La lucha contra la piratería de vídeo se ve reforzada por la colaboración

El sector del streaming de vídeo, en sus distintas modalidades, ya sea OTT, DTC, SVOD, AVOD, vMVPD o PSB, ve crecer la amenaza criminal. José Luis Muñoz, Media Specialist Akamai, ve en la colaboración la clave para luchar contra la piratería.

Probablemente mi correo electrónico personal lo han “pirateado” o robado alguna vez. Lo que no sé es si alguna de las veces que no he podido iniciar sesión en uno de mis servicios OTT (Over The Top) de suscripción se debió a que los niños compartían nuestras credenciales o a un robo de cuentas, ese tipo de intrusión que comienza con el robo de combinaciones de nombre de usuario/contraseña y luego termina en un ataque de Credential Stuffing.

Por el bien de mis hijos, espero que fuera este último. Por mi bien, espero que fuera lo primero. La vida moderna es complicada.

El sector del streaming de vídeo está experimentando la mayor amenaza criminal desde que nació en 2007, el año en que Netflix comenzó a transmitir. La razón es clara. En los últimos cuatro años, el streaming de vídeo no ha parado de crecer hasta convertirse en la forma habitual de “ver la televisión” y alcanzar los 1100 millones de suscripciones en todo el mundo el año pasad. La piratería de vídeo, que lleva décadas robando los ingresos de la industria cinematográfica, ha crecido al mismo ritmo que las suscripciones y ahora puede ser tan rentable para los atacantes como el robo de los sistemas bancarios online. (Y gracias a un intercambio desenfrenado de credenciales, es mucho más fácil).

Nosotros hemos investigado lo rentable que es y hemos descubierto que, solo en EE.UU. supera los mil millones de dólares al año, y que se embolsan otros mil millones de euros en Europa. No es fácil obtener estimaciones fiables para Asia, pero los datos indican que el porcentaje de personas que participan en esa piratería llega hasta el 45 % en algunos países.

Yousef Al-Obaidly, CEO de Media Group en beIN, el mayor licenciatario de derechos deportivos del mundo, resumió la situación en la siguiente advertencia ya en octubre de 2019:

“La famosa burbuja de los derechos de los medios está a punto de estallar [porque] la piratería se ha extendido a todos los rincones del planeta y a todas las esferas de la sociedad. Vivimos ahora en un mundo en el que los derechos de emisión exclusivos son, de hecho, no exclusivos en absoluto [y] la verdad es que ha pillado al sector totalmente sin preparar. La industria y los titulares de los derechos, en particular, se dirigen inequívocamente hacia un precipicio financiero. El propio modelo económico de nuestro sector deberá cambiar por completo”.

Impacto en entretenimiento y la economía en general

El año pasado, Global Innovation Policy Center (GIPC) estimó que la piratería online en todo el mundo supone para la economía estadounidense una pérdida de ingresos de entre 26.500 millones y 63.000. 000 millones de euros, aproximadamente, cada año. Estas estimaciones, especialmente al tratarse de rangos tan amplios, deben tratarse con el escepticismo que corresponde. Los detalles importan. Pero de lo que no cabe duda es de que hay costes reales, y no solo para los resultados económicos de los proveedores del sector de los medios y el entretenimiento.

David Hirschmann, presidente y CEO de GIPC, comentó lo siguiente en 2019: “La piratería de vídeo digital provoca importantes pérdidas a la economía estadounidense, perjudicando a empresas que van desde productoras de contenido hasta empresas tecnológicas innovadoras que están impulsando la revolución de la distribución digital”. El informe de GIPC evaluó también el impacto de la piratería de vídeo digital en la ocupación en Estados Unidos y descubrió que provocaba una pérdida de entre 230 000 y 560 000 empleos en el sector cada año.

El tamaño de la amenaza se debe en parte a que la piratería adopta formas muy variadas. Consideremos esta vista general de la gama de vectores de ataque, dependiendo de si el contenido se transmite en directo o a la carta:

Vectores de ataque en la transmisión simultánea de canales de televisión y eventos en directo:

• Manipulación del software de reproducción de vídeo o del sistema operativo Android
• Grabación de pantallas durante la reproducción o la captura durante una sesión de pantalla compartida
• Interceptación de vídeo descifrado mediante los separadores HDCP conectados a decodificadores
• Uso de ataques de Credential Stuffing para acceder y utilizar información de espectadores legítimos
• Manipulación del vídeo para evitar las marcas de agua, como la recuantificación
• Transporte de vídeo fuera de un mercado determinado mediante una red privada virtual (VPN)

Vectores de ataque (a la carta):

• Filtraciones del centro de datos, que dan lugar al robo de credenciales de usuarios, claves criptográficas o contenido de vídeo
• Robo de las identificaciones de usuario del personal independiente o a tiempo completo para acceder al vídeo desde varios sistemas
• Grabación de activos físicos (con menor prevalencia en este momento) para compartir y distribuir
• Ataques a diversos sistemas de producción para tener acceso directo a los activos de vídeo
• Copia de contenido de fuentes legítimas
• Sistemas de filmación en cines
• Robo directo mediante ataques de suplantación

El camino a seguir

Hace casi 8 años, cuando empecé a trabajar en la intersección entre el streaming y la seguridad, el sector no hablaba lo suficiente sobre las amenazas a las que se enfrentaba. La seguridad era un asunto privado. Ahora, el impacto de la piratería está obligando a seguir un camino distinto.

En octubre de 2020, la Academia de Artes y Ciencias Cinematográficas de EEUU contó la historia de cómo se protege de la piratería. Los miembros internacionales de la Academia utilizan su plataforma de streaming, Academy Screening Room, para ver las posibles películas candidatas a los premios de la siguiente temporada. Pero lo que está online también es vulnerable. Con la ayuda de cuatro empresas diferentes (Brightcove, Nagra, BuyDRM sim Akamai), fueron capaces de proporcionar a sus miembros un fácil acceso a la vez que protegían su propiedad intelectual frente al robo.

Un año después, se anunció otra colaboración, esta vez entre tres empresas de seguridad y nube que trabajan juntas para ayudar a contratistas de defensa regulados y a proveedores de software a agilizar la conformidad con ATO (autorización para operar) en AWS. Esta iniciativa, anunciada el 1 de octubre de 2021 y denominada FASTTR (abreviatura de FAST ATO con Splunk, Telos y ThreatAlert para Regulated Markets), tiene como objetivo reducir el tiempo y el coste de conseguir las certificaciones de conformidad con ATO que, por ejemplo, pueden paralizar la migración de sistemas a la nube. FASTTR tiene como objetivo también ayudar a las organizaciones a cumplir más fácilmente con las cambiantes normativas sobre seguridad gubernamentales, lo que en definitiva refuerza la protección.

La prevención es un frente. La lucha es otro. Uno de nuestros clientes quiso compartir su historia, este tipo de comunicación es vital para la lucha. Como uno de los mayores distribuidores de derechos de televisión, cine y deportes en diversos países, el cliente se enfrentaba a índices de piratería de hasta el 40 % en su programación de eventos en directo.

Entre los ataques, se encontraban los siguientes:

• intercambio de enlaces y recopilación de tokens de sitios como Thop TV y Oreo TV.
• archivos de paquetes de aplicaciones Android (APK) modificados, capaces de eludir los requisitos de suscripción de los servicios.
• abuso de proxy de VPN, que permite a los espectadores eludir las restricciones geográficas.

El distribuidor puso en marcha una iniciativa para frenar la piratería con un plan de combate que sirve de modelo para el sector.

El plan se guía por tres principios:

• La solución debe funcionar a escala y ser capaz de gestionar inicios de sesión cada vez más inseguros.
• El reconocimiento en tiempo real de la situación con respecto a toda una serie de posibles vectores de ataque debe funcionar a escala lineal.
• La solución debe identificar y eliminar la actividad pirata en cuestión de minutos, no de semanas.

Dada la variedad de tácticas empleadas por los atacantes y su capacidad de cambiar en respuesta a las medidas defensivas, nosotros desarrollamos un enfoque de 360 grados con el cliente, aplicando marcos Zero Trust a una arquitectura de streaming. La batalla concluyó con éxito. Al final de un importante evento de varios días, la empresa pudo reducir la piratería en un 75 %.

Esta es la buena noticia: los servicios de streaming de vídeo pueden ganar la partida. La colaboración entre los proveedores que protegieron Academy Screening Room demuestra lo que puede ocurrir cuando ningún proveedor pretende tener la solución mágica. Cuando este espíritu de colaboración se extiende a los servicios de streaming y a los compradores de derechos, cuando compiten por el contenido, pero cooperan en la seguridad, comenzamos a ganar la guerra contra la piratería.

José Luis Muñoz

Media Specialist Akamai

Outros artigos sobre Akamai