¿Cómo logran los piratas informáticos burlar la protección de Netflix y otras plataformas?

Pero entre bastidores, se libra una batalla entre corporaciones multimillonarias (Netflix, Disney+, etc.), armadas con algoritmos de cifrado de última generación, y grupos de piratería que buscan la manera de hacerse con contenido gratuito.

Cuando una nueva serie que se estrenó hace apenas unas horas aparece en sitios web piratas, uno solo puede preguntarse cómo los piratas logran burlar a los gigantes del cine una y otra vez. Son incluso más exitosos que grupos piratas que preparan "cracks" para juegos.

¿Qué es DRM?

Para entender cómo los piratas informáticos burlan la protección, primero debemos comprender qué es lo que atacan. El acrónimo clave es DRM (Gestión de Derechos Digitales). Podríamos decir que es una especie de candado, pero es una generalización excesiva. En esencia, se trata de todo un ecosistema de protocolos que determinan quién puede ver cierto contenido, dónde y cómo.

El sistema más extendido es Widevine de Google, utilizado por la mayoría de las plataformas de streaming (Netflix, Disney+, HBO Max). También existen FairPlay de Apple y PlayReady de Microsoft. Estos sistemas funcionan cifrando el archivo de vídeo, que el navegador o dispositivo inteligente solo puede desbloquear con una clave digital válida.

L1, L2, L3... ¿Qué significan estas marcas?

Widevine L3 es el nivel de protección más débil. El descifrado se realiza completamente a nivel de software (en el navegador). Dado que las claves viajan a través de la memoria del sistema, son relativamente fáciles de interceptar. ¿El resultado? Netflix limita la resolución a 480p o a un máximo de 720p en dispositivos con protección L3.

Widevine L1 es la solución definitiva para la protección DRM. El descifrado se realiza en un entorno de procesador seguro y aislado (TEE). Las claves nunca salen del hardware en un formato legible. Esto permite la reproducción en 4K con soporte HDR.

Los piratas informáticos no se molestan en descifrar el algoritmo AES-128 (Estándar de Cifrado Avanzado de 128 bits), uno de los algoritmos de cifrado de datos más utilizados en el mundo. Con la capacidad informática actual, eso llevaría milenios. En cambio, buscan maneras de sortearlo.

Un ataque directo al corazón mismo del hardware.

Las recientes revelaciones en el ámbito de la seguridad, en particular investigaciones como el proyecto Wideshears, han demostrado que ni siquiera la capa L1 es impenetrable. Mientras que los métodos anteriores se basaban en la interceptación de claves mediante software (L3), Wideshears ataca directamente el Entorno de Ejecución Confiable de Qualcomm (QTEE).

Wideshears explota vulnerabilidades en las llamadas Aplicaciones de Confianza (TA, por sus siglas en inglés) que se ejecutan dentro del procesador. Los hackers han descubierto que pueden provocar fugas de información mediante comandos específicos en la memoria.

El proceso implica la búsqueda de vulnerabilidades en el TA, lo que significa que deben identificar errores en el código que gestiona las claves dentro del área segura del procesador. A continuación, deben extraer la denominada clave raíz o Keybox, que es única para cada dispositivo. Con ella, los piratas informáticos pueden recrear todo el proceso de descifrado en su ordenador. Finalmente, se realiza la extracción del SFS (Almacenamiento Seguro de Archivos). Con la ayuda de Wideshears, los investigadores y los piratas informáticos lograron obtener datos del área de almacenamiento seguro, donde se guardan los certificados más protegidos.

Esto significa que los piratas ya no necesitan acceso físico a la pantalla para "grabar", sino que pueden descargar directamente el archivo 4K original y sin adulterar utilizando estas llaves de hardware robadas.

¿Quién tiene más munición?

La mayoría de las versiones piratas modernas etiquetadas como WEB-DL se basan en el uso de claves CDM (Módulo de Descifrado de Contenido) robadas. Grupos piratas (EVO, NTG o células más recientes de Anonymous) utilizan vulnerabilidades en dispositivos Android específicos para realizar el llamado volcado de CDM, que consiste en explotar fallos de seguridad en el núcleo del sistema operativo para extraer las claves de descifrado del procesador.

Una vez que el grupo pirata obtiene una clave Widevine L1 válida, su software puede convencer a los servidores de Netflix de que su ordenador es en realidad un televisor inteligente certificado o un teléfono inteligente de gama alta. El servidor envía entonces el vídeo con la máxima calidad posible (4K, Dolby Vision), que los piratas simplemente almacenan sin cifrar utilizando la clave robada.

Netflix y Google no están indefensos. Cuando detectan que un certificado se utiliza para la piratería masiva, lo revocan, razón por la cual la piratería de películas y series, especialmente en resolución 4K, se ha convertido en una cuestión económica y de inventario. Cada clave CDM (certificado) robada que permite el acceso a contenido 4K tiene su propia vigencia. Tan pronto como un grupo pirata publica una película en 4K, los sistemas de seguridad de Netflix detectan el uso de este certificado y lo bloquean en cuestión de días (a veces horas).

Por eso, los grupos piratas suelen reservar sus mejores claves L1 para grandes estrenos (una nueva temporada de Stranger Things o House of the Dragon). Las series menos importantes se lanzan solo en 1080p, lo que utiliza las claves L3, menos valiosas y más fáciles de reemplazar. A esto lo llaman "ahorrar munición".

Cuando Netflix y otras plataformas ganan terreno, los grupos piratas se ven obligados a lanzar archivos etiquetados como WEB-Rip. Para ello, utilizan potentes tarjetas de captura que interceptan la señal de vídeo al salir del dispositivo mediante un cable HDMI. Si bien estos dispositivos cuentan con HDCP (Protección de Contenido Digital de Alto Ancho de Banda), existen divisores que eliminan esta protección. La imagen se vuelve a codificar, lo que provoca una pérdida mínima de calidad, pero para los puristas de la piratería, WEB-Rip nunca alcanza el estatus de WEB-DL.

¿O piratas? horas y horas ¿Están viendo la televisión?

Por supuesto que no. Imagínense si las personas tuvieran que descifrar manualmente cada serie o película que aparece en las plataformas de streaming. Imposible. En cambio, utilizan scripts que automatizan en gran medida el proceso.

El script inicia sesión en Netflix con una cuenta válida (robada o comprada). Recupera automáticamente los metadatos, selecciona el contenido y comprueba todos los idiomas de subtítulos y audio disponibles. Al autorizar la licencia, utiliza una clave CDM válida de la base de datos. A continuación, descarga fragmentos de vídeo cifrados, que descifra en tiempo real y ensambla en un archivo final (normalmente en formato .mkv). Una vez listo, el archivo se sube automáticamente a servidores privados (seedbox), desde donde se distribuye a sitios públicos y privados mediante torrents.

¿Cuánto tiempo dura todo el proceso? Cinco minutos o menos para un episodio de 45 minutos de la serie.

¿Por qué Netflix no logra frenar la resistencia a la piratería?

Puede parecer extraño que empresas con presupuestos multimillonarios no puedan detener a un grupo de hackers. La razón reside en la propia naturaleza de la distribución digital. Para que un usuario pueda ver el contenido, su dispositivo debe descifrarlo. Y siempre que se descifra el contenido, existe la posibilidad teórica de que este proceso sea interceptado.

Además, Netflix libra una batalla en mil frentes. Debe dar soporte a todo, desde los últimos iPhones hasta televisores inteligentes de hace 10 años y reproductores multimedia Android baratos de China. Cada uno de estos dispositivos representa un posible punto débil. Si Netflix bloquea por completo el acceso a todos los dispositivos excepto los más seguros, perderá millones de suscriptores con equipos más antiguos. Los piratas informáticos aprovechan esta brecha entre seguridad y accesibilidad.

La inteligencia artificial también está ayudando a los piratas.

En los casos excepcionales en que los grupos de piratería no logran burlar a los gigantes del streaming y mantener las películas y series en 4K fuera de su alcance, aún existe la opción del "escalado". Como mencionamos anteriormente, el contenido en 1080p es mucho más fácil de interceptar que el contenido en 4K. En este caso, se pueden usar modelos de interfaz de usuario para aumentar artificialmente la resolución a 4K, eliminando el ruido y mejorando la nitidez.

En ocasiones, los resultados son tan buenos que el usuario medio no puede distinguir la diferencia entre la transferencia 4K original y la grabación mejorada mediante la interfaz de usuario.

Las marcas de agua se ocultan en lo profundo de los píxeles.

Debido a que la protección tecnológica suele fallar, Netflix y otras empresas están recurriendo al marcado forense. Se trata de firmas digitales invisibles integradas en la señal de vídeo. Estos caracteres son únicos para cada suscriptor o región.

Si aparece una copia pirata en línea, los ingenieros de Netflix pueden analizar el archivo y determinar de qué cuenta se robó el contenido. Sin embargo, los piratas han desarrollado contramedidas: algoritmos que comparan varias grabaciones diferentes del mismo contenido y eliminan los elementos que no son comunes a todas ellas (por ejemplo, las marcas de agua).

¿Puede esta guerra tener un ganador definitivo?

La batalla por descifrar Netflix es un ejemplo clásico de carrera armamentística tecnológica. Cada vez que las corporaciones levantan un muro más alto, los piratas utilizan una escalera más larga o construyen un túnel subterráneo. Si bien los sistemas DRM como Widevine L1 son extremadamente avanzados, la seguridad perfecta no existe.

Probablemente no habrá un ganador definitivo en esta guerra. Hace una década, al comienzo de la industria del streaming, se decía que la piratería estaba a punto de desaparecer. No porque no pudieran burlar la protección, sino porque la oferta legal era buena y accesible. Desde entonces, todos los proveedores de contenido en streaming han subido los precios, reducido la oferta, la han fragmentado, etc. La idea de tener que suscribirse a tres o más plataformas ya no es tan atractiva (ni barata) como antes.

Y esto no hace más que alimentar la piratería, que está volviendo a estar en auge.