Robo de AI-inferencias: cómo los hackers se enriquecen en Vercel a través de proxies residenciales

El robo de inferencias es el robo de costosas llamadas de IA para revenderlas. Los atacantes roban tokens de startups, los envuelven en su propia API y los revenden como una alternativa económica a OpenAI o Anthropic. Vercel publicó un informe detallado sobre un ataque contra sus AI-endpoints que revela la economía de los robos y por qué las protecciones web estándar son completamente ineficaces.

Por qué las llamadas de IA son tan costosas

Una solicitud HTTP ordinaria cuesta aproximadamente $2 por millón de solicitudes, casi gratis. Pero una solicitud a un modelo frontier (GPT-5.5, Claude 3.5 Sonnet) puede costar $1-2. Esto es un millón de veces más caro que un endpoint estándar. Para los atacantes, esta es la economía ideal del robo: robar una llamada por $2 y revenderla por $1,50, ganancia neta sin costos marginales de inferencia.

Cómo funciona el robo: arquitectura del ataque

Los atacantes crean un adaptador, una capa de software que convierte un endpoint ajeno en una API compatible con OpenAI. La víctima paga por las inferencias, el atacante paga cero. El proceso se ve así:

• Registran miles de cuentas desechables en la víctima
• Compran direcciones IP proxy residenciales al por mayor (miles de direcciones)
• Envuelven la API robada en un adaptador
• La ponen a disposición de su base de clientes o la revenden en el mercado oscuro
• Ganan dinero con la diferencia entre el precio robado y el precio de reventa

Un ejemplo real es Chipotlai Max, un fork de un agente de codificación que convierte el chatbot de soporte de Chipotle en un endpoint compatible con OpenAI. El proyecto busca abiertamente desarrolladores para hacer lo mismo con Home Depot, Lowe's, Target y Starbucks.

Por qué los rate limits y la autenticación no funcionan

Los rate limits y la autenticación fueron diseñados para proteger contra ataques de fuerza bruta de contraseñas y DDoS. La lógica es: robar un millón de contraseñas es más caro que protegerlas. Con el robo de inferencias, la matemática es inversa. Los atacantes simplemente compran direcciones IP proxy residenciales individualmente: cientos y miles de direcciones. El rate limit, que se verifica una sola vez por sesión, se distribuye entre mil llamadas robadas, no por solicitud individual. Una cuenta con aspecto real pasa la autenticación. Para cuando la solicitud llega a tu API, ya ha cruzado el límite que planeabas proteger.

El ataque real contra Vercel

El 12 de abril de 2026, el tráfico al chat de IA en la documentación de Vercel aumentó 10 veces. En el pico, 1,300 solicitudes por minuto a Claude Haiku 4.5. Esto correspondía a una tasa de $10,000 de pérdidas por hora. Los atacantes utilizaron proxies residenciales y cuentas nuevas para diluir los rate limits.

Cómo se defiende Vercel

Vercel filtra cada solicitud de IA a través de BotID, un análisis profundo que se ejecuta no una sola vez por sesión, sino en cada solicitud individual. En lugar de verificar al inicio, la verificación ocurre en cada byte de datos. Esto se puede implementar en tus propios endpoints: algunas líneas de código bloquean los intentos de robo automatizados.

Lo que esto significa

Si tienes un endpoint de IA público (playground, soporte, document-AI), los rate limits y la autenticación ya no te salvan. La protección debe ejecutarse a nivel de solicitud, no de sesión. Para startups con acceso abierto, esto es crítico: un único ataque grave puede costar decenas de miles de dólares en pérdidas.