En Q2BSTUDIO, empresa especializada en desarrollo de software a medida, aplicaciones a medida, inteligencia artificial, ciberseguridad y servicios cloud, diseñamos controles prácticos para evitar el abuso de funciones de IA sin perjudicar la experiencia de usuario. En este artículo explico cómo construimos un sistema de sanciones progresivo para una aplicación de noticias que consumía modelos de IA y cómo esa lógica se aplica a soluciones empresariales como las que ofrecemos en desarrollo de aplicaciones y software a medida y en nuestros servicios de inteligencia artificial para empresas.
El problema que queríamos resolver era simple y costoso. Las llamadas a modelos como Google Gemini suponen un coste por token, y usuarios malintencionados o bots podían agotar rápidamente la cuota realizando solicitudes repetidas, enviando contenidos no relevantes o usando la API para testar endpoints. Nuestro objetivo fue bloquear a los malos actores sin castigar a usuarios legítimos que cometan errores honestos.
Diseñamos un sistema de tres strikes con penalizaciones escalonadas y auto reset que evita bloqueos permanentes. Las reglas principales son las siguientes: strike 1 y 2 advertencia registrada sin bloqueo; strike 3 enfriamiento de 15 minutos; strike 4 enfriamiento de 20 minutos; strike 5 enfriamiento de 30 minutos; strike 6 y siguientes bloqueo largo de 2 días. La clave es escalonar cooldowns y permitir un reinicio automático pasado un periodo para recuperar usuarios honestos.
Arquitectura y almacenamiento. Para respuestas rápidas y sin joins en cada petición de IA, almacenamos las sanciones embebidas en el documento de usuario en la base de datos. Cada registro incluye tipo de violación, timestamp, contador de strike y campo blockUntil cuando aplica la penalización. Esta estructura facilita búsquedas rápidas antes de procesar solicitudes y es especialmente útil en arquitecturas con altas tasas de peticiones.
Clasificación de contenido. Antes de ejecutar operaciones costosas de IA, clasificamos el contenido como noticia o no noticia. No noticia incluye páginas promocionales, tiendas online, blogs personales y anuncios. Si la clasificación resulta en no noticia, aplicamos una sanción. Este paso reduce el consumo innecesario de tokens y evita que los usuarios obtengan resúmenes o mejoras automáticas sobre contenido que no es periodístico.
Aplicación de strikes. Al detectar una violación se incrementa el contador de strikes para ese usuario y se calcula la penalización correspondiente según la regla escalonada. Registramos cada violación en un log de auditoría con fragmentos del contenido y metadatos del usuario para facilitar revisiones posteriores, apelaciones o análisis de patrones anómalos.
Cálculo de penalizaciones. Para strikes 1 y 2 devolvemos solo una advertencia. Para strikes 3 a 5 aplicamos cooldowns crecientes en minutos según el número de falta. A partir del strike 6 se aplica bloqueo por 48 horas. Siempre devolvemos al cliente la información de estado: cantidad de strikes, tipo de bloqueo y hasta cuándo dura la penalización, para transparencia y para que la UI pueda mostrar mensajes claros.
Verificación antes de cada petición. Antes de aceptar una solicitud de IA comprobamos el estado de bloqueo del usuario. Si blockUntil está en el futuro rechazamos la petición con un mensaje que indica la duración restante de la sanción. Si el usuario no está bloqueado procedemos a raspar y clasificar el contenido y solo entonces ejecutamos la operación de IA si el contenido es válido.
Auto reset. Para evitar castigos permanentes por falsos positivos o errores puntuales, implementamos un trabajo programado que ejecuta cada 15 minutos y elimina las sanciones con antigüedad mayor a 48 horas. Ese periodo es suficiente para disuadir el abuso recurrente y razonable para reincorporar usuarios que aprendieron la norma o corrigieron su comportamiento.
Protecciones adicionales y casos límite. Separado del sistema de strikes existe un rate limiter para mitigar ráfagas masivas de peticiones, por ejemplo 30 solicitudes cada 5 minutos. Las cuentas compartidas se tratan por identificador de usuario y no por IP para evitar que un mismo equipo penalice a múltiples personas. Además registramos patrones de abuso para poder aplicar reglas ML o basadas en heurísticas si detectamos intentos de farming de cuota o ataques automatizados.
Qué mejoraríamos. Primero, un mecanismo de apelación integrado que permita al usuario disputar una sanción desde la aplicación y activar una revisión automática con modelos alternativos o revisión humana. Segundo, aplicar políticas diferenciales según el plan: usuarios gratuitos con umbrales más estrictos y clientes de pago con tolerancia mayor. Tercero, añadir detección de patrones mediante ML para bloquear intentos inteligentes antes de que quemen la cuota.
Stack técnico y buenas prácticas. En el prototipo usamos Node.js con TypeScript, MongoDB para almacenar usuarios y logs de violación, y un job cron para el reset de sanciones. Para producción recomendamos combinar esto con soluciones de observabilidad, balanceo y servicios cloud escalables. Q2BSTUDIO ofrece implementación y gestión sobre plataformas cloud como AWS y Azure, incluyendo diseño seguro y despliegue de microservicios y contenedores, además de servicios de ciberseguridad y pentesting para proteger API y endpoints.
Beneficios para empresas. Este enfoque reduce hasta un 95 por ciento del abuso simple sin necesidad de modelos de ML complejos, protege el presupuesto de IA y mejora la experiencia del usuario. Si su organización necesita integrar controles similares, optimizar consumo de modelos para agentes IA o montar pipelines de inteligencia de negocio con Power BI, en Q2BSTUDIO podemos ayudar con soluciones completas de arquitectura, seguridad y automatización.
Si quieres profundizar en cómo aplicar estas ideas a tu producto o servicio, podemos diseñar una solución personalizada que incluya quotas, sistema de sanciones, appeal workflow, integración con servicios cloud y análisis de telemetría. Contacta con nuestros expertos para una consultoría sobre inteligencia artificial, ciberseguridad y desarrollo de software a medida que impulse la innovación sin abrir brechas de seguridad ni sobrecostes en consumo de IA.