Ha implementado una solución DRM en su aplicación de reproducción premium. El contenido de primera clase que proporcionará su aplicación está seguro y protegido, y sólo los espectadores autorizados pueden acceder a él. ¿Es así? Pues no.
Hasta hace poco, los propietarios de contenidos exigían principalmente que sus valiosos activos de vídeo estuvieran protegidos por soluciones de seguridad DRM en aplicaciones de terceros, pero los tiempos están cambiando. A medida que la tecnología evoluciona, los ciberataques se vuelven más sofisticados y la piratería ya no es el único problema del que deben preocuparse los propietarios de derechos. Una vez que la DRM ha hecho su trabajo para ofrecer experiencias de visionado seguras y autorizadas, el dispositivo del usuario sigue representando un riesgo.
Hace tiempo que se aboga por soluciones de protección de contenidos como la DRM, pero la protección de los ingresos significa cada vez más ir más allá. Las aplicaciones que despliegan los servicios de streaming forman parte de los ecosistemas tanto como los servidores a los que se conectan, y también deben protegerse.
Verimatrix realizó una evaluación de 14 aplicaciones multimedia populares de Android para comprender mejor el estado de la seguridad de las aplicaciones de streaming. Los alarmantes resultados se publican en nuestro eBook, "Media App Vulnerabilities Exposed". Me senté con Neal Michie, Director de Gestión de Productos de Verimatrix, para desentrañar los datos y obtener más información sobre la historia detrás de los resultados.
P: Los resultados de la evaluación de Verimatrix muestran que sólo el 7% de las aplicaciones de streaming probadas alcanzaron el nivel de protección básico. Por qué cree que a menudo se pasa por alto la seguridad de las aplicaciones multimedia?
R: Es fácil decir "ingenuidad", pero creo que sería injusto con las personas tan brillantes que trabajan en seguridad en los medios de comunicación. Creo que la realidad es que la seguridad de las aplicaciones móviles se encuentra en una brecha. Los equipos de riesgo/seguridad tradicionales se centran en la seguridad del back-end, mientras que los equipos de desarrollo móvil suelen creer que su solución DRM es suficiente para proteger el contenido, y lo es. Pero el contenido no es el único activo que hay que proteger en una aplicación de streaming, aunque quizá sea el más obvio.
El problema es que, al no haber ningún factor externo que obligue a los propietarios de aplicaciones de medios de comunicación a prestar atención a la seguridad de las aplicaciones, a menudo se pasa por alto hasta que es demasiado tarde.
P: ¿Cuál es el mayor error de concepto que tienen los desarrolladores sobre la seguridad de las aplicaciones de streaming?
R: El mayor error que tienen los desarrolladores sobre la seguridad de las aplicaciones de streaming es pensar que el DRM es suficiente. No es así. El DRM es más seguro si no puede aislarse del resto de la aplicación.
Cualquier ataque empezará con ingeniería inversa (entender la aplicación a atacar). La ingeniería inversa es mucho más fácil si se puede identificar y aislar rápidamente la parte interesante del software. Un atacante puede entonces centrarse en el código que le interesa e ignorar el resto.
También es importante darse cuenta de que en estas aplicaciones hay muchos datos y propiedad intelectual valiosa más allá del flujo de contenidos. Las aplicaciones de streaming también contienen información sobre pagos, datos personales, lenguaje de programación y secretos empresariales. Proteger todos estos activos es fundamental para salvaguardar los ingresos y mantener la confianza de los clientes.
P: ¿Qué tipo de nuevas protecciones exigen los proveedores de contenidos para las aplicaciones de vídeo OTT? ¿Qué pueden hacer los desarrolladores de aplicaciones para cumplirlas rápidamente?
R: A los proveedores de contenidos les interesa mucho que sus contenidos no sean pirateados, lo cual es comprensible, ya que gastan mucho dinero en crearlos. Los proveedores cuentan con equipos de seguridad y riesgos bien dotados que analizan su ecosistema en su totalidad. Están formados para detectar lagunas y vulnerabilidades, y refuerzan sus mandatos cuando detectan un riesgo.
Hasta ahora, los mandatos suelen proceder de estudios individuales y no de MovieLabs u otras organizaciones reguladoras; y los propietarios de contenidos parecen considerar que todas las plataformas entrañan el mismo riesgo.
Estos mandatos suelen adoptar la forma de "normas de robustez", que son condiciones técnicas que un licenciatario (por ejemplo, un desarrollador de aplicaciones o un proveedor de servicios) debe cumplir. Las normas de robustez suelen exigir implementaciones que dificulten la fractura de las capas de seguridad del sistema. Esto adopta la forma de ofuscación comercial y comprobaciones ambientales, dos métodos de seguridad que protegen el código, las API, los datos y otros activos valiosos dentro de la aplicación.
En un mundo perfecto, sería posible hacer referencia a un conjunto exacto e invariable de requisitos para distintos términos (por ejemplo, ventana de publicación, nivel de calidad de los contenidos, tipo de red, tipo de dispositivo cliente, normas de uso). Por desgracia, no es así. Las ambigüedades y sutilezas sobre las tecnologías de seguridad abundan, y cambian con el tiempo.
Lo que sí sabemos es que las ventanas de estreno de los estudios se están reduciendo debido a diversas presiones del mercado y acontecimientos actuales (como COVID-19 y el cierre de muchos cines), mientras que la calidad de reproducción y el ancho de banda están aumentando. Esto ha llevado a un endurecimiento general de los mandatos de seguridad. Cuanto antes se produzca el estreno, más valioso será el contenido y más estrictos serán los requisitos de seguridad.
P: ¿Cree que los nuevos mandatos de seguridad exigidos por los estudios serán suficiente impulso para proteger las aplicaciones de streaming?
Soy optimista, así que sí. Hemos visto en otras industrias que cuando las normas de seguridad están bien definidas y existe un requisito coherente para seguirlas, entonces consiguen una adopción casi universal.
Esto ha demostrado ser bueno para estas industrias. Las responsabilidades de todos están claramente definidas, hay igualdad de condiciones para todos los participantes y una mala aplicación no daña la reputación de la industria para todos.
P: A través de sus conversaciones con los desarrolladores de aplicaciones, ¿cree que son conscientes de estos mandatos y de las herramientas que tienen a su disposición?
R: Respuesta corta: no. Y si los desarrolladores son conscientes de las obligaciones y las herramientas disponibles, se trata sólo de un conocimiento superficial. De hecho, si se pregunta a muchos desarrolladores si protegen sus aplicaciones, su comprensión de lo que constituye "protección" es muy diferente de la de un responsable de seguridad, un director de tecnología o un CISO.
Cuando un profesional de la seguridad pregunta si una aplicación está protegida, lo que realmente quiere saber es si una aplicación está a salvo de la ingeniería inversa. Cuando un desarrollador de aplicaciones dice que una aplicación está protegida, suele referirse a que ha empleado las herramientas gratuitas que vienen con Android Studio. Sin embargo, estas herramientas se describen en la comunidad Android como "optimizadores" en lugar de "protectores". Es más, estas herramientas hacen muy poco para evitar que un hacker intente aplicar ingeniería inversa al código de la aplicación: simplemente presentan un pequeño obstáculo.
P: ¿Qué es lo más sorprendente que ha encontrado durante la evaluación de seguridad de 14 populares aplicaciones de streaming?
R: Lo que más me sorprendió fue que muchas aplicaciones ni siquiera emplean las herramientas gratuitas (como Proguard y R8) que vienen con los kits de desarrollo. La tasa de uso de estas herramientas de seguridad gratuitas estaba por debajo de las normas de desarrollo móvil. Aunque la protección ofrecida es mínima, es mejor que nada; y dado que el coste de activar estas herramientas es cero, parece negligente no activarlas. El tiempo y el esfuerzo necesarios para configurar estas herramientas son insignificantes -por lo general, esta tarea llevaría alrededor de medio día para la mayoría de las aplicaciones-, por lo que realmente no hay excusa para no utilizarlas.
P: ¿Cómo desarrollaron Verimatrix y UL la escala de calificación utilizada en la evaluación de seguridad?
R: A menudo es difícil cuantificar la ciberseguridad, ya que se trata de una cuestión compleja que consta de muchas capas, factores y posibles vectores de ataque. Para ayudar a las empresas a evaluar sus medidas de seguridad, Verimatrix desarrolló inicialmente la escala de clasificación de la seguridad de las aplicaciones como parte de una investigación sobre el estado de la seguridad de la banca móvil (puedes consultar el eBook aquí).
Durante nuestra investigación, descubrimos que las mejores normas para la seguridad de las aplicaciones eran las establecidas por Visa y Mastercard para la seguridad de los pagos móviles. Sus normas son exigentes, pero prácticas y bien definidas, lo que significa que el implementador no tiene que dedicar excesivo tiempo y recursos a desentrañar cada normativa. Utilizamos sus normas como ejemplo de buenas prácticas, lo que equivale aproximadamente a una calificación B en la escala Verimatrix /UL.
Lea el libro electrónico para saber cómo reducir las vulnerabilidades de las aplicaciones multimedia
El nuevo eBook, "Media App Vulnerabilities Exposed", analiza en profundidad los hallazgos de Verimatrix y ofrece soluciones prácticas para garantizar la seguridad de las aplicaciones de reproducción premium. A medida que el uso de aplicaciones multimedia se dispara y los ciberataques se vuelven más sofisticados, es imperativo proteger algo más que el contenido. Descargue el libro electrónico para obtener más información y mejorar su enfoque de seguridad.
Ebook
Vulnerabilidades de las aplicaciones multimedia al descubierto
El 93% de las aplicaciones multimedia OTT para Android no están preparadas para los nuevos requisitos de seguridad.
