Un hacker revela cómo Suno entrenó su IA con millones de canciones de YouTube, Deezer y Genius

Wait 5 sec.

Más de dos millones de clips musicales procedentes de YouTube Music, 12.287 horas extraídas de Deezer y otras decenas de miles tomadas de Genius, Pond5 o Jamendo. Es parte de la biblioteca con la que Suno habría entrenado su IA, y ahora conocemos su contenido porque un hacker ha conseguido entrar en los sistemas internos de la empresa.Los archivos obtenidos por ellie.191, a los que ha tenido acceso 404 Media, incluyen código fuente, instrucciones de descarga y conjuntos de entrenamiento. No solo ponen cifras a una práctica que Suno ya había reconocido de forma genérica: también muestran qué plataformas utilizó y cómo automatizó las descargas mediante servidores proxy y herramientas de extracción masiva.Más de dos millones de canciones y cientos de miles de horas de audio Solo el conjunto denominado youtube_music acumulaba 113.879 horas de contenido, a las que hay que sumar otras 152.162 horas de ytm_tagged, una segunda colección vinculada a la plataforma de Google. YouTube era la principal fuente de audio de Suno, pero ni mucho menos la única que aparece en el material filtrado.También figuran 62.117 horas de Pond5, 19.514 de la International Music Score Library Project, 17.615 de Genius, 12.287 de Deezer y 3.726 de Jamendo. A ellas se añaden Freesound y Musescore, con volúmenes menores, de modo que el entrenamiento abarcaba música, letras, sonidos y partituras procedentes de páginas muy distintas.El código no se limitaba a descargar canciones completas. Parte de las instrucciones buscaba expresamente versiones a capela en YouTube, útiles para separar las voces del acompañamiento, mientras que otros archivos mencionaban el uso de servidores proxy y de Bright Data para automatizar las extracciones. Suno también rastreaba pistas vocales aisladas, un material especialmente valioso para entrenar generadores de voz cantada.Los podcasts formaban otro bloque considerable. Suno había localizado 420.000 programas con un mínimo de cinco episodios de 30 minutos y, de acuerdo con los comentarios incluidos en el código, pretendía descargar cerca de un millón de horas. El objetivo era reunir un millón de horas de podcasts, aunque los archivos no indican cuánto llegó a completarse antes del hack.Hasta ahora, Suno ya había reconocido en documentos judiciales que sus modelos se habían entrenado con prácticamente todos los archivos musicales de una calidad razonable disponibles en Internet, siempre que no estuvieran detrás de una contraseña o un muro de pago. La filtración añade lo que faltaba: nombres concretos, cifras y métodos de descarga que la empresa no había detallado públicamente.Deezer aparece en una posición especialmente llamativa, porque no solo habría servido como fuente de entrenamiento, sino que también está recibiendo una cantidad creciente de música generada mediante inteligencia artificial. Las plataformas que alimentaron estos modelos reciben ahora sus canciones, hasta el punto de tener que desarrollar sistemas específicos para identificarlas y etiquetarlas.El hack también alcanzó información de los usuarios de Suno El acceso no terminó en los archivos utilizados para entrenar la IA. Ellie.191 asegura haber obtenido la lista de clientes de Suno, con direcciones de correo electrónico, números de teléfono y determinados datos de pago gestionados mediante Stripe, lo que habría afectado a cientos de miles de personas. El ataque también expuso información de clientes, aunque no existe una cifra exacta de afectados.Para entrar, el hacker afirma haber comprometido a un empleado mediante Shai-Hulud, un gusano dirigido a la cadena de suministro de software que permite capturar credenciales de GitHub y servicios en la nube. Su explicación sobre el motivo no fue demasiado elaborada: dijo a 404 Media que le gusta «hackear cualquier cosa». El acceso comenzó con las credenciales de un empleado y desde ahí alcanzó los sistemas internos.Suno sostiene que detectó en noviembre de 2025 un incidente de seguridad limitado, lo contuvo rápidamente y comprobó que afectaba principalmente a código fuente antiguo que ya no se utilizaba. También niega que quedase expuesta información personal sensible y recuerda que no puede acceder a los números completos de las tarjetas almacenadas en Stripe. La empresa decidió no avisar individualmente a sus usuarios al considerar que la legislación aplicable no lo exigía.Todo esto pasa mientras Suno sigue afrontando demandas por el material empleado para desarrollar sus modelos. La RIAA ya había acusado a la compañía de copiar décadas de grabaciones y extraerlas directamente de YouTube, eludiendo las medidas utilizadas para impedir descargas no autorizadas. El código filtrado respalda la acusación de extracción desde YouTube, aunque serán los tribunales quienes determinen sus consecuencias legales.Una de esas disputas terminó con el acuerdo alcanzado entre Warner y Suno, que contempla el desarrollo de modelos entrenados con catálogo autorizado y la retirada de versiones anteriores durante 2026. Suno ya está girando hacia contenido musical licenciado, una vía bastante distinta de la que describen los archivos obtenidos por el hacker.La compañía mantiene que utiliza música disponible públicamente y defiende que su objetivo consiste en ayudar a crear canciones nuevas, no en reproducir obras existentes. Para ello, asegura que evita emplear nombres de artistas como categoría de entrenamiento y que ha desarrollado medidas contra la suplantación. Suno niega que sus modelos estén diseñados para copiar artistas, pero la filtración deja mucho mejor documentado el material con el que fueron construidos.