Un videoclub pirata para ver gratis Nubeox, Wuaki y Total Channel... pero no Netflix

Se llama Adrián Villa y solo tiene 23 años, pero ya ha puesto nerviosos a los responsables de seguridad de varios sistemas de vídeo en streaming que operan en España. Concretamente Wuaki.tv (que pertenece a la japonesa Rakuten), Nubeox (de Atresmedia) y Total Channel. Como parte de una investigación para la empresa de seguridad en la que trabaja, Tarlogic Security, ha conseguido piratear varios videoclubs online y redistribuir sus contenidos.

El trabajo de Villa, del que se hacía eco David Gómez Ortiz en Hoja de Router, no tenía ánimo de lucro. Se trataba de comprobar si había brechas de seguridad que pusiesen en un aprieto un modelo de negocio que se esfuerza por afianzarse en España. En una semana en la que hemos conocido elinforme que la Coalición de Creadores ha realizado sobre la situación de la piratería en nuestro país, los resultados obtenidos dan una vuelta de tuerca más al tema: la de la necesidad de invertir en sistemas seguros.

Ocho mentiras sobre piratería que la Coalición de Creadores intenta colarte

Porque la inversión es, en gran medida, la clave. Como parte de su investigación, este experto ha tratado de lograr lo mismo con Netflix, el potente videoclub online estadounidense, y no lo ha conseguido. “No se puede decir que sea infalible, porque con el tiempo y la motivación suficiente nada lo es, pero desde luego es mucho más seguro y requeriría más conocimientos y dedicación”.

Ni ataques ni suplantaciones de identidad

Lo que Villa ha conseguido, explica, no ha sido atacar el sistema ni derribar sus barreras de seguridad. Tampocoha suplantado la identidad de ningún usuario,sino algo mucho más, digamos, sencillo y antiguo: redistribuir en abierto contenido multimedia protegido. Algo así como lo que se lleva años haciendo con (y combatiendo desde) Canal+, que a partir de un cliente legal, otros puedan ver sus contenidos sin pagar por ellos.

La idea de esta investigación surgió hace un año, cuando un cliente de su empresa les pidió un análisis de seguridad de la aplicación que quería lanzar al mercado. “Pensé en tratar de comprobar si se puede distribuir contenido de forma fraudulenta. Como las apps son en principio el punto más delicado, es al que se presta más atención, así que me centré en el reproductor que utilizan, y en cómo se relacionan con el usuario”.

Se registró en cada uno de los servicios que analizó, pagando la cuota correspondiente, y comenzó a investigar, haciendo ingeniería inversa para descubrir su comportamiento interno y modificando ligeramente los reproductores de cada uno para hacer las pruebas (reproductores que no han sido publicados para no ayudar a otros a hacer lo mismo con intenciones lucrativas). “Lo hice simplemente curioseando, sin más información que la que podría tener un usuario cualquiera”.

La clave está, cuenta, en la red de servidores que utilizan, llamadas de distribución de contenido o CDN. “Para que los usuarios no sufran esperas ni cuelgues, tienen copias de los vídeos duplicados en servidores por todo el mundo. Así cuando quieres ver una película, accedes al servidor más cercano a ti. Pero sería ineficiente que esos servidores tuviesen también copias de las bases de datos de los usuarios”.

Con los datos correctos engañas al sistema

Así que la seguridad queda entonces en manos de las licencias DRM, las mismas que protegen los ebooks, por ejemplo. Pero es posible encontrar algunos fallos de seguridad en estos sistemas: solo hay que darle los datos correctos (dirección del vídeo, dirección del servidor DRM y token de acceso único) y el servicio interpretará que somos usuarios legales.

En el blog de Tarlogic Security ha publicado un post con los detalles. En él explica, por ejemplo, que una de las protecciones que utilizan estos servicios es limitar el número de dispositivos asociados a una cuenta. Por eso, se dota a cada reproductor de una etiqueta única que se verifica cada vez que intenta acceder a un contenido, para ver si es válido y si no se ha superado el límite de dispositivos. Pero al estudiar el código del reproductor, Villa pudo identificar las partes donde se genera esa etiqueta, y así modificarla para reutilizar el mismo código en varios reproductores, burlando así ese límite.

El resultado de sus investigaciones fue la creación de un videoclub de prueba, denominado Platform in the Middle, desde el que podía acceder a todos estos servicios sin pagar. Villa insiste en que no es su intención lucrarse con él ni hacerlo público. De hecho, presentó sus resultados en la conferencia de seguridad informática Rooted CON este pasado fin de semana en una conferencia a la que estaban invitadas las tres empresas estudiadas, que finalmente no pudieron asistir. “El objetivo es que sepan que tienen esta brecha de seguridad y trabajen para arreglarla”, dice.

¿Qué podrían aprender los videoclubes hackeados de Netflix? Villa señala tres puntos clave: el uso de protocolos propios, en vez de modificar código ya existente, de forma que para aprender sobre él hay que partir de cero; el cifrado del tráfico entre servidor y cliente, que en el caso de la americana es más concienzudo ("va capa a capa, como una cebolla") y por tanto difícil de desentrañar, y la ofuscación del código de su reproductor, que lo complica y hace más costosa su modificación. “Se nota que su modelo de negocio es ése, y lo han hecho más sólido”.