
Se borraron 75 millones de canciones falsas de Spotify. El verdadero problema son las que no.
Hace unos meses, me senté en una reunión con un distribuidor de música que me dijo algo que reconfiguró mi forma de pensar sobre toda la industria del audio. Abrió un panel que mostraba su canal de ingesta diaria. "¿Ves esto?", dijo, desplazándose por un flujo de nuevas subidas. "Recibimos unas cuatro mil pistas al día solo a través de nuestra plataforma. Calcularía que un tercio de ellas fueron hechas por alguien que dedicó menos tiempo a crear la pista del que tú dedicaste a cepillarte los dientes esta mañana."
Yo me reí. Él no.
No estaba exagerando. Spotify por sí solo ingiere aproximadamente 100.000 pistas nuevas cada día. Si intentaras escuchar solo 30 segundos de cada una, te llevaría 35 días de reproducción continua superar las subidas de un solo día. Y una porción cada vez mayor de esa avalancha no es música en ningún sentido significativo: es ruido generado algorítmicamente diseñado para desviar dinero de las personas que realmente hacen arte.
Este es el problema de la marca de agua de audio con el que he pasado obsesionado el último tramo de mi carrera en Veriprajna. No porque la marca de agua sea una tecnología atractiva —no lo es—, sino porque cualquier otra solución en la que se apoya la industria tiene un defecto fatal del que nadie quiere hablar con honestidad.
El atraco de 3.000 millones de dólares oculto en tu lista de reproducción
Aquí está la parte que debería enfadarte, seas músico, oyente o simplemente alguien que paga 10,99 $ al mes por una suscripción de streaming.
La forma en que la mayoría de las grandes plataformas pagan a los artistas se llama modelo prorrateado. Todos los ingresos por suscripciones y publicidad van a un único fondo común gigante. Ese fondo se divide entre el número total de reproducciones en la plataforma. Tu tarifa por reproducción es una fracción del total.
Esto significa que cada reproducción falsa no solo roba a la plataforma, sino que roba a cada artista real. Cuando una granja de bots genera mil millones de reproducciones sobre ruido blanco generado por IA, infla el denominador. El pago por reproducción baja para todos. Tu artista independiente favorito, el que pasó seis meses escribiendo un álbum en su dormitorio, cobra menos porque una red de fraude en otro país subió diez mil bucles de sonido de lluvia y apuntó una botnet hacia ellos.
Las estimaciones de la industria sitúan el daño anual en 2.000 millones a 3.000 millones de dólares. Deezer informó de que el 70 % de las reproducciones en pistas generadas por IA en su plataforma fueron marcadas como fraudulentas. Spotify tuvo que purgar más de 75 millones de pistas solo en 2024 y 2025, una cifra que rivaliza con el tamaño de todo el catálogo histórico de música grabada.
Cada reproducción fraudulenta no es solo un robo a una plataforma. Es un impuesto sobre cada artista legítimo, pagado de forma invisible a través de un fondo de regalías cada vez más pequeño.
Recuerdo la noche en que salieron esas cifras de la purga de Spotify. Estaba en mi escritorio, y mi primera reacción fue de alivio: por fin, las plataformas se lo están tomando en serio. Mi segunda reacción, unos diez minutos después, fue de temor. Porque 75 millones es la cifra que atraparon. ¿Y las que se colaron?
¿Por qué falla la huella acústica frente a la música con IA?

Esta es la pregunta que me llevó a empezar a construir lo que estamos construyendo. Y la respuesta es engañosamente simple una vez que la ves.
El principal sistema de defensa de la industria musical es la huella acústica, la tecnología detrás de Shazam, del Content ID de YouTube y de la mayoría de las plataformas de gestión de derechos. La huella acústica funciona extrayendo una firma perceptual de una pieza de audio y cotejándola con una base de datos masiva de grabaciones conocidas.
Aquí está el problema: la IA generativa no copia. Sintetiza.
Cuando un modelo de difusión genera una pista nueva, crea una forma de onda que nunca ha existido antes. No hay ninguna entrada en ninguna base de datos de huellas acústicas con la que cotejarla. Para Content ID, una pista de spam de IA totalmente nueva se ve exactamente igual que una obra maestra humana totalmente nueva. Ambas son simplemente "contenido desconocido".
Yo lo llamo la Paradoja de la Originalidad, y es la razón por la que no pude dormir durante aproximadamente una semana después de que ejecutáramos nuestras primeras pruebas. Tomamos un conjunto de pistas generadas por IA —algunas claramente derivadas de artistas existentes, otras completamente novedosas— y las pasamos por canales estándar de huella acústica. Las derivadas activaban de vez en cuando coincidencias parciales. ¿Las novedosas? Silencio total del sistema de detección. Ni una sola alerta.
Mi cofundador miró los resultados y dijo: "¿Así que cuanto mejor se vuelve la IA para ser original, peor se vuelve nuestra detección?". Sí. Exactamente. Esa es la trampa.
La huella acústica es tecnología de identificación. Te dice qué es algo. La marca de agua es tecnología de autenticación. Te dice de dónde vino algo. La industria musical ha estado usando la herramienta equivocada.
Escribí sobre esta distinción —y sobre la arquitectura técnica completa que explica por qué la huella acústica se desmorona— en nuestro whitepaper interactivo. Pero la versión corta es esta: la huella acústica es reactiva. Necesita que el contenido ya exista y esté registrado. Necesitábamos algo proactivo, algo que incrustara la procedencia en el momento de la creación.
El fraude se volvió más inteligente mientras no mirábamos

La otra cosa que me quitaba el sueño era aprender cómo funcionan realmente ahora las operaciones de fraude. El viejo manual era tosco: subir una pista, bombardearla con millones de reproducciones desde una única dirección IP, cobrar. Las plataformas atraparon eso hace años.
El nuevo manual es aterradoramente elegante. Lo llaman "a fuego lento".
En lugar de que una pista reciba un millón de reproducciones falsas, una red de fraude usa IA para generar diez mil pistas. Luego una botnet reproduce cada pista solo unas cien veces. El pago agregado es el mismo, pero ninguna pista individual activa una alerta de pico viral. El fraude se esconde en la larga cola, enterrado bajo el enorme volumen de datos legítimos.
Y la infraestructura detrás de estas operaciones se ha vuelto de nivel empresarial. Hablamos de proxies residenciales que enrutan el tráfico a través de dispositivos IoT comprometidos para que cada reproducción parezca provenir de un hogar diferente. Navegadores sin interfaz que ejecutan scripts que imitan el comportamiento humano —movimientos del ratón, pausas, saltos de pistas, búsquedas— para engañar a la analítica de interacción. Listas de reproducción generadas por IA con títulos optimizados para SEO como "Lo-Fi Relajante para Programar" que mezclan unos pocos éxitos legítimos de grandes artistas con docenas de pistas de spam, camuflando el fraude y a veces incluso engañando al algoritmo de recomendación de la plataforma para que sirva las pistas falsas a oyentes reales.
Una tarde me senté con nuestro equipo a trazar esta cadena de ataque en una pizarra, y alguien dijo: "Esto no es piratería musical. Es fraude financiero que resulta usar archivos de audio como vehículo". Ese replanteamiento lo cambió todo para nosotros.
¿Qué pasa cuando reproduces una canción por un altavoz y la vuelves a grabar?

Este es el desafío técnico que separa la marca de agua seria de todo lo demás, y es del que estoy más orgulloso de que nuestro equipo haya abordado.
Se llama la Brecha Analógica, a veces el Agujero Analógico. Imagina que una canción deepfake se reproduce en los altavoces del portátil de alguien. El sonido viaja por el aire. Alguien lo graba con su teléfono. Esa grabación se sube a una plataforma.
Durante ese trayecto, la señal de audio se destruye de formas casi cómicamente hostiles a la preservación de datos. El sonido rebota en paredes, suelos y muebles: el micrófono recibe la señal directa más miles de reflexiones ligeramente retrasadas. Los altavoces baratos recortan todo lo que está por debajo de 300 Hz y por encima de 15 kHz. El dispositivo de grabación no sabe dónde "empieza" la marca de agua, así que toda la señal queda desincronizada.
La mayoría de los sistemas de marca de agua que sobreviven a la compresión MP3 —la brecha digital— mueren al instante en la brecha analógica. Y sin embargo, la brecha analógica es exactamente el escenario que más importa para detectar deepfakes compartidos en redes sociales, reproducidos en la radio o captados durante llamadas en directo.
Pasamos semanas fracasando en esto antes de encontrar el enfoque que funcionó. El avance fue darnos cuenta de que no deberíamos estar comparando la señal recibida con una referencia externa en absoluto. En su lugar, incrustamos un patrón repetido dentro de la propia señal y usamos la autocorrelación: la señal se compara consigo misma.
Aquí está por qué eso es ingenioso: cuando el audio viaja a través de una sala reverberante, toda la señal se distorsiona de la misma manera. El Bloque A y el Bloque B de nuestra marca de agua repetida quedan ambos difuminados por la misma acústica de la sala. La relación entre ellos sobrevive incluso cuando la señal absoluta queda destrozada. El detector busca un pico periódico en la autocorrelación en un intervalo conocido, y ese pico confirma la presencia de la marca de agua sin necesitar nunca saber cómo sonaba el audio original.
Hubo un momento en el laboratorio —y uso "laboratorio" en sentido amplio, en realidad era solo una sala de reuniones con un portátil y un altavoz Bluetooth que compramos en una tienda de conveniencia— en el que reprodujimos una pista con marca de agua por ese pésimo altavoz, la grabamos con un teléfono al otro lado de la sala y ejecutamos el detector. Cuando devolvió positivo, mi ingeniero me miró y dijo, muy en voz baja: "Eso no debería haber funcionado". Pero funcionó. Y ahí fue cuando supe que teníamos algo.
¿No pueden los atacantes simplemente eliminar la marca de agua?
Esta es la primera objeción que todos plantean, y es la correcta.
Los atacantes sofisticados intentarán sin duda usar IA para encontrar y eliminar marcas de agua. Seríamos ingenuos si pensáramos lo contrario. Por eso nuestro canal de entrenamiento no solo se defiende contra una lista fija de ataques conocidos como "añadir ruido" o "comprimir a MP3". Usamos un marco de entrenamiento adversarial: esencialmente, entrenamos una red atacante junto a nuestro sistema de marca de agua. El atacante intenta destruir la marca de agua manteniendo el audio escuchable. El codificador se adapta para sobrevivir al ataque. Juegan este juego minimax a lo largo de miles de iteraciones hasta que la marca de agua sobrevive a ataques que ni siquiera existían cuando comenzó el entrenamiento.
El resultado: nuestro sistema alcanza una precisión de atribución superior al 98 % incluso bajo edición agresiva: estiramiento temporal, cambio de tono, recorte. Incluso si un defraudador corta un fragmento de 30 segundos hasta dejarlo en 10 segundos, el detector acumula suficiente evidencia estadística del fragmento para decodificar la firma de procedencia.
Para el desglose técnico completo de la incrustación por espectro ensanchado, la descomposición SVD y los protocolos de resistencia adversarial, consulta nuestro artículo de investigación. Pero la clave no está en ninguna técnica individual: está en que la marca de agua vive en la estructura del audio, no en su superficie. Puedes chorrear con arena la superficie. La estructura perdura.
La etiqueta nutricional del sonido
Una marca de agua por sí sola es un enlace. Dice "este audio ha sido marcado". ¿Pero marcado por quién? ¿Con qué propósito? Para construir un verdadero ecosistema de confianza, necesitas conectar esa señal acústica con una identidad verificable.
Aquí es donde nos integramos con C2PA, la Coalición para la Procedencia y Autenticidad del Contenido, un estándar abierto que funciona como una etiqueta nutricional para el contenido digital. Registra criptográficamente quién creó un activo, cómo se creó (humano o IA) y qué ediciones se hicieron.
La vulnerabilidad de las soluciones basadas solo en metadatos es obvia: convierte un WAV firmado en un MP3 genérico, y la cabecera de metadatos desaparece. Reprodúcelo en la radio, y se pierde. Pero nuestra marca de agua sobrevive a esas transformaciones. Así que usamos la marca de agua como una vinculación blanda: lleva un identificador único que apunta a un manifiesto C2PA alojado en la nube. Quita los metadatos, convierte el formato, reprodúcelo por el aire y vuelve a grabarlo. La marca de agua persiste. El detector extrae el identificador, consulta el registro y recupera el registro completo de procedencia.
La procedencia debería viajar con el contenido, no residir en una cabecera que se elimina en el momento en que alguien hace clic en "Exportar como MP3".
Y para quien esté preocupado por la privacidad: un periodista disidente o un artista anónimo no debería tener que adjuntar su nombre legal a un archivo solo para demostrar que es real. C2PA admite reclamaciones seudónimas y divulgación selectiva. Un artista puede firmar una pista como "Creador Verificado n.º 892", vinculado a una credencial emitida por un tercero de confianza, sin revelar su domicilio.
¿Por qué no simplemente contratar más moderadores?
Porque es económicamente imposible. La investigación demuestra que los moderadores humanos son más precisos a la hora de detectar matices y contexto, pero cuestan casi 40 veces más que los sistemas automatizados. Y el oído humano se está volviendo biológicamente insuficiente: distinguir un clon de voz de IA de alta calidad de una grabación real se acerca a los límites de lo que nuestros oídos pueden hacer, mientras que sigue siendo matemáticamente tratable para las máquinas.
La industria necesita el matiz del juicio humano a la escala y el coste del software. Eso es lo que proporciona la detección determinista de marcas de agua. Una marca de agua está presente o no lo está. No hay una puntuación de confianza que interpretar, ninguna curva de probabilidad que requiera que un revisor humano desempate. Esto permite una acción totalmente automatizada —desmonetización, marcado, retirada— con certeza de grado legal.
La bifurcación del camino
A veces me preguntan si creo que la IA destruirá la industria musical. No lo creo. Creo que la industria musical estará bien, si deja de fingir que las herramientas construidas para la era anterior funcionan en esta.
La huella acústica se construyó para un mundo donde el contenido era creado por humanos y el desafío era identificar copias. Ahora vivimos en un mundo donde el contenido es creado por máquinas y el desafío es demostrar el origen. Estos son problemas fundamentalmente diferentes, y requieren una infraestructura fundamentalmente diferente.
El umbral mínimo de 1.000 reproducciones de Spotify para el pago de regalías es un parche de política. Los modelos de pago centrados en el usuario son una mejora estructural. Pero ninguno aborda la causa raíz: las plataformas no pueden distinguir actualmente entre una nueva pista de IA y una nueva pista humana. Hasta que eso cambie, cualquier otra solución es secundaria.
La capacidad generativa es ahora un producto básico. Cualquiera con una GPU o una clave de API puede inundar el canal. La escasez —y por tanto el valor— se ha desplazado a la procedencia. No qué se creó, sino quién lo creó, cómo y si es real.
El futuro de la música con IA no tiene que ver con el modelo que genera la mejor melodía. Tiene que ver con la infraestructura que garantiza que esa melodía es real, remunerada y reconocida.
Con la Ley de IA de la UE y la regulación estadounidense pendiente sobre deepfakes, la marca de agua está pasando de opcional a obligatoria. La cuestión no es si la industria adoptará estándares de procedencia. Es si los adoptará antes o después de que los fondos de regalías hayan sido desangrados.
Yo sé en qué lado de esa apuesta estoy construyendo. Si no puedes ponerle marca de agua, no lo generes. Eso no es un eslogan. Es la única realidad operativa que hace posible un internet de audio de confianza.
