Filtración expone cómo Suno recopiló música de YouTube sin permiso
Un hackeo al código fuente de la plataforma de música con IA reveló instrucciones de scraping dirigidas a YouTube Music, Deezer, Genius y otras plataformas, además de datos de miles de clientes.

Un hackeo al código fuente de Suno, la plataforma de generación de música con inteligencia artificial, reveló que la empresa extrajo millones de canciones y letras de YouTube Music, Deezer y Genius sin autorización para entrenar sus modelos. El medio 404 Media accedió a los archivos filtrados por un atacante identificado como "ellie.191", que según Suno ejecutó un ataque a la cadena de suministro de software detectado en noviembre de 2025.
Los archivos filtrados corresponden a código fuente de 2023 y 2024 e incluyen instrucciones de scraping dirigidas a YouTube Music, Deezer, Genius, la biblioteca de stock Pond5 (propiedad de Shutterstock), Jamendo, Freesound y el repositorio de partituras IMSLP. Según un archivo citado por The Verge, Suno había consumido 2.013.545 clips de YouTube Music al momento del último registro. CNET, que revisó los mismos materiales, contabilizó más de 2 millones de archivos en una carpeta llamada "youtube_music", además de más de 17.000 horas de audio de Genius, más de 12.000 horas de Deezer y más de 62.000 horas de Pond5. Otro archivo muestra que Suno intentó descargar cerca de un millón de horas de podcasts a través de la herramienta PodcastIndex.
El código también indica que Suno recurrió a la empresa Bright Data para extraer contenido de YouTube y que el sistema buscaba específicamente versiones a capela de canciones para aislar pistas vocales.
La filtración no se limitó al código: el atacante también accedió a información de clientes de Suno, incluidos correos electrónicos, números de teléfono y datos de pago procesados por Stripe. Varios usuarios consultados por 404 Media confirmaron ser clientes de la plataforma y dijeron que la empresa nunca les notificó sobre la brecha.
La respuesta de Suno
Un vocero de Suno declaró que la compañía detectó el incidente en noviembre de 2025 y lo contuvo rápidamente. Según la empresa, lo filtrado involucró "código fuente desactualizado que ya no está en uso" y no comprometió información personal sensible; Suno sostiene además que no tiene acceso a los números completos de tarjetas de crédito de sus clientes en Stripe, por lo que consideró que no correspondía notificar individualmente a los usuarios afectados. Una fuente cercana al litigio contra la empresa dijo a CNET que la información filtrada no es "materialmente nueva", ya que Suno divulgó sus métodos de entrenamiento en presentaciones públicas y en su propio sitio web, donde afirma que sus modelos se entrenan con "archivos de música disponibles públicamente y metadatos relacionados accesibles en sitios de terceros en internet abierto".
Contexto legal
La filtración llega en medio de una demanda de la Recording Industry Association of America (RIAA), en la que Suno admitió que entrena sus modelos con material protegido por derechos de autor, pero argumentó que el uso de música disponible públicamente en internet está amparado por la doctrina de uso justo (fair use). Una enmienda presentada por la RIAA el año pasado agregó que Suno recurrió al "stream ripping" para extraer canciones directamente de YouTube sin autorización de la plataforma, algo que los archivos filtrados respaldarían.
Universal Music Group llegó a un acuerdo con Suno para resolver una demanda separada, pero músicos del catálogo de la discográfica sostienen que no recibieron compensación por el uso de sus canciones en el entrenamiento de los modelos. Casos de uso justo similares presentados por autores contra Anthropic y Meta fueron resueltos a favor de las compañías de IA el año pasado, un antecedente que Suno podría invocar en su propia defensa.

