Disney CEO Bob Iger told ABC employees in New York on May 15. (Sign up for our free video newsletter here)

Al igual que la mayoría de las grandes corporaciones, los principales estudios de Hollywood son aficionados a la externalización.

Desde tráilers de las novedades próximas que están diseñados para atraer a la audiencia a los cines, hasta efectos visuales deslumbrantes en 3-D que explotan en la pantalla, los estudios habitualmente entregan grandes porciones de trabajo a proveedores de todo el mundo, que compiten para ofrecer soluciones de menor costo.

Advertisement

Y allí radica un gran problema de ciberseguridad, según los expertos. Los hackers apuntan cada vez más a estos proveedores para robar películas y series de TV antes de sus lanzamientos. Los ciberladrones apuestan -en algunos casos acertadamente- que la seguridad laxa en las redes de estos proveedores permitirá el acceso fácil al contenido que podrán tomar como 'rehén' para después pedir un rescate.

Eso fue precisamente lo que ocurrió recientemente con dos ciberataques dirigidos a Walt Disney Company y Netflix. La empresa de video a demanda señaló que el hackeo a su serie "Orange is the New Black" ocurrió en las instalaciones de un proveedor de producción, que trabaja también con otros estudios de TV.

Mientras que los detalles respecto del ataque a Disney son aún oscuros, el director ejecutivo de la corporación, Bob Iger, afirmó ante empleados la pasada semana que los hackers aseguraban haber robado una película y amenazaban con lanzarla en segmentos hasta que el pago de un rescate fuera resuelto.

El ataque involucró la nueva secuela de la saga "Pirates of the Caribbean", cuyo estreno está programado para este viernes, y ocurrió en una empresa de postproducción ubicada fuera del estudio, según personas familiarizadas con el asunto, que no están autorizadas para hablar al respecto.

Los dos incidentes, que están siendo investigados por autoridades federales, han erizado nuevamente los cabellos de una industria que no olvidó el ataque a Sony Pictures Entertainment en 2014, que prácticamente puso al estudio de rodillas. Ese hecho, por el cual los funcionarios estadounidenses culparon a Corea del Norte, ocurrió cuando Sony estaba a punto de estrenar la comedia "The Interview", acerca de un intento de asesinato al líder norcoreano Kim Jong Un.

Hollywood es una gran víctima de la piratería y los hackeos. Copias digitales de grandes éxitos son a menudo subidas a la red a través de BitTorrent apenas se estrenan en cines, y luego una vez más, después de su lanzamiento para el circuito de entretenimiento hogareño. La semana pasada, la película más descargada en BitTorrent fue "Logan", de 20th Century Fox, conforme una lista semanal publicada por el sitio web TorrentFreak.

Pero es inusual que las versiones de alta calidad de películas completas se filtren antes de la fecha de estreno en salas. Hollywood es la más reciente industria en ser atacada por ransomware; software que bloquea el acceso a la información hasta que se pague un rescate, usualmente en moneda digital, como BitCoin.

Los hackers están "aprovechando el contenido y, en lugar de simplemente subirlo a la red, contactan a los estudios y piden un rescate. Este fenómeno es bastante reciente", afirmó Dean Marks, quien lidera la división de protección de la Motion Picture Association of America (MPAA).

Los intentos de extorsionar a Disney y Netflix se produjeron en un momento de mayor conciencia global del ransomware tras el ataque WannaCry, que derribó sistemas en todo el mundo. Algunos investigadores han vinculado el código empleado en WannaCry con el ataque a Sony, sugiriendo nuevamente una conexión con Corea del Norte.

Capturar información a cambio de un rescate fue la quinta táctica más común empleada por los hackers el año pasado para infligir daño en los sistemas de computadora, un importante aumento de puestos desde 2013, cuando se encontraba en el lugar número 22 de la lista, según el informe Verizon Data Breach Investigations Report, que ofrece muchos puntos de referencia de la industria. Los ataques más comunes incluyen intentar colapsar un sitio web al sobrecargarlo, y el hackeo de solicitudes online con los llamados 'defectos sin parche', agujeros de seguridad que no se han solucionado.

La mayoría de los atacantes que apuntan a empresas de tecnología, medios y entretenimiento tienen motivaciones financieras, según el informe.

Un hacker conocido como Dark Overload -que también ofreció su clásica "propuesta de negocios", tal como la llama, a varias empresas de salud y financieras después de tener acceso a sus archivos confidenciales- se atribuyó el ataque a Netflix. Episodios de la nueva temporada de "Orange Is the New Black" fueron subidos a la red después de que la compañía se negara a pagar un rescate. En cuanto a Disney, no queda claro si la corporación ha pagado a los hackers que afirmaron tener su inminente éxito del verano, "Pirates of the Caribbean: Dead Men Tell No Tales". Hasta el momento, no parece que la película haya sido distribuida en línea.

Expertos en seguridad cibernética sostienen que los estudios necesitan administrar mejor la seguridad de las redes de los terceros con quienes trabajan, muchas de las cuales son firmas pequeñas que no tienen los recursos para defenderse de ataques sofisticados. Estas empresas a menudo tienen empleados temporales, que convocan para proyectos específicos.

Los estudios "necesitan tener visibilidad de los ecosistemas de sus socios. Necesitan observar cómo son las redes de sus socios", aseguró Alexander Heid, director de investigación de Security Scorecard, una empresa de seguridad con sede en Nueva York, que califica y monitorea a proveedores externos. El experto señaló que los hackers a menudo emplean técnicas de phishing para infiltrarse en los sistemas, pero cada vez se aprovechan más de la reutilización de las contraseñas; es decir, cuando las personas tienen la misma clave en varias cuentas.

Advertisement

Disney y Netflix se negaron a comentar el hecho. Ejecutivos de ambos estudios expresaron su consternación e ira por los recientes ataques. "Es aterrador", señaló un ejecutivo que habló en condición de anonimato. "Podría pasarle a cualquiera de nosotros".

Los piratas pueden exigir un rescate importante. El robo de derechos de autor cuesta a la industria cientos de millones de dólares anuales en ingresos perdidos. Para las superproducciones, un lanzamiento anticipado puede recortar más de $15 millones de dólares en la taquilla del fin de semana de estreno, conforme estimados de la industria.

Los ejecutivos retrocedieron ante la sugerencia de que algunos de los estudios deberían pagar los rescates, y señalaron que eso únicamente animaría a que más criminales copiaran la táctica y usaran la estrategia.

En realidad, es poco lo que los grandes estudios pueden hacer para cambiar la situación en el corto plazo y realizar una mayor parte del trabajo puertas adentro de su empresa, debido a las presiones por mantener los bajos costos. Algunos ejecutivos piensan que los estudios deben encontrar formas de asegurarse que menos manos toquen el material antes de que llegue a los cines.

Advertisement

Aún más complicado podría ser prevenir el robo de correos electrónicos privados. El ataque a Sony reveló embarazosas comunicaciones entre los principales productores de la empresa y un talento principal de Hollywood. Agencias como United Talent Agency también han sido atacadas por hackers.

"Cuando se viola esa privacidad, ello puede transformar carreras y reputaciones", aseguró Jordan Arnold, jefe de servicios de de clientes privados en K2 Intelligence, una firma de defensa cibernética con sede en Nueva York que atiende a individuos ricos, entre ellos estrellas de Hollywood. "Es una doble amenaza, para las ganancias y la reputación".

Hay poco consenso en cuanto a aquello que los estudios de Hollywood podrían hacer para evitar hackeos dirigidos a sus proveedores externos.

La MPAA señaló que realiza auditorías de seguridad de las instalaciones y proveedores de todo el mundo y reporta los resultados a sus miembros, los estudios. El grupo también publica las mejores prácticas de la industria para la ciberseguridad. "Y creo que realmente lo mejor que podemos hacer como asociación comercial es tratar de que la gente mejore sus condiciones", aseguró Marks, el jefe de protección de contenidos de la organización. Pero también hay un elemento de falibilidad humana en esto. "Uno puede incorporar todas las mejores prácticas… pero si alguien consigue su nombre de usuario y clave, se acabó", aseguró.

Los expertos argumentan que los estudios pueden asociarse con firmas de seguridad cibernética, especializadas en monitoreos de redes de terceros. "Hay cuestiones que las organizaciones pueden exigir a los terceros en un contrato", afirmó Dimitri Sirota, CEO de BigID, una firma estadounidense israelí de seguridad. Por ejemplo, el requisito de que todos los sistemas cuenten con los parches de seguridad más recientes. Los estudios también pueden adquirir seguros contra los daños sufridos en un ciberataque. Pero, agregó, "la mejor solución es tratar de evitar que los datos de alto valor se muevan entre demasiadas computadoras".

Traducción: Valeria Agis

Para leer esta historia en inglés haga clic aquí

Advertisement
Advertisement
Advertisement