Un reciente hackeo a la plataforma de inteligencia artificial Suno AI ha revelado evidencia de que la compañía habría utilizado técnicas de scraping para obtener datos de audio de plataformas como YouTube Music, Deezer, Genius, bibliotecas de música de stock y fuentes RSS de podcasts. El incidente también expuso información personal de clientes, incluyendo correos electrónicos, números de teléfono y datos parciales de tarjetas de crédito almacenados en Stripe.

Ataque a la cadena de suministro en noviembre de 2025
Según información proporcionada por el hacker, el ataque se llevó a cabo mediante un ataque a la cadena de suministro en noviembre de 2025. El intruso logró acceder a las credenciales de un empleado de Suno, lo que le permitió ingresar al código fuente interno de la compañía. Allí encontró registros que demostraban cómo Suno habría extraído sistemáticamente datos de audio de diversas plataformas musicales y servicios de streaming.
Prácticas de scraping confirmadas
El código fuente revela que Suno utilizó dichos datos para entrenar su modelo de inteligencia artificial. Anteriormente, la compañía había admitido que entrenaba su IA con «archivos de música disponibles públicamente en internet», argumentando que esto está amparado por la doctrina de uso justo (fair use), una excepción subjetiva dentro de la ley de derechos de autor. Sin embargo, las principales discográficas que están demandando a Suno sostienen que esta práctica viola la Digital Millennium Copyright Act (DMCA) y los términos de servicio de YouTube.
Competidores y gigantes tecnológicos bajo la misma lupa
El caso de Suno no es aislado. Su competidor Udio también ha sido acusado de realizar scraping de datos de YouTube. Asimismo, Google, empresa matriz de YouTube, enfrenta acusaciones similares de infracción de derechos de autor por parte de varios editores de libros importantes.

Datos personales de clientes expuestos
Además del código fuente, el hacker accedió a una base de datos que contenía información sensible de los usuarios de Suno: correos electrónicos, números de teléfono y números parciales de tarjetas de crédito almacenados en Stripe. A pesar de la gravedad de la filtración, Suno no notificó a los clientes afectados sobre el incidente ocurrido en noviembre de 2025. La compañía calificó el suceso como un «incidente de seguridad limitado que fue contenido rápidamente».
- Plataformas afectadas por el scraping: YouTube Music, Deezer, Genius, bibliotecas de música de stock, RSS de podcasts
- Datos filtrados: Correos electrónicos, números de teléfono, datos parciales de tarjetas de crédito
- Fecha del ataque: Noviembre 2025
Mientras continúan las demandas por infracción de derechos de autor, la comunidad tecnológica y los reguladores observan de cerca el caso, que podría sentar precedentes sobre los límites del uso de datos públicos para entrenar inteligencia artificial.