La plataforma de música con IA Suno sufrió una brecha de datos en 2025 cuando un hacker que utilizaba el gusano Shai-Hulud se infiltró en los sistemas de la compañía y filtró código fuente interno que revelaba los orígenes de sus datos de entrenamiento. Los archivos filtrados, reportados por primera vez por 404 Media, documentan que Suno extrajo más de 113.879 horas de YouTube Music, 62.117 horas de la biblioteca de material Pond5 y 12.287 horas de Deezer, entre otras fuentes. La intrusión también expuso correos electrónicos de clientes, números de teléfono e información de pagos con Stripe para, según el hacker, cientos de miles de usuarios. Suno identificó el incidente en noviembre de 2025 y lo describió como limitado, ya que implicaba principalmente código fuente desactualizado. La brecha aporta confirmación técnica de las acusaciones que la Recording Industry Association of America hizo en su demanda de 2024 contra Suno, en la que acusó a la empresa de copiar canciones directamente desde YouTube; una afirmación que Suno ha impugnado al ampararse en una defensa de uso justo.
Documentos de código fuente filtrados: fuentes y escala de datos de entrenamiento
El material filtrado consiste en instrucciones de extracción y registros internos de 2023 y 2024. Según comentarios en archivos internos revisados por 404 Media, la biblioteca de entrenamiento incluía 113.879 horas de YouTube Music, 152.162 horas de pistas de YouTube con etiquetas, 62.117 horas de Pond5, 12.287 horas de Deezer y 17.615 horas en un conjunto de datos etiquetado como genius_hq asociado con material recopilado mediante Genius. El código también documentaba planes para descargar aproximadamente 1 millón de horas de audio de podcasts mediante feeds RSS. Un archivo interno de seguimiento de la ingesta de YouTube Music por sí solo registró 2.013.545 clips de música.
El hacker afirma que utilizó un malware llamado el gusano Shai-Hulud, nombrado en referencia a los gusanos de arena de Dune de Frank Herbert. Suno, una de las mayores generadoras de música con IA en línea, permite a los usuarios escribir una descripción de texto y recibir una canción completa en segundos. Para construir esa capacidad se necesitó un conjunto de entrenamiento sustancial: una colección de archivos de audio usada para enseñar al modelo cómo suenan distintos géneros y estilos.
Suno reconoce la brecha vinculada a registros de clientes
El hacker afirmó haber accedido a registros asociados con cientos de miles de clientes, incluidos correos electrónicos, números de teléfono e información relacionada con Stripe. Suno disputa que se haya comprometido información personal sensible. La empresa sostiene que identificó el incidente en noviembre de 2025 y lo calificó como limitado. Suno determinó que la exposición involucraba principalmente código fuente desactualizado que ya no se usa, y concluyó que no eran necesarias notificaciones individuales a clientes bajo las leyes de privacidad aplicables. Los usuarios se enteran de la brecha a través de la cobertura en medios.
Suno ya había revelado bajo la ley AB 2013 de California que sus datos de entrenamiento pueden incluir música sujeta a protección de propiedad intelectual y listó el corpus como decenas de millones de archivos de audio musicales disponibles públicamente. Lo que el hack añade es especificidad: el escrito legal era ambiguo a propósito, y el código filtrado no.
Acusaciones de la demanda de la RIAA corroboradas por archivos filtrados
La Recording Industry Association of America alegó en una enmienda de 2025 a su demanda original de 2024 contra Suno que la empresa estaba extrayendo canciones directamente desde YouTube. La demanda busca $150.000 por cada incidente de infracción. El código fuente hackeado corrobora la acusación central de la RIAA. El caso de Suno contra Sony y UMG sigue activo en un tribunal federal. La valoración de la compañía es de $5,4 mil millones, con alrededor de 100 millones de usuarios en la plataforma.
Udio, que fue el objetivo en una demanda paralela presentada por la misma coalición de grandes sellos, llegó a un acuerdo con Warner Music en noviembre de 2025 y está pasando a una plataforma con licencia. En junio de 2026, The Atlantic publicó cuatro bases de datos indexables que documentan la música usada para entrenar modelos de IA—una con 12 millones de pistas, otra con 9 millones, y dos más con alrededor de 100.000 cada una.
Preguntas frecuentes
¿Qué datos expuso la brecha de Suno en 2025?
La brecha expuso código fuente interno que documenta que Suno extrajo 113.879 horas de YouTube Music, 62.117 horas de Pond5, 12.287 horas de Deezer y otras fuentes. El hacker también afirmó haber accedido a correos electrónicos de clientes, números de teléfono e información de pagos con Stripe para cientos de miles de usuarios.
¿Cuándo identificó Suno el incidente de seguridad?
Suno identificó el incidente en noviembre de 2025 y lo describió como limitado, implicando principalmente código fuente desactualizado que ya no se usa. La empresa concluyó que no eran necesarias notificaciones individuales a clientes bajo las leyes de privacidad aplicables.
¿Cómo se relaciona la brecha con la demanda de la RIAA contra Suno?
El código fuente filtrado corrobora la acusación de la Recording Industry Association of America en su demanda de 2024 de que Suno copió canciones directamente desde YouTube. La demanda busca $150.000 por cada incidente de infracción y sigue activa en un tribunal federal con Sony y UMG.