Los contenidos de pago de Nubeox, Wuaki.tv y Total Channel se pueden piratear

Tras la aprobación de la reforma de la Ley de Propiedad Intelectual y el cierre o reconversión de páginas como Series Yonkis, Series Pepito o Series.ly, los llamados videoclubs 'online' están de enhorabuena: si la oferta ilegal de contenidos disminuye, el número de usuarios dispuestos a pagar debería ir en aumento.

Sin embargo, son muchos los obstáculos que deben salvar estas plataformas si quieren ocupar el hueco que aún no cubre en España la reina del sector: la estadounidense Netflix, siempre tan cerca y a la vez tan lejos. Por un lado, negociar los derechos de explotación con las productoras para ofrecer un catálogo decente a un precio asequible; por el otro, mantener a raya a los piratas.

No hablamos de descargas más o menos ilegales; hablamos de piratería como la de antaño, cuando se usaba una tarjeta para descodificar el Canal +. Una investigación de Adrián Villa, analista de Tarlogic Security, ha revelado que las emisiones en directo y las películas y series del catálogo de varios videoclubs 'online', normalmente accesibles previo pago de una tarifa mensual, se pueden ver totalmente gratis.

Este joven gallego ha demostrado en el congreso de seguridad informática Rooted CON que es técnicamente viable para una persona con los conocimientos necesarios (“no es algo que necesites ser un fuera de serie para hacerlo”) desarrollar una plataforma pirata replicando el contenido de al menos tres videoclubs de pago: Nubeox (del grupo Atresmedia), Wuaki.tv (propiedad del gigante japonés Rakuten) y Total Channel.

“Cualquiera con tiempo y que busque beneficio económico va a ser capaz de hacerlo”, explica Villa a HojaDeRouter.com. De hecho, no hay que derribar la puerta para entrar en los servidores de estas plataformas; solo hay que saber aprovechar sus puntos débiles para colarse utilizando como punto de partida una cuenta legítima. “No se ha usado nada ilegal ni se ha hecho ningún ataque a las aplicaciones”, asegura.

El talón de Aquiles de estos servicios en la 'nube' está en su propia naturaleza: sirven tal cantidad de contenido multimedia que, para asegurar un visionado de calidad a sus miles de clientes (sin cortes ni esperas prolongadas), necesitan desplegar una red de copias alrededor de su servidor central, que de otro modo se colapsaría.

Esta arquitectura, conocida como CDN, presenta una importante desventaja en el caso de los videoclubs 'online': en aras de la eficiencia, prescinden de mecanismos de identificación como las 'cookies' que se generan al inicio de sesión. Para no tener que replicar las credenciales en cada punto de la red, dejan casi toda la seguridad en manos de la famosa licencia DRM.

“Ellos tienen en sus redes CDN el vídeo en fragmentos, y tú vas descargando cada fragmento de vídeo”, ilustra Villa. “No los puedes ver porque están protegidos por la licencia de DRM, pero si el servidor de DRM tiene algún 'flequillo' de configuración, puedes obtener la licencia del que quieras”.

El procedimiento concreto varía en función del videoclub, pero en todos los casos la llave está en el reproductor de vídeo. Adrián se ha dedicado a 'desmontarlos' para entender su funcionamiento: ¿qué información pide el servidor? ¿Cómo responden? ¿La contestación es siempre la misma?

Básicamente, cuando alguien se conecta a estos servicios para disfrutar de una emisión en directo, una película o el episodio de una serie, el reproductor envía una serie de parámetros al punto más cercano de la red CDN, entre ellos la dirección del vídeo, la del servidor DRM y un 'token' de acceso único. Si son correctos, deducirá que el usuario que pretende conectarse es legítimo (que ha pagado) y empezará a mandarle el contenido que quería ver.

En el caso de Nubeox, el proceso es tan sencillo como solicitar los 'tokens' con una cuenta legítima y después enviarlos desde los reproductores modificados del videoclub pirata para que el resto de usuarios accedan de forma gratuita. Con Total Channel el procedimiento es similar, solo que Adrián ha tenido que desarrollar su propio reproductor porque el original emplea la tecnología Silverlight de Microsoft (algo más compleja que Flash o HTML5).

Acceder a contenidos de Wuaki.tv resultó ligeramente más difícil. El servicio de Rakuten comprueba también la dirección IP que está solicitando el 'token': si siempre es la misma - la del usuario legítimo -, saltan las alarmas. Sin embargo, Villa descubrió que era posible engañar al servidor enviando la IP del usuario del videoclub pirata a través de una cabecera del protocolo HTTP conocida como X-Forwarded-For (XFF). “El problema es que los servidores frontales aceptan esa cabecera y no deberían hacerlo”, afirma el investigador.

Distinto es el caso de Netflix, que Adrián también ha investigado. “Implementan protocolos propios de DRM, de gestión de cifrado... Todo propio”, indica el analista, que no ha logrado esquivar su protección. El gigante estadounidense invierte en seguridad, y eso se nota. Si las plataformas españolas pretenden ocupar su hueco, tendrán que ponerse las pilas: la televisión de pago, sin seguridad, es gratuita.

---------------------------

Las imágenes de este artículo son propiedad de HojaDeRouter.com, Kanoha (Wikimedia Commons) y Shardayyy (Flickr)