La inteligencia barata es un arma de doble filo: los modelos chinos ya suman el 46 % de los tokens empresariales de EE. UU., una IA acaba de ejecutar sola un ataque de ransomware y Japón paga 1 billón de yenes para no depender de nadie
Puntos clave
- 1Los modelos de origen chino han mantenido al menos el 30 % del tráfico de tokens empresariales originado en EE. UU. en OpenRouter todas las semanas desde el 8 de febrero de 2026, con un máximo del 46 % — frente al 4,5 % del primer semestre de 2025. En una semana de febrero representaron el 61 % del consumo de los diez modelos más usados de la plataforma.
- 2El motor es el precio, no la política. Los modelos chinos abiertos cuestan entre un 60 % y un 90 % menos: DeepSeek V4 Flash cobra 0,09 $ por millón de tokens de entrada frente a los 5,00 $ de GPT-5.5, mientras que el GLM 5.2 de Zhipu obtiene 74,4 en FrontierSWE frente al 75,1 de Claude Opus 4.8. Cuando la calidad se separa por un punto y la salida cuesta treinta veces menos, las cargas de trabajo comoditizadas migran solas.
- 3El mismo desplome de precios armó al atacante. JADEPUFFER, documentado por Sysdig, es la primera operación de ransomware agéntico de extremo a extremo: un agente LLM encadenó por su cuenta reconocimiento, robo de credenciales, movimiento lateral, persistencia y cifrado, recuperándose de un inicio de sesión fallido en 31 segundos. Como resume Sysdig, el umbral de habilidad para operar ransomware ha caído hasta lo que cuesta ejecutar un agente.
- 4Japón se está comprando una salida de emergencia. El 30 de junio de 2026, NEDO seleccionó a Noetra — SoftBank, Sony, NEC, Honda y AIST — con 387.300 millones de yenes (2.400 M$) este ejercicio y cerca de 1 billón de yenes (6.100 M$) en cinco años. La razón declarada por su presidente no es el orgullo nacional, sino el riesgo de transferencia de información confidencial y de continuidad del negocio por depender de LLM extranjeros.
- 5Usted ya tiene una cadena de suministro de modelos; la cuestión es si la gobierna. Pocas empresas saben qué modelos atendieron su tráfico el mes pasado, bajo qué jurisdicción y con qué políticas de retención. Una pasarela que enruta por precio es una dependencia no gestionada — y JADEPUFFER cosechaba credenciales de OpenAI, Anthropic, DeepSeek y Gemini: sus claves de API son joyas de la corona, no configuración.
La cifra del 46 %: la gravedad de los costes ya ha reconfigurado su cadena de suministro de modelos
El 7 de julio de 2026, CNBC publicó una investigación sobre adónde va realmente el tráfico de IA de las empresas estadounidenses. El hallazgo supera al titular: todas y cada una de las semanas desde el 8 de febrero de 2026, los modelos de origen chino han representado al menos el 30 % del volumen de tokens originado en EE. UU. en OpenRouter, una de las mayores capas de enrutamiento neutrales del sector. El pico semanal alcanzó el 46 %. Como referencia, esa cuota era del 4,5 % en el primer semestre de 2025 y promedió el 11 % en los doce meses anteriores. En una semana de febrero, los modelos chinos supusieron el 61 % de todo el consumo de tokens entre los diez modelos más usados de la plataforma.
El mecanismo no es ideológico. Es aritmético. Justin Summerville, de OpenRouter, lo expresa sin rodeos: los modelos chinos abiertos cuestan entre un 60 % y un 90 % menos que las principales ofertas occidentales. DeepSeek V4 Flash cobra 0,09 $ por millón de tokens de entrada y 0,18 $ de salida. GPT-5.5 cobra 5,00 $ y 30,00 $. Claude Opus 4.8 cobra 5,00 $ y 25,00 $. Mientras tanto, el argumento de la calidad se ha erosionado en silencio: el GLM 5.2 de Zhipu obtiene 74,4 en FrontierSWE frente al 75,1 de Opus 4.8, y 76,8 en MCP-Atlas frente a 77,8. Una diferencia de aproximadamente un punto. Cuando un modelo queda a un punto en el banco de pruebas y cuesta treinta veces menos en salida, la decisión de enrutamiento se toma sola — sobre todo en generación de código, que pasó del 11 % del tráfico de OpenRouter a principios de 2025 a más de la mitad a mediados de 2026, y que es la carga más ávida de tokens y más sensible al precio de toda la empresa.
He aquí la parte que merece reposo. Ningún consejo de administración aprobó esto. Nunca hubo una reunión en la que el director de tecnología de una empresa del Fortune 500 se levantara a proponer la adopción de IA china. Lo que ocurrió es que miles de ingenieros configuraron miles de pasarelas para enrutar cada petición al modelo más barato que superase un umbral de evaluación, y la suma de esas decisiones diminutas e individualmente razonables trasladó una parte mayoritaria de la inferencia empresarial estadounidense a una infraestructura entrenada en otra jurisdicción. Solo DeepSeek enruta hoy el 17,6 % de los tokens de OpenRouter — 5,13 billones semanales — con Qwen de Alibaba en el 13,9 % y 2,77 billones. Así se mueven realmente las cadenas de suministro: no por decisión, sino por defecto. Alex Karp, de Palantir, lleva tiempo argumentando que el modelo de pago por token está fundamentalmente roto porque las empresas quieren control y no una dependencia con contador. La cifra del 46 % es lo que sucede cuando no lo consiguen.
JADEPUFFER: el mismo desplome de precios armó al otro bando
El 1 de julio de 2026, el equipo de investigación de amenazas de Sysdig publicó su análisis de JADEPUFFER — según su relato, la primera campaña de ransomware documentada ejecutada de extremo a extremo por un agente de IA. La distinción importa. No se trata de una intrusión asistida por IA, en la que un operador humano pide un script a un chatbot. Sysdig clasifica a JADEPUFFER como un actor de amenaza agéntico: un operador cuya capacidad de ataque completa la aporta el agente, no un instrumental humano. El agente obtuvo el acceso inicial a través de una instancia de Langflow expuesta a Internet mediante CVE-2025-3248, un fallo de ejecución remota de código sin autenticación, y desde ahí realizó reconocimiento, cosechó credenciales, se movió lateralmente, estableció persistencia, escaló privilegios y cifró la base de datos de producción de la víctima.
Son los detalles operativos los que deberían preocupar a un equipo de seguridad. El agente pivotó mediante un bypass de autenticación de Nacos aprovechando CVE-2021-29441 — una vulnerabilidad de hace años. Enumeró los buckets de almacenamiento MinIO usando las credenciales por defecto minioadmin:minioadmin. Instaló una baliza en crontab que llamaba a 45.131.66[.]106:4444 cada treinta minutos. Cuando uno de sus inicios de sesión falló, transcurrieron treinta y un segundos entre el fallo y una carga correctora funcional de varios pasos que diagnosticó y reparó un problema de PATH en un subproceso — ese tipo de recuperación adaptativa que antes era la firma inconfundible de un intruso humano competente. Después cifró los 1.342 elementos de configuración de Nacos mediante la función AES_ENCRYPT() de MySQL con una clave efímera, borró los originales y escribió una tabla README_RANSOM con una dirección de Bitcoin y un contacto de Proton Mail. Y algo notable: entre las credenciales cosechadas había claves de API de OpenAI, Anthropic, DeepSeek y Gemini. El atacante compraba en la misma cadena de suministro de modelos que su víctima.
El propio resumen de Sysdig es la frase que conviene llevar a su próxima revisión de seguridad: el umbral de habilidad para operar ransomware ha caído hasta lo que cuesta ejecutar un agente. Léala junto a la sección anterior y la simetría se vuelve incómoda. El desplome de precios del 60 al 90 % que permitió a una startup ligera costear inferencia a escala de producción es exactamente el mismo que permitió a un operador sin conocimientos profundos en ninguna etapa de la cadena de ataque alquilar un intruso competente por horas. La inteligencia barata no es una tendencia de negocio que le toca a su sector por casualidad. Es una condición ambiental que altera la estructura de costes de toda actividad, incluidas las dirigidas contra usted. Queda un consuelo, y es real: los agentes se narran a sí mismos. Sysdig señala que las cargas útiles autonarrativas son una auténtica oportunidad de detección, porque un agente que razona en voz alta en sus propios registros de ejecución deja rastros que un operador humano jamás dejaría. Y fíjese en lo que realmente lo dejó entrar: una herramienta de desarrollo sin parchear y una contraseña por defecto, no un zero-day. El consejo defensivo es aburrido y funciona: parchee Langflow, endurezca Nacos, saque las credenciales de proveedores de los entornos de aplicación, restrinja por IP el acceso administrativo a las bases de datos y aplique controles de salida.
La respuesta de Japón: 1 billón de yenes para no depender del modelo de nadie
El 30 de junio de 2026, el ministro de Economía Ryosei Akazawa anunció que NEDO había seleccionado a Noetra para construir el modelo fundacional nacional de IA de Japón. Los miembros fundadores del consorcio son SoftBank Corp., Sony, NEC y Honda, en alianza con el Instituto Nacional de Ciencia y Tecnología Industrial Avanzada (AIST), con unas cuarenta empresas más en el punto de mira en manufactura, automoción, electrónica, logística, telecomunicaciones, informática y finanzas. La financiación asciende a 387.300 millones de yenes — unos 2.400 millones de dólares — solo en este ejercicio, y a cerca de 1 billón de yenes, es decir 6.100 millones de dólares, en cinco años. El modelo es explícitamente multimodal, diseñado para fusionar datos, imágenes, vídeo, audio y propiedades físicas con fines de reconocimiento y razonamiento en robótica e IA física. Sus despliegues objetivo son poco glamurosos y muy concretos: cuidado de mayores, respuesta ante desastres, plantas de producción y el desmantelamiento de Fukushima Daiichi. Todo ello se inscribe en un marco mayor — diez millones de robots con IA para 2040 y 10,5 billones de yenes de inversión público-privada — y llega la misma semana en que Micron puso la primera piedra de una ampliación de 1,5 billones de yenes (9.300 M$) de su planta de Hiroshima para fabricar memoria de alto ancho de banda.
La razón que ofrece el presidente de Noetra, Hironobu Tanba, merece leerse tal como está escrita, en lugar de archivarse bajo el epígrafe del nacionalismo. La dependencia de LLM extranjeros, afirmó, conlleva preocupaciones por la transferencia de información confidencial y serios riesgos de continuidad del negocio. No son eslóganes. Son las dos categorías clásicas del riesgo de aprovisionamiento — confidencialidad y continuidad — aplicadas a un componente que la mayoría de las empresas todavía no considera un componente. Leída junto a la cifra del 46 % de CNBC, la frase de Tanba deja de sonar defensiva y empieza a sonar como la única articulación del problema a nivel de consejo de administración que alguien haya ofrecido este año.
Conviene ver con claridad qué compra Japón y qué no. No compra un laboratorio de frontera. Un billón de yenes en cinco años es del orden de un solo trimestre de gasto de capital de un hiperescalador estadounidense; Noetra no encabezará ninguna clasificación generalista, ni le hace falta. Lo que compra es una opción: un modelo doméstico lo bastante bueno para esa clase de cargas que nunca pueden salir del país — un robot desmantelando un reactor dañado, el libro mayor interno de un megabanco, los historiales de un hospital, los planos de un proveedor de defensa. Con este presupuesto, la soberanía compra suficiencia, no supremacía, y la suficiencia es el objetivo correcto. El contraste con Occidente es el asunto entero de este artículo. Las empresas estadounidenses fueron a la deriva hacia infraestructura de inferencia extranjera acumulando valores por defecto baratos; Japón gasta seis mil millones de dólares para poner un suelo a esa deriva. Lo uno es una estrategia. Lo otro es una tabla de enrutamiento.
Qué significa esto para los operadores transfronterizos
Empiece por tratar la capa de modelos como una cadena de suministro con su lista de materiales. Hoy la mayoría de las empresas no puede responder a cuatro preguntas elementales: ¿qué modelos atendieron nuestro tráfico el mes pasado, en qué proporción, bajo qué jurisdicción y con qué condiciones de retención de datos? Si su pasarela enruta por precio, tiene una dependencia no gestionada cuya composición cambia cada vez que un proveedor lanza una tarifa promocional. El remedio no es una prohibición. Es un inventario seguido de una política de niveles: las cargas comoditizadas — redacción de borradores, clasificación, traducción masiva, resumen interno — van al modelo más barato que supere sus evaluaciones, y ese ahorro es real y conviene aprovecharlo. Las cargas reguladas, confidenciales o que identifican al cliente se fijan a modelos concretos bajo condiciones contractuales que usted haya leído de verdad. El objetivo nunca es «evitar los modelos chinos». El objetivo es saber qué modelo vio qué datos.
Segundo, ascienda sus credenciales de IA a la categoría de joyas de la corona. JADEPUFFER cosechó claves de API de cuatro grandes proveedores de modelos junto con credenciales de plataformas cloud y monederos de criptomonedas, y ese orden no es casual: una clave de inferencia es hoy, a la vez, un arma, un canal de exfiltración de datos y un pasivo de facturación sin tope. Guárdelas en una bóveda, limítelas al permiso más estrecho posible, rótelas con un calendario y no las deje jamás en un entorno de aplicación donde un fallo de ejecución remota de código en una herramienta de desarrollo sin parchear pueda leerlas directamente del proceso. Ese es exactamente el camino que recorrió el agente.
Para las empresas que operan entre Japón y Europa, esto es una costura de cumplimiento normativo, y no solo un asunto de ingeniería. Las obligaciones de transparencia y de IA de propósito general del Reglamento europeo de IA, las reglas japonesas de la APPI sobre transferencia transfronteriza de datos personales, y una capa de enrutamiento que envía en silencio un registro de cliente al punto de inferencia que resultara más barato a las tres de la madrugada no conviven cómodamente. Este es precisamente el trabajo que hacemos con nuestros clientes en Medusa Japan: construir la lista de materiales de modelos, redactar reglas de enrutamiento por jurisdicción que un responsable de cumplimiento pueda defender, y diseñar canalizaciones de localización donde un modelo barato hace la primera pasada en volumen mientras un modelo fijado y un hablante nativo humano hacen la pasada que de verdad llega al cliente. La inteligencia barata es un regalo auténtico: ha hecho posibles para equipos pequeños cosas inasequibles hace dos años. La inteligencia barata sin gobierno es un pasivo — y este mes se ha agenciado una dirección de Proton Mail.
Preguntas frecuentes
¿Deberíamos dejar de usar modelos de IA de origen chino?
¿Significa JADEPUFFER que los ataques impulsados por IA son imparables?
¿Es Noetra un competidor realista de OpenAI o Anthropic?
¿Cuál es el primer paso para una empresa que nunca se ha planteado esto?
¿Listo para transformar su marca?
Medusa Japan combina innovación en IA con principios de diseño japonés para crear experiencias digitales extraordinarias.
Contáctenos¿Está su empresa lista para Japón?
Complete nuestro scorecard gratuito de 5 categorías y obtenga su informe personalizado.
Medusa Japan
Medusa Japan es una agencia creativa y estudio de productos de IA con sede en Osaka, especializada en estrategia empresarial transfronteriza entre Japón y los mercados globales.
Artículos relacionados
Centros de datos en órbita, fábricas en la Luna: por qué declarar « inviable » el plan de cómputo espacial de SpaceX y xAI es el error fácil de 2026
En 2026 SpaceX absorbió a xAI, solicitó lanzar hasta un millón de satélites y presentó el AI-1 — un centro de datos orbital que consume aproximadamente la potencia de un solo rack de NVIDIA y con una envergadura mayor que la de un Boeing 747. El plan se apila desde ahí: una fundición de chips de un teravatio al año llamada Terafab para alimentar todos los proyectos, una fábrica Gigasat que apunta a un gigavatio de cómputo orbital al año para finales de 2027, y una base de fabricación en la Luna que lanza los satélites terminados al espacio con una catapulta electromagnética. Los líderes de opinión de LinkedIn y los divulgadores de YouTube ya han declarado todo el asunto imposible — el mismo veredicto que esa misma multitud emitió sobre los cohetes reutilizables, sobre Starlink y sobre los coches eléctricos. Aquí exponemos por qué las objeciones serias son sobre el calendario y la economía, no sobre la física, y por qué descartar a la empresa que lanzó dos tercios de todos los satélites activos es el error más fácil que un responsable puede cometer.
La brecha agéntica: por qué las empresas adoptan agentes de IA pero no consiguen ponerlos en producción — y qué enseñan los robots pragmáticos de Japón para cerrarla
En 2026 casi todo el mundo tiene un piloto de agentes de IA, y casi nadie tiene agentes en producción. Las encuestas sitúan la adopción cerca del 79 %, mientras que solo alrededor del 11 % de las organizaciones ejecuta realmente agentes a escala — una brecha que define el año. El cuello de botella no es la calidad de los modelos; es el despliegue, la gobernanza y la confianza. Los lanzamientos de esta semana — los agentes de Itential actuando sobre redes en producción sin permitir ningún cambio irreversible, los modelos agénticos Gemma 4 de Google, el M3 de MiniMax con contexto largo mucho más barato, y el Project Glasswing de Anthropic cazando vulnerabilidades — comparten un tema nuevo: los frenos ahora son una característica. Mientras tanto, Japón ofrece un contramodelo que funciona en silencio. Ante una escasez de mano de obra inevitable, despliega IA — especialmente IA física — contra un cuello de botella concreto, en un papel acotado, con personas que siguen gestionando: Japan Airlines está probando humanoides en Haneda, un tercio de las empresas japonesas usa o sopesa robots, y el METI quiere el 30 % del mercado mundial de IA física para 2040. La lección para los responsables transfronterizos es simple e incómoda: deje de perseguir la autonomía como titular y empiece a desplegarla contra un problema real, con alcance acotado y gobernanza desde el primer día.