Spotify desactiva cuentas tras la extracción masiva de 86 millones de canciones

spotify
Empresas
Ciudadanía

Spotify ha confirmado la desactivación de múltiples cuentas de usuario tras detectar una extracción masiva e ilícita de contenidos de su plataforma, en la que se habrían recopilado más de 86 millones de canciones.

La actuación se produce después de que Anna’s Archive, un colectivo que se define como una biblioteca digital abierta, publicase durante el fin de semana una base de datos que incluye metadatos y archivos musicales obtenidos directamente de Spotify.
¿Qué ocurrió exactamente?

Según explicó un portavoz de Spotify a Recorded Future News, la compañía:

  • Identificó y deshabilitó las cuentas implicadas en actividades de scraping y stream ripping.
  • Confirmó que no se trató de un “hackeo” de sus sistemas internos.
  • Indicó que la extracción se realizó utilizando cuentas de usuario creadas por terceros, y no mediante el acceso a la infraestructura corporativa de Spotify.


“Hemos identificado y desactivado las cuentas maliciosas implicadas en actividades ilegales de scraping”, señaló la compañía.
No es una brecha de seguridad clásica

Spotify subrayó que el incidente no constituye una brecha de seguridad en sentido estricto, ya que:

  • No hubo acceso no autorizado a sistemas internos.
  • No se comprometieron bases de datos corporativas.
  • No se explotaron vulnerabilidades técnicas de la plataforma.


La obtención de los contenidos se habría producido mediante:

  • Uso abusivo de cuentas de usuario
  • Violación sistemática de los términos de servicio
  • Descarga progresiva de contenidos durante meses


Medidas adoptadas por Spotify

Tras el incidente, Spotify ha comunicado que:

  • Ha implantado nuevas salvaguardas técnicas contra ataques de scraping y piratería
  • Ha reforzado la monitorización de comportamientos anómalos
  • Está colaborando con socios de la industria musical para proteger los derechos de artistas y creadores


“Desde el primer día hemos estado del lado de la comunidad artística frente a la piratería”, afirmó el portavoz.

Contexto y relación con otros incidentes

Este suceso se produce en un contexto de creciente presión sobre plataformas digitales por:

  • Ataques de credential stuffing a cuentas de usuario
  • Automatización de abusos mediante bots
  • Uso de cuentas legítimas para actividades ilícitas


No obstante, Spotify insiste en separar este episodio de otros incidentes recientes relacionados con accesos no autorizados a cuentas, destacando que la infraestructura central no se vio comprometida.

Conclusión

El incidente del 22 de diciembre de 2025 no supone una brecha de seguridad técnica, pero sí evidencia:

  • La dificultad de frenar el uso abusivo de cuentas legítimas
  • La necesidad de mecanismos avanzados contra scraping a gran escala
  • La importancia de proteger la propiedad intelectual en plataformas de streaming


Spotify mantiene que la situación está controlada, con las cuentas implicadas deshabilitadas y nuevas medidas de protección en marcha.