Parte del código fuente de Suno quedó al descubierto y, junto a ello, documentos que describían cómo la empresa obtuvo material para entrenar su generador de música con inteligencia artificial. Una filtración que se produjo por un hackeo que también expuso información de clientes.
Suno confirmó que este incidente ocurrió en noviembre de 2025 y fue contenido rápidamente. Además, no habría comprometido información personal sensible, ya que el código afectado estaba obsoleto y no se utilizaba.
Según la información entregada por el hacker que hizo el ataque en cuestión, y que fue revisada por 404 Media, los archivos internos muestran instrucciones para recopilar música y otros contenidos desde plataformas como YouTube Music, Deezer y Genius, además de bibliotecas de música y efectos de sonido y fuentes de podcasts.
Los documentos extraídos aportan nuevos detalles sobre un proceso de entrenamiento que Suno ya había reconocido en tribunales, momento en el que confirmaron que sus modelos fueron entrenados con archivos musicales disponibles públicamente en Internet.
Suno ocupó música en línea sin consentimiento
No solo YouTube Music, Deezer y Genius habrían sido usados por Suno. El hackeo también evidenció que Freesound, Jamendo y el International Music Score Library Project también fueron ocupados por la plataforma, con instrucciones para filtrar el contenido que no correspondiera a música. Uno de los archivos filtrados indicaba que el sistema había incorporado más de dos millones de clips musicales procedentes de YouTube Music al momento de su última actualización.
Otros documentos enumeraban el volumen de material utilizado para distintos conjuntos de datos, incluyendo 113.879 horas de contenido de YouTube Music, 152.162 horas de «ytm_tagged», 62.117 horas de Pond5, 17.615 horas de Genius, 19.514 horas del International Music Score Library Project, 12.287 horas de Deezer, 3.726 horas de Jamendo y 410 horas de Freesound, además de material asociado a letras musicales.
Parte del sistema buscaba versiones a capela de canciones en YouTube para identificar voces y que la empresa habría utilizado servicios de proxy para automatizar la recopilación de contenido desde esa plataforma. Asimismo, el código hacía referencia al uso de PodcastIndex para localizar unos 420.000 podcasts con determinadas características e intentar descargar alrededor de un millón de horas de audio.
Estos antecedentes coinciden con la posición que Suno ha mantenido en procesos judiciales. La empresa ya había reconocido que entrenó sus modelos con «esencialmente todos los archivos musicales de calidad razonable accesibles en el Internet abierto», argumentando que ese uso está protegido por la doctrina del uso justo («fair use»). La filtración, sin embargo, aporta información más específica sobre las fuentes y parte de la infraestructura utilizada para recopilar ese material.
El ataque también expuso datos de clientes
En el relato de 404 Media, el hacker asegura haber obtenido acceso gracias a un ataque que hizo a un empleado, permitiéndole capturar credenciales de GitHub y servicios en la nube. Además del código fuente, afirmó haber accedido a una base de datos con información de cientos de miles de clientes, que incluía direcciones de correo electrónico, números de teléfono y datos de pago asociados a Stripe.
Suno respondió que el incidente correspondió a «un incidente de seguridad limitado que fue contenido rápidamente» y dijeron que la investigación interna determinó que afectó principalmente código fuente antiguo. La empresa añadió que no almacena los números completos de tarjetas de crédito en Stripe y que no consideró necesario notificar individualmente a los usuarios debido a la naturaleza limitada de la información involucrada y a los requisitos de la legislación sobre privacidad aplicable.









