Las claves de los Emmy en el código fuente: una actualización del sitio dejó al alcance de cualquiera los secretos del prestigioso galardón
Un pequeño fallo de configuración casi convierte la trastienda de la industria en un coladero.
La actualización del sitio antes de la temporada de los premios Emmy resultó en un incidente serio: el servicio de vídeo oficial Emmy.tv, a través del cual los usuarios ven las ceremonias y los archivos, expuso durante varias semanas el acceso a su infraestructura en la nube. El error afectó no solo al sitio público, sino también a servicios internos donde podrían almacenarse solicitudes de participantes, correspondencia laboral y archivos internos.
Cybernews informó que a principios de abril recibió una pista anónima sobre un problema en la plataforma Emmy.tv. Según el equipo, tras la actualización del sitio las credenciales de Amazon Web Services aparecieron en el código HTML accesible públicamente. Ese código lo cargaba cualquier navegador al abrir la página, por lo que las claves podían encontrar no solo especialistas, sino también bots automáticos que buscan constantemente este tipo de errores.
La filtración pudo abrir acceso a almacenamientos en la nube con archivos de Slack, Jira y Zoom, correos electrónicos de los Emmys, bases de datos internas, así como a la infraestructura de aplicaciones para Android, Fire TV, iOS y Roku. Un riesgo aparte lo constituía el repositorio donde se alojaban los materiales de las candidaturas al premio, incluidos tráilers y guiones. Según Cybernews, parte de los recursos no requería credenciales en absoluto, lo que indica errores adicionales en la configuración de acceso.
El equipo de Cybernews verificó la información del informante anónimo, pero, según su propia declaración, no utilizó las claves expuestas para acceder a los servicios internos. Tras la comprobación, los especialistas se pusieron en contacto con los Emmys. Para el 6 de mayo las credenciales ya no aparecían en el código del sitio.
El peligro principal del incidente residía en la escala del acceso. Un juego de claves, según los datos publicados, podía estar vinculado a varios servicios a la vez. Si esos datos llegaran a manos de actores maliciosos, las consecuencias podrían ir mucho más allá de una filtración habitual de archivos. El acceso a la correspondencia laboral, a las tareas, a las bases de datos y a los materiales de las candidaturas permitiría teóricamente crear cuentas no autorizadas, llevar a cabo ataques de phishing, estudiar los procesos internos e incluso intentar interferir en los procedimientos del concurso.
Cybernews subraya que el problema supuso un ejemplo de la peligrosa dependencia de un único conjunto de credenciales. Cuando distintos servicios usan claves compartidas, un error se convierte en un punto débil para toda la infraestructura. En este caso la situación resultó aún más extraña, porque las claves se enviaban a cada visitante del sitio junto con la indicación de los almacenamientos en la nube disponibles, aunque parte de esos almacenamientos, según el equipo, ya estaba abierta por una configuración incorrecta.
Según la cronología publicada, la filtración se detectó el 9 de abril de 2026, la primera notificación se envió el 13 de abril y Cybernews observó la solución del problema el 6 de mayo. Al momento de la publicación, Emmy.tv no había proporcionado comentarios en respuesta a la solicitud del medio.