El hackeo de Suno reveló cómo se construyó la IA musical: scrapeando YouTube, Deezer y Genius durante décadas sin permiso

Publicado el

El hackeo de Suno reveló cómo se construyó la IA musical: scrapeando YouTube, Deezer y Genius durante décadas sin permiso

Suno, el generador de música con IA más popular del mercado, fue hackeado en noviembre de 2025 y la empresa no se lo dijo a sus usuarios hasta julio de 2026. Lo que el hacker encontró dentro del código fuente es, para la industria discográfica, la evidencia que llevaban meses buscando: Suno raspó años de audio de YouTube Music, Deezer, Genius, bibliotecas de música de archivo y feeds RSS de podcasts para construir sus datos de entrenamiento.

Lo reportan Amanda Silberling en TechCrunch y Gizmodo el 15 de julio, ambos citando el informe de 404 Media.

Cómo ocurrió el hackeo y qué se encontró dentro

El ataque fue un supply chain attack: el hacker no irrumpió directamente en los servidores de Suno sino que comprometió las credenciales de un empleado a través de la cadena de proveedores y usó ese acceso para entrar en el código fuente de la empresa.

En ese código fuente, el hacker encontró evidencia de cómo Suno construyó sus datos de entrenamiento de audio. Las fuentes documentadas incluyen: YouTube Music (décadas de audio), Deezer (el servicio de streaming europeo), Genius (la base de datos de letras y metadatos musicales), bibliotecas de música de archivo y feeds RSS de podcasts. En conjunto, la descripción apunta a un proceso de scraping masivo y sistemático de plataformas de streaming con restricciones explícitas contra ese tipo de uso.

El hacker también accedió a datos de clientes: emails, números de teléfono y números parciales de tarjetas de crédito almacenados a través de Stripe.

Suno dice que el incidente fue «un incidente de seguridad limitado que fue contenido rápidamente». Sin embargo, la empresa no notificó a sus usuarios de la brecha cuando ocurrió en noviembre. La notificación llegó, de hecho, a través de la publicación del reportaje de 404 Media en julio — ocho meses después del ataque.

Por qué el scraping de YouTube viola la ley

Suno ya había admitido públicamente que entrena su IA en «archivos de música disponibles públicamente en internet», argumentando que puede entrenar en material con derechos de autor bajo la doctrina del fair use estadounidense. La demanda de las majors discográficas —Sony Music, Universal y Warner— está en curso precisamente cuestionando ese argumento.

Lo que el hackeo añade es la capa de la extracción técnica. La RIAA (Recording Industry Association of America) ya había argumentado en el proceso legal que descargar audio de YouTube para entrenamiento no es solo una cuestión de copyright sino una violación directa de la DMCA: la ley prohíbe explícitamente eludir los mecanismos de protección técnica que YouTube usa para impedir el scraping. El scraper tiene que sortear activamente las protecciones antidescarga de YouTube para obtener el audio, y ese acto independiente viola la DMCA independientemente de si el uso final del material es o no fair use.

Un competidor de Suno, Udio, también ha sido acusado de lo mismo y ya admitió haber raspado audio de YouTube.

Las demandas por uso de datos para entrenamiento de IA siguen acumulándose: a Hatchette y Elsevier acaban de demandar a Google esta semana por usar sus obras para entrenar IA, según los artículos relacionados de Gizmodo. El patrón es el mismo en todos los casos: una empresa de IA escrapea contenido sin pedir permiso, argumenta fair use, y los creadores de ese contenido llevan el caso a los tribunales.

La industria del entretenimiento lleva tres años construyendo defensas contra el uso de sus obras para entrenar IA, desde las cartas de 400 actores a la Casa Blanca hasta las prohibiciones de los Oscars para actuaciones generadas por IA. La misma semana en que Suno retiraba Muse Image de Meta por presión de Hollywood, la información del hackeo de Suno revela que el problema del scraping sin permiso no está limitado a la imagen sino que es un estándar de construcción de toda la industria de IA generativa, incluida la musical.

Mi valoración

Lo que el hackeo de Suno documenta no es solo una vulnerabilidad de seguridad: es un momento en el que la industria de IA generativa ve expuesta, sin control, cómo se construyó. El código fuente no debería ser la forma en que el mundo se entera de cuáles son los datos de entrenamiento de un modelo. Debería ser la tarjeta técnica del modelo, publicada voluntariamente.

Lo que más me preocupa del incidente no es el hackeo en sí sino la decisión de no notificar a los usuarios durante ocho meses. Los datos de clientes accedidos incluyen emails, teléfonos y parciales de tarjeta de crédito: exactamente el tipo de información que permite ataques de phishing y fraude financiero.

Lo que más me convence de la posición de la industria musical es la especificidad del argumento de la DMCA: no es solo «violaron copyright» sino «usaron técnicas específicas para eludir protecciones técnicas de YouTube que están prohibidas por una ley específica». Ese argumento es más difícil de esquivar que el de fair use genérico.

Preguntas frecuentes

¿Mis datos como usuario de Suno están comprometidos?

Suno confirmó que el hacker accedió a emails, números de teléfono y números parciales de tarjeta de crédito almacenados a través de Stripe. Los números parciales de tarjeta no permiten transacciones fraudulentas por sí solos, pero los emails y teléfonos pueden ser usados para intentos de phishing. Si eres usuario de Suno, vigila mensajes sospechosos que parezcan venir de la empresa.

¿Significa esto que Suno perderá sus juicios con las majors discográficas?

No necesariamente. Los juicios en curso son sobre copyright y fair use. La evidencia del hackeo sobre el scraping de YouTube refuerza el argumento de la RIAA sobre violación de DMCA, pero son causas de acción separadas. En términos legales, el hackeo no resuelve directamente el juicio de copyright, aunque los abogados de las majors probablemente intentarán incluir la evidencia del código fuente en los procedimientos de discovery.

¿Es Suno la única empresa de IA musical que ha hecho esto?

Udio ya admitió haber raspado audio de YouTube. La práctica de entrenar modelos de audio en contenido extraído de plataformas de streaming parece haber sido estándar en la industria: la diferencia es que el hackeo de Suno lo documenta de forma no controlada. Google, que también enfrenta demandas de publishers por uso de su contenido para entrenar IA, niega hacer lo mismo con música específicamente.