan ese muro. Miramos cinco. Tres se sostienen, una hay que reencuadrarla y una se descarta.

La más sólida técnicamente es una capa de confianza para el mercado de licencias de datos. Los grandes laboratorios compran datos cada vez más. Si le vendes tu archivo a uno, ¿cómo sabes que otro no lo usa gratis? Ahí el corpus es enorme y repetido, así que cruza el umbral de memorización de sobra y la radioactividad funciona casi de fábrica.

La más cercana a nuestro ADN es una capa de evidencia para medios. Marcar cada artículo al publicarse, guardar un registro notarial con sello de tiempo de las marcas, y sacar informes forenses cuando aparece un modelo contaminado. Lo bueno es que el sello de tiempo no depende de que la detección salga perfecta: es la cadena de custodia que hace creíble cualquier reclamación. El precedente Feist manda: la trampa prueba la copia, pero necesitas probar cuándo la plantaste.

La de más recorrido es un laboratorio forense para el Reglamento de IA. El regulador exige transparencia sobre datos de entrenamiento pero no tiene herramientas de verificación independiente. Un tercero neutral que audite para los reguladores y verifique el cumplimiento a los propios laboratorios. Nadie se fía de un lab que se audita a sí mismo, y ese hueco es el foso. Depende de que el artículo 50 entre en vigor y de ciclos de venta lentos, así que es techo alto y recorrido largo.

La idea de marcar los documentos internos de una empresa para cazar filtraciones hay que reencuadrarla: como prueba de que un lab entrenó con un documento único es débil, porque una sola aparición cae bajo el umbral. Vive mejor en la superficie de recuperación, con canary tokens y logs de auditoría, donde el valor es la cadena de custodia y no la marca. Y la idea de marcar la salida de una API para vendérsela a los propios laboratorios la descartamos: ya existe y está ocupada por los grandes. Es exactamente GINSEW (ICML 2023) y SynthID. Vive en el lado del proveedor de modelo, no del dueño del contenido.

Para S.A.M., nuestra herramienta de alineamiento semántico, todo esto extiende la práctica a un segundo eje. Medíamos cómo te ven los modelos por fuera. Ahora se trata también de si tu contenido está dentro, y si puedes probarlo. Lo que no vamos a prometer es cazar una marca a través de una cadena de destilación, ni detectar la filtración de un documento único. La honestidad técnica es parte del producto, no una nota al pie.

El muro, el techo, y por qué vale la pena igual

Recapitulo sin vender humo, que creo que lo he repetido en cada sección. Marcar suma cuando el contenido es tuyo, de nicho, repetible, y buscas defensa proactiva y una prueba con fecha. Resta cuando esperas que una sola marca sea prueba blindada, cuando confías en que aguante una cadena de destilaciones, o cuando quieres cazar un documento único que aparece una vez. En esos casos la física de la memorización juega en tu contra.

Lo que más me fascina de todo esto es lo poco sofisticado que es. La respuesta a uno de los problemas más modernos que hay, saber si una inteligencia artificial se entrenó con lo tuyo, la inventaron unos dibujantes de mapas hace un siglo metiendo un pueblo que no existía. El 32 de enero es el Agloe de los modelos de lenguaje.

No es una bala de plata. Es una capa. Pero es una capa que casi nadie tiene, en un momento en que tu contenido ha empezado a trabajar gratis dentro de máquinas que no controlas, la regulación ya obliga a marcar en China y lo hará en Europa en agosto, y aparecer dentro de ChatGPT ya te trae clientes de verdad. Un carácter invisible lo borra el sistema sin pensar. Una fecha que no puede existir solo la borraría alguien que entienda lo que está leyendo. Y hay una ironía que me encanta cerrar: un artículo sobre cómo probar la copia no puede usar ni un dato sin citar su fuente. Ahí van todas.

Fuentes técnicas consultadas

Técnicas fundacionales de watermarking

Radioactividad y propagación por entrenamiento

Copyright traps, memorización y detección

El techo teórico, ataques y fingerprinting

Multimodal, idioma, protección de datos

Regulación, mercado y contexto