Los LLMs ya “des-anonimizan” perfiles a partir de texto público sin necesidad de grafos de identidad

Los modelos de lenguaje están erosionando una de las bases prácticas de la privacidad en internet: la posibilidad de mantener separadas identidades pseudónimas a través de diferentes sitios. Un nuevo estudio académico de la, ETH de Zúrich, advierte de que los LLMs ya pueden ejecutar ataques de desanonimización a escala combinando dos capacidades clave: extraer señales de identidad desde texto no estructurado (posts, comentarios, descripciones) y razonar sobre coincidencias probables entre perfiles.

Un “framework” que convierte texto en señales de identidad

El trabajo propone un marco modular (inspirado en ataques clásicos de matching de datos) que descompone la desanonimización en cuatro pasos: Extract (extraer micro-señales desde texto), Search (recuperar candidatos por similitud semántica), Reason (seleccionar y verificar la mejor coincidencia con razonamiento) y Calibrate (calibrar el umbral para controlar el trade-off entre precisión y cobertura). A diferencia de los métodos tradicionales, que dependen de datasets estructurados, el enfoque se apoya en el propio contenido lingüístico como “pegamento” entre identidades. Para mantener un marco medible (y evitar daños), los autores trabajan con datasets con “ground truth” verificable, como perfiles que enlazan públicamente a otra plataforma o escenarios sintéticos en los que se “divide” la huella de un usuario para simular identidades distintas. Reconocen, no obstante, que estos enfoques pueden introducir sesgos (por ejemplo, que algunos perfiles sean más fáciles de identificar).

Resultados: del cruce Hacker News–LinkedIn a Reddit

En el experimento más representativo de cruce entre plataformas, los investigadores recopilan 338 usuarios de Hacker News que enlazaban su LinkedIn y, tras anonimizar los prompts de búsqueda, reportan que un agente con herramientas de búsqueda identifica correctamente 226 objetivos, equivalente a 67% de recall con 90% de precisión (con abstenciones y errores controlados). El coste de ejecutar el agente por perfil se sitúa entre 1 y 4 dólares en sus pruebas. El paper también analiza escenarios dentro de Reddit en los que el sistema intenta “reconectar” actividad de un mismo usuario a partir de señales temáticas. En el dataset de cine, el performance crece de forma notable cuando el usuario deja más trazas distintivas: en perfiles con más de 10 películas compartidas entre comunidades, el sistema alcanza un 48,1% de recall a 90% de precisión, y un 17% a 99% de precisión. En el conjunto total (9.781 consultas), el recall se sitúa en 8,5% a 90% de precisión.

Por qué supera a métodos “clásicos”

Uno de los mensajes del estudio es que los LLMs cambian la economía del ataque porque pueden trabajar con texto público y señales semánticas, sin requerir bases estructuradas tipo “rating vectors” o grafos de IDs. En varias comparativas, el baseline inspirado en el ataque de Netflix Prize se degrada rápidamente: por ejemplo, en un setting de atributos profesionales, el baseline solo coloca el match correcto como top-1 en 5,1% de los casos y, al subir el umbral para ganar precisión, el recall cae “casi a cero”. En escenarios de gran escala con perfiles “split”, el estudio también subraya que los ataques basados en LLM mantienen utilidad donde el baseline prácticamente no consigue recall relevante incluso a 90% de precisión.

Escala: el performance cae, pero no desaparece

Los autores analizan cómo se degrada el recall cuando aumenta el tamaño del “candidate pool”. En un anexo de escalado, el método con razonamiento se degrada de manera más gradual que la búsqueda por embeddings: a 89.000 candidatos mantiene 55,2% de recall a 90% de precisión y, en extrapolaciones log-lineales, conservaría en torno a 27,4% incluso con 100 millones de candidatos (con la advertencia de que se trata de estimaciones).

Implicaciones: “ID graphs” sin IDs y más presión regulatoria

La conclusión es incómoda para la privacidad: los LLMs actúan como un “microscopio de información” que convierte rastros dispersos en señales agregadas, democratizando ataques que antes eran caros o especializados. El estudio advierte explícitamente de riesgos como vigilancia de disidentes, doxxing, ingeniería social y también la posibilidad de que empresas conecten actividad pseudónima con perfiles de cliente para hipersegmentación. Los autores plantean mitigaciones centradas en reducir la escalabilidad del scraping y el acceso masivo a datos (rate limits, detección de automatización, restricciones de exportación), además de guardrails en proveedores de LLM. Aun así, se muestran escépticos sobre bloquearlo por completo, porque el ataque puede descomponerse en tareas que parecen benignas (resumir, buscar, rankear). En términos prácticos, el paper sugiere que plataformas, reguladores y equipos de privacidad deberían asumir un nuevo escenario: el texto público ya no es “ruido”, sino una fuente suficiente para vincular identidades con un coste bajo. Y eso obliga a revisar qué entendemos por anonimato en la web y qué protecciones son realistas en la era de los LLMs.