Vulnerabilidades en SAP ponen en riesgo miles de compañías en todo el mundo

Una reciente investigación de especialistas en análisis forense informático ha revelado que alrededor de 50 mil compañías que ejecutan software de la compañía SAP son más propensas a sufrir ciberataques debido al descubrimiento de nuevos métodos de explotación para algunas vulnerabilidades en estos sistemas que no han sido corregidas de forma correcta.

SAP, importante compañía de software alemana, menciona que, entre 20019 y 2013, publicó una guía para configurar de manera adecuada las actualizaciones de seguridad, no obstante, los investigadores demostraron que el 90% de los sistemas SAP afectados por vulnerabilidades que no han sido actualizados de forma correcta.

“Las actividades de una compañía podrían ser paralizadas en cuestión de segundos”, menciona uno de los expertos en análisis forense informático.”Utilizando cualquiera de estos exploits avanzados, un actor de amenazas podría comprometer cualquier cosa relacionada con el sistema SAP de una compañía para realizar diversas actividades maliciosas, como fraudes financieros, transacciones no autorizadas o interrupción de los sistemas”, añaden los expertos.

Por su parte, la compañía sólo comentó: “En SAP siempre recomendamos a los usuarios instalar las actualizaciones en cuanto éstas son lanzadas”. Se estima que más del 90% de las 2 mil compañías más importantes del mundo emplean alguna implementación de software SAP.

Los clientes de SAP, en conjunto, distribuyen alrededor del 80% de los alimentos y dispositivos médicos a nivel mundial, por lo que los ataques contra algunos de estos sistemas podrían generar consecuencias críticas, advierten los especialistas en análisis forense informático. 

Acorde a expertos del Instituto Internacional de Seguridad Cibernética (IICS) el principal problema reside en la forma en la que las aplicaciones de SAP interactúan entre sí al interior de los sistemas de una compañía.

En algunos casos, si las configuraciones de seguridad de una compañía no están correctamente determinadas, un usuario malintencionado podría engañar a una de estas aplicaciones haciéndose pasar por un producto más de SAP para obtener acceso total sin requerir credenciales de inicio de sesión.

Especialistas en seguridad añaden que se requiere de un nivel de conocimientos de hacking entre intermedio y avanzado para explotar alguna de estas vulnerabilidades y recomiendan a los clientes de SAP implementar las actualizaciones de seguridad a la brevedad.