Alerta máxima en Spotify: unos hackers han pirateado el 99% de sus canciones

Spotify, la plataforma de streaming musical más grande del mundo con cientos de millones de usuarios, ha reconocido un grave incidente de seguridad que ha puesto patas arriba toda la industria. 

te puede interesar

Estas navidades protégete de estafas online de esta manera

Un grupo de piratas informáticos ha logrado acceder de forma no autorizada a la inmensa mayoría de su biblioteca musical, extrayendo metadatos y millones de archivos de audio, según confirmaciones oficiales y reportes especializados.  

¿Qué ha ocurrido?

Lo que ha ocurrido es, en términos simples, uno de los mayores robos de datos en la historia del entretenimiento digital. 

La organización autodenominada Anna’s Archive, conocida por su misión de archivar contenidos digitales, ha anunciado que ha conseguido descargar aproximadamente 86 millones de canciones de Spotify, lo que equivale a cerca del 99,6 % de todas las pistas más reproducidas en la plataforma, acumulando unos 300 terabytes de datos entre canciones y metadatos.   

Según Spotify, la brecha no un simple robo de contraseñas o cuentas de usuarios, sino un acceso masivo a contenidos protegidos no sólo por la plataforma sino por derechos de autor de cantantes y productoras. 

La empresa ha detallado que los atacantes recolectaron metadatos públicos y utilizaron tácticas ilícitas para eludir los sistemas de protección de derechos digitales.

¿Qué es Anna's Archive?

En su portal web, donde tienen recopilado el contenido, se definen como la "biblioteca verdaderamente abierta más grande de la historia de la humanidad". Afirman contar en sus archivos con más de 60 millones de libros, eso sería un 16% de todos los que hay en el mundo. 

Su "misión" consiste, afirman, en "archivar y preservar" toda la obra humana, ya sea libro, revista, cómic, artículo de investigación o, evidentemente, también música.  Parte de su "catálogo" viene de repositorios abiertos, otros cerrados los cuales ellos se encargan de, dicen, "liberar" con técnicas de piratería como scraping. 

Además de usar código abierto, tienen varias copias de su contenido, haciendo muy difícil eliminar su presencia ya que, en caso de que les cerrasen la web, simplemente tienen que abrir otra.

Son un grupo "sin ánimo de lucro", y sin embargo, tienen un plan de pagos al más puro estilo de Netflix o Spotify. Pagar más involucra poder descargar más archivos de manera rápida, por lo que esta la biblioteca "abierta y gratuita" tiene sus matices.  

A pesar de todo, estas "donaciones" tienen como único fin el pago de servidores y ancho de banda y no el lucro personal de sus participantes, afirman. 

Anna’s Archive declara que su objetivo no es lucrarse ni vender el contenido robado, sino crear lo que denominan un “archivo de preservación musical” accesible a través de redes peer-to-peer como torrents. 

Según ellos, su misión es “preservar la cultura y la música”, asegurándose de que no desaparezca incluso si Spotify u otras plataformas dejan de existir o retiran ciertas obras. 

Este argumento ha sido criticado por expertos en derechos de autor y por la propia industria musical, que consideran que la justificación no excusa el robo ni la distribución de contenido con copyright.  

¿Cómo han accedido a Spotify?

 La técnica utilizada por los atacantes se conoce como “scraping”, una forma de extracción masiva de datos que emplea programas automatizados para recopilar información de un sitio web o servicio. 

En este caso, los bots de scraping no solo extrajeron metadatos (como títulos de pistas, nombres de artistas, portadas y códigos ISRC), sino que consiguieron descargar los propios archivos de audio, aprovechando agujeros en los sistemas de protección que deberían impedir la copia masiva de contenido protegido.  

El scraping es legal en muchos contextos cuando se limita a datos públicos, pero convertirlo en una herramienta para descargar millones de canciones protegidas por derechos de autor es ilegal en prácticamente todas las jurisdicciones. 

Los expertos en ciberseguridad señalan que la manera de evitar este tipo de ataques pasa por reforzar los sistemas de gestión de derechos digitales, vigilar patrones de acceso inusuales, limitar las solicitudes automatizadas desde direcciones IP sospechosas y aplicar medidas anti-bot más estrictas   

Para los usuarios habituales de Spotify, es importante enfatizar que el robo afectó al catálogo musical, no a datos personales de cuentas individuales, como contraseñas o información financiera. Spotify no ha reportado filtración de datos de usuarios, aunque la situación sigue bajo investigación.

Aun así, el incidente pone de relieve la fragilidad de los sistemas de protección digital incluso en gigantes tecnológicos. 

Este robo masivo de datos obliga a replantear la seguridad en los servicios de contenido digital y subraya la necesidad de medidas más robustas contra la extracción automatizada de datos y la piratería a gran escala.