- El colectivo Anna’s Archive afirma haber copiado el 99,6% del catálogo musical de Spotify, con 86 millones de canciones y 256 millones de metadatos.
- Spotify confirma un acceso no autorizado, evasión de sistemas DRM y extracción masiva de metadatos y algunos archivos de audio.
- El grupo justifica la operación como un proyecto global de preservación cultural, pero expertos alertan de la ilegalidad y del impacto en los derechos de autor.
- La filtración podría aprovecharse para piratería a gran escala y para entrenar modelos de inteligencia artificial con música protegida.
El catálogo musical de Spotify, uno de los mayores activos de la industria del streaming, se ha visto envuelto en un incidente de seguridad sin precedentes. Un colectivo de archivistas digitales asegura haber descargado prácticamente toda la música disponible en la plataforma, lo que ha encendido todas las alarmas en el sector.
Según la versión de este grupo, conocido como Anna’s Archive, el ataque habría permitido copiar el 99,6% del catálogo musical de Spotify. La compañía sueca, con sede en Estocolmo y cientos de millones de usuarios activos en todo el mundo —incluidos España y el resto de Europa—, reconoce que se produjo un acceso no autorizado, aunque evita por ahora confirmar el alcance exacto de la sustracción.
Quién es Anna’s Archive y qué dice haber hecho
Anna’s Archive se define como una biblioteca digital de código abierto y sin ánimo de lucro, centrada en reunir y conservar contenidos como libros, artículos académicos y otros documentos, muchos de ellos protegidos por derechos de autor. Ahora aseguran haber dado un salto de escala al volcarse sobre la música en streaming y apuntar directamente a Spotify.
En un comunicado publicado en su blog, el colectivo sostiene que ha conseguido archivar metadatos de 256 millones de pistas y archivos de audio de 86 millones de canciones. Esas cifras representarían, de acuerdo con su propio relato, alrededor del 99,6% del contenido musical que la plataforma ofrece actualmente.
El archivo completo, añaden, ocuparía menos de 300 TB y se estaría distribuyendo a través de lo que describen como “torrents masivos”. Estos paquetes agruparían el contenido en función de la popularidad de las canciones, según las métricas internas de la propia Spotify, lo que facilitaría priorizar los temas más escuchados.
Para Anna’s Archive, el resultado de esta operación se presenta como el “primer archivo de preservación musical totalmente abierto” del mundo. La idea, dicen, es que cualquier persona pueda descargar ese contenido en su ordenador, móvil o tableta como parte de una supuesta misión de preservar el conocimiento y la cultura para las próximas generaciones.
El colectivo insiste en que este tipo de iniciativas permitiría salvaguardar también la música de artistas poco conocidos, y no solo la de las grandes estrellas. Aunque reconocen que Spotify “no tiene toda la música del mundo”, consideran que este gigantesco volcado de datos supone “un gran comienzo” para ese proyecto de preservación.
Cómo se habría llevado a cabo el hackeo del 99,6% de la música
Según las explicaciones ofrecidas por Anna’s Archive, el grupo habría encontrado hace tiempo una vía para extraer datos de Spotify a gran escala. Para ello habrían empleado técnicas de scraping, un método automatizado que usa software y bots para recopilar información de sitios y servicios en línea y transformarla en datos estructurados.
En este caso, esa automatización habría permitido recolectar por millones los metadatos públicos asociados a cada pista —como nombre de la canción, artista, álbum, duración o identificadores internos— y, según el colectivo, descargar también los propios archivos de audio en cantidades masivas.
La compañía sueca, en comunicaciones remitidas a medios como EFE o Android Authority, ha confirmado que su investigación sobre lo ocurrido detectó un “acceso no autorizado” en el que un tercero extrajo metadatos públicos y utilizó “tácticas ilícitas para eludir la Gestión de Derechos Digitales (DRM)”, accediendo a “algunos archivos de audio” de la plataforma.
Este tipo de evasión de sistemas DRM implica burlar los mecanismos de protección que impiden copiar y redistribuir los contenidos de forma no autorizada. Aunque Spotify no ha detallado la vulnerabilidad concreta, la descripción apunta a un ataque sostenido en el tiempo, apoyado en cuentas controladas por el colectivo.
Fuentes de la compañía señalan que ya se han identificado y desactivado cuentas de usuarios maliciosas que habrían participado en la extracción, y que se han reforzado los controles internos para detectar patrones de uso sospechosos, como reproducciones automatizadas o volúmenes de descarga incompatibles con un comportamiento normal.
Posición oficial de Spotify y alcance del incidente
Spotify, que supera los 600-700 millones de usuarios entre cuentas gratuitas y de pago a escala global, ha confirmado el ataque pero mantiene cautela al hablar de cifras. La empresa subraya que, por el momento, solo puede asegurar que se recopilaron metadatos públicos y que se logró acceder a “parte de los archivos de audio”, sin validar oficialmente que la copia alcance el 99,6% del catálogo, como sostiene Anna’s Archive.
Desde su sede en Estocolmo, la plataforma recalca que la biblioteca total no estaría completamente comprometida y que “el incidente sigue bajo investigación”. La compañía también destaca que, de acuerdo con la información disponible, no hay pruebas de que los archivos sustraídos se hayan publicado masivamente o comercializado hasta la fecha.
Otro punto relevante es la posible afectación a los usuarios. Spotify no ha informado de filtraciones de datos personales ni de compromisos en la información de cuentas, lo que apuntaría a un ataque centrado en el catálogo musical y sus metadatos, más que en credenciales o información sensible de clientes en España, Europa u otras regiones.
Aun así, la compañía reconoce que el episodio supone un golpe simbólico y estratégico, ya que el valor de servicios como Spotify reside en buena medida en la forma en que estructuran, protegen y explotan comercialmente su catálogo. El robo masivo de canciones cuestiona también la robustez de sus sistemas de protección y su capacidad para frenar ataques muy persistentes.
En sus comunicaciones oficiales, Spotify ha dejado la puerta abierta a posibles acciones legales contra los responsables, una vez concluya la investigación técnica que permita determinar con precisión el origen del ataque, el volumen real de archivos copiados y las jurisdicciones implicadas.
Preservación cultural, activismo digital y límites legales
Anna’s Archive defiende que su objetivo principal es “construir un archivo musical orientado a la preservación”. El grupo vincula esta operación con su trayectoria previa en el ámbito de los libros digitales y otros textos, donde ya aglutina ingentes colecciones de obras, muchas de ellas subidas y compartidas sin permiso de autores o editoriales.
En sus mensajes, el colectivo asegura que con la ayuda de la comunidad “el patrimonio musical de la humanidad estará protegido para siempre” frente a desastres naturales, guerras, recortes presupuestarios o cierres de plataformas. De este modo, enmarcan el hackeo del 99,6% de la música de Spotify como una forma de activismo cultural, más que como un acto de piratería con fines comerciales.
Sin embargo, el marco legal es claro tanto en España como en el resto de Europa: las canciones alojadas en Spotify están sujetas a estrictas normas de propiedad intelectual, que afectan a discográficas, editoriales musicales, artistas y a la propia plataforma. La copia masiva y distribución de estos archivos sin autorización constituye una vulneración de la legislación de derechos de autor y de las condiciones de servicio del propio Spotify.
La tensión entre preservación digital y respeto a los derechos ya se había manifestado con otros proyectos de bibliotecas en línea, como LibGen o repositorios de libros y artículos científicos. En este contexto, el movimiento de Anna’s Archive hacia la música podría reavivar en Europa los debates sobre qué margen de maniobra tienen los proyectos que dicen perseguir un interés cultural o académico cuando utilizan obras protegidas sin permiso.
En el caso concreto del hackeo a Spotify, el discurso de la preservación choca frontalmente con el hecho de que, si el archivo termina circulando abiertamente por Internet, se facilitaría una piratería a gran escala, incluyendo contenidos de artistas independientes, sellos pequeños y creadores europeos que dependen de los ingresos del streaming.
Impacto potencial: piratería, clónicos de Spotify e inteligencia artificial
La magnitud de la filtración que se atribuye Anna’s Archive —86 millones de archivos de audio y 256 millones de registros— abre puertas a múltiples usos no autorizados. Expertos en tecnología apuntan a que una base de datos de este calibre podría emplearse tanto para crear servicios clónicos de música en streaming como para alimentar modelos de inteligencia artificial entrenados con grabaciones reales.
Figuras del ámbito de la IA generativa, como el compositor y defensor del copyright Ed Newton-Rex, han advertido de que el entrenamiento de sistemas de IA con material pirateado es una práctica extendida, aunque controvertida, en la industria tecnológica. Un archivo casi completo del catálogo de Spotify resultaría especialmente valioso para quienes quieran desarrollar modelos de generación musical capaces de imitar estilos, voces o patrones rítmicos.
Otros especialistas, como Yoav Zimmerman, cofundador de Third Chair, señalan que con una colección tan extensa sería técnicamente posible levantar versiones domésticas y gratuitas de plataformas de música, al margen de acuerdos con discográficas y sociedades de gestión. Esa perspectiva, sin embargo, se topa de lleno con la legislación de derechos de autor y con el riesgo de sanciones económicas y penales.
El historial de proyectos similares muestra, además, que estos grandes repositorios suelen convertirse en fuentes de datos para grandes empresas tecnológicas. En litigios recientes en Estados Unidos se ha mencionado cómo compañías como Meta habrían utilizado colecciones de libros pirateados, procedentes de iniciativas tipo LibGen, para entrenar modelos de IA, lo que ha desembocado en demandas y controversias sobre el uso justo de obras protegidas.
Aplicado al caso de Spotify, el hackeo del 99,6% de su música no solo plantea un problema de piratería tradicional, sino que reabre el debate sobre hasta qué punto la industria tecnológica se está apoyando en catálogos no autorizados para desarrollar herramientas de inteligencia artificial que luego compiten, en cierto modo, con los propios creadores.
Todo lo ocurrido con el supuesto hackeo del 99,6% de la música de Spotify sitúa en primer plano varias cuestiones clave: la fragilidad de las grandes plataformas frente a ataques persistentes, los límites del activismo digital cuando se cruzan barreras legales y el papel que pueden jugar estos enormes volúmenes de datos en ámbitos como la piratería o la inteligencia artificial. Mientras Spotify continúa investigando el alcance real del incidente y valora qué pasos dar, el caso ya se ha convertido en un ejemplo paradigmático de cómo la tecnología, la cultura y los derechos de autor vuelven a chocar de frente en la era del streaming.
