Un hacker ha entregado a 404 Media material interno de Suno que parece detallar de dónde obtuvo el generador de música con IA sus datos de entrenamiento — y la mayor fuente individual que figura es YouTube Music. El reportaje, publicado el 15 de julio por Jason Koebler, llega mientras Suno afronta una demanda de discográficas que le acusan precisamente de eso.
Qué se llevó
El material procede de un ataque a la cadena de suministro en noviembre de 2025 que comprometió las credenciales de un empleado y expuso el código fuente de Suno. Lo que entregó el hacker es código fuente de 2023 y 2024, archivos de configuración de scraping y documentación sobre el alcance de los conjuntos de datos, no memorandos de estrategia ni correspondencia ejecutiva. En la filtración también se vieron afectados datos de clientes, incluidos correos electrónicos y números de teléfono. Suno confirma la fecha de noviembre. Ningún otro medio ha autenticado de forma independiente los archivos.
Las cifras de los archivos
La documentación enumera 2.013.545 clips de YouTube Music que suman 113.879 horas, además de un conjunto aparte "YTM Tagged" de 152.162 horas. Por debajo aparecen: Pond5 con 62.117 horas, IMSLP con 19.514, Genius con 17.615, Deezer con 12.287, Jamendo con 3.726 y Freesound con 410. Aproximadamente 1 millón de horas procedían de unos 420.000 pódcast a través de feeds RSS. Los representantes de YouTube Music, Deezer, Genius y las bibliotecas de stock no respondieron a las solicitudes de comentarios de 404 Media.
Lo que dijo Suno
Suno no negó el scraping. "Como hemos afirmado en presentaciones y divulgaciones públicas, los modelos de IA de Suno se han entrenado con archivos musicales de acceso público y metadatos relacionados accesibles en sitios web de terceros en la Internet abierta", dijo un portavoz, y añadió que en noviembre de 2025 la empresa "determinó que Suno había sido objeto de un incidente de seguridad limitado que se contuvo rápidamente". El portavoz señaló que el incidente "afectó principalmente a código fuente obsoleto que ya no está en uso" y que no se comprometió información personal sensible. En el litigio, Suno ya ha admitido haber entrenado con "prácticamente todos los archivos musicales de calidad razonable accesibles en la Internet abierta".
Por qué los archivos importan jurídicamente
La demanda enmendada de las discográficas de septiembre de 2025 añadió una teoría de elusión de medidas tecnológicas bajo DMCA §1201 — que Suno eludió el "cifrado dinámico" de YouTube para extraer audio — y la RIAA solicita 2.500 dólares por cada acto de elusión además de daños por obra. Suno sostiene que el cifrado es un control de copia, no un control de acceso. Warner Music llegó a un acuerdo en noviembre de 2025, otorgó una licencia a su catálogo y vendió Songkick a Suno; UMG y Sony siguen siendo demandantes. Ningún tribunal se ha pronunciado sobre el uso legítimo ni sobre la elusión.
