Una intrusión sufrida por Suno ha sacado a la luz código fuente y archivos internos que describen la recopilación de millones de canciones, letras y otros contenidos para desarrollar su generador musical. El atacante también accedió a información de clientes, incluidos correos electrónicos, teléfonos y datos vinculados a Stripe, aunque Suno sostiene que no se comprometieron números completos de tarjetas ni información personal sensible.
Las claves del hackeo a Suno en 30 segundos
- El incidente ocurrió en noviembre de 2025, pero se conoció públicamente en julio de 2026.
- Los archivos filtrados describen más de 2 millones de clips de YouTube Music y unas 381.800 horas repartidas entre varias fuentes.
- El atacante afirma que utilizó el gusano Shai-Hulud para robar credenciales.
- Suno no notificó individualmente a sus clientes porque consideró que la información expuesta no justificaba ese aviso.
- Los documentos pueden añadir presión a los litigios sobre derechos de autor.
La investigación original de 404 Media atribuye la filtración a una persona que utiliza el alias ellie.191. Suno ha confirmado que detectó y contuvo un incidente de seguridad en noviembre de 2025, pero describe lo sustraído como código antiguo que ya no utiliza. La compañía no ha confirmado públicamente que Shai-Hulud fuera el punto de entrada, por lo que ese detalle procede del relato del propio atacante.
El material examinado corresponde principalmente a código de 2023 y 2024. Por tanto, permite observar cómo se prepararon determinados conjuntos de datos históricos, pero no demuestra que contenga el corpus completo de entrenamiento ni que describa con exactitud los modelos que Suno comercializa actualmente.
Más de dos millones de clips de YouTube Music
Uno de los archivos filtrados indicaba que una canalización de Suno había procesado 2.013.545 clips procedentes de YouTube Music. Otros comentarios incluidos en el código enumeraban conjuntos creados a partir de Deezer, Genius, Pond5, Jamendo, Freesound, MuseScore y el International Music Score Library Project (IMSLP).
La suma de las cifras publicadas supera las 381.800 horas. Esa cantidad equivale a más de 43 años de reproducción continua, aunque no puede asumirse que todo el contenido sea audio único. Algunas categorías pueden solaparse, incorporar versiones etiquetadas de un mismo material o incluir letras y metadatos.
| Fuente mencionada en los archivos | Volumen registrado |
|---|---|
| YouTube Music | 113.879 horas |
YouTube Music etiquetado (ytm_tagged) | 152.162 horas |
| Pond5 | 62.117 horas |
| IMSLP | 19.514 horas |
| Genius | 17.615 horas |
| Deezer | 12.287 horas |
| Jamendo | 3.726 horas |
| Freesound | 410 horas |
| MuseScore | 103 horas |
| Total registrado | 381.813 horas |
Los archivos también muestran búsquedas de versiones a cappella en YouTube, presumiblemente para obtener voces separadas de la instrumentación. Otra canalización pretendía localizar alrededor de un millón de horas de pódcast mediante PodcastIndex, aunque el código no demuestra que todo ese volumen llegase a descargarse o utilizarse para entrenar un modelo.
Suno no ha negado que sus modelos se entrenaran con música accesible en internet. En sus escritos judiciales y declaraciones públicas ha defendido que utilizó archivos musicales y metadatos disponibles en sitios de terceros, y que ese procesamiento está amparado por la doctrina estadounidense del uso legítimo o fair use.
La filtración aporta más detalles sobre las fuentes y las herramientas empleadas. Según la información revisada por 404 Media, el código hacía referencia a Bright Data, un servicio que ofrece redes de proxies y recopilación automatizada de información. La documentación también incluía instrucciones para extraer contenidos de distintos servicios.
Esto no convierte automáticamente toda la actividad en ilegal. La cuestión de si el entrenamiento con obras protegidas constituye un uso legítimo sigue sometida a litigios y depende de cómo se obtuvieron los archivos, para qué se utilizaron y qué relación mantiene el producto resultante con las obras originales.
La procedencia concreta sí puede ser determinante. No es lo mismo procesar un archivo ofrecido para descarga que sortear controles técnicos destinados a impedir la copia masiva desde una plataforma de streaming.
Shai-Hulud y el riesgo de las dependencias de software
El atacante asegura que logró entrar en Suno mediante Shai-Hulud, una familia de malware diseñada para comprometer la cadena de suministro de software. Este tipo de ataque introduce código malicioso en paquetes o procesos utilizados por desarrolladores para después robar credenciales, tokens y configuraciones.
Shai-Hulud ha afectado principalmente al entorno npm, el repositorio de paquetes utilizado en aplicaciones JavaScript y Node.js. Microsoft describe sus variantes como gusanos capaces de propagarse mediante componentes comprometidos, acceder a entornos de desarrollo y buscar credenciales asociadas a GitHub y servicios cloud.
| Fase de un ataque a la cadena de suministro | Posible consecuencia |
|---|---|
| Compromiso de un paquete | El desarrollador instala código malicioso sin saberlo |
| Ejecución en el equipo | El malware inspecciona archivos y variables |
| Robo de credenciales | Acceso a repositorios, nubes y servicios internos |
| Movimiento lateral | El atacante alcanza otros sistemas de la empresa |
| Extracción de información | Robo de código, secretos y bases de datos |
| Propagación | Publicación de más paquetes o versiones infectadas |
En el caso de Suno, la versión disponible de los hechos indica que se obtuvieron credenciales de un empleado, que después permitieron acceder a repositorios privados y servicios cloud. Sin embargo, Suno no ha publicado un informe técnico del incidente, indicadores de compromiso ni una cronología que confirme ese recorrido.
La compañía afirma que reaccionó inmediatamente, investigó el acceso y determinó que afectaba sobre todo a código fuente antiguo. Esa explicación deja abiertas preguntas sobre cuánto tiempo permaneció el atacante dentro, qué repositorios consultó y qué credenciales tuvo que revocar o sustituir.
El incidente ilustra además un problema de las empresas de inteligencia artificial: sus repositorios pueden incluir no solo el software del producto, sino también instrucciones de recopilación, configuraciones de entrenamiento, claves de servicios y referencias a los conjuntos de datos utilizados.
Datos de usuarios y una notificación que nunca llegó
La parte más delicada para los clientes es el acceso a información personal. Según 404 Media, el atacante obtuvo registros que incluían correos electrónicos, números de teléfono y datos relacionados con los pagos gestionados mediante Stripe.
Algunos usuarios incluidos en el material confirmaron al medio que habían utilizado Suno y señalaron que nunca recibieron una comunicación sobre el incidente. El atacante asegura que los datos correspondían a cientos de miles de cuentas, pero Suno no ha confirmado públicamente ese volumen.
La compañía sostiene que no se expuso información personal sensible. También subraya que no dispone de los números completos de las tarjetas almacenadas por Stripe. Este matiz es importante: hablar de “datos de pago” no significa necesariamente que el atacante obtuviera toda la numeración, el código de seguridad o los datos suficientes para efectuar compras directamente.
| Información mencionada | Situación conocida |
|---|---|
| Correos electrónicos | Acceso comunicado por los medios |
| Números de teléfono | Acceso comunicado por los medios |
| Información relacionada con Stripe | Incluida en los registros filtrados |
| Número completo de tarjeta | Suno afirma que no lo almacena |
| Códigos de seguridad | No hay constancia pública de su exposición |
| Contraseñas | No se ha informado de su robo |
| Número exacto de afectados | No confirmado por Suno |
Suno decidió no enviar notificaciones individuales porque consideró que la naturaleza limitada de los datos no alcanzaba los umbrales exigidos por las leyes de privacidad aplicables. Esa valoración corresponde a la propia empresa y no permite concluir por sí sola que el incidente careciera de riesgo.
Un correo y un teléfono pueden utilizarse para campañas de phishing, suplantación o mensajes que aprovechen el conocimiento de que la víctima tiene una cuenta en Suno. Los usuarios deberían desconfiar de comunicaciones que pidan renovar pagos, verificar una cuenta o descargar archivos relacionados con el servicio.
La compañía tampoco parece haber realizado un anuncio público cuando detectó la intrusión. La existencia del incidente se conoció ocho meses después, cuando el atacante compartió parte del material con periodistas.
La filtración añade presión a las demandas sobre derechos de autor
Suno se enfrenta desde 2024 a demandas de importantes discográficas, coordinadas en Estados Unidos por la Recording Industry Association of America (RIAA). Universal Music Group, Sony Music y Warner acusaron inicialmente a la empresa de copiar grabaciones protegidas a gran escala para entrenar sus modelos.
Suno respondió que el entrenamiento con obras disponibles en internet constituye un uso transformador y legítimo. La compañía reconoció que su corpus incluía material protegido, pero comparó el aprendizaje de la IA con el de una persona que escucha música para comprender géneros, estructuras y estilos.
Las discográficas ampliaron posteriormente su demanda con una acusación distinta: Suno habría utilizado código para descargar canciones directamente desde YouTube y eludir sus sistemas contra la copia. Esa conducta, de probarse, podría plantear una posible vulneración de las disposiciones contra la elusión tecnológica de la Digital Millennium Copyright Act (DMCA), además del debate general sobre el uso de obras para entrenar IA.
| Cuestión legal | Debate |
|---|---|
| Uso de música protegida para entrenar | Suno invoca el fair use |
| Copia completa de las grabaciones | Las discográficas alegan infracción |
| Descarga desde YouTube | Se acusa a Suno de stream ripping |
| Elusión de protecciones técnicas | Puede generar reclamaciones separadas bajo la DMCA |
| Resultados parecidos a artistas | Debate sobre reproducción, imitación y derechos de identidad |
| Material con licencia | Puede utilizarse conforme a los acuerdos alcanzados |
El código filtrado podría respaldar parcialmente la tesis de que Suno desarrolló herramientas específicas para extraer contenidos de YouTube y otros servicios. No sustituye a las pruebas admitidas por un tribunal ni determina por sí solo el resultado del litigio.
La situación también ha cambiado desde que se escribieron esos programas. Warner Music Group y Suno alcanzaron un acuerdo en noviembre de 2025 para resolver su disputa y desarrollar nuevos modelos entrenados con música licenciada. El pacto contempla que artistas y compositores puedan decidir si permiten el uso de sus nombres, imágenes, voces y composiciones.
Warner anunció además que Suno retiraría progresivamente los modelos anteriores cuando llegaran las nuevas versiones licenciadas. Esto significa que los archivos de 2023 y 2024 pueden describir una etapa histórica de la plataforma, pero no permiten determinar qué materiales utiliza cada modelo disponible en julio de 2026.
La filtración deja dos problemas separados para Suno. El primero es de seguridad: un atacante obtuvo código e información de clientes y la empresa decidió no comunicarlo individualmente. El segundo es de transparencia: los documentos ofrecen una visión mucho más detallada de unas prácticas de recopilación que hasta ahora se habían explicado en términos generales.
Preguntas frecuentes
¿Suno ha confirmado el hackeo?
Sí. La compañía confirma que sufrió un incidente en noviembre de 2025 y afirma que fue contenido rápidamente. No ha confirmado públicamente que Shai-Hulud fuera el método de entrada.
¿Se filtraron números completos de tarjetas bancarias?
Suno afirma que no almacena los números completos gestionados por Stripe. Los archivos sí habrían incluido información asociada a pagos, además de correos y teléfonos.
¿Cuánta música aparece en los archivos filtrados?
Un archivo registraba más de 2 millones de clips de YouTube Music. Los inventarios publicados suman unas 381.813 horas entre varias fuentes, aunque puede haber solapamientos y contenidos que no sean audio musical único.
¿Demuestra la filtración que Suno infringió derechos de autor?
No por sí sola. Los archivos pueden aportar pruebas sobre cómo se recopilaron los datos, pero corresponde a los tribunales decidir si hubo infracción, elusión de protecciones técnicas o uso legítimo.

