Todas las soluciones de streaming OTT son vulnerables a ataques maliciosos. El uso de DRM es esencial para proteger el contenido, ya que garantiza que el contenido no se exponga a la vista y siempre requiere una clave para descifrarlo. La DRM autoriza el acceso de acuerdo con las normas de seguridad y de negocio dentro de las aplicaciones de reproducción de vídeo. Sin embargo, la DRM no es infalible, y ciertas arquitecturas OTT de extremo a extremo tienen puntos débiles que los piratas pueden explotar fuera del reproductor de vídeo.

Un exploit común y directo es la captura de un token de autorización de usuario/dispositivo válido a partir de una solicitud de licencia DRM. La reutilización de este token permite a un simple reproductor web solicitar una clave válida para reproducir el contenido. Mientras el token siga siendo válido, cualquier número de reproductores podría solicitar nuevas licencias DRM, lo que llevaría al descifrado del contenido.

La extracción de tokens y la creación de una solicitud de licencia DRM válida son relativamente sencillas en reproductores web y televisores inteligentes. Los descodificadores (STB) son menos vulnerables, pero no están totalmente exentos de riesgos. Aunque este tipo de ataque es sencillo y bien conocido incluso por los piratas novatos, y a pesar de ser detectable, puede ser difícil de detener sin actualizar toda la solución de extremo a extremo.

Para minimizar la piratería o hacerla inviable, pueden aplicarse varias estrategias, no excluyentes entre sí.

Uso del modo de imposición de dispositivos

Verimatrix Video Content Authority System (VCAS) ofrece un modo de aplicación que limita el uso compartido de URL y tokens de solicitud de licencia limitando el número de dispositivos que puede tener un usuario. La solución Verimatrix supervisa los dispositivos existentes asignados a un usuario y bloquea las solicitudes cuando se supera el límite máximo de dispositivos. La identificación del dispositivo está vinculada de tal forma que si hay una discrepancia entre la información DRM y el identificador del dispositivo, se rechaza la solicitud de licencia, impidiendo que se comparta entre dispositivos.

Consideraciones

Los navegadores web y algunas implementaciones de Android pueden cambiar los identificadores tras la reinstalación, las actualizaciones o la limpieza de la caché. Esto puede dar lugar a falsos positivos, contabilizando erróneamente el cambio de identificación como un nuevo dispositivo cuando se trata de una acción del usuario. Esto daría lugar a que los usuarios alcanzaran los límites de dispositivos de forma no intencionada. Para minimizar o evitar por completo el impacto en el consumidor, existen diferentes enfoques para esta implementación:

  • Desactivar la navegación privada/de incógnito al ofrecer servicios de vídeo, ya que puede crear un nuevo ID de dispositivo con cada solicitud. Esto ya lo hacen la mayoría de los grandes proveedores de streaming OTT de todo el mundo.
  • Gestione este tipo de actualizaciones de identificadores de dispositivos mediante la lógica de software para permitir un rango aceptable de cambios. Por ejemplo, Verimatrix VCAS puede configurarse para permitir a los operadores establecer un número máximo de cambios para los navegadores web en un periodo determinado.
  • Utilice los servicios de anti-piracy para detectar y desactivar inmediatamente las fichas pirateadas, impidiendo su distribución.

Fichas efímeras

Los tokens de autenticación se utilizan ampliamente en varios despliegues para la autorización de acceso a servicios. Estos tokens, firmados por el operador mediante una clave privada, se validan en todos los sistemas con una clave pública. Este método verifica eficazmente que las solicitudes proceden de usuarios o dispositivos legítimos. Sin embargo, para minimizar la carga de los sistemas de generación de tokens, a menudo se permite a los dispositivos reutilizar los tokens durante largos periodos. Esta práctica puede dar lugar a que los piratas adquieran y utilicen estos tokens en dispositivos no autorizados para acceder a contenidos. Reducir la vida útil de estos tokens puede dificultar significativamente los esfuerzos de piratería masiva.

Consideraciones

Cuando se utiliza una duración de validez de los tokens más corta, el sistema que los genera debe estar preparado para gestionar un volumen mucho mayor de solicitudes por dispositivo. Al diseñar una solución de este tipo, los operadores deben tener en cuenta la duración de validez del token, la población de dispositivos, el rendimiento de los dispositivos y las aplicaciones, y el tráfico aceptable de solicitudes.

Los piratas más sofisticados pueden idear formas de regenerar tokens continuamente y distribuirlos. Se recomienda disponer de mecanismos como los servicios anti-piracy o la detección de anomalías para identificar y evitar este tipo de comportamiento.

Aumento de la robustez de las aplicaciones y de las capacidades de aplicación

Los piratas suelen atacar los puntos de entrada más vulnerables, que a menudo se encuentran en aplicaciones o navegadores. Para evitar las modificaciones, la clonación, la identificación o la depuración, y para mejorar el control del operador sobre la aplicación, implementar una solución como la de Counterspy de Verimatrix es esencial, ya que proporciona mecanismos para disuadir eficazmente la piratería al más alto nivel, al tiempo que recopila información fiable sobre el dispositivo que ayuda a gestionar el acceso a las aplicaciones.

Consideraciones

Aunque esta solución puede no ser del todo suficiente por sí sola, sirve como un excelente complemento a otros mecanismos como el modo de aplicación de dispositivos y los tokens de corta duración. La incorporación de capacidades de aplicación y la mejora de la robustez de las aplicaciones podrían permitir una duración más indulgente de los tokens de autenticación o la relajación de las reglas de los dispositivos. Este enfoque no sólo mejora la experiencia del usuario, sino que también reduce potencialmente el tráfico total de solicitudes y mejora el rendimiento de las aplicaciones.

Conclusión

Al igual que en nuestra vida cotidiana, donde una mayor seguridad protege mejor nuestros objetos de valor, pero también conlleva limitaciones necesarias, el mismo principio se aplica en el ámbito de los contenidos de vídeo. Los operadores deben sopesar cuidadosamente la posible pérdida de ingresos frente a la aplicación de diversas medidas de seguridad. Una vez que los usuarios encuentran un acceso fácil y gratuito a los contenidos, persuadirles para que paguen por ellos se convierte en un reto importante. Por ello, Verimatrix aconseja emplear múltiples capas de seguridad, como el modo de aplicación de dispositivos, tokens de corta duración y sólidas herramientas de aplicación, para preservar el valor de los flujos de vídeo ofrecidos a los consumidores.

Dada la naturaleza permanente de la seguridad, el mero cierre de una puerta no garantiza la seguridad general. Los operadores deben evaluar continuamente las vulnerabilidades, vigilar los comportamientos inusuales de los usuarios y evaluar el rendimiento operativo. Este enfoque proactivo permite desplegar mecanismos eficaces para mitigar las pérdidas de ingresos debidas a la piratería.