Cómo saber qué películas de Netflix está viendo un usuario

Es un agujero de seguridad (y un problema de privacidad) que identificó un experto en seguridad estadounidense, analizando la información que los servidores de Netflix envían a un televidente

El experto en seguridad Michael Kranch estuvo mirando Netflix . Sólo que no de la misma manera que el resto de nosotros. En una jugosa investigación que puede leerse en este PDF descubrió que -a pesar de que la compañía ahora encripta no sólo el inicio de sesión y la información de facturación, sino también los videos que está transmitiendo-, existe una forma altamente precisa de adivinar qué es lo que está viendo un usuario.

La historia tiene, como suele ser en estos casos, varios dobleces técnicos, pero, en breve: Kranch creó, junto con su colega Andrew Reed, un método para extraer de las cabeceras de los paquetes de datos (los trozos de video que los servidores de Netflix envían al dispositivo donde el usuario está usando el servicio) suficiente información para deducir el contenido que Netflix está transmitiendo, en tiempo real.

El paper de Kranch y Reed observa que la compañía codifica primero los videos con MPEG4 de bitrate variable y luego los transmite usando un estándar conocido como DASH (por Dynamic Adaptive Streaming over HTTP). Como ya había demostrado Reed junto a Benjamin Klimkowski en un trabajo anterior, la combinación de estas dos tecnologías crea una suerte de huella digital que es única para cada video.

Con esta información, Kranch, que trabaja en la Academia Militar de West Point, en Estados Unidos, creó un software para registrar tales huellas y una base de datos de 42.027 videos de Netflix, así como el método para identificar lo que se están transmitiendo, a partir del tráfico capturado en tiempo real.

Kranch y Reed pusieron el código de su investigación aquí y en el trabajo ofrecen algunas ideas para corregir esta vulnerabilidad.