Un fallo de seguridad que permite ver todos los canales de pago de Movistar TV sin tenerlos contratados, eso es precisamente lo que ha descubierto Aitor Magán García, especializado en el desarrollo de programación y actualmente investigador de la Universidad Politécnica de Madrid, y ahora ha hecho público. Un fallo que Telefónica ya ha corregido.
Magán explica que "una tarde, jugando con la aplicación de Movistar TV para Windows, descubrí que era capaz de ver Canal+1. Eso no tendría nada de sorprendente si no fuera por el hecho de que no lo tengo contratado. No sé cómo conseguí esto, pero me dio a entender que era posible ver los canales de TV aunque no los tuvieses contratados."
Tras la experiencia, Magán relata que se puso a experimentar para ver si era capaz de descubrir cuáles eran las URLS que usaba la compañía para hacer el streaming de sus canales, y lo consiguió.
Comenzó entonces a monitorear las peticiones de red mediante el navegador para ver qué era lo que encontraba, cuando se sorprendió porque en una de las llamadas vio que se devolvían, y cómo, las URLs de los canales.
Los canales contaban con tres direcciones de las cuales una aparecía sin ningún tipo de protección, hecho que le permitió seguir investigando, aunque posteriormente, llegó a la conclusión que "todas las aplicaciones utilizan las URLs protegidas con DRM para mostrar los canales".
Investigando, determinó que las URLs de los canales seguían un patrón determinado "todos los canales siguen un esquema muy básico: http://BXXXXX.cdn.telefonica.com/XXXXXX/NOMBRE-CANAL-ACORTADO_SUB.m3u8, donde XXXXX es un identificador aleatorio y NOMBRE-CANAL-ACORTADO el nombre del canal acortado", explica Magán.
Así tras dar con el mencionado patrón, se aventuró a averiguar cuáles eran la URLs de los canales que no tenía contratado en su plan de Movistar Fusión, y lo logró. "Sólo había dos variables: ¿cuál era el identificador? y ¿cuál era el nombre del canal acortado? La parte del identificador era la más complicada y es que es completamente aleatoria (o al menos no he encontrado ningún patrón). La única pista que podía intuir es que era un número entre 25000 y 40000. Por su parte, el nombre del canal acortado era más sencillo viendo el patrón que se había utilizado para Canal+Liga (CPLUSLG) y Canal+Champions (CPLUSCHP). Así que me decidí por usar CPLUS1. Lo único que quedaba era hacer un bucle de llamadas hasta encontrar cual era el identificador adecuado. Esto lo hice mediante un simple script en Python" y descubrió entonces la URL para ver Canal+.
Así, y conociendo la URL de cada canal, es posible ver cualquier contenido de pago extremadamente fácil, ya que que basta con insertar la dirección URL en una aplicación de visualización de vídeo como VLC.
La reacción de Movistar
Tras su descubrimiento, el investigador -que trabaja actualmente en un proyecto que permite a los proveedores controlar el acceso a sus datos- comenta que se puso en contacto con Movistar para comentarles lo que había conseguido a través del fallo que tenían. La companía estuvo hablando con Magán y éste le explicó que en el plazo de un mes haría público el fallo ya que le parecía un logro interesante para su experiencia laboral.
Varios días después de comentar el fallo a la operadora, Magán comenzó a comprobar que las URLs dejaban de funcionar abiertamente y ya no podían ser vistas sin tener contratado el servicio. Primero fue la dirección de Canal+1 la que dejó de verse y en la última semana de marzo sólo funcionaba Cosmopolitan, sin embargo, el falló volvió.
El pasado 7 de abril, y transcurrido más de un mes desde el aviso, el programador volvió a comprobar las URLs descubiertas y se llevó la sorpresa de que todo volvía a funcionar salvo Canal+1, por lo que ha decidido hacer público el fallo. Y tras hacerlo público, la compañía ha subsanado el error.
El investigador lamenta que desde la compañía "no han dado ni las gracias" mientras que "en cualquier otro sitio, la empresa, a la que por cierto pago 100 euros mensuales, habría recompensado al usuario", indica Magán.
