La batalla por los espectadores: Competir contra la piratería - Secuestro de aplicaciones de vídeo

¿Comprar o construir Multi-DRM?

La gestión de derechos digitales (DRM) es la primera línea de defensa para la prevención de la piratería de vídeo OTT. Garantiza que el contenido esté cifrado, ya sea en almacenamiento, tránsito o entrega, y proporciona la clave y el identificador de contenido adecuados a los usuarios autenticados para su entorno de reproducción.

La lógica central de DRM gestiona la autenticación, la verificación de la confianza y el intercambio de claves, con el apoyo de un cliente DRM y un reproductor seguro. El cliente gestiona los derechos, la integridad del dispositivo y el control de salida, como la aplicación de HDCP para proteger todo el vídeo transmitido.

Por supuesto, diferentes dispositivos y navegadores utilizan diferentes DRM, por ejemplo Widevine (Google), PlayReady (Microsoft) y Fairplay (Apple). Dado que los servicios de streaming se basan en aplicaciones, todos son intrínsecamente multidispositivo y, por tanto, necesitan gestionar múltiples DRM nativos de cada tipo de dispositivo.

La gestión de múltiples DRM requiere un ciclo continuo de parches y actualizaciones de dispositivos, formatos y sistemas operativos. Desarrollar una plataforma de seguridad propia y centralizada y contar con un equipo de desarrollo dedicado exclusivamente a ello es una tarea ingente.

Tomemos como ejemplo un proveedor líder mundial de distribución de vídeo de extremo a extremo que actualmente gasta aproximadamente el 3% de su presupuesto de I+D en gestionar sus soluciones multi-DRM, y esto sin incluir el soporte continuo. Si se produce cualquier tipo de problema, el tiempo y el dinero invertidos internamente superarán con creces las tarifas que cobrará un proveedor.

Las empresas de seguridad tienen la experiencia y la capacidad necesarias para ofrecer un enfoque escalable de la gestión multi-DRM. En el mundo del streaming no hay grandes márgenes. La capacidad de cubrir de forma eficiente y eficaz las necesidades de DRM en todas las plataformas puede externalizarse eligiendo un proveedor en función del precio, las características, la reputación y la complejidad de los servicios. Independientemente de cómo se seleccione al proveedor, seguir este camino siempre será mucho más seguro, más fácil de implementar y más rentable.

El coste total de propiedad de gestionar un departamento de seguridad restará tiempo y recursos a la competencia principal de su empresa y, a menos que exista una razón muy específica para hacerlo, las cifras no cuadran.

Peligros del secuestro de aplicaciones

Las aplicaciones multimedia ofrecen muchas oportunidades a los piratas. El objetivo clave es evitar que la aplicación se utilice como punto de acceso ilícito. Las aplicaciones multimedia son un punto de acceso para al menos media docena de actividades ilegales.

El reempaquetado o clonación de aplicaciones es actualmente uno de los ataques más comunes. Android es especialmente propenso a ello, ya que un estudio analizó 1,7 millones de aplicaciones gratuitas de Android y descubrió que menos del 25% había utilizado algún tipo de ofuscación de código, lo que significa que su aplicación puede leerse, copiarse y manipularse muy fácilmente. Además, el porcentaje de aplicaciones que utilizan un blindaje robusto más allá de la simple ofuscación es significativamente menor.

Otras investigaciones de este estudio mostraron que la mayoría de los encuestados de los 70 desarrolladores participantes no protegieron una aplicación de muestra, y muchos creyeron que realmente lo habían hecho. Aplicaciones muy populares con más de 10 millones de descargas utilizaron la ofuscación sólo el 50% de las veces. No son grandes probabilidades.

Ahora es esencial proteger las aplicaciones de streaming, así como el contenido de vídeo que se transmite. Sin una protección suficiente del código, cualquier aplicación puede ser sometida a ingeniería inversa, creando un clon con diferentes intenciones:

Robo de ingresos

• Se puede crear una aplicación de imitación ilegal para vender suscripciones, salvo que los ingresos de las suscripciones van a parar a los piratas informáticos.
• Los piratas informáticos pueden optar por colocar su propia publicidad en los contenidos, con lo que los ingresos publicitarios vuelven a ser para ellos.

Robo de datos

• La aplicación puede instalar código malicioso, registrar contraseñas u otra información confidencial o personal.
• Los piratas informáticos pueden ir tras los datos de los usuarios almacenados en bases de datos backend.
• La capacidad de replicar credenciales también puede crear un punto de acceso a otros datos corporativos.

Robo de contenidos

• El contenido de la aplicación puede redistribuirse. Se utilizan credenciales reales para iniciar sesión y, a continuación, un grabador en la nube puede capturar y enviar el contenido a otro lugar para su retransmisión.

Vulnerabilidades de la API

El uso de API ha facultado a los dispositivos para hacer peticiones a los servicios de backend, sustituyendo la práctica anterior de que el procesamiento de backend se produjera prácticamente aislado detrás de un perímetro de seguridad de confianza con todo el acceso externo muy controlado. El uso resultante de las API puede proporcionar inadvertidamente un acceso sin oposición a lo que se supone que son datos seguros.

Según Identity Force, un proveedor de protección de identidades, las vulnerabilidades de API y otros códigos han dejado al descubierto cantidades ingentes de datos en varias empresas. Solo en 2020, importantes empresas han sufrido filtraciones de datos de sitios web y aplicaciones, entre ellas Microsoft, MGM Resorts, T-Mobile, GE y las fuerzas de seguridad de Estados Unidos.

A medida que el perímetro de seguridad se ha ido ampliando en función de los estilos y enfoques de desarrollo de software, el blindaje de aplicaciones se ha convertido en una parte fundamental de la estrategia de seguridad actual. Se trata de prevenir y, lo que es más importante, de mantener la reputación de marca que tanto le ha costado forjarse con sus clientes.

Nuevos requisitos para las aplicaciones de vídeo

Los estudios de cine están empezando a exigir la seguridad de las aplicaciones en sus contratos de licencia, del mismo modo que hacen con los DRM, que tienen dos componentes:

• Ofuscación: hacer que el código sea difícil de leer y entender, lo que lo protege del análisis estático.
• Comprobaciones del entorno: para garantizar que la aplicación sólo se ejecuta en un dispositivo de confianza y no se ha cargado lateralmente en otro lugar.

Los operadores pueden ir un paso más allá. Para confiar en que el código base se ejecuta según lo previsto por el desarrollador, los operadores también pueden implantar tecnología antimanipulación. Con ella, se bloquea cualquier intento de un atacante de eludir las medidas de seguridad o modificar el código. Esto aumenta enormemente el nivel de seguridad de toda la aplicación.

Al diferenciar las aplicaciones de vídeo para móviles con técnicas de blindaje de aplicaciones, puede demostrar que utiliza las mejores prácticas para proteger los contenidos. Por lo tanto, puedes acceder a una biblioteca de contenidos mayor y mejor que la de tu competencia y, así, contribuir al crecimiento de tu negocio.

Esta es la Parte II de una serie de cinco partes dedicada a ayudar a los proveedores de servicios de streaming a comprender dónde se encuentran sus vulnerabilidades de seguridad y qué métodos de seguridad protegerán mejor, y en última instancia mejorarán, sus negocios de la manera más rentable. Revise la Parte I aquí.