Conversación Completa: Forense de Streaming Pirata

Fecha: 2026-05-24 Objetivo: Investigar cómo funcionan los sitios de streaming pirata, descifrar sus protecciones y entender el modelo de negocio.

Índice

1. Decryptado de _econfig de proveseat.net
2. Algoritmo de descifrado
3. Stream URLs y servidores CDN
4. Análisis de f1box.co y ninguno.net
5. Arquitectura de f1box.co
6. embed.min.js: El loader de iframes
7. CSRF + IP Binding en ninguno.net
8. Tracking y Publicidad
9. Comparativa: proveseat.net vs ninguno.net
10. Métodos reales para obtener streams originales
11. Modelo de negocio completo
12. Netflix vs DAZN/Sky: Diferencia de DRM
13. Qué funciona y qué no para desmantelarlos
14. Archivos generados

1. Decryptado de _econfig de proveseat.net

1.1. Obtención del _econfig

El sitio proveseat.net/embed/2twhx contiene un blob window._econfig de 141KB en base64.

curl -s -H "Referer: https://cartelive.club/" \
  "https://proveseat.net/embed/2twhx" | \
  grep "window._econfig" | \
  sed "s/.*window._econfig='//;s/'.*//" > /tmp/econfig_b64.txt

1.2. La función de descifrado en stream.js

El archivo stream.js?v=0.0.17 contiene la función _0x27c180 que descifra _econfig:

function _0x27c180(_0x18e864) {
    var _0x5f3146 = _0x4fa254;
    if (!_0x18e864) return ![];
    const _0x258674 = [0x2, 0x0, 0x3, 0x1],
        _0x27538a = 0x4;
    _0x18e864 = atob(_0x18e864);
    const _0x3c8df3 = _0x18e864['length'],
        _0x11ce9a = Math['ceil'](_0x3c8df3 / _0x27538a),
        _0x488181 = [];
    let _0x35dec3 = 0x0;
    for (let _0x42c667 = 0x0; _0x42c667 < _0x27538a; _0x42c667++) {
        const _0x20adf0 = _0x18e864['slice'](_0x35dec3, _0x11ce9a);
        _0x488181['push'](_0x20adf0),
            _0x35dec3 += _0x11ce9a;
    }
    const _0xdb9ee2 = [];
    for (let _0x32cfaf = 0x0; _0x32cfaf < _0x258674['length']; _0x32cfaf++) {
        let _0x334b0f = String(_0x488181[_0x32cfaf]);
        _0x334b0f = _0x334b0f['substring'](0x0, 0x3) + _0x334b0f['slice'](0x3 + 0x1),
        _0xdb9ee2[_0x258674[_0x32cfaf]] = atob(_0x334b0f);
    }
    const _0x59219a = _0xdb9ee2['join'](''),
        _0x3e8fca = atob(_0x59219a);
    try {
        return JSON['parse'](_0x3e8fca);
    } catch (_0x394e4d) {
        return ![];
    }
}

2. Algoritmo de descifrado

1. atob(blob base64)                        → string plano (141KB → ~105KB)
2. split en 4 chunks de tamaño ceil(n/4)
3. Por cada chunk:
   a. Eliminar el 4° carácter (índice 3)
   b. atob(chunk modificado)               → string parcial
   c. Reordenar con permutación [2, 0, 3, 1]
4. Join de los 4 chunks descifrados
5. atob(resultado)                         → JSON final

Implementación en Python

import base64, math, json

def decode_econfig(econfig_str):
    decoded = base64.b64decode(econfig_str).decode('latin-1')
    n = len(decoded)
    chunk_size = math.ceil(n / 4)
    chunks = []
    pos = 0
    for i in range(4):
        chunks.append(decoded[pos:pos+chunk_size])
        pos += chunk_size

    perm = [2, 0, 3, 1]
    result_arr = [None] * 4
    for i in range(4):
        chunk = chunks[i]
        modified = chunk[:3] + chunk[4:]  # remove index 3
        decoded_chunk = base64.b64decode(modified).decode('latin-1')
        result_arr[perm[i]] = decoded_chunk

    joined = ''.join(result_arr)
    final_bytes = base64.b64decode(joined)
    return json.loads(final_bytes.decode('utf-8'))

3. Stream URLs y servidores CDN

3.1. Config descifrada

{
  "swarm_id": "bs_2twhx",
  "stream_url": "https://92vhjue8.39564828.net:8443/hls/2twhx.m3u8?s=3ULvk3kMvKeguoy1fjswUQ&e=1779614331",
  "stream_url_nop2p": "https://py3hsjj2.04334746.net:8443/hls/2twhx.m3u8?s=3ULvk3kMvKeguoy1fjswUQ&e=1779614331",
  "p2p": true,
  "p2p_tracker": "wss://hlspatch.net:3000",
  "domainlocked": false,
  "autoplay": true,
  "sandbox_block": true,
  "devtools_block": true,
  "hframes_inject_secs": 3,
  "pops": [ "función JS ofuscada RC4-like para ventanas emergentes" ],
  "hframes": [
    "https://lernodydenknow.info/redirect?tid=1105899",
    "https://er.oleronraid.com/iPhCiudhWSeG2p/AeBQN"
  ]
}

3.2. Servidor CDN

3.3. Stream no reproducible

Ambos URLs (stream_url y stream_url_nop2p) devuelven 403 Forbidden. La firma s=3ULvk3kMvKeguoy1fjswUQ está atada a la IP del embed original y expira en e=1779614331.

3.4. P2P Tracker

• URL: wss://hlspatch.net:3000
• Swarm ID: bs_2twhx
• Estado actual: offline (no resuelve DNS)

4. Análisis de f1box.co y ninguno.net

4.1. Página analizada

https://f1box.co/fia-f1/sky-sports-f1-sky-f1-stream

4.2. Hallazgos iniciales

• No hay Clappr, JWPlayer ni ningún player visible en el HTML
• Todo el player está dentro de un iframe
• El sitio usa un loader minimalista: sts.ninguno.net/scripts/v2/embed.min.js
• Variables críticas en el HTML: zmid = "skyf1", pid = 5, edm = "ninguno.net"

5. Arquitectura de f1box.co

5.1. Cadena de iframes

Capa 1: f1box.co/fia-f1/sky-sports-f1-sky-f1-stream
  └── Link 1 → /sky-sports-f1-sky-f1-live/fia-f1/stream-1
       └── <script src="https://sts.ninguno.net/scripts/v2/embed.min.js?v=1">
            └── crea iframe → ninguno.net/sd0embed/F1?pid=5&gatxt=F1&v=skyf1&csrf=...
                 └── BACKEND REAL (protegido con CSRF + IP binding)

5.2. Capas

6. embed.min.js: El loader de iframes

6.1. Código completo

function onReady(e) {
  "loading" === document.readyState
    ? document.addEventListener("DOMContentLoaded", e)
    : e();
}

onReady(async () => {
  try {
    const s = document.querySelector(".loading-circle-ply");
    var e, n, t, o, i, d, a, r = document.querySelector(".ratio");
    s && r ? (
      e = typeof gameText != "undefined" ? gameText : "",
      n = typeof gameCat != "undefined" ? gameCat : "sp",
      typeof edm == "undefined" || typeof pid == "undefined"
        ? console.warn("invalid code")
        : siteConfig && siteConfig.csrf && siteConfig.csrf_ip
          ? (t = "https://" + edm + "/sd0embed/" + n,
             o = {
               pid: pid,
               gacat: e,
               gatxt: n,
               v: zmid,
               csrf: siteConfig.csrf,
               csrf_ip: siteConfig.csrf_ip
             },
             i = t + "?" + new URLSearchParams(o).toString(),
             d = Math.random().toString(36).replace(/[^a-z]+/g, ""),
             (a = document.createElement("iframe")).name = d,
             a.src = i,
             a.loading = "eager",
             a.title = "embed player",
             a.allowFullscreen = true,
             a.scrolling = "no",
             a.style.position = "absolute",
             a.style.top = "0",
             a.addEventListener("load", function() { s.style.display = "none"; }),
             r.prepend(a))
          : console.warn("invalid request")
    ) : console.warn("Required DOM elements missing");
  } catch (e) {
    console.error("Error in load handler:", e);
  }
});

6.2. Variables que recibe del HTML

6.3. Iframe generado

https://ninguno.net/sd0embed/F1?pid=5
  &gacat=
  &gatxt=F1
  &v=skyf1
  &csrf=MTgxLjk4LjI0Mi41NA...
  &csrf_ip=181.98.242.54

7. CSRF + IP Binding en ninguno.net

7.1. 403 Forbidden

Cualquier request directo a ninguno.net devuelve 403:

$ curl https://ninguno.net/sd0embed/F1?pid=5&csrf=...
<html>
<head><title>403 Forbidden</title></head>
<body><center><h1>403 Forbidden</h1></center>
<hr><center>nginx</center></body>
</html>

7.2. Formato del token CSRF

base64(IP) + "." + base64(timestamp) + "." + base64(hmac_secreto)

Ejemplo real:

MTgxLjk4LjI0Mi41NA            ← base64("181.98.242.54")
.MTc3OTU5MzU0Ng               ← base64(timestamp)
.NWIyOGUzMGM3ZjljNDk1MGViNDAzZDQ5MWM2NjIyMjk2YzQyOWZjOTlkZmExMGU5NDcwNjZjMmRiYTY2NDlhZg

7.3. Verificación

El backend verifica:

1. La IP del request coincide con csrf_ip
2. El HMAC es válido
3. El timestamp no expiró

7.4. DNS

Ninguno de los dominios relacionados resuelve actualmente:

• ninguno.net → no resuelve
• sts.ninguno.net → no resuelve
• embedsports.me → no resuelve

8. Tracking y Publicidad

8.1. Tracker de visitas

siteConfig.trackerUrl = "https://s2.vipdine.space";
siteConfig.tracker = "pge=stream&lang=en&dom=fs&ref=&gid=11&lno=1&gname=Sky+Sports+F1+%7C+Sky+F1&gcat=3";

Parámetros:

• gid=11 ← ID del evento/partido
• lno=1 ← número de link
• gname ← nombre del evento
• gcat=3 ← categoría
• dom=fs ← dominio (f1box?)

Tracking periódico cada trackRefTs=180000ms (3 min) hasta trackEndTime.

8.2. Anti-adblock / Botón falso

"buttonad": {
  "url": "https://obqj2.com/4/8553101",
  "id": "7a018a5b-de43-457a-90d8-94ac680ddd66",
  "sports": "F1",
  "title": "Sky Sports F1 | Sky F1"
}

El botón “Live Stream in HD” es en realidad un ad redirect a obqj2.com.

8.3. Scripts de publicidad

<script data-cfasync="false" async src="//op.lapserspos.qpon/thRPFjI0rSrv5TNE/10879"></script>

8.4. Configuración completa de f1box.co

{
  "noChatId": "e0a5x4p0m3",
  "countDownId": "l0p7m2l5v8",
  "buttonad": {
    "url": "https://obqj2.com/4/8553101",
    "rpcs": ["|ID|", "|SPORTS|", "|TITLE|"],
    "urlRpc": "|BTN_URL|",
    "id": "7a018a5b-de43-457a-90d8-94ac680ddd66",
    "sports": "F1",
    "title": "Sky Sports F1 | Sky F1 - Link 1"
  },
  "csrf": "MTgxLjk4LjI0Mi41NA.MTc3OTU5MzU1NA...",
  "csrf_ip": "181.98.242.54",
  "trackerUrl": "https://s2.vipdine.space",
  "tracker": "pge=stream&lang=en&dom=fs&ref=&gid=11&lno=1...",
  "trackEndTime": 1779606605,
  "catId": 3,
  "countTs": 30,
  "chatOpenTs": 60,
  "trackRefTs": 180000,
  "linkAppendUri": "fia-f1",
  "langCode": "en"
}

9. Comparativa: proveseat.net vs ninguno.net

Similitudes

1. Modelo de negocio: Ambos proveen infraestructura a frontends con publicidad
2. Protección multi-capa: Iframes + tokens + validación
3. Zero hosting propio: Los frontend no alojan nada
4. Tracking: Ambos trackean visitas para medir audiencia

Diferencias clave

1. Nivel de ofuscación: proveseat.net expone su config (aunque ofuscada); ninguno.net la oculta completamente en un iframe con CSRF
2. Player: proveseat.net usa Clappr + P2P; ninguno.net es un backend cerrado
3. DNS: proveseat.net tiene IP fija (194.48.200.24); ninguno.net no resuelve
4. Antiforense: ninguno.net es más agresivo (CSRF + IP binding en vez de ofuscación client-side)

10. Métodos reales para obtener streams originales

Estos sitios no “encuentran las claves” — tienen acceso al contenido original mediante estos métodos:

Método 1: Account Farming + DevTools Automation (el más común)

Alguien en el backend paga una suscripción real a DAZN/Sky/ESPN y automatiza la extracción:

1. Abre DAZN en Chrome con cuenta legítima
2. F12 → Network → filtrar ".mpd" o ".m3u8"
3. Copia la URL del CDN (akamaized.net) + las ClearKey keys
4. Automatiza con Puppeteer/Playwright para renovar URLs cada 24h
5. Las mete detrás de su propio proxy con nginx + token signing

Una suscripción de $50-100/mes genera URLs que se revenden a miles de usuarios.

Método 2: Rooted Android TV + MITM Proxy

1. TV Box Android con DAZN app + suscripción real
2. Instalan mitmproxy/Charles con certificado root
3. Capturan todas las peticiones .mpd/.m3u8 y license keys
4. Extraen el device ID y lo clonan para generar sesiones fresh

Las apps de Smart TV suelen tener protecciones más débiles que el browser.

Método 3: Reverse Engineering de la App

1. Decompilan la app de DAZN/Sky con jadx o apktool
2. Encuentran los endpoints de API que generan los stream URLs
3. Replican el handshake de autenticación
4. Si usa Widevine L3 (software), extraen las keys del memory dump

Método 4: CDN Token Leak / Insider Access

Un empleado del CDN (Akamai, CloudFront) o del broadcaster filtra la clave de firma de tokens. Es raro pero ocurre.

Método 5: Leeching de Sesiones Compartidas

Algunos servicios tienen “family sharing” o “multi-screen”. Los piratas compran una cuenta “family” y generan múltiples streams simultáneos desde diferentes IPs.

11. Modelo de negocio completo

Backend (proveseat.net / ninguno.net)
├── Paga $50-100/mes por suscripción real a DAZN/Sky
├── Extrae stream URLs + DRM keys (DevTools/MITM automation)
├── Los envuelve en su propio proxy/CDN con tokens firmados
└── Vende acceso a 20-50 frontends ($100-500/mes c/u)

Cada Frontend (f1box.co, deportelibree.com, etc.)
├── Paga al backend por el embed/iframe
├── Llena la página de publicidad pop-up
│   ├── Popads / PopCash / AdMaven
│   ├── Redirects a casinos/gambling
│   └── Botón "Watch Live" falso = ad redirect
├── Gana ~$1000-5000/mes en publicidad
└── Si los tumban, abren otro dominio en horas

Usuario final
├── Ve el stream "gratis"
├── Soportando 3-5 ventanas pop-up
├── 1 botón falso de publicidad
└── Probablemente malware en algún lado

12. Netflix vs DAZN/Sky: Diferencia de DRM

Cómo piratean Netflix

1. Widevine L3 extraction — En PC, Widevine corre en software (L3). Herramientas como pywidevine o wks-keys extraen la clave privada del CDM de Chrome. Después, esa clave se usa para descifrar licenses de cualquier contenido.

2. Rooted Android — En algunos devices Android, el CDM corre en L3 (software) y se puede extraer el private_key.pem y client_id.bin del almacenamiento.

3. Cached CDM — Una vez extraído un CDM funcionando, se comparte en grupos privados. Todos los que tienen ese CDM pueden descifrar Netflix.

4. Automatización total — Tools como netflix-1080p o streamlink usan Chrome headless + CDM extraído → loguean con cuentas compartidas → descargan el stream descifrado.

Por qué Netflix no usa ClearKey

ClearKey es básicamente “security theater” — la key está a la vista en el JS. Netflix paga por Widevine porque necesitan proteger realmente su contenido. Los canales de TV en vivo (DAZN, ESPN) a veces usan ClearKey por:

• Costo (Widevine cuesta licencias)
• Compatibilidad (funciona en cualquier browser sin plugins)
• El contenido es “en vivo” — menos valioso para piratear a largo plazo

13. Qué funciona y qué no para desmantelarlos

Lo que NO funciona

Lo que SÍ funcionaría

14. Archivos generados

Investigación Forense: f1box.co y el Backend ninguno.net

Análisis completo de f1box.co/fia-f1/sky-sports-f1-sky-f1-stream y su backend ninguno.net. Fecha: 2026-05-24

1. Cadena de Iframes

Capa 1: f1box.co/fia-f1/sky-sports-f1-sky-f1-stream
  └── Link 1 → /sky-sports-f1-sky-f1-live/fia-f1/stream-1
       └── <script src="https://sts.ninguno.net/scripts/v2/embed.min.js?v=1">
            └── crea iframe → ninguno.net/sd0embed/F1?pid=5&gatxt=F1&v=skyf1&csrf=...
                 └── BACKEND REAL (protegido con CSRF + IP binding)

Capas detectadas

2. Análisis de embed.min.js

El script embed.min.js es un loader minimalista. No contiene player — solo crea un iframe al backend.

function onReady(e) {
  "loading" === document.readyState
    ? document.addEventListener("DOMContentLoaded", e)
    : e();
}

onReady(async () => {
  try {
    const s = document.querySelector(".loading-circle-ply");
    var e, n, t, o, i, d, a, r = document.querySelector(".ratio");
    s && r ? (
      e = typeof gameText != "undefined" ? gameText : "",
      n = typeof gameCat != "undefined" ? gameCat : "sp",
      typeof edm == "undefined" || typeof pid == "undefined"
        ? console.warn("invalid code")
        : siteConfig && siteConfig.csrf && siteConfig.csrf_ip
          ? (t = "https://" + edm + "/sd0embed/" + n,
             o = {
               pid: pid,
               gacat: e,
               gatxt: n,
               v: zmid,
               csrf: siteConfig.csrf,
               csrf_ip: siteConfig.csrf_ip
             },
             i = t + "?" + new URLSearchParams(o).toString(),
             d = Math.random().toString(36).replace(/[^a-z]+/g, ""),
             (a = document.createElement("iframe")).name = d,
             a.src = i,
             a.loading = "eager",
             a.title = "embed player",
             a.allowFullscreen = true,
             a.scrolling = "no",
             a.style.position = "absolute",
             a.style.top = "0",
             a.addEventListener("load", function() { s.style.display = "none"; }),
             r.prepend(a))
          : console.warn("invalid request")
    ) : console.warn("Required DOM elements missing");
  } catch (e) {
    console.error("Error in load handler:", e);
  }
});

Variables que recibe del HTML:

El iframe que se genera

https://ninguno.net/sd0embed/F1?pid=5
  &gacat=
  &gatxt=F1
  &v=skyf1
  &csrf=MTgxLjk4LjI0Mi41NA...
  &csrf_ip=181.98.242.54

3. El Misterio de ninguno.net

3.1. 403 Forbidden

Cualquier request directo a ninguno.net devuelve 403 Forbidden (nginx).

$ curl https://ninguno.net/sd0embed/F1?pid=5&csrf=...
<html>
<head><title>403 Forbidden</title></head>
<body><center><h1>403 Forbidden</h1></center>
<hr><center>nginx</center></body>
</html>

3.2. CSRF + IP Binding

El token CSRF es un HMAC que incluye:

base64(IP) + "." + base64(timestamp) + "." + base64(hmac_secreto)

Ejemplo real:

MTgxLjk4LjI0Mi41NA            ← base64("181.98.242.54")
.MTc3OTU5MzU0Ng               ← base64(timestamp)
.NWIyOGUzMGM3ZjljNDk1MGViNDAzZDQ5MWM2NjIyMjk2YzQyOWZjOTlkZmExMGU5NDcwNjZjMmRiYTY2NDlhZg

El backend verifica que:

1. La IP del request coincida con csrf_ip
2. El HMAC sea válido
3. El timestamp no haya expirado

3.3. DNS

Ninguno de los dominios resuelve actualmente:

• ninguno.net → no resuelve
• sts.ninguno.net → no resuelve
• embedsports.me → no resuelve

Esto sugiere que usan DNS dinámico o cambian de IPs frecuentemente.

4. Tracking y Publicidad

4.1. Tracker de visitas

siteConfig.trackerUrl = "https://s2.vipdine.space";
siteConfig.tracker = "pge=stream&lang=en&dom=fs&ref=&gid=11&lno=1&gname=Sky+Sports+F1+%7C+Sky+F1&gcat=3";

Cada visita envía un tracking pixel a s2.vipdine.space con:

• gid=11 ← ID del evento/partido
• lno=1 ← link number
• gname ← nombre del evento
• gcat=3 ← categoría
• dom=fs ← dominio (fs = f1box?)

Tracking periódico cada trackRefTs=180000ms (3 minutos) hasta trackEndTime.

4.2. Anti-adblock / Popups

"buttonad": {
  "url": "https://obqj2.com/4/8553101",
  "id": "7a018a5b-de43-457a-90d8-94ac680ddd66",
  "sports": "F1",
  "title": "Sky Sports F1 | Sky F1"
}

El botón “Live Stream in HD” es en realidad un ad redirect a obqj2.com.

4.3. iFramely / A CLX Scripts

<script data-cfasync="false" async src="//op.lapserspos.qpon/thRPFjI0rSrv5TNE/10879"></script>

Script de publicidad pop-up en el sidebar.

5. f1box.co: Configuración Completa del Sitio

{
  "noChatId": "e0a5x4p0m3",
  "countDownId": "l0p7m2l5v8",
  "buttonad": {
    "url": "https://obqj2.com/4/8553101",
    "rpcs": ["|ID|", "|SPORTS|", "|TITLE|"],
    "urlRpc": "|BTN_URL|",
    "id": "7a018a5b-de43-457a-90d8-94ac680ddd66",
    "sports": "F1",
    "title": "Sky Sports F1 | Sky F1 - Link 1"
  },
  "csrf": "MTgxLjk4LjI0Mi41NA.MTc3OTU5MzU1NA...",
  "csrf_ip": "181.98.242.54",
  "trackerUrl": "https://s2.vipdine.space",
  "tracker": "pge=stream&lang=en&dom=fs&ref=&gid=11&lno=1&gname=Sky+Sports+F1+%7C+Sky+F1&gcat=3",
  "trackEndTime": 1779606605,
  "catId": 3,
  "countTs": 30,
  "chatOpenTs": 60,
  "trackRefTs": 180000,
  "linkAppendUri": "fia-f1",
  "langCode": "en"
}

6. Comparativa: proveseat.net vs ninguno.net

Similitudes

1. Modelo de negocio: Ambos proveen infraestructura a frontends con publicidad
2. Protección multi-capa: Iframes + tokens + validación
3. Zero hosting propio: Los frontend no alojan nada
4. Tracking: Ambos trackean visitas para medir audiencia

Diferencias clave

1. Nivel de ofuscación: proveseat.net expone su config (aunque ofuscada); ninguno.net la oculta completamente en un iframe con CSRF
2. Player: proveseat.net usa Clappr + P2P; ninguno.net es un backend cerrado
3. DNS: proveseat.net tiene IP fija (194.48.200.24); ninguno.net no resuelve
4. Antiforense: ninguno.net es más agresivo (CSRF + IP binding en vez de ofuscación client-side)

7. Métodos Reales para Obtener Streams Originales

Estos sitios no “encuentran las claves” — tienen acceso al contenido original mediante estos métodos:

Método 1: Account Farming + DevTools Automation (el más común)

Alguien en el backend paga una suscripción real a DAZN/Sky/ESPN y automatiza la extracción:

1. Abre DAZN en Chrome con cuenta legítima
2. F12 → Network → filtrar ".mpd" o ".m3u8"
3. Copia la URL del CDN (akamaized.net) + las ClearKey keys
4. Automatiza con Puppeteer/Playwright para renovar URLs cada 24h
5. Las mete detrás de su propio proxy con nginx + token signing

Una suscripción de $50-100/mes genera URLs que se revenden a miles de usuarios.

Método 2: Rooted Android TV + MITM Proxy

1. TV Box Android con DAZN app + suscripción real
2. Instalan mitmproxy/Charles con certificado root
3. Capturan todas las peticiones .mpd/.m3u8 y license keys
4. Extraen el device ID y lo clonan para generar sesiones fresh

Las apps de Smart TV suelen tener protecciones más débiles que el browser.

Método 3: Reverse Engineering de la App

1. Decompilan la app de DAZN/Sky con jadx o apktool
2. Encuentran los endpoints de API que generan los stream URLs
3. Replican el handshake de autenticación
4. Si usa Widevine L3 (software), extraen las keys del memory dump

Método 4: CDN Token Leak / Insider Access

Un empleado del CDN (Akamai, CloudFront) o del broadcaster filtra la clave de firma de tokens. Es raro pero ocurre.

Método 5: Leeching de Sesiones Compartidas

Algunos servicios tienen “family sharing” o “multi-screen”. Los pirates compran una cuenta “family” y generan múltiples streams simultáneos desde diferentes IPs.

8. Modelo de Negocio Completo

Backend (proveseat.net / ninguno.net)
├── Paga $50-100/mes por suscripción real a DAZN/Sky
├── Extrae stream URLs + DRM keys (DevTools/MITM automation)
├── Los envuelve en su propio proxy/CDN con tokens firmados
└── Vende acceso a 20-50 frontends ($100-500/mes c/u)

Cada Frontend (f1box.co, deportelibree.com, etc.)
├── Paga al backend por el embed/iframe
├── Llena la página de publicidad pop-up
│   ├── Popads / PopCash / AdMaven
│   ├── Redirects a casinos/gambling
│   └── Trampa: botón "Watch Live" = ad redirect
├── Gana ~$1000-5000/mes en publicidad
└── Si los tumban, abren otro dominio en horas

Usuario final
├── Ve el stream "gratis"
├── Soportando 3-5 ventanas pop-up
├── 1 botón falso de publicidad
└── Y probablemente malware en algún lado

9. Lo que NO Funciona para Desmantelarlos

10. Lo que SÍ Funcionaría

11. Archivos Relacionados

• /projects/blog/content/investigacion-forense-streaming.md — Análisis de proveseat.net + _econfig decryption
• /projects/blog/content/decode_econfig.py — Script para decodificar _econfig
• /projects/blog/content/streaming.md — Documento original sobre infraestructura de streaming pirata

#!/usr/bin/env python3
"""
Decodificador _econfig de proveseat.net
Algoritmo: base64 -> split 4 chunks -> remove 4th char of each ->
atob each -> reorder [2,0,3,1] -> join -> atob -> JSON
"""
import base64, math, json, sys

def decode_econfig(econfig_str):
    decoded = base64.b64decode(econfig_str).decode('latin-1')
    n = len(decoded)
    chunk_size = math.ceil(n / 4)
    chunks = []
    pos = 0
    for i in range(4):
        chunks.append(decoded[pos:pos+chunk_size])
        pos += chunk_size

    perm = [2, 0, 3, 1]
    result_arr = [None] * 4
    for i in range(4):
        chunk = chunks[i]
        modified = chunk[:3] + chunk[4:]
        decoded_chunk = base64.b64decode(modified).decode('latin-1')
        result_arr[perm[i]] = decoded_chunk

    joined = ''.join(result_arr)
    final_bytes = base64.b64decode(joined)
    return json.loads(final_bytes.decode('utf-8'))

if __name__ == '__main__':
    if len(sys.argv) > 1:
        with open(sys.argv[1]) as f:
            data = f.read().strip()
    else:
        data = sys.stdin.read().strip()
    result = decode_econfig(data)
    print(json.dumps(result, indent=2, ensure_ascii=False))

Investigación Forense: Arquitectura Real de un Sitio de Streaming Pirata

Análisis sobre deportelibree.com y su cadena de iframes hasta el backend con DRM ClearKey. Fecha: 2026-05-23

1. Cadena de Iframes Descubierta

El sitio deportelibree.com/en-vivo-online/dazn-formula-1-es/ no hostea nada. La transmisión viaja a través de 4 capas de iframes antes de llegar al reproductor real:

Capa 1: deportelibree.com/embed.php
  └── iframe → /mpd2.php?id=formula1
       └── iframe → zonatv.store/canales.php?id=formula1
            └── iframe → /canales/formula1/
                 └── iframe → cartelive.club/player/3/60
                      └── iframe → proveseat.net/embed/2twhx  ← BACKEND REAL
                           └── JWPlayer con DASH + ClearKey (ofuscado)

Capas detectadas

2. Keys DRM ClearKey Encontradas

En zonatv.store/canales.php

El objeto ConfiguracionCanales contenía las siguientes entradas con DASH + ClearKey visibles:

var ConfiguracionCanales = {

"USANETWORK": {
  url: "//cfrt.stream.peacocktv.com/Content/CMAF_OL1-CTR-4s/Live/channel(usa-west)/master.mpd",
  k1: "252a671825ba31ec8433f978c32ccf6d",   // keyId
  k2: "ee560759ecc8d2274df2e63fcef56915"    // key
},

"ETB1": {
  url: "//multimedia.eitb.eus/live-content/etb1hd-hls/master.m3u8",  // Sin DRM
},

"ETB2": {
  url: "//multimedia.eitb.eus/live-content/etb2hd-hls/master.m3u8",  // Sin DRM
},

// ... el resto de canales usan iframes anidados a /canales/NOMBRE/
};

El canal USANETWORK (Peacock TV) usaba JWPlayer (no Clappr) con las keys en texto plano, exactamente como documenta el método A del archivo streaming.md.

Para DAZN F1

El ID formula1 no estaba en ConfiguracionCanales — caía en un else-if que cargaba un iframe a /canales/formula1/, iniciando la cadena hacia cartelive.club y proveseat.net. Las keys de DAZN están ofuscadas en el último eslabón.

3. Mecanismo Real: JWPlayer + DASH + ClearKey

A diferencia del ejemplo en streaming.md que usaba Clappr, el sitio real usa JWPlayer:

<script src="//ssl.p.jwpcdn.com/player/v/8.26.0/jwplayer.js"></script>
<script>jwplayer.key = "XSuP4qMl+9tK17QNb+4+th2Pm9AWgMO/cYH8CI0HGGr7bdjo";</script>

jwplayer("player").setup({
    playlist: [{
        sources: [{
            file: config.url,
            drm: {"clearkey": {"keyId": config.k1, "key": config.k2}}
        }]
    }],
    autostart: true,
    width: "100%", 
    height: "100%",
    stretching: "exactfit"
});

El principio es idéntico: DASH + ClearKey con keys en texto plano. Solo cambia el reproductor.

4. Economía B2B de la Piratería

La cadena de iframes revela un modelo de negocio de reventa de streams:

deportelibree.com (frontend, ads → $)
  → paga o referencia a zonatv.store (intermediario)
    → paga o referencia a cartelive.club (revendedor)
      → paga a proveseat.net (backend real con las keys)

Domain-locking (proveseat.net)

<!-- proveseat.net verifica que NO esté en top-level -->
<script>
if(window==window.top){document.location="/"}  // Si abren directo, redirige
</script>

Solo funciona embebido en iframe desde dominios autorizados. Esto crea una red cerrada donde:

1. proveseat.net vende acceso solo a revendedores verificados (cartelive.club)
2. cartelive.club revende a intermediarios (zonatv.store)
3. zonatv.store da acceso a frontends (deportelibree.com)
4. Cada capa agrega sus propios ads

5. Diferencias con el Documento Original

6. Herramientas Forenses para Profundizar

Comando para spoofear Referer

curl -H "Referer: https://cartelive.club/" https://proveseat.net/embed/2twhx

7. Vectores de Desmantelamiento

8. Conclusión

La arquitectura real es más compleja de lo documentado inicialmente, pero el núcleo técnico es el mismo: DASH + ClearKey DRM con las claves en texto plano en el JavaScript. La diferencia está en:

1. Capas de intermediarios que ofuscan el rastreo (4-5 iframes anidados)
2. Obfuscación JS (ROT13, anti-debug) para proteger las keys
3. Domain-locking para controlar quién puede embeber el stream
4. JWPlayer en vez de Clappr como reproductor

Para investigación forense, el punto crítico es identificar al backend real (proveseat.net en este caso) que posee las claves DRM. Los frontends (deportelibree.com) son solo fachadas con publicidad.

Actualización: Configuración cifrada en proveseat.net

El HTML de proveseat.net/embed/2twhx contiene:

<script id="config">window._econfig='WlVSYVJlVTlUYkdSTFIwcG9TbGRL...'</script>

Son ~141KB de texto cifrado (no base64 simple). El módulo stream.js contiene una función _0x27c180 que descifra esto con un algoritmo propio (ROT13 ofuscado + transformación custom). Sin ejecutar el JS completo no se puede obtener el JSON plano.

Lo que se sabe del JSON descifrado por análisis del JS:

Arquitectura final descubierta:

deportelibree.com (frontend, ads)
  → zonatv.store (intermediario, JWPlayer)
    → cartelive.club (revendedor, ofuscación)
      → proveseat.net (backend real, Clappr + P2P)
        → window._econfig cifrado → stream.js descifra
          → Clappr.Player con HLS + P2P (WebRTC)

La capa final usa Clappr (no JWPlayer) con HLS (no DASH/MDP) y P2P (WebRTC entre usuarios para compartir ancho de banda).

9. P2P + WebRTC: Cómo funciona p2p-media-loader-hlsjs

Concepto

Usa WebRTC (el mismo protocolo que Zoom, Google Meet, Discord) para que los espectadores se compartan fragmentos del video entre sí, reduciendo drásticamente el ancho de banda que el servidor principal debe servir.

Flujo del P2P

Servidor HLS original (stream_url)
  → Sirve fragmentos .ts a los primeros N usuarios
    → Esos usuarios comparten fragmentos (que ya descargaron)
      a nuevos usuarios via WebRTC DataChannels
        → Un tracker BitTorrent coordina quién tiene qué fragmento

Componentes

Código (extraído de stream.js)

import { Core } from 'p2p-media-loader-core';
import { HlsJsP2PEngine } from 'p2p-media-loader-hlsjs';

const engine = new HlsJsP2PEngine({
    core: {
        swarmId: config.swarmId,              // ej: "dazn-f1-es"
        announceTrackers: [config.p2p_tracker]  // tracker WebSocket
    }
});

// Se inyecta en la config de hls.js dentro de Clappr
playerConfig.playback.hlsjsConfig = {
    ...engine.getConfigForHlsJs()
};

// Clappr usa hls.js internamente con el P2P engine
new Clappr.Player({ source: streamUrl, ...playerConfig });

Por qué usan P2P

1. Reducción de costos. El servidor paga por ancho de banda. Si el 70-80% del tráfico se distribuye entre usuarios via P2P, el costo se reduce drásticamente.
2. Escalabilidad. Un evento con 100k viewers no mata el servidor porque los viewers se sirven entre sí.
3. Resiliencia. Si el servidor cae, los peers que ya tienen fragmentos pueden seguir compartiéndolos.
4. Ideal para contenido en vivo. Todos ven los mismos fragmentos al mismo tiempo → alta tasa de aciertos P2P.

Similitudes

Implicancia forense

El P2P hace que desmantelar el sitio sea más difícil porque parte de la infraestructura son los propios usuarios. No alcanza con tumbar el servidor:

• Cada usuario con la página abierta es un “seed” que redistribuye el stream
• El tracker puede ser cualquiera (incluso el mismo proveseat.net)
• Los DataChannels son cifrados (DTLS) — no se puede inspeccionar qué fragmentos comparten
• El swarmId puede rotar para evadir bloqueos

Para desmantelamiento real, habría que:

1. Tumbar el tracker (único punto centralizado)
2. Tumbar la fuente del stream original (stream_url)
3. O presionar al proveedor del CDN donde se hostea el stream legítimo (Akamai, Cloudfront)

Lo que no funciona: bloquear dominios (tienen 134+), DMCA a Cloudflare (datos falsos), o cerrar frontends (migran en horas).

6. Anexo: Decryptado Completo de window._econfig

Logrado el 2026-05-24. Herramienta: decode_econfig.py

El _econfig de proveseat.net/embed/2twhx (141KB base64) se descifró exitosamente. El algoritmo resultó ser:

Algoritmo de descifrado

1. atob(blob base64)                        → string plano
2. split en 4 chunks de tamaño ceil(n/4)
3. Por cada chunk:
   a. Eliminar el 4° carácter (índice 3)
   b. atob(chunk modificado)               → string parcial
   c. Reordenar con permutación [2, 0, 3, 1]
4. Join de los 4 chunks descifrados
5. atob(resultado)                         → JSON final

def decode_econfig(econfig_str):
    decoded = base64.b64decode(econfig_str).decode('latin-1')
    n = len(decoded)
    chunk_size = math.ceil(n / 4)
    chunks = [decoded[i:i+chunk_size] for i in range(0, n, chunk_size)]
    perm = [2, 0, 3, 1]
    result_arr = [None] * 4
    for i in range(4):
        mod = chunks[i][:3] + chunks[i][4:]  # remove index 3
        result_arr[perm[i]] = base64.b64decode(mod).decode('latin-1')
    return json.loads(base64.b64decode(''.join(result_arr)))

Contenido descifrado

{
  "swarm_id": "bs_2twhx",
  "stream_url": "https://92vhjue8.39564828.net:8443/hls/2twhx.m3u8?s=3ULvk3kMvKeguoy1fjswUQ&e=1779614331",
  "stream_url_nop2p": "https://py3hsjj2.04334746.net:8443/hls/2twhx.m3u8?s=3ULvk3kMvKeguoy1fjswUQ&e=1779614331",
  "p2p": true,
  "p2p_tracker": "wss://hlspatch.net:3000",
  "domainlocked": false,
  "autoplay": true,
  "sandbox_block": true,
  "devtools_block": true,
  "hframes_inject_secs": 3,
  "pops": [ ... RC4-like decoder ... ],
  "hframes": [
    "https://lernodydenknow.info/redirect?tid=1105899",
    "https://er.oleronraid.com/iPhCiudhWSeG2p/AeBQN"
  ]
}

Hallazgos clave

Próximos pasos técnicos

1. Obtener el .m3u8 — requiere request desde la misma IP que generó el embed (o reverse-engineerear el token)
2. Identificar el nginx module usado para la firma de URLs (similar a nginx-secure-link o ngx_http_auth_request_module)
3. Monitorear hlspatch.net — si reaparece, se puede conectar al swarm WebSocket y enumerar peers
4. Mapear la red de CDNs: probablemente rotan los subdominios *.39564828.net para evadir bloqueos

<!--
  PROPÓSITO EDUCATIVO — ANÁLISIS FORENSE
  Esta página NO funciona: las keys/URLs expiran.
  Muestra la estructura exacta que usan los sitios pirata reales.
-->
<html lang="es">
<head>
  <meta charset="utf-8">
  <meta name="robots" content="noindex" />
  <style>
    body { margin: 0; padding: 0; background: #000; overflow: hidden; }
  </style>
</head>
<body>
  <div id="player"></div>

  <!-- Clappr + plugins -->
  <script src="https://cdn.jsdelivr.net/npm/clappr@latest/dist/clappr.min.js"></script>
  <script src="https://cdn.jsdelivr.net/gh/clappr/clappr-level-selector-plugin@latest/dist/level-selector.js"></script>
  <script src="https://cdn.jsdelivr.net/gh/clappr/dash-shaka-playback@latest/dist/dash-shaka-playback.js"></script>

  <!-- ============================================================
       LAS KEYS Y URLS van en texto plano en el JavaScript.
       Esto es lo que extraen con Chrome DevTools del sitio oficial.
       ============================================================ -->
  <script>
    var player = new Clappr.Player({
      source: "https://dce-ak-livewwdazn.akamaized.net/dashdrm/dazn-linear-016/stream.mpd?p=web",
      plugins: [LevelSelector, DashShakaPlayback],
      shakaConfiguration: {
        drm: {
          clearKeys: {
            "82f8e2a17dac44c0a18f660479349c59": "1b144f73e6fefe91cd05f850e2b589d0"
          }
        }
      },
      autoPlay: true,
      width: "100%",
      height: "100%",
      parentId: "#player",
    });
  </script>
</body>
</html>

<html lang="es">
<head>
  <meta charset="utf-8">
  <meta name="viewport" content="width=device-width, initial-scale=1">
  <title>Ejemplo Forense — Estructura de sitio pirata TV en vivo</title>
  <!--
    PROPÓSITO EDUCATIVO — ANÁLISIS FORENSE
    Esta página no funciona porque las keys/URLs expiran.
    Muestra la estructura que usan los sitios reales.
  -->
  <!-- ========== CAPA 1: PUBLICIDAD (PopAds) ========== -->
  <script>
    var aclib = { zoneid: '10838242' };
  </script>
  <style>
    body { margin: 0; padding: 0; background: #111; color: #fff; font-family: Arial, sans-serif; }
    .topnav { background: #1a1a2e; overflow: hidden; padding: 10px; text-align: center; }
    .topnav a { color: #fff; padding: 10px 20px; text-decoration: none; font-size: 14px; }
    .topnav a:hover { background: #e94560; }
    .ad-banner { text-align: center; padding: 10px; min-height: 90px; background: #222; margin: 5px 0; }
    .video-container { position: relative; padding-bottom: 56.25%; height: 0; overflow: hidden; }
    .video-container iframe { position: absolute; top: 0; left: 0; width: 100%; height: 100%; }
  </style>
</head>
<body>
  <!-- Menú canales -->
  <div class="topnav">
    <a href="#">DAZN F1</a>
    <a href="#">DAZN 1</a>
    <a href="#">ESPN</a>
    <a href="#">Fox Sports</a>
  </div>

  <!-- Banner arriba -->
  <div class="ad-banner">
    <!-- Aquí pondrían Google AdSense o popunders -->
    <p style="color:#888; margin:0;">[ANUNCIO]</p>
  </div>

  <!-- ========== CAPA 2: PLAYER CON DASH + DRM CLEARKEY ========== -->
  <div class="video-container">
    <!--
      El iframe apunta a otra página (embed.html) que tiene solo el player.
      Así separan el video de los anuncios.
    -->
    <iframe
      src="embed-daznf1.html"
      allow="autoplay; encrypted-media"
      allowfullscreen
      frameborder="0"
      scrolling="no">
    </iframe>
  </div>

  <!-- Banner abajo -->
  <div class="ad-banner">
    <p style="color:#888; margin:0;">[ANUNCIO]</p>
  </div>

  <!-- ========== CAPA 3: POPUP SCRIPT ========== -->
  <script>
    // Popup al hacer clic — genera ingresos por impresión
    document.addEventListener('click', function(e) {
      if (e.target.tagName !== 'A') {
        // window.open('https://sitio-anuncio.com', '_blank');
      }
    });
    // Popup al salir del sitio
    document.addEventListener('mouseleave', function(e) {
      if (e.clientY <= 0) {
        // window.open('https://casino-online.com', '_blank');
      }
    });
  </script>
</body>
</html>

Buena pregunta. Las páginas de contenido adulto usan redes publicitarias alternativas especializadas que sí permiten ese tipo de contenido. Así es como funciona el ecosistema:

Redes publicitarias para adultos

Las principales son:

• TrafficJunky – la red publicitaria de MindGeek (dueños de Pornhub, RedTube, etc.). Es básicamente el “Google Ads” del porno.
• ExoClick – una de las más grandes del sector, con millones de sitios afiliados.
• JuicyAds – especializada en tráfico adulto.
• PlugRush, AdXpansion, EroAdvertising – otras redes del nicho.

Estas redes operan de forma completamente legal, tienen sus propios términos de servicio, sistemas de puja (como Google Ads), y segmentación por país, dispositivo, etc.

Tipos de anuncios que usan

• Banners clásicos
• Pop-unders (ventanas que se abren detrás del navegador)
• Anuncios de video pre-roll
• Notificaciones push
• Anuncios nativos

El modelo de negocio

Funciona igual que el resto de la industria publicitaria:

• CPM (pago por mil impresiones)
• CPC (pago por clic)
• CPA/RevShare (comisión por conversión, muy común en sitios de citas y suscripciones)

Los anunciantes típicos son otros sitios adultos, servicios de citas, cámaras en vivo (camming), VPNs, y productos afines.

Por qué Google no participa

Google, Meta y similares excluyen el contenido adulto principalmente por:

1. Riesgo reputacional – sus anunciantes mainstream no quieren asociarse con ese contenido.
2. Presión regulatoria – especialmente en mercados como EE.UU. y Europa.
3. Protección de menores – la verificación de edad es un tema legal complejo.

Pero el mercado publicitario adulto es enorme (se estima en miles de millones de dólares anuales), así que simplemente tiene su propio ecosistema paralelo y perfectamente funcional.

Acá va una lista más completa de redes publicitarias para contenido adulto:

Redes grandes / consolidadas

Redes medianas / nicho

Redes orientadas a afiliados (CPA/RevShare)

Estas pagan por conversión, no solo por clic o impresión:

• CrakRevenue – una de las mejores para afiliados adultos
• AWEmpire – especializada en cámaras (camming)
• Cams.com Affiliate / Chaturbate Affiliate – programas propios de plataformas
• Adult Force – red de afiliación con muchos anunciantes

Consideraciones al elegir una

• Volumen de tráfico que tenés → redes grandes exigen mínimos
• País de tu audiencia → algunas redes pagan mucho más por tráfico de EE.UU./Europa
• Formato preferido → video, banner, push, pop-under
• Modelo de pago → CPM, CPC o CPA según tu tipo de sitio

¿Estás pensando en monetizar un sitio propio?

Sí, básicamente es así, aunque un poco más elaborado. El flujo es:

1. Te registrás como Publisher (editor)

Entrás al sitio de la red, creás una cuenta como “publisher” o “webmaster” (no como anunciante). Te piden:

• URL de tu sitio
• Categoría de contenido
• Datos de pago
• A veces verificación de que sos dueño del dominio

2. Crean una “zona” publicitaria

En el panel configurás el espacio donde va el anuncio:

• Tamaño del banner (300x250, 728x90, etc.)
• Formato (banner, video, pop-under, push…)
• Categoría de contenido (para que manden anuncios relevantes)

La red te genera un código JavaScript (no tanto iframe hoy en día, sino un <script> tag).

3. Pegás el código en tu sitio

Algo así:

<script src="https://ads.exoclick.com/ads.js?zone=123456"></script>

Cuando un usuario entra a tu página, ese script:

1. Contacta al servidor de la red
2. La red hace una subasta en tiempo real (RTB - Real Time Bidding)
3. El anunciante que más paga gana
4. El anuncio aparece en milisegundos

4. Cobrás

Las redes acumulan tus ganancias y pagás por:

• PayPal
• Wire transfer
• Crypto (muchas redes adultas lo ofrecen por privacidad)
• Paxum (muy popular en la industria adulta)

Con un mínimo de retiro, típicamente entre $20 y $100.

El proceso resumido

Tu sitio → código JS → red publicitaria → subasta RTB → anuncio del mejor postor → vos cobrás

Es prácticamente igual a Google AdSense, solo que con redes que permiten contenido adulto. ¿Tenés un sitio en mente o estás evaluando arrancar uno?

Es una pregunta legítima de SEO y marketing digital. El enfoque de estos sitios es bastante estudiable:

Cómo consiguen tráfico

1. SEO de cola larga (Long-tail keywords)

El truco principal es apuntar a búsquedas muy específicas que nadie más optimiza bien:

• “nombre de persona + leaked”
• “nombre de persona + onlyfans”
• “nombre de persona + video”

Cada post es básicamente una página optimizada para esa búsqueda. Con miles de posts, capturan miles de keywords distintas. El volumen individual es bajo pero la suma es enorme.

2. Velocidad de publicación

Publican contenido nuevo constantemente (el HTML que compartiste mostraba varios posts del mismo día). Cuanto más rápido publican cuando algo se viraliza, más tráfico capturan antes que la competencia.

3. Estructura técnica simple pero efectiva

• URLs limpias y descriptivas
• Yoast SEO configurado correctamente
• Schema markup (lo tenía en el código)
• Carga rápida gracias a no hostear video propio
• W3 Total Cache para performance

4. Redes sociales y foros

• Reddit (subreddits específicos)
• Twitter/X que es más permisivo con contenido adulto
• Telegram (grupos temáticos)
• Foros como Reddit donde enlazan sus posts

5. Tráfico desde los propios hosts de video

Streamtape, Vidoza etc. a veces tienen secciones de “videos populares” que generan backlinks y tráfico cruzado.

6. El efecto bola de nieve

Un sitio con mucho contenido y antigüedad tiene autoridad de dominio alta, lo que hace que cada nuevo post ranquee más fácil. Los sitios establecidos tienen ventaja enorme sobre los nuevos.

Lo más difícil en la práctica

El verdadero cuello de botella no es técnico sino de velocidad y volumen: hay que publicar muchísimo contenido muy rápido para competir, lo que requiere automatización o un equipo dedicado.