Spotify sufrió una filtración de datos histórica: una organización se adjudicó el robo de 86 millones de canciones

La relevancia del ciberataque no se limita a los archivos de audio: los metadatos asociados a cada canción - popularidad, versiones, licencias y otros atributos- permiten un análisis minucioso del funcionamiento del catálogo.

spotify 2.jpg

Uno de los ejes centrales del trabajo fue la organización del material según la métrica de “popularidad” que utiliza Spotify, un indicador que combina volumen de reproducciones y recencia de las escuchas. Con ese criterio, Anna’s Archive compiló un ranking con las 10.000 canciones más populares del servicio. En los primeros puestos aparecen artistas de alcance global como Lady Gaga, Bad Bunny y Billie Eilish.

El ordenamiento por popularidad también dejó al descubierto un fenómeno conocido pero pocas veces cuantificado con esta precisión: la larga cola. Más del 70% de las canciones disponibles en Spotify registra menos de 1.000 reproducciones.

Los datos confirman, además, un alto grado de concentración en los hábitos de escucha. La mayor parte de las reproducciones se concentra en canciones con niveles de popularidad entre 50 y 80. De las 86 millones de canciones analizadas, solo unas 210.000 superan el umbral de 50 de popularidad, lo que equivale a apenas el 0,1% del total. En términos prácticos, millones de usuarios terminan escuchando un conjunto muy reducido de temas frente a la magnitud del catálogo disponible.

El informe elaborado por Anna’s Archive explota ese universo de metadatos con múltiples conclusiones adicionales. Entre ellas, que la duración más frecuente de las canciones ronda los 3 minutos y 30 segundos, que existen numerosos duplicados por tema debido a licencias y versiones, que ciertos géneros concentran la mayor parte de la atención y que la mayoría del contenido publicado en Spotify corresponde a singles y no a álbumes completos.

Ante el ataque, Spotify confirmó la extracción no autorizada de información, aunque evitó definir el episodio como un “hackeo” en sentido estricto. Un portavoz de la compañía explicó que un tercero recurrió a tácticas ilícitas para eludir las protecciones DRM (gestión de derechos digitales) y acceder a partes de su biblioteca pública.

Como respuesta inmediata, la empresa informó que ya identificó y desactivó las cuentas responsables del scraping ilegal. Además, buscó llevar tranquilidad a los usuarios al subrayar dos puntos centrales: no hay indicios de que se hayan visto comprometidos datos sensibles, como contraseñas o información financiera, y los únicos datos de usuarios potencialmente involucrados son las listas de reproducción públicas.

Qué es el proyecto Anna's Archive

El proyecto Anna’s Archive irrumpió en el radar público a fines de 2022, en un contexto marcado por el cierre de Z-Library, una de las mayores plataformas de descarga gratuita de libros, tras una fuerte ofensiva legal. Ese vacío fue, en parte, el terreno donde se consolidó esta iniciativa, que funciona como un metabuscador: permite localizar libros y redirige a enlaces externos para su descarga.

La plataforma sostiene que no aloja directamente los archivos, lo que - según su propio argumento - la exime de responsabilidades legales. En cambio, enlaza a proveedores anónimos donde los usuarios pueden acceder al contenido. Hasta ahora, el foco había estado puesto casi exclusivamente en los libros. Eso, sin embargo, cambió de manera sustancial.

“Hace un tiempo descubrimos una forma de hacer scraping de Spotify a gran escala. Vimos allí un rol para nosotros: construir un archivo musical orientado principalmente a la preservación”, explicaron desde el proyecto al detallar el origen de la extracción de datos. En esa misma línea, añadieron que “este scraping de Spotify” constituye su “humilde intento de iniciar un ‘archivo de preservación’ musical”.

image

En el mismo mensaje, bromearon: “Por supuesto, Spotify no tiene toda la música del mundo, pero es un excelente punto de partida”.

En cuanto al alcance técnico de la operación, desde Anna’s Archive aseguraron que “Spotify tiene alrededor de 256 millones de canciones. Esta colección contiene metadatos de un estimado del 99,9% de ellas”. También precisaron el recorte temporal aplicado al archivo: “el corte temporal es 2025-07: cualquier lanzamiento posterior a esa fecha puede no estar presente (aunque en algunos casos sí lo está)”.

La iniciativa se completa con una definición ambiciosa sobre su naturaleza y objetivos. “Este es el primer ‘archivo de preservación’ musical del mundo que es completamente abierto (es decir, cualquiera con suficiente espacio en disco puede espejarlo)”, concluyeron desde el proyecto que llevó adelante el ciberataque.