Spotify desactiva contas tras a extracción masiva de 86 millóns de canción

spotify
Empresas
Cidadanía

Spotify confirmou a desactivación de múltiples contas de usuario tras detectar unha extracción masiva e ilícita de contidos da súa plataforma, na que se terían recompilado máis de 86 millóns de cancións.

A actuación produciuse despois de que Anna’s Archive, un colectivo que se define como unha biblioteca dixital aberta, publicase durante a fin de semana unha base de datos que inclúe metadatos e arquivos musicais obtidos de Spotify.
Que ocorreu exactamente?

Segundo explicou un portavoz de Spotify a Recorded Future News, a compañía:

  • Identificou e desactivou as contas implicadas en actividades ilícitas de scraping e stream ripping.
  • Confirmou que non se tratou dun “hackeo” dos seus sistemas internos
  • Indicou que a extracción se realizou mediante contas de usuario creadas por terceiros, sen acceso á infraestrutura corporativa da empresa.


“Identificamos e desactivamos as contas maliciosas implicadas en actividades ilegais de scraping”, sinalou o portavoz.
Non se trata dunha brecha de seguridade clásica

Spotify subliñou que o incidente non constitúe unha brecha de seguridade en sentido estrito, xa que:

  • Non houbo acceso non autorizado aos sistemas internos.
  • Non se comprometeron bases de datos corporativas
  • Non se explotaron vulnerabilidades técnicas da plataforma.


A obtención dos contidos produciuse mediante:

  • Uso abusivo de contas de usuario
  • Violación sistemática dos termos de servizo
  • Descarga progresiva de contidos ao longo de varios meses


Medidas adoptadas por Spotify

Tras o incidente, Spotify comunicou que:

  • Implantou novas salvagardas técnicas fronte a ataques de pirataría e scraping
  • Reforzou a monitorización de comportamentos sospeitosos
  • Está a colaborar con socios da industria musical para protexer os dereitos de artistas e creadores


“Desde o primeiro día estivemos do lado da comunidade artística fronte á pirataría”, afirmou a compañía.

Contexto e relación con outros incidentes

Este episodio prodúcese nun contexto de incremento de abusos automatizados nas plataformas dixitais, incluíndo:

  • Uso de contas lexítimas para actividades ilícitas
  • Ataques masivos mediante bots
  • Campañas de credential stuffing noutros servizos en liña


Con todo, Spotify insistiu en separar este suceso doutros incidentes recentes de accesos non autorizados a contas, recalcando que a súa infraestrutura central non foi comprometida.
Conclusión

O incidente do 22 de decembro de 2025 non supón unha brecha de seguridade técnica, pero evidencia:

  • A dificultade de previr o uso abusivo de contas de usuario
  • A necesidade de mecanismos avanzados contra o scraping a gran escala
  • A importancia de reforzar a protección da propiedade intelectual no ámbito do streaming


Spotify asegura que a situación está controlada, coas contas implicadas desactivadas e novas medidas de protección en funcionamento.