Saltar al contenido

Suno: un hackeo destapa el código con el que sacó música de YouTube, Deezer y Genius

El código filtrado de Suno nombra a YouTube Music, Deezer y Genius y suma más de 381,000 horas de audio

por Dilis Salazar
Suno: un hackeo destapa el código con el que sacó música de YouTube, Deezer y Genius

TL;DR:

  • El hacker "ellie.191" entró a Suno en noviembre de 2025 usando el gusano Shai-Hulud y le entregó a 404 Media código fuente de 2023 y 2024 con las instrucciones de scraping.
  • Los nueve conjuntos de datos que lista el código suman 381,813 horas de audio, más 2,013,545 clips de YouTube Music, y eso sin contar el millón de horas de podcast que Suno se propuso bajar.
  • Suno llamó al incidente "limitado", dijo que el código es obsoleto y decidió no notificar a los cientos de miles de usuarios cuyos correos, teléfonos y datos de pago de Stripe quedaron expuestos.

Un hacker que se identifica como ellie.191 entró a los sistemas de Suno en noviembre de 2025 y le entregó a 404 Media código fuente interno de 2023 y 2024. El reporte, publicado el 15 de julio de 2026, muestra un inventario donde la empresa de música con inteligencia artificial anotó, plataforma por plataforma y hora por hora, de dónde sacó el audio con el que entrenó sus modelos: YouTube Music, Deezer, Genius, las bibliotecas Pond5, Jamendo y Freesound, el archivo de partituras IMSLP y cientos de miles de podcasts. Suno confirmó el hackeo, lo describió como un incidente "limitado" y sostiene que lo expuesto fue código viejo que ya no usa. Sobre lo que dice ese código, no ha ofrecido un desmentido.

Y lo que dice ese código no tiene nada de abstracto. Los comentarios de un archivo instruyen al sistema a jalar material de "genius_hq, youtube_music, freesound, jamendo, imp, deezer, ytm_tagged", con una nota seca al final: "non-music will be filtered out". Otro archivo, llamado "youtube_music", registró que en su última actualización llevaba 2,013,545 clips de música ingeridos. Y uno más lleva la cuenta en horas de cada conjunto de datos que Suno armó:

  • 152,162 horas de "ytm_tagged" (YouTube Music etiquetado)
  • 113,879 horas de YouTube Music
  • 62,117 horas de Pond5, biblioteca de música de stock
  • 19,514 horas del IMSLP, el archivo público de partituras
  • 17,615 horas de Genius, la plataforma de letras
  • 12,287 horas de Deezer
  • 3,726 horas de Jamendo
  • 410 horas de Freesound
  • 103 horas de letras de MuseScore

Sumadas, esas nueve líneas dan 381,813 horas. Alguien que le diera play sin parar terminaría 43 años y medio después. 404 Media lo describió, con más elegancia, como décadas de música.

Suno ya había admitido el scraping; el código dice de dónde y con qué

Aquí está el matiz que se pierde en los titulares. Suno lleva dos años repitiendo lo mismo en documentos judiciales: que entrenó con música disponible en el internet abierto y que eso constituye fair use. En 2024 reconoció ante un tribunal que sus sistemas ingirieron "decenas de millones de grabaciones" y que su base de entrenamiento incluye esencialmente todos los archivos de música de calidad razonable accesibles en la red. Nada de eso es nuevo.

La mecánica sí lo es. Según el código que revisó 404 Media, Suno buscaba en YouTube específicamente versiones a capela de las canciones, una manera bastante eficiente de quedarse con la voz limpia sin el instrumental encima. Para entrar a YouTube sin toparse con sus defensas antibots, el código apunta a proxies de Bright Data, una empresa que vende justamente infraestructura de scraping. Y para el habla, Suno se apoyó en la herramienta PodcastIndex: identificó 420,000 podcasts con al menos cinco episodios de media hora y se propuso descargar cerca de un millón de horas.

Persona con audífonos frente a una laptop en un estudio de música con luz tenue
Imagen ilustrativa: el código filtrado detalla plataforma por plataforma de dónde salió el audio con el que Suno entrenó sus modelos · Foto de Nina zeynep güler 🦕 zz en Pexels

Ese punto pesa en la corte. La RIAA, que demandó a Suno y a Udio en junio de 2024 a nombre de las tres grandes disqueras, amplió su denuncia el 19 de septiembre de 2025 con una acusación nueva: que Suno hizo "stream ripping" de YouTube, es decir, que burló las protecciones técnicas de la plataforma para bajar las grabaciones. 404 Media afirma que los datos hackeados confirman esa acusación. Y ahí el terreno cambia de piso, porque, como argumenta la propia demanda ampliada, el fair use no funciona como defensa contra las provisiones antielusión de la ley de derechos de autor estadounidense. Las disqueras piden hasta 150,000 dólares por obra infringida y hasta 2,500 por cada acto de elusión. Suno respondió en octubre de 2025 que el "rolling cipher" de YouTube es un control de copia y no un control de acceso, y que la ley solo prohíbe eludir los segundos.

Jamendo aparece en el código y ya tenía la demanda puesta

De las plataformas que nombra el inventario, una llegó a los tribunales antes de que el hackeo saliera a la luz. Jamendo, la plataforma de licenciamiento de música independiente con sede en Luxemburgo y filial del Winamp Group, demandó a Suno el 29 de junio de 2026 en la corte federal de Massachusetts y reclama al menos 17.8 millones de euros (unos 20 millones de dólares). Su alegato: que Suno usó sin licencia comercial el MTG-Jamendo Dataset, un conjunto de más de 55,000 pistas que la empresa construyó junto al Music Technology Group de la Universitat Pompeu Fabra, en Barcelona, y liberó con licencia Creative Commons únicamente para investigación no comercial.

Según Billboard, Jamendo le mandó una factura a Suno, la empresa confirmó haberla recibido el 3 de octubre de 2025 y ahí se acabó la conversación: no respondió más ni pagó. Suno declinó comentar sobre esas acusaciones.

El código filtrado lista 3,726 horas bajo la etiqueta "jamendo". Ni Jamendo ni Suno han conectado públicamente esa línea con el dataset del pleito, y conviene no darlo por hecho. Pero para un demandante en fase de descubrimiento, un inventario interno con su nombre y una cifra al lado es un punto de partida bastante más sólido que una hipótesis.

Cientos de miles de usuarios expuestos y ni un correo de aviso

La otra mitad del hackeo no tiene nada que ver con derechos de autor. ellie.191 dice que también se llevó la lista de clientes de Suno: correos y/o teléfonos, más detalles de pago de Stripe, dependiendo de con qué se registró cada quien. 404 Media pidió una muestra y contactó a varios de esos clientes. Confirmaron dos cosas: que sí se habían dado de alta con su número telefónico y que nunca recibieron aviso de filtración alguna. Sobre por qué hackeó a Suno, el hacker fue directo con el medio:

"Me gusta hackear cualquier cosa y todo."

Suno lo cuenta distinto. Un vocero de la compañía declaró:

"Como lo hemos declarado en presentaciones y divulgaciones públicas, los modelos de IA de Suno se entrenaron con archivos de música disponibles públicamente y metadatos relacionados, accesibles en sitios web de terceros en el internet abierto. En noviembre de 2025 determinamos que Suno había sido objeto de un incidente de seguridad limitado que fue contenido rápidamente. En ese momento realizamos de inmediato una investigación y verificamos que el incidente involucró principalmente código fuente obsoleto que ya no está en uso en Suno y que no se comprometió información personal sensible. Es importante señalar que Suno no tiene acceso a los números completos de tarjeta de crédito de los clientes en Stripe."

Y sobre por qué nadie recibió un aviso:

"Dada la naturaleza limitada de la información de clientes que se cree involucrada, determinamos que las notificaciones individuales no eran procedentes conforme a las leyes de privacidad aplicables."

Traducido: Suno evaluó su propio incidente y se autorizó a sí misma a no avisar. La empresa tiene su sede en Cambridge, Massachusetts, y no es precisamente un proyecto de garaje. Según Bloomberg, superó los 2 millones de suscriptores de paga en febrero de 2026 con una proyección de ingresos anuales de 300 millones de dólares, y en junio levantó 400 millones en una ronda liderada por Bond Capital que la valuó en 5,400 millones de dólares.

⚠️
Si tienes cuenta en Suno, no esperes un correo de aviso: la empresa reconoció el incidente de noviembre de 2025 pero determinó que las notificaciones individuales no eran procedentes. Según el hacker, los datos accedidos incluyen correos, teléfonos y detalles de pago de Stripe, aunque Suno sostiene que no guarda los números completos de tarjeta.

El mismo día del reporte, Suno estrenó su teclado en iMessage

El 15 de julio, mientras 404 Media publicaba el inventario de entrenamiento, Suno anunciaba en sus notas de versión que ya vive dentro del teclado de iMessage. La función, que reportó Engadget al día siguiente, permite generar un clip de 30 segundos sin salir del chat: se toca el botón de más, se elige Suno, se dicta o se escribe el prompt, se pica un género y se manda. Detalle práctico: la otra persona necesita tener la app instalada para poder escucharlo.

El contraste de calendario resume el momento de la empresa mejor que cualquier análisis. Por un lado, distribución cada vez más pegada al bolsillo del usuario. Por el otro, un expediente que crece: Universal y Sony siguen litigando en Massachusetts, GEMA en Alemania y Koda en Dinamarca mantienen sus acciones, y ahora se suma Jamendo. Warner ya se salió del pleito en noviembre de 2025 con un acuerdo de licenciamiento.

Suno no dijo que el código fuera falso. Dijo que es viejo. En un comunicado eso suena a matiz; en un tribunal mueve la discusión de "qué había en el entrenamiento" a "qué tan vigente sigue estando", que es una pelea muy distinta y bastante peor para quien tiene que darla en descubrimiento. Mientras los abogados resuelven esa diferencia, los cientos de miles de usuarios que aparecieron en la lista de clientes se enteraron ocho meses después, y por la prensa.

Fuentes: 1, 2, 3

Dilis Salazar imagen de perfil
por Dilis Salazar

Suscríbete GRATIS

Recibe las noticias más importantes de política, tecnología, negocios, deportes, entretenimiento y cultura directamente en tu correo.

¡Listo! Revisa tu correo

Para completar la suscripción, haz clic en el enlace de confirmación que enviamos a tu correo. Si no llega en 3 minutos, revisa tu carpeta de spam.

Ok, gracias

Leer más de Tecnología y Ciencia