Bloqueos de cuentas de OTT/VOD por reemisión con paneles IPTV

plusf1 · April 22, 2025

Buenas tardes,

Parece que últimamente está ocurriendo algo cada vez más común: nuestro operador de satélite favorito ha comenzado a bloquear cuentas de su plataforma OTT, tanto del paquete "Lite" (9,99 €) como incluso cuentas asociadas a contratos de Fibra/Móvil o SAT.

El bloqueo suele manifestarse con el error 429 al intentar reproducir canales en directo desde la plataforma.

No está del todo claro cuáles son los criterios que utilizan para aplicar estos bloqueos. Podrían estar relacionados con conexiones simultáneas, múltiples canales abiertos al mismo tiempo, o quizás algún otro tipo de comportamiento detectado como sospechoso.

Lo que sí parece evidente es que, cuando se utiliza el enlace MPD con su token asociado dentro de un panel IPTV, esa cuenta termina siendo baneada en poco tiempo.

También sería interesante debatir sobre la legalidad de este tipo de bloqueos. Hoy en día es relativamente fácil que alguien acceda a cuentas de esta operadora mediante herramientas como OpenBULLET (fuerza bruta), lo cual plantea un problema: si te roban la cuenta y la usan en un panel OTT/IPTV sin tu consentimiento, te la bloquean permanentemente, aunque tú no hayas hecho nada.

¿Alguien más ha experimentado esto o tiene más información sobre cómo lo detectan y cómo se puede proteger una cuenta?

Saludos.

Mireto · April 23, 2025

sabes que es un token???

plusf1 · April 23, 2025

Mireto said:
sabes que es un token???

es un hash en JWT que contiene información de la cuenta (entre otras cosas). Dura 24 horas, y es necesario para que el canal reproduzca.

Mireto · April 23, 2025

has escuchado algo, pero no tienes mucha idea de lo que es un token, por abreviarlo es una llave de seguridad aunque hay más usos

te explicaré un poco el token al que te refieres y el porque banean a los usuarios que lo usan en el o11 y ott

te explico un poco para que puedas entender mejor un token
Un token es un tipo de identificador, como una contraseña, pero más segura, es un valor que al dueño o al "poseedor" de dicho token puede tener acceso a algo, puede realizar una acción específica o sistema (llave) de entrada, hay varios tipos de tokens dependiendo de su uso, normalmente se usa en tema de seguridad, pero hay otros tipo de tokens de acceso de entrada (lo que es el típico login)

un token de seguridad, por ejemplo, podría ser un pequeño dispositivo físico o una clave digital que se utiliza para autenticar a un usuario en un sistema esto es mucho más seguro que un simple nombre de usuario y contraseña, ya que es más difícil de interceptar para muchos usuarios, aunque no para todos

otra utilidad es el acceso en aplicaciones web, los tokens se utilizan para permitir que un usuario acceda a recursos sin tener que introducir sus credenciales cada vez, por ejemplo, al iniciar sesión en una plataforma web, un token se guarda en tu navegador o dispositivo y se utiliza para futuras peticiones., esto facilita la navegación y evita que los usuarios tengan que escribir sus credenciales cada vez que visitan una página (esto lo hacen muchas plataformas y sitios web's que seguro conoces, dazn, a3player, netflix...)

estás serían las explicaciones para el token que hablas, pero también como te he dicho hay diferentes tokens, para comprar algo en un videojuego, para las cripto y seguro que para más cosas que yo no se seguramente

la mayoría de veces los tokens de los que tu hablas están divididos en 3 partes, la carga, la clave y la firma, puedes llegar a modificar cualquiera de las 2 partes primeras, pero la firma solamente la puede hacer si eres el que has creado el primer token o sea el dueño de la plataforma (como te he comentado antes en este caso sería dazn por ejemplo entre otras)

plusf1 said:
El bloqueo suele manifestarse con el error 429 al intentar reproducir canales en directo desde la plataforma.

el error 429, hablando manera que me entiendas, tu ip está baneada, el porque???, pues porque el usuario ha enviado demasiadas solicitudes en un periodo de tiempo muy corto o superior al estipulado, entiendes ese baneo???

plusf1 said:
Lo que sí parece evidente es que, cuando se utiliza el enlace MPD con su token asociado dentro de un panel IPTV, esa cuenta termina siendo baneada en poco tiempo.

normal, si un token se hace público, olvídate de esa cuenta o a lo que lleve ese token, al contener todo lo anterior comentado saben de quien ese token y al cliente que pertenece

plusf1 said:
También sería interesante debatir sobre la legalidad de este tipo de bloqueos. Hoy en día es relativamente fácil que alguien acceda a cuentas de esta operadora mediante herramientas como OpenBULLET (fuerza bruta), lo cual plantea un problema: si te roban la cuenta y la usan en un panel OTT/IPTV sin tu consentimiento, te la bloquean permanentemente, aunque tú no hayas hecho nada.

Si usas una cuenta donde no toca, creo que tienen derecho a banearte la cuenta no??? tu que harías si tu fueras el dueño de netflix por ejemplo???
otra cosa, crees que usar openbullet es fácil??? sabes como funciona??? sabes que necesita para hacer la fuerza bruta??? si consiguen tus credenciales con el openbullet, la plataforma sabe si ha sido el dueño u otra persona ajena al dueño, de ahí el baneo permanente
las iptv y el sr. tebas por llamarlo educadamente a este presunto delincuente, se llevan muy mal en este país

conoces al creador de la aplicación esa (ott, o11...)??? conoces lo que era anom (aplicación de mensajería "privada", no creo que sabiendo lo que se sabe actualmente, esté hoy en día operativa) hay tantas cosas que se desconocen que si sueles desconfiar, aciertas jejeje

plusf1 said:
es un hash en JWT que contiene información de la cuenta (entre otras cosas). Dura 24 horas, y es necesario para que el canal reproduzca.

como te he dicho antes escuchas campanas, pero no sabes donde concretamente, un token contiene info del dueño (plataforma o lo que sea) y el cliente (usuario final), hasta ahí estamos de acuerdo, que dura 24 horas??? será el que tu usas, hay token que duran 5 minutos, 24 horas, 1 mes, o infinitamente, eso dependerá del dueño y los ataques sufridos tanto con openbullet, strorm, python, c# o de donde vengan esos ataques, también dependiendo del contenido a proteger, vamos como ves no hay algo fijo, puedes investigar el funcionamiento de algunos tokens, pero nunca conseguirás lo que ellos no quieren que consigas o si lo consigues, será temporalmente...

intenta modificar un token con firma de esos que tu utilizas y a ver si eres capaz de firmarlo correctamente, si haces eso, tendrás acceso infinito donde quieras, no es oro todo lo que reluce...

espero haberme explicado bien y de manera entendible

un saludo

Javilonas · April 23, 2025

Mireto said:
has escuchado algo, pero no tienes mucha idea de lo que es un token, por abreviarlo es una llave de seguridad aunque hay más usos

te explicaré un poco el token al que te refieres y el porque banean a los usuarios que lo usan en el o11 y ott

te explico un poco para que puedas entender mejor un token
Un token es un tipo de identificador, como una contraseña, pero más segura, es un valor que al dueño o al "poseedor" de dicho token puede tener acceso a algo, puede realizar una acción específica o sistema (llave) de entrada, hay varios tipos de tokens dependiendo de su uso, normalmente se usa en tema de seguridad, pero hay otros tipo de tokens de acceso de entrada (lo que es el típico login)

un token de seguridad, por ejemplo, podría ser un pequeño dispositivo físico o una clave digital que se utiliza para autenticar a un usuario en un sistema esto es mucho más seguro que un simple nombre de usuario y contraseña, ya que es más difícil de interceptar para muchos usuarios, aunque no para todos

otra utilidad es el acceso en aplicaciones web, los tokens se utilizan para permitir que un usuario acceda a recursos sin tener que introducir sus credenciales cada vez, por ejemplo, al iniciar sesión en una plataforma web, un token se guarda en tu navegador o dispositivo y se utiliza para futuras peticiones., esto facilita la navegación y evita que los usuarios tengan que escribir sus credenciales cada vez que visitan una página (esto lo hacen muchas plataformas y sitios web's que seguro conoces, dazn, a3player, netflix...)

estás serían las explicaciones para el token que hablas, pero también como te he dicho hay diferentes tokens, para comprar algo en un videojuego, para las cripto y seguro que para más cosas que yo no se seguramente

la mayoría de veces los tokens de los que tu hablas están divididos en 3 partes, la carga, la clave y la firma, puedes llegar a modificar cualquiera de las 2 partes primeras, pero la firma solamente la puede hacer si eres el que has creado el primer token o sea el dueño de la plataforma (como te he comentado antes en este caso sería dazn por ejemplo entre otras)

el error 429, hablando manera que me entiendas, tu ip está baneada, el porque???, pues porque el usuario ha enviado demasiadas solicitudes en un periodo de tiempo muy corto o superior al estipulado, entiendes ese baneo???

normal, si un token se hace público, olvídate de esa cuenta o a lo que lleve ese token, al contener todo lo anterior comentado saben de quien ese token y al cliente que pertenece

Si usas una cuenta donde no toca, creo que tienen derecho a banearte la cuenta no??? tu que harías si tu fueras el dueño de netflix por ejemplo???
otra cosa, crees que usar openbullet es fácil??? sabes como funciona??? sabes que necesita para hacer la fuerza bruta??? si consiguen tus credenciales con el openbullet, la plataforma sabe si ha sido el dueño u otra persona ajena al dueño, de ahí el baneo permanente
las iptv y el sr. tebas por llamarlo educadamente a este presunto delincuente, se llevan muy mal en este país

conoces al creador de la aplicación esa (ott, o11...)??? conoces lo que era anom (aplicación de mensajería "privada", no creo que sabiendo lo que se sabe actualmente, esté hoy en día operativa) hay tantas cosas que se desconocen que si sueles desconfiar, aciertas jejeje

como te he dicho antes escuchas campanas, pero no sabes donde concretamente, un token contiene info del dueño (plataforma o lo que sea) y el cliente (usuario final), hasta ahí estamos de acuerdo, que dura 24 horas??? será el que tu usas, hay token que duran 5 minutos, 24 horas, 1 mes, o infinitamente, eso dependerá del dueño y los ataques sufridos tanto con openbullet, strorm, python, c# o de donde vengan esos ataques, también dependiendo del contenido a proteger, vamos como ves no hay algo fijo, puedes investigar el funcionamiento de algunos tokens, pero nunca conseguirás lo que ellos no quieren que consigas o si lo consigues, será temporalmente...

intenta modificar un token con firma de esos que tu utilizas y a ver si eres capaz de firmarlo correctamente, si haces eso, tendrás acceso infinito donde quieras, no es oro todo lo que reluce...

espero haberme explicado bien y de manera entendible

un saludo

Un tokke de toda la vida de dios ha sido esto, no me jodas macho

PoP_PeQuE · April 23, 2025

Un toke no es cuando le dices alguien, tu dame un toke :54:

O la mujer, te da un toke :77:

Mireto · April 23, 2025

Javilonas said:
Un tokke de toda la vida de dios ha sido esto, no me jodas macho

no es verdad ese es muy moderno, el de toda la vida es rojo

Leon battista · April 23, 2025

plusf1 said:
Buenas tardes,

Parece que últimamente está ocurriendo algo cada vez más común: nuestro operador de satélite favorito ha comenzado a bloquear cuentas de su plataforma OTT, tanto del paquete "Lite" (9,99 €) como incluso cuentas asociadas a contratos de Fibra/Móvil o SAT.

El bloqueo suele manifestarse con el error 429 al intentar reproducir canales en directo desde la plataforma.

No está del todo claro cuáles son los criterios que utilizan para aplicar estos bloqueos. Podrían estar relacionados con conexiones simultáneas, múltiples canales abiertos al mismo tiempo, o quizás algún otro tipo de comportamiento detectado como sospechoso.

Lo que sí parece evidente es que, cuando se utiliza el enlace MPD con su token asociado dentro de un panel IPTV, esa cuenta termina siendo baneada en poco tiempo.

También sería interesante debatir sobre la legalidad de este tipo de bloqueos. Hoy en día es relativamente fácil que alguien acceda a cuentas de esta operadora mediante herramientas como OpenBULLET (fuerza bruta), lo cual plantea un problema: si te roban la cuenta y la usan en un panel OTT/IPTV sin tu consentimiento, te la bloquean permanentemente, aunque tú no hayas hecho nada.

¿Alguien más ha experimentado esto o tiene más información sobre cómo lo detectan y cómo se puede proteger una cuenta?

Saludos.

1. Error 429 = Demasiadas solicitudes

En Movistar normalmente puede ocurrir por sobrepasar el límite de reproducciones simultáneas que tienes contratadas , para solucionarlo basta con cerrar sesión en los dispositivos en los que estés logueado, y a continuación esperar media hora/una hora y ya deberías acceder sin problema.

Lo mencionado es lo más habitual, además Movistar si observa el uso excesivo del token, peticiones desde diferentes ips…, o demasiadas peticiones desde un mismo dispositivo (pudiera pasar desde dispositivo no oficial mal configurado), puede bloquear de igual manera token de manera temporal o el acceso a la cuenta, evidentemente como protección antifraude o protección para el usuario en caso que le pudieran haber accedido a la cuenta de manera no autorizada.

2. Los criterios son los referidos en el punto 1 y son bastante claro los motivos.

3. Funcionamiento token a groso modo:
a) te autentificas en la app Movistar, web con tu usuario y contraseña

b) el sistema genera un token que lleva los datos de id usuario o dispositivo, así se identifica a qué cuenta o dispositivo o tipo app pertenece, lleva a qué canal estás autorizado a visionar, fecha en que expira, firma digital, así como otros datos técnicos adicionales como zona geográfica , ip o dispositivo.

4. Lo de relativamente fácil con openbullet, tampoco es eso, es ataques fuerza bruta y usando datos que se hallan podido filtrar para acceder a tu cuenta y luego sacar los enlaces de visionado de los canales.

En este caso recibes correo que tu cuenta se ha accedido desde un dispositivo nuevo, si ese dispositivo no es conocido ya sabes lo que hacer …

Debate sobre legalidad es absurdo, si un banco detecta un uso raro de tu tarjeta bancaria o el lugar donde se ha usado te avisan o incluso algún banco te la bloquea para evitar el uso fraudulento, esto lo mismo.

5. Manera que lo detectan ya está explicado.

6. Manera protegerte, cambiar contraseña cada x meses, comprobar en el correo que tu cuenta no se ha activado en dispositivo nuevo, usar contraseñas de números y letras y símbolos.

Leon battista · April 23, 2025

plusf1 said:
es un hash en JWT que contiene información de la cuenta (entre otras cosas). Dura 24 horas, y es necesario para que el canal reproduzca.

Creo que estás un poco perdido o se nota que poco dominas el tema.

Un hash es una función unidireccional como SHA-256, que convierte datos en un resumen de longitud fija.
Ejemplo: sha256("lonas") =
f80c4ec47739102c1782c16f3b5a31705f39dbb0a4ab2de015da57cbcb232d96
Un JWT es un objeto con contenido legible (codificado en Base64) y una firma para evitar manipulaciones.
La firma del JWT se basa en un hash, pero el token completo no es un hash.

metris1000 · April 23, 2025

Token tokoto...

juan xxiii · April 24, 2025

Leon battista said:
Creo que estás un poco perdido o se nota que poco dominas el tema.

Un hash es una función unidireccional como SHA-256, que convierte datos en un resumen de longitud fija.
Ejemplo: sha256("lonas") =
f80c4ec47739102c1782c16f3b5a31705f39dbb0a4ab2de015da57cbcb232d96

Un JWT es un objeto con contenido legible (codificado en Base64) y una firma para evitar manipulaciones.

La firma del JWT se basa en un hash, pero el token completo no es un hash.

Ese hash en sha256 no es correcto, debería de ser ae00f50e9727ecb6c5948580a826f0e848b1a4554d21a09b375f903ceb109685

Bloqueos de cuentas de OTT/VOD por reemisión con paneles IPTV

plusf1

Mireto

Siempre aprendiendo...

plusf1

Mireto

Siempre aprendiendo...

Javilonas

Trovador Loco

PoP_PeQuE

Mireto

Siempre aprendiendo...

Leon battista

Leon battista

metris1000

juan xxiii

Latest threads

Similar threads