Thiago Lotufo, Especialista en Seguridad de la Información de Globo.
La transición de la televisión abierta al entorno digital e interactivo de la DTV+ (nombre comercial de la TV 3.0) requiere más que innovación tecnológica: exige un cambio profundo en la mentalidad de seguridad. Este fue el tema central de la presentación "Prácticas para el Desarrollo Seguro en DTV+", a cargo de Thiago Lotufo, Especialista en Seguridad de la Información de Globo durante SET Expo 2025.
Lotufo explicó que, en este nuevo ecosistema, los canales se convierten en aplicaciones y el contenido ahora se distribuye mediante software. Por lo tanto, aplicar el concepto de seguridad por diseño es esencial desde el inicio del desarrollo. "Cuando sufro este tipo de ataque, pierdo el control de mi aplicación. Entonces, ¿qué está viendo el usuario? No lo sé. Si alguien logra manipularlo, no tengo visibilidad", advirtió.
Entre los pilares clave para garantizar un entorno seguro, el especialista destacó la importancia de una rigurosa validación de entrada, actualizaciones constantes, monitoreo continuo y resiliencia ante fallas. "No puedo aceptar todo lo que dice el usuario. Así como valido su identidad, también necesito validar todas las entradas a nuestro producto. Esto garantiza que la entrada no sea un script malicioso", explicó.
Otro punto crítico es la disponibilidad del servicio. La CTV depende de múltiples sistemas y API para ofrecer una experiencia fluida al espectador. "¿Qué hago si sufro un ataque DDoS? ¿Dejaré al usuario sin ver contenido? No. Necesito una alternativa. ¿Qué pasa si se cae la conexión a internet? El entorno híbrido DTV+ debe garantizar una buena experiencia, incluso sin conexión", interpeló el experto.
La interactividad, una de las grandes promesas de DTV+, también conlleva riesgos. Al recopilar datos de comportamiento, preferencias e incluso datos financieros, las aplicaciones deben gestionar esta información con sumo cuidado. "Este desafío es muy importante. La propuesta de interactividad nos exige gestionar muchos más datos. Las filtraciones son ahora algo que no podemos tolerar", recalcó.
Lotufo también enfatizó que, si bien muchos problemas web tradicionales ya tienen soluciones, como SAST, DAST y SCA para detectar vulnerabilidades de código, DTV+ plantea nuevos desafíos, como la ejecución remota de código y el uso de bibliotecas inseguras. "Una aplicación vulnerable dentro de un dispositivo no solo puede comprometer la propia aplicación, sino también convertirse en un vector de ataque para otros sistemas", enfatizó.
Finalmente, el experto destacó el papel fundamental del cifrado moderno, incluso como un desafío dada la diversidad de dispositivos que aún se utilizan. "Hay muchos dispositivos que no son compatibles con HTTPS. Necesitamos analizar cómo gestionar de forma segura este tráfico de datos en un entorno tan heterogéneo", concluyó.
¿Una nueva era de ciberseguridad en la TV abierta?
Otro de los paneles donde se abordó la problemática fue "Amanazas cibernéticas en la TV del futuro" donde participó Rodrigo Almeida Gonçalves, Director de Seguridad de la Información de Globo, quien hizo hincapié en los riesgos asociados al uso de estos endpoints, especialmente cuando involucran datos sensibles como compras y hábitos de consumo: "Los delincuentes explotarán estos puntos de acceso de televisión, que pueden ser más vulnerables que los de un ordenador. Y el problema es el acceso cruzado: el ataque puede originarse desde un ordenador y alcanzar un servicio orientado a la televisión".
Como estrategia, Almeida Gonçalves abogó por combinar el análisis de reputación de IP y el comportamiento del usuario. "Tendremos que avanzar hacia enfoques que consideren a los usuarios conectados para comprender su comportamiento y prevenir abusos".
Un diferencial importante entre DTV+ y otras plataformas es su capacidad para realizar mediciones de audiencia integradas y seguras, dijo el experto, quien afirmó: "Dado que controlamos las especificaciones de la plataforma, hemos incluido la capacidad de capturar datos de audiencia directamente, sin depender de cambios en las aplicaciones".
Con el consentimiento del espectador, el sistema puede iniciar sesiones específicas para rastrear el uso de la aplicación y el consumo de contenido. "Cada acción del espectador, como reproducir un vídeo o cambiar de canal, se graba, lo que permite obtener informes de audiencia precisos", finalizó.