Los archivos aportan nuevos detalles sobre la recolección de datos por parte de Suno, que ya había reconocido el uso de decenas de millones de grabaciones disponibles en Internet. La legalidad de emplear obras protegidas para entrenar modelos continúa en disputa.
Código fuente sustraído a Suno contiene instrucciones y registros que apuntan a una recolección masiva de música, letras y podcasts desde YouTube Music, Deezer, Genius y diversas bibliotecas de audio, según una investigación publicada por Jason Koebler en 404 Media el 15 de julio de 2026.
El material fue entregado al medio por una persona que afirma haber vulnerado los sistemas de Suno. De acuerdo con 404 Media, los archivos corresponden principalmente a código de 2023 y 2024 e incluyen nombres de repositorios, instrucciones de extracción automatizada y cifras sobre el volumen de algunos conjuntos de datos.
Los archivos no han sido publicados para una revisión independiente. Por ello, los detalles sobre su contenido y procedencia dependen de la verificación realizada por 404 Media y no permiten determinar por sí solos qué materiales fueron utilizados en cada versión del generador musical.
Millones de clips y cientos de miles de horas
Uno de los archivos revisados por el medio, identificado como youtube_music, señalaba que se habían incorporado 2.013.545 clips musicales. Otros comentarios enumeraban conjuntos asociados con YouTube Music, Deezer, Genius, Pond5, Jamendo, Freesound, el International Music Score Library Project y MuseScore.
Las cifras incluidas en el código suman más de 380.000 horas de material entre los conjuntos identificados. El mayor correspondía a un repositorio denominado ytm_tagged, con 152.162 horas, seguido por 113.879 horas atribuidas a youtube_music y 62.117 horas vinculadas con la biblioteca de música de stock Pond5.
Otros registros mencionaban 19.514 horas del International Music Score Library Project, 17.615 horas de un conjunto llamado genius_hq, 12.287 horas asociadas con Deezer y 3.726 horas procedentes de Jamendo.
Estos identificadores y comentarios describen el origen aparente de los repositorios internos. Sin acceso directo a los archivos y a la cadena completa de procesamiento, no es posible establecer si todo ese material fue efectivamente utilizado para entrenar los modelos comerciales de Suno.
Búsqueda de voces y descarga de podcasts
404 Media también encontró código diseñado para localizar grabaciones vocales y versiones a capela disponibles en YouTube. Otros fragmentos sugerían el uso de infraestructura de proxies proporcionada por Bright Data para automatizar la extracción desde la plataforma.
El material incluía además un proyecto relacionado con PodcastIndex. Según el código, Suno había identificado aproximadamente 420.000 podcasts que contaban con al menos cinco episodios de 30 minutos y buscaba descargar alrededor de un millón de horas de audio.
El reportaje no establece cuánto de ese volumen llegó a descargarse ni qué proporción fue incorporada posteriormente al entrenamiento.
Suno ya había reconocido el uso de grabaciones de Internet
La revelación no constituye la primera evidencia de que Suno entrenó sus modelos con obras disponibles en Internet. En documentos judiciales presentados en 2024, la empresa reconoció haber reunido decenas de millones de grabaciones accesibles públicamente y defendió que ese uso está amparado por la doctrina estadounidense de uso legítimo o fair use.
Una declaración publicada por Suno para cumplir la ley de transparencia de California señala que sus modelos utilizan decenas de millones de archivos musicales públicos y sus metadatos. La empresa reconoce que el conjunto contiene tanto obras de dominio público como material sujeto a derechos de propiedad intelectual.
Suno sostiene que respetó barreras como contraseñas y muros de pago. La información revisada por 404 Media, sin embargo, ofrece nuevos indicios sobre las plataformas desde las cuales se habrían obtenido los archivos y sobre los mecanismos técnicos utilizados.
YouTube declara que sus condiciones prohíben las descargas y la extracción automatizada no autorizada. Esto no resuelve por sí mismo la disputa sobre derechos de autor: la posible infracción y la defensa de uso legítimo continúan siendo asuntos controvertidos dentro de los procesos judiciales.
Demandas y acuerdos con la industria musical
Discográficas vinculadas con Universal Music Group, Sony Music Entertainment y Warner Music Group demandaron a Suno en 2024, acusándola de copiar grabaciones protegidas sin autorización para entrenar sus modelos.
Warner y Suno alcanzaron un acuerdo en noviembre de 2025 que puso fin al litigio entre ambas compañías y contempla el desarrollo de modelos con licencias. El proceso con otros demandantes permanece reflejado en el expediente federal del caso.
La existencia de grabaciones protegidas en el entrenamiento no está en discusión. Lo que continúa en disputa es si la copia realizada para entrenar el sistema constituye una infracción o un uso permitido por la legislación estadounidense.
Versiones contrapuestas sobre los datos de clientes
El atacante también aseguró haber accedido a información de cientos de miles de usuarios, incluidos correos electrónicos, números telefónicos y datos asociados con pagos procesados por Stripe. Según 404 Media, algunas personas incluidas en una muestra confirmaron que habían utilizado sus números para registrarse en Suno y dijeron no haber recibido una notificación sobre el incidente.
Suno confirmó al medio que en noviembre de 2025 detectó un incidente de seguridad que calificó como limitado. La empresa afirmó que el acceso involucró principalmente código antiguo que ya no utilizaba y sostuvo que no se comprometió información personal sensible.
La compañía también precisó que no posee los números completos de las tarjetas administradas por Stripe. Esta afirmación no contradice necesariamente que el atacante accediera a otros datos de pago o identificadores almacenados en la plataforma, pero el alcance exacto de la exposición no ha sido determinado públicamente.
El atacante atribuyó el acceso inicial a Shai-Hulud, una campaña maliciosa dirigida contra la cadena de suministro de paquetes JavaScript. GitHub documentó esa campaña a fines de 2025 y explicó que estaba diseñada para sustraer credenciales, tokens y secretos de servicios en la nube.
Suno indicó que, debido al tipo de información que consideró afectada, concluyó que las leyes de privacidad aplicables no exigían notificar individualmente a sus clientes. Esa evaluación corresponde a la empresa y no ha sido respaldada públicamente por una investigación regulatoria independiente.
Ilustración: captura, sitio de Suno
📬 Newsletter gratuito









