Em palestra no primeiro dia do evento, Thiago Lotufo, especialista da Globo, destaca práticas de desenvolvimento seguro e os riscos trazidos pela interatividade na nova geração da TV aberta

A transição da TV aberta para o ambiente digital e interativo da DTV+ exige mais do que inovação tecnológica: demanda uma mudança profunda na mentalidade de segurança. Foi esse o foco da apresentação “Práticas para Desenvolvimento Seguro na DTV+”, conduzida por Thiago Lotufo, especialista em Segurança da Informação da Globo.

Lotufo explicou que, nesse novo ecossistema, os canais se transformam em aplicativos, e o conteúdo passa a ser entregue via software. Por isso, aplicar o conceito de security by design é essencial desde o início do desenvolvimento. “Quando eu tenho esse tipo de ataque, eu perco o controle da minha aplicação. Então, o que o usuário está assistindo? Não sei. Se alguém consegue manipular, eu não tenho visibilidade sobre isso”, alertou.

Entre os principais pilares para garantir um ambiente seguro, o especialista destacou a importância das validações rigorosas de entrada, atualizações constantes, monitoramento contínuo e a resiliência diante de falhas. “Eu não posso aceitar tudo o que o usuário fala. Assim como valido a identidade dele, também preciso validar todas as entradas do nosso produto. Isso garante que aquela entrada não é um script malicioso”, explicou.

Outro ponto crítico está na disponibilidade dos serviços. A TV conectada depende de múltiplos sistemas e APIs para oferecer uma experiência fluida ao espectador. “O que eu faço quando sofro um ataque DDoS? Vou deixar o usuário sem assistir conteúdo? Não. Eu preciso ter um fallback. E se a internet dele cai? O ambiente híbrido da DTV+ precisa garantir uma boa experiência, mesmo offline.”

A interatividade, uma das grandes promessas da DTV+, também traz riscos. Ao coletar dados de comportamento, preferências e até dados financeiros, os aplicativos precisam tratar essas informações com extremo cuidado. “Esse desafio vem fortíssimo. A proposta de interatividade exige que lidemos com muito mais dados. Vazamento agora é algo que não podemos admitir”, reforçou.

Lotufo ressaltou ainda que, embora muitos problemas da web tradicional já tenham soluções — como SAST, DAST e SCA para detectar vulnerabilidades em código —, a DTV+ impõe novos desafios, como a execução de código remoto e o uso de bibliotecas inseguras. “Uma aplicação vulnerável dentro de um aparelho não só pode comprometer o aplicativo, mas também virar um vetor de ataque a outros sistemas”, alertou.

Por fim, o especialista destacou o papel fundamental da criptografia moderna, inclusive como um desafio frente à diversidade de dispositivos ainda em uso. “Tem muito aparelho que não suporta HTTPS. Precisamos discutir como fazer esse tráfego de dados de forma segura em um ambiente tão heterogêneo”, concluiu.